PKI:公钥基础设施(Public Key Infrastructure)

  • 通过使用公钥技术和数字签名来确保信息安全

  • 由公钥加密技术、数字证书、CA、RA组成

PKI体系能够实现的功能:

  • 数据机密性 

  • 身份验证

  • 数据完整性

  • 操作的不可否认性

公钥加技术是PKI的基础:

  公钥与私钥关系

  • 成对生成,互不相同,互相加密与解密

  • 不能根据一个密钥来推算出另一个密钥

  • 公钥对外公开,私钥只有私钥持有人才知道

  • 私钥应该由密钥的持有人妥善保管

      根据实现的功能不同,可分为数据加密和数字签名


数据加密:

  • 发送方使用接收方的公钥加密数据

  • 收方使用自己的私钥解密数据



 数据加密能保证所发送数据的机密性

数字签名:

  • 发送方对原始数据执行HASH算法得到摘要值

  • 发送方用自己私钥加密摘要值

  • 将加密的摘要值与原始数据发送给接收方

  • 对方用发送方的公钥对摘要进行解密,同时又对收到的文件用与发送方相同的HASH算法得到一个新的摘要

  • 将解密的摘要与新得到的摘要进行对比,可以得出文件在传输过程中是否被破坏或篡改

 数字签名保证数据完整性、身份验证和不可否认

PKI协议

  • SSL

  • HTTPS

  • IPSec

    证书用于保证密钥的合法性,主体可以是用户、计算机、服务等,格式遵循X.509标准

  • 数字证书包含信息

  • 使用者的公钥值

  • 使用者标识信息

  • 有效期

  • 颁发者标识信息

  • 颁发者的数字签名

数字证书由权威公正的第三方机构即CA签发

CA(Certificate Authority,证书颁发机构)

核心功能是颁发和管理数字证书

证书的颁发过程:

   用户申请-RA处理申请-RA验证并签名-RA提交CA-CA制作证书并归档-CA发放证书给RA-RA颁发证书给用户-用户验证



CA分类 

  • 企业(域环境,证书自动颁发)

  • 独立(工作组环境,证书手动颁发)

申请证书地址:http://服务器IP/certsrv