下载文档原格式
PKI和数字证书是网络安全领域中非常重要的概念,它们在保障通信和数据安全方面起着至关重要的作用。
本文将从基本概念出发,简要介绍PKI和数字证书的相关内容。
一、PKI的基本概念1. PKI即公钥基础设施,它是一种基于公钥加密技术的安全体系,用于管理数字证书的发放、验证和吊销等一系列操作。
PKI的核心是建立信任,为了确保通信双方的身份和数据的机密性,采用了公钥加密技术和数字证书的方式来实现。
2. PKI体系中包括密钥管理、数字证书管理、证书颁发机构(CA)、注册机构(RA)等组成部分,通过这些组成部分的协作,实现了在网络通信中的安全性和可靠性。
二、数字证书的基本概念1. 数字证书是PKI体系中的重要组成部分,它是用于验证公钥持有者身份的一种电子证明。
数字证书包含了公钥持有者的身份信息、公钥以及颁发该证书的证书颁发机构(CA)的数字签名等信息。
2. 数字证书在网络通信中起着至关重要的作用,它能够确保通信双方的身份合法性和数据的完整性,是实现安全通信的重要手段。
3. 数字证书通常采用X.509标准进行制定,包括了证书的结构、内容、扩展字段等规范,以确保数字证书的统一标准和互操作性。
三、PKI和数字证书的工作原理1. PKI通过证书颁发机构(CA)来管理数字证书的发放、验证和吊销等操作,CA是PKI体系中的核心角色,负责签发和管理数字证书。
2. 数字证书的工作原理是利用公钥加密技术和数字签名技术来确保通信双方的身份合法性和数据的完整性。
当通信双方需要进行安全通信时,首先需要获取对方的数字证书,然后使用CA的公钥对数字证书进行验证,确认对方的身份合法性;接着需要使用对方的公钥对数据进行加密和签名,确保数据在传输过程中不被篡改。
3. PKI和数字证书的工作原理可以保证通信的安全性和可靠性,有效防范了中间人攻击、数据篡改等安全威胁。
四、总结PKI和数字证书作为网络安全领域中不可或缺的组成部分,为网络通信提供了重要的安全保障。
公钥基础设施(PKI)的原理与应用作者:数计系计科本091班林玉兰指导老师:龙启平摘要:安全是网络活动最重要的保障,随着Internet的发展,网络安全问题越来越受到人们的关注。
网络交易活动面临着诸如黑客窃听、篡改、伪造等行为的威胁,对重要的信息传递和控制也非常困难,交易安全无法得到保障,一旦受到攻击,就很难辨别所收到的信息是否由某个确定实体发出的以及在信息的传递过程中是否被非法篡改过。
而PKI技术是当前解决网络安全的主要方式之一,本文以PKI技术为基础,详细列举了公钥基础设施基本组成,PKI系统组件和PKI所提供的服务,并介绍了PKI技术特点与应用举例。
关键词:PKI,公钥,认证,网络安全。
一:什么叫公钥基础设施(PKI)?公钥基础设施(PKI)是当前解决网络安全的主要方式之一。
PKI技术是一种遵循既定标准的密钥管理平台,它的基础是加密技术,核心是证书服务,支持集中自动的密钥管理和密钥分配,能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。
简单来说PKI就是利用公开密钥理论和技术建立提供安全服务的、具有通用性的基础设施,是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体,PKI可以用来建立不同实体间的“信任”关系,她是目前网络安全建设的基础与核心。
在通过计算机网络进行的各种数据处理、事务处理和商务活动中,涉及业务活动的双方能否以某种方式建立相互信任关系并确定彼此的身份是至关重要的。
而PKI就是一个用于建立和管理这种相互信任关系的安全工具。
它既能满足电子商务、电子政务和电子事务等应用的安全需求,又可以有效地解决网络应用中信息的保密性、真实性、完整性、不可否认性和访问控制等安全问题。
二:公钥基础设施(PKI)系统的组成PKI一般包括以下十个功能组件:1、认证中心(CA)认证中心(CA)是PKI的核心组成部分,是证书签发的机构,是PKI应用中权威的、可信任的、公正的第三方机构。
pki技术PKI(公钥基础设施)技术是一种广泛应用于网络安全领域的加密技术,其基本原理是通过应用密码学的方法,为公钥和私钥的生成、分发、管理和撤销提供一套完整的解决方案。
PKI技术被广泛应用于数字签名、身份认证、数据加密等方面,为网络通信提供了安全和可靠的保障。
PKI技术的原理核心是非对称加密算法,也就是公钥和私钥的加密机制。
在传统的对称加密算法中,发送方和接收方使用相同的密钥进行加密和解密,但是在实际应用中,如何安全地将密钥传输给对方是一个难题。
而非对称加密算法则通过公钥和私钥的机制,可以实现安全的密钥交换,确保密钥只有合法的用户才能访问。
PKI技术的核心组成包括数字证书、证书颁发机构(CA)、注册机构(RA)和证书撤销列表(CRL)等。
数字证书是PKI技术的核心,它是通过CA机构颁发的一种电子证书,用于证明用户身份的真实性和数据完整性。
数字证书包含了用户的公钥、用户身份信息以及CA机构的签名,通过验证数字证书的有效性,可以确认用户的身份和数据的完整性。
CA机构是PKI技术的核心组织,负责管理和颁发数字证书。
CA机构通常由第三方机构担任,通过对用户身份进行验证和签名操作来验证数字证书的有效性。
CA机构的公钥会事先被广泛分发,而用户则可以使用CA机构的公钥来验证数字证书的有效性。
RA机构则是CA机构的助手,负责用户身份审核和证书申请的处理工作。
RA机构根据用户的身份信息和需求,对用户进行身份验证,并将审核通过的申请提交给CA机构进行签名和颁发数字证书。
CRL则是用于证书撤销的机制,当数字证书的私钥泄露、用户信息变更或者证书已过期等情况发生时,用户可以将相关证书加入CRL列表中,以通知其他用户该证书的无效性。
PKI技术的应用非常广泛,其中最为常见的应用是数字签名和身份认证。
数字签名利用非对称加密算法,为电子文档提供身份认证和数据完整性。
发送方通过用自己的私钥对电子文档进行加密生成数字签名,接收方可以使用发送方的公钥来验证数字签名的有效性,确保电子文档的真实性和完整性。
PKI体系公钥基础设施PKI技术与应用发展公钥基础设施PKI技术与应用发展一、概述PKI是“Public Key Infrastructure”的缩写,意为“公钥基础设施”。
简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。
公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。
这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。
目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。
PKI似乎可以解决绝大多数网络安全问题,并初步形成了一套完整的解决方案,它是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务的具有普适性的安全基础设施。
该体系在统一的安全认证标准和规范基础上提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。
作为一种技术体系,PKI 可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。
但PKI绝不仅仅涉及到技术层面的问题,还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。
PKI作为国家信息化的基础设施,是相关技术、应用、组织、规范和法律法规的总和,是一个宏观体系,其本身就体现了强大的国家实力。
PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。
公钥基础设施(PKI)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。
PKI是20世纪80年代由美国学者提出来了的概念,实际上,授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。
PKI(Public Key Infrastructure)含义为“公钥基础设施”,PKI技术是利用公钥理论和技术建立的提供信息安全服务的基础设施,PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
PKI基础设施采用证书管理公钥,通过第三方的可信任机构--认证中心,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份。
PKI基础设施把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。
从广义上讲,所有提供公钥加密和数字签名服务的系统,都可归结为PKI系统的一部分,PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。
一、PKI原理PKI公共密钥体系是利用公共密钥算法的特点,建立一套证书发放、管理和使用的体系,来支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性。
PKI 体系可以有多种不同的体系结构、实现方法和通信协议。
公共(非对称)密钥算法使用加密算法和一对密钥:一个公共密钥(公钥,public key)和一个私有密钥(私钥,private key)。
其基本原理是:由一个密钥进行加密的信息内容,只能由与之配对的另一个密钥才能进行解密。
公钥可以广泛地发给与自己有关的通信者,私钥则需要十分安全地存放起来。
使用中,甲方可以用乙方的公钥对数据进行加密并传送给乙方,乙方可以使用自己的私钥完成解密。
公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起,由权威机构(CA, Certificate Authority)认证、发放和管理。
把证书交给对方时就把自己的公钥传送给了对方。
证书也可以存放在一个公开的地方,让别人能够方便地找到和下载。
公共密钥方法还提供了进行数字签名的办法:签字方对要发送的数据提取摘要并用自己的私钥对其进行加密;接收方验证签字方证书的有效性和身份,用签字方公钥进行解密和验证,确认被签字的信息的完整性和抗抵赖性。
PKI详解⼀、什么是PKI?官⽅定义:PKI是Public Key Infrastructure的⾸字母缩写,翻译过来就是公钥基础设施;PKI是⼀种遵循标准的利⽤公钥加密技术为电⼦商务的开展提供⼀套安全基础平台的技术和规范。
PKI技术是⼀种遵循既定标准的密钥管理平台,它的基础是加密技术,核⼼是证书服务,⽀持集中⾃动的密钥管理和密钥分配,能够为所有的⽹络应⽤提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。
通俗理解:PKI就是利⽤公开密钥理论和技术建⽴提供安全服务的、具有通⽤性的基础设施,是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体,PKI可以⽤来建⽴不同实体间的"信任"关系,它是⽬前⽹络安全建设的基础与核⼼。
PKI的主要任务是在开放环境中为开放性业务提供基于⾮对称密钥密码技术的⼀系列安全服务,包括⾝份证书和密钥管理、机密性、完整性、⾝份认证和数字签名等。
因此,⽤户可利⽤PKI平台提供的服务进⾏电⼦商务和电⼦政务应⽤。
⼆、 PKI技术原理与组成架构2.1 PKI技术要解决哪些问题先了解什么是密钥?什么是证书?密钥在我之前写的"密码学原理"⽂章⾥有提到过。
密钥通俗理解就是你想传送⽂件和数据时,怕被别⼈截获后看到,就在传输前⽤⼀种算法加上密,使别⼈截获了也不容易得到明⽂,然后接受⽅得到密⽂后,解密出来就可以看到你传给他的数据和⽂件了。
密钥的作⽤就是保密,算法是加密的⽅法。
证书的通俗理解:要开车得先考驾照,驾照上⾯记有本⼈的照⽚、姓名、出⽣⽇期等个⼈信息,以及有效期、准驾车辆的类型等信息,并由公安局在上⾯盖章。
我们只要看到驾照,就可以知道公安局认定此⼈具有驾驶车辆的资格。
证书其实和驾照很相似,⾥⾯记有姓名、组织、邮箱地址等个⼈信息,以及属于此⼈的公钥,并由认证机构( Certification Authority. Certifying Authority, CA )施加数字签名。
公钥基础设施(PKI)的作用公钥基础设施(PKI)是一种加密技术体系,用于确保网络通信的安全性和可信性。
其作用包括建立和管理密钥、数字证书和数字签名等,为信息安全提供了重要的基础支持。
本文将介绍PKI的概念、功能以及在现代社会中的广泛应用。
一、概述PKI是一种安全基础设施,用于确保通信数据的机密性、完整性和认证性。
它包含了加密算法、数字证书、证书颁发机构(CA)和注册机构(RA)等组件,通过这些组件协同工作,实现了保护网络通信的目标。
二、功能1. 机密性保护:PKI通过使用公钥和私钥配对来实现信息的机密性保护。
发送方使用接收方的公钥将信息加密,只有接收方拥有与其对应的私钥,才能解密信息。
2. 完整性保护:PKI使用数字签名技术来保护数据的完整性。
发送方使用私钥对信息进行签名,接收方使用发送方的公钥来验证数字签名,以确保数据在传输过程中没有被篡改。
3. 身份认证:PKI通过数字证书来验证用户的身份。
数字证书中包含用户的公钥和一些身份信息,由可信的证书颁发机构进行签名和发布。
使用者可以通过验证数字证书的合法性,来确认通信双方的身份。
4. 密钥交换:PKI可以实现安全的密钥交换,确保通信双方的密钥不被窃取或篡改。
通过使用公钥加密算法,通信双方可以在不安全的网络中安全地交换密钥。
三、应用1. 电子商务:PKI在电子商务领域的应用非常广泛。
用户可以通过数字证书进行身份验证,并使用数字签名保护交易的机密性和完整性。
此外,PKI还可以提供交易双方之间的安全通信渠道。
2. 电子政务:PKI可用于政府机构与公民之间的安全通信和身份认证。
通过数字证书的应用,政府机构可以确保公民身份的准确性,并保证与公民之间的信息交互的安全性。
3. 敏感数据保护:PKI对于保护敏感数据的安全性至关重要。
银行、金融机构等行业可以使用PKI来保护客户的个人账户信息和交易数据,从而防止黑客攻击和数据泄露。
4. 远程访问和虚拟专用网络(VPN):PKI可用于远程访问和VPN连接的安全性保障。
pki技术的基本原理及常规应用PKI技术的基本原理及常规应用一、PKI技术的概念PKI技术是公钥基础设施(Public Key Infrastructure)的缩写,是一种安全通信机制。
它通过使用非对称加密算法和数字证书来确保通信的机密性、完整性和可信度。
PKI技术包括公钥加密、数字签名、证书管理等多个方面。
二、PKI技术的基本原理1. 公钥加密公钥加密是指使用公钥对数据进行加密,只有私钥才能解密。
在此过程中,发送方需要获取接收方的公钥,并使用该公钥对数据进行加密。
接收方收到数据后,使用自己的私钥进行解密。
2. 数字签名数字签名是指将消息摘要与发送者的私钥进行加密生成签名,并将该签名与消息一起发送给接收者。
接收者可以使用发送者的公钥来验证签名是否正确,从而确保消息没有被篡改过。
3. 证书管理证书管理是指建立一个可信任的第三方机构(CA)来颁发数字证书,以确保公钥和实体之间的关系可信。
数字证书包含了实体(如个人或组织)和其对应公钥信息,并由CA进行签名认证。
三、PKI技术的常规应用1. 数字证书数字证书是PKI技术的核心,它可以用于各种场景,如SSL/TLS协议中的HTTPS,VPN连接等。
数字证书还可以用于身份认证、电子邮件签名和加密等。
2. 数字签名数字签名可以用于文件和数据的完整性验证,确保数据没有被篡改。
数字签名还可以用于电子合同、电子票据等场景。
3. 数字信封数字信封是指将数据进行加密,并将加密后的数据和接收者公钥一起发送给接收者。
接收者使用自己的私钥进行解密,从而确保通信内容机密性和完整性。
4. VPN连接VPN连接是指通过公共网络建立安全通信隧道,以实现远程访问。
PKI技术可以在VPN连接中使用数字证书进行身份验证和加密通信。
5. 身份认证PKI技术可以用于实现用户身份认证,如在网银系统中使用数字证书进行用户身份认证。
四、总结PKI技术是一种安全通信机制,它通过公钥加密、数字签名和证书管理等多个方面来确保通信的机密性、完整性和可信度。
公钥基础设施(PKI)的原理与应用作者:数计系计科本091班林玉兰指导老师:龙启平摘要:安全是网络活动最重要的保障,随着Internet的发展,网络安全问题越来越受到人们的关注。
网络交易活动面临着诸如黑客窃听、篡改、伪造等行为的威胁,对重要的信息传递和控制也非常困难,交易安全无法得到保障,一旦受到攻击,就很难辨别所收到的信息是否由某个确定实体发出的以及在信息的传递过程中是否被非法篡改过。
而PKI技术是当前解决网络安全的主要方式之一,本文以PKI技术为基础,详细列举了公钥基础设施基本组成,PKI系统组件和PKI所提供的服务,并介绍了PKI技术特点与应用举例。
关键词:PKI,公钥,认证,网络安全。
一:什么叫公钥基础设施(PKI)?公钥基础设施(PKI)是当前解决网络安全的主要方式之一。
PKI技术是一种遵循既定标准的密钥管理平台,它的基础是加密技术,核心是证书服务,支持集中自动的密钥管理和密钥分配,能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。
简单来说PKI就是利用公开密钥理论和技术建立提供安全服务的、具有通用性的基础设施,是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体,PKI可以用来建立不同实体间的“信任”关系,她是目前网络安全建设的基础与核心。
在通过计算机网络进行的各种数据处理、事务处理和商务活动中,涉及业务活动的双方能否以某种方式建立相互信任关系并确定彼此的身份是至关重要的。
而PKI就是一个用于建立和管理这种相互信任关系的安全工具。
它既能满足电子商务、电子政务和电子事务等应用的安全需求,又可以有效地解决网络应用中信息的保密性、真实性、完整性、不可否认性和访问控制等安全问题。
二:公钥基础设施(PKI)系统的组成PKI一般包括以下十个功能组件:1、认证中心(CA)认证中心(CA)是PKI的核心组成部分,是证书签发的机构,是PKI应用中权威的、可信任的、公正的第三方机构。
CA向主体发行证书,该主体成为证书的持有者。
通过CA在数字证书上的数字签名来声明证书特有的身份。
CA是信任的起点,各个终端实体必须对CA高度信任,因为他们要通过CA 来保证其它主体。
认证中心又由6部分组成:(1)签名和加密服务器(2)密钥管理服务器(3)证书管理服务器(4)证书发布和CLR发布服务器(5)在线证书状态查询服务器(6)web服务器认证中心(CA,Certification Authority)就是一个用于确保这种信任关系的权威实体,它是PKI的核心执行机构,其主要职责包括 . (1)并标识证书申请者的身份。
(2)确保CA用于签名证书的非对称密钥的质量和安全性。
(3)管理证书信息资料。
2、证书库证书库是已颁发证书和已经撤销证书的集中存放地。
是网上的公共信息库。
CA将证书发送到X.500格式的目录服务器上,用户可通过LDAP目录访问协议已经颁发的证书、下载证书撤销列表。
证书库支持分布式存放。
可采用数据库镜像技术,将相关的证书和证书撤销列表从目录服务器下载并存储到本地,以提高证书的查询效率,这是一个大型的PKI系统的基本应用需求。
3、证书撤销CA通过签发证来绑定用户的身份和公钥,这种绑定关系在已经颁布证书的正常生命周期内是有效的。
PKI一般使用证书撤销列表机制进行证书撤销。
证书撤销发生在证书取消阶段。
撤销列表CLR是带有时间戳的已撤销的以撤销证书列表的数字签约结构,签名由签发机构CA签发。
CA根据其运行策略定期更新CRL,并将CLR发布到目录服务器上,以供系统的用户进行查询。
验证证书的有效性时,需要检查它是否位于CRL中。
4、密钥备份与恢复公钥密码可用于数字签名和加/解密。
与这两种用途对应的有两个密钥对:签名密钥对和加密密钥对。
签名密钥对由签名私钥和解签公钥组成。
由于数字签名具有不可否认性,签名私钥只能由所有者一人保存,不能做任何备份和存档,以保证签名施加的唯一性。
解签公司需要存档,用于验证旧的数字签名。
一旦签名钥丢失,只能重新生成新的签名密钥对。
由于签名私钥不能备份,所以密钥的备份与恢复主要是针对解密私钥。
当用户遗忘了解密私钥的访问口令或存储解密私钥的物理介质被破坏时,用加密公钥加密密文数据就无法恢复,所以需要对该密钥进行备份并能够及时恢复。
密钥备份发生在证书的初始阶段。
当密钥对用于数据加密时,CA将对其中的解密私钥进行备份。
密钥恢复发生在证书的颁发阶段。
当终端用户的解密私钥丢失时,CA从密钥备份和恢复服务中恢复该密钥。
5、自动密钥更新因为安全的问题,密钥和证书的有效期是有限的,需要定期进行更新。
如果是手动更新,这会降低PKI的系统的可用性,因为有些用户可能忘记了更新,知道密钥和证书过期,无法获取相关服务。
所以自动密钥更新服务是必要的。
自动密钥更新是指PKI自动完成密钥和证书的更新,无需用户干预。
PKI 会定时检查证书的有效期,党有效期临近结束时,启动更新过程,生成新的密钥对和新的证书,并将证书自动更新到证书库中,该过程与初始化阶段的证书生成和分发类似。
在证书颁发时即被赋予一个有效期。
一般来说,当密钥和证书的生存期到达有效期的80%时,自动密钥更新就会发生。
这是考虑到PKI在处理时耗费的时间和可能的延迟,避免密钥和证书相关操作产生中断。
6、密钥历史档案密钥更新的存在意味着经过一段时间每个用户都会有多个旧证书和至少一个“当前”证书。
这一系列证书和相应的私钥组成用户密钥历史档案。
记录整个密钥历史是十分重要的,因为某个用户5年前加密的数据无法用现在的私钥解密,这个用户需要从密钥历史档案找到正确的解密密钥来解密数据。
类似的,需要熊哦那个密钥历史档案中找到合适的证书来验证5年前的数字签名。
PKI提供管理密钥历史档案的功能,保存所有的密钥,以便正确地备份和恢复密钥,通过查找正确的密钥来解密数据。
7、交叉认证在不同的PKI之间建立信任关系,进行安全通信,就需要进行“交叉认证”。
就是每个不同的PKI用户彼此要验证对方的证书。
“交叉认证”是PKI 中的一个重要的概念,通过把以前无关的CA连接在一起,扩大了信任域的范围,使各个体群之间的安全通信成为可能。
8、支持不可否认一个PKI用户经常实行与他身份相关的不可否认的操作。
PKI必须能支持避免或阻止否认,这就是不可否认的特点。
一个PKI本身不可能提供真正完全的不可否认的功能,需要人工分析,判断证据,并作出决断。
然而,PKI必须提供所需要的技术上的证据,以支持决策,并提供数据来源认证和可信时间的数字签名。
9、安全时间戳支持不可否认的一个关键因素,就是在PKI中使用安全时间戳。
PKI中必须有用户可信任的权威时间源,虽然权威时间提供的时间并不需要正确,仅仅需要用作为饿哦一个参照时间完成基于PKI的事务处理。
10、客户端软件如果用户没有发出请求,PKI通常不会做什么事。
用户最终要在本地平台运行客户端软件来完成请求工作,客户端软件必须询问证书和相关的撤销信息,必须理解密钥历史档案,知道何时请求密钥更新或密钥恢复操作,必须知道何时为文档请求时间戳。
没有哭护短软件,就不能使用PKI提供的功能。
客户端软件独立于其他应用程序,应用程序通过标准接口访问客户端软件,再由客户端软件访问PKI,最终完成用户请求功能。
三:PKI提供的服务PKI作为安全基础设施,为不同的用户提供多种安全服务,这些安全服务可以分为核心服务和支撑服务两大类。
1、核心服务核心服务包括认证服务、完整性服务、保密性服务。
认证服务就是确认实体即为自己称明的实体在应用程序中有实体鉴别和数据来源鉴别两种形式。
例如,甲需要验证乙所用证书的真伪。
当乙在网络上将证书传送给甲时,甲使用CA的公钥解开证书上的数字签名,如果签名通过验证,则证明乙持有的证书是真的;其次,甲还需要验证乙身份的真伪。
乙可以将自己的口令用自己的私钥进行数字签名传送给甲,甲已经从乙的证书中或从证书库中查得了乙的公钥,甲就可以用乙的公钥来验证乙的数字签名。
如果该签名通过验证,乙在网络中的真实身份就能够确定,并能获得甲的的信任,反之,当乙确定了甲的真实身份后,甲乙双方就可以建立相互信任关系。
完整性服务是指数据接收方可以确认收到的数据是否同发送方发出的数据完整一致。
这种方法实质是一种数字签名过程,它首先利用Hash函数提取数据“指纹”,然后将数据和其“指纹”信息一起发送到对方,对方收到数据后,重新利用Hash函数提取数据“指纹”并与接收到的数据“指纹”比对,进而判断数据是否被篡改。
如果敏感数据在传输和处理过程中被篡改,接受方就不会收到完整的数据签名,验证就会失败。
反之,如果签名通过了验证,就证明接收方收到的是未经修改的完整数据。
保密性服务是确保数据的秘密,即除了指定的实体外,无人能读出这段数据。
保密性服务提供一种“数字信封”机制,发送方先产生一个对称密钥,并用该对称密钥加密敏感数据。
同时,发送方还用接收方的公钥加密对称密钥,就像把它装入一个“数字信封”。
然后,把被加密的对称密钥(“数字信封”)和被加密的敏感数据一起传送给接收方。
接收方用自己的私钥拆开“数字信封”,并得到对称密钥,再用对称密钥解开被加密的敏感数据。
2、支撑服务支撑服务包括安全时间戳、公证服务、不可否认服务。
安全时间戳是就是一个可信的时间权威用一段客人正的完整的数据表示时间戳。
最重要的不是时间本身的真实性,而是香港馆时间/日期的安全。
安全时间戳服务使用PKI的认证和完整性服务。
公证服务提供一种证明数据的有效性和正确性的方法。
这种公证服务依赖于需要验证的数据和数据验证方式。
在PKI中,经常需要验证数据包括Hash签名、公钥和私钥等,验证的内容主要是数据的合法性和正确性,验证的方法主要是鉴别签名。
不可否认性服务提供一种防止实体对其行为进行抵赖的机制,它从技术上保证实体对其行为的认可。
实体的行为多种多样,抵赖问题随时都可能发生,在各种实体行为中,人们更关注发送数据、收到数据、传输数据、创建数据、修改数据、以及认同实体行为等的不可否认性。
在PKI中,由于实体的各种行为只能发生在它被信任之后,所以可通过时间戳标记和数字签名来审计实体的各种行为。
通过这种审计将实体的各种行为与时间和数字签名绑定在一起使实体无法抵赖其行为。
四:PKI的应用PKI的应用是非常广泛的,并且在不断地发展之中。
以下是PKI常应用的实例。
1、VPNVPN是一种建立在公网上的虚拟专用网络。
它是利用IPSec、PPTP、L2TP 协议和建立在PKI基础上的加密与数字签名技术获取私有性的。
在VPN中使用PKI技术能增强VPN的身份认证能力,确保数据的完整性和不可否认性。
使用PKI技术能够有效建立和管理信任关系,利用数字证书既能阻止非法用户访问VPN,又能够限制合法用户对VPN的访问,同时还能对用户的各种活动进行严格审计。
