PKI

格式：doc
大小：48.00 KB
文档页数：6

下载文档原格式

什么是PKI

什么是PKI（公钥基础设施）以上这些加密技术的广泛使用，需要一个完整的PKI(Public-Key Infrastructure)体系，它建立在一套严格定义的标准之上，这些标准用于控制证书生命周期的各个方面。

PKIX工作组（PKIX Working Group）给PKI的定义为："是一组建立在公开密钥算法基础上的硬件、软件、人员和应用程序的集合，它应具备产生、管理、存储、分发和废止证书的能力。

一个PKI体系包括五个组成部分：·CA：发放和废止证书·RA：对证书持有者的身份信息进行审核，并将身份信息和其公钥进行绑定·证书持有者（最终用户）：获得并使用由CA发放的证书的人、机器或软件·应用程序：利用最终用户的证书和密钥，提供加密、签名等应用服务·存储仓库：存储由CA发放的有效证书和CRL（证书废止列表）下图显示了PKI体系的一个简单模型：一个PKI系统必须能够实现如下功能：·注册：想要申请证书的最终用户将自己的身份信息提交给CA的过程。

最终用户需要提交的信息（如：用户的姓名、证件编号等）都是在CA的证书操作规程（CPS）中指定的内容。

CA在为最终用户签发证书前，要按照CPS中的规定去验证最终用户提交的信息是否正确。

·发证：发证是CA真正为用户签发证书的过程，在最终用户的证书中包含有用户的公钥。

CA将签发的证书发送给最终用户，并将该证书公布到相应的证书仓库中。

·密钥恢复：在有些PKI系统中需要对用户的密钥进行安全备份。

这是因为当最终用户的密钥丢失后，CA系统可以为其恢复，以便去解密原来的加密数据。

如果需要密钥恢复功能，所有最终用户的解密私钥需要由CA进行备份。

·密钥产生：最终用户密钥的产生可以有两种途径：一种是最终用户在其本地的计算机环境中产生一对密钥，然后把公钥发送给CA，为其签发证书。

另一种是由CA负责产生用户的密钥，然后以加密文件的形式发送给最终用户，也可以存储在物理介质（如：智能卡或存储卡）中，交给最终用户。

PKI技术

9.1 PKI概述
2．PKI的体系结构
9.2 证书基础
9.2.1 证书服务概述 1．证书服务
在 Windows 操作系统中使用证书服务来创建证书颁发机构（Certificate Authority，CA），该颁发机构负责接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及发布证书吊销列表（CRL）。 ① 使用Web或证书 Microsoft 管理控制台（MMC）管理单元从CA为用户注册证书，或者通过自动注册透明地为用户注册证书； ② 根据CA所使用的策略，使用证书模板帮助简化在申请证书时申请者必须作出的选择； ③ 利用Active Directory目录服务，发布信任的根证书、已颁发的证书、CRL； ④使用智能卡实现登录到Windows操作系统域的能力。
网络安全基础
第9章 PKI 技术
信息中心曾派兴
内容提要
PKI概述证书基础证书的申请证书的自动注册证书的导入/导出吊销证书和发布证书吊销列表 PKI在文件传输加密与数字签名方面的应用
9.1 PKI概述
1．什么是PKI PKI（Public Key Infrastructure，公钥基础设施）的理论基础是非对称密码技术，以数字证书为媒介，从技术上解决网上身份认证、信息的完整性和不可抵赖性等安全问题，为诸如电子商务、电子政务、网上银行和网上证券等网络应用提供可靠的安全服务、具有通用性的安全基础设施。它既是一种技术方案，又代表一种认证体系，其定义不断延伸和扩展。
（2）备份/恢复

（3）密钥管理

9.2.1 证书服务概述
5．自定义证书服务证书服务包括一些可编程接口，这样开发人员可以创建对其他传输、策略以及证书属性和格式的支持。

PKI基本知识

linying@
CA提供的服务
颁发证书
废除证书更新证书
验证证书
管理密钥
linying@
CA的安全措施
保证CA系统的物理通道的安全
操作员权限控制岗位职责明确
建立安全分散和牵制机制
身份认证
任何与CA中心的通迅都采用加密机制
认证中心签发？
证书真实性的验证是基于证书链验证机制的。
linying@
验证证书
第二步：验证有效性。证书是否在证书的有效使用期之内？
证书有效性的验证是通过比较当前时间与证书截止时间来进行的。
linying@
验证证书
第三步：验证可用性。证书是否已废除？
Hash 摘要
签名
撤销原因扩展签名
linying@
更新证书
用户证书更新
证书快到期，更换密钥 CA证书更新
为保证平滑转移，需签发四份证书
linying@
管理密钥
密钥产生
客户端、CA中心密钥存储
客户端、CA中心
密钥分发
加密传输
密钥的备份与恢复应由可信机构来完成
密钥的备份与恢复只能针对解密私钥，签名私钥不能备份。
linying@
证书废除处理系统
证书在有效期之内由于某些原因可能需要废除
用户身份的改变
对密钥的怀疑（丢失或泄露）
用户工作的变动认为CA证书已泄露等废除证书一般是把证书列入证书撤销列表中（CRL）来实现
linying@
PKI是一系列基于公钥密码学之上，用来创建、管理、存储、分布和作废证书的软件、硬件、人员、策略和过程的集合。基础：公钥密码学

信息安全第五讲 PKI

集合。
2
第五讲
PKI
5.1.2
PKI的发展史
美国作为最早提出PKI概念的国家，于1996年成立了美国联邦PKI筹委会，其PKI技术在世界上处于领先地位，与PKI
相关的绝大部分标准都由美国制定。
我国的PKI技术从1998年开始起步，由于政府和各有关部门近年来对PKI产业的发展给予了高度重视，因此2001年PKI
PKCS#8：描述私有密钥信息格式，该信息包括公开密
钥算法的私有密钥以及可选的属性集等。
PKCS#9：定义一些用于PKCS#6证书扩展、PKCS#7
27
第五讲
PKI
数字签名和 PKCS#8私钥加密信息的属性类型。
PKCS#10：描述证书请求语法。 PKCS#11：称为Cyptoki，定义了一套独立于技术的程
序设计接口，用于智能卡和PCMCIA卡之类的加密设备。
PKCS#12：描述个人信息交换语法标准。描述了将用
户公钥、私钥、证书和其他相关信息打包的语法。
PKCS#13：椭圆曲线密码体制标准。
PKCS#14：伪随机数生成标准。
PKCS#15：密码令牌信息格式标准。
28
第五讲
PKI
5.4 PKI应用实例
技术被列为“十五”863计划信息安全主题重大项目，并于同
年10月成立了国家863计划信息安全基础设施研究中心。各个地方、行业和国家行政主管部门纷纷上马建设CA认证机构，提供PKI/CA解决方案的厂商比比皆是。
3
第五讲
PKI
行业 CA
地域 CA
电信 CTCA
金融 CFCA
邮政 CPCA
4
上海 SHECA

PKI体系

PKI体系公钥基础设施PKI技术与应用发展公钥基础设施PKI技术与应用发展一、概述PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”。

简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。

公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。

这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。

目前，公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。

PKI似乎可以解决绝大多数网络安全问题，并初步形成了一套完整的解决方案，它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。

该体系在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。

作为一种技术体系，PKI 可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。

但PKI绝不仅仅涉及到技术层面的问题，还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。

PKI作为国家信息化的基础设施，是相关技术、应用、组织、规范和法律法规的总和，是一个宏观体系，其本身就体现了强大的国家实力。

PKI的核心是要解决信息网络空间中的信任问题，确定信息网络空间中各种经济、军事和管理行为主体（包括组织和个人）身份的惟一性、真实性和合法性，保护信息网络空间中各种主体的安全利益。

公钥基础设施(PKI)是信息安全基础设施的一个重要组成部分，是一种普遍适用的网络安全基础设施。

PKI是20世纪80年代由美国学者提出来了的概念，实际上，授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。

PKI详解——精选推荐

PKI详解⼀、什么是PKI？官⽅定义：PKI是Public Key Infrastructure的⾸字母缩写，翻译过来就是公钥基础设施；PKI是⼀种遵循标准的利⽤公钥加密技术为电⼦商务的开展提供⼀套安全基础平台的技术和规范。

PKI技术是⼀种遵循既定标准的密钥管理平台，它的基础是加密技术，核⼼是证书服务，⽀持集中⾃动的密钥管理和密钥分配，能够为所有的⽹络应⽤提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。

通俗理解：PKI就是利⽤公开密钥理论和技术建⽴提供安全服务的、具有通⽤性的基础设施，是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体，PKI可以⽤来建⽴不同实体间的"信任"关系，它是⽬前⽹络安全建设的基础与核⼼。

PKI的主要任务是在开放环境中为开放性业务提供基于⾮对称密钥密码技术的⼀系列安全服务，包括⾝份证书和密钥管理、机密性、完整性、⾝份认证和数字签名等。

因此，⽤户可利⽤PKI平台提供的服务进⾏电⼦商务和电⼦政务应⽤。

⼆、 PKI技术原理与组成架构2.1 PKI技术要解决哪些问题先了解什么是密钥？什么是证书？密钥在我之前写的"密码学原理"⽂章⾥有提到过。

密钥通俗理解就是你想传送⽂件和数据时，怕被别⼈截获后看到，就在传输前⽤⼀种算法加上密，使别⼈截获了也不容易得到明⽂，然后接受⽅得到密⽂后，解密出来就可以看到你传给他的数据和⽂件了。

密钥的作⽤就是保密，算法是加密的⽅法。

证书的通俗理解：要开车得先考驾照，驾照上⾯记有本⼈的照⽚、姓名、出⽣⽇期等个⼈信息，以及有效期、准驾车辆的类型等信息，并由公安局在上⾯盖章。

我们只要看到驾照，就可以知道公安局认定此⼈具有驾驶车辆的资格。

证书其实和驾照很相似，⾥⾯记有姓名、组织、邮箱地址等个⼈信息，以及属于此⼈的公钥，并由认证机构( Certification Authority. Certifying Authority, CA )施加数字签名。

PKI术语

一、PKI的基本概念：PKI（Public Key Infrastructure），PKI是公开密钥基础设施，它是为网络通信和网上交易提供身份认证，以及数据完整性、数据保密性、数据公正性、不可否认性及时间戳服务的安全基础平台。

二、PKI的理论基础：密码体制：密码体制分为对称密码体制和非对称密码体制。

非对称密码体制中又可以分为公钥密码体制、DSA(基于离散数对)的密码体制、椭圆曲线密码体制。

其中以应用范围最广的公钥密码体制中的RSA算法最为著名，因此常常把基于RSA算法的公钥密码体制即称为PKI公钥基础设施或PKI密码体制，以下提到PKI公钥基础即一般之以RSA算法为理论基础的公钥密码体制。

PKI公钥基础同样遵循密码体制中非对称密码体制的五个基本要素。

（公钥、私钥、原文、算法、密文）。

密钥对应用数字证书保存、加密算法一般保存在证书当中。

PKI基础设施采用证书管理公钥,通过第三方的可信任机构:CA认证中心,把用户的公钥和用户的其它标识信息捆绑在一起,在Internet网上验证用户的身份。

PKI基础设施把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。

从广义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做PKI系统, PKI的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。

数据的机密性是指数据在传输过程中,不能被非授权者偷看；数据的完整性是指数据在传输过程中不能被非法篡改；数据的有效性是指数据不能被否认。

三、CACA(Certificate Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。

CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。

pki基本概念

PKI（Public Key Infrastructure ）即"公钥基础设施"，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。

PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

PKI综述PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。

这个定义涵盖的内容比较宽，是一个被很多人接受的概念。

这个定义说明，任何以公钥技术为基础的安全基础设施都是PKI。

当然，没有好的非对称算法和好的密钥管理就不可能提供完善的安全服务，也就不能叫做PKI。

也就是说，该定义中已经隐含了必须具有的密钥管理功能。

X.509标准中，为了区别于权限管理基础设施(Privilege Management Infrastructure，简称PMI)，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施]。

这个概念与第一个概念相比，不仅仅叙述PKI能提供的安全服务，更强调PKI 必须支持公开密钥的管理。

也就是说，仅仅使用公钥技术还不能叫做PKI，还应该提供公开密钥的管理。

因为PMI仅仅使用公钥技术但并不管理公开密钥，所以，PMI就可以单独进行描述了而不至于跟公钥证书等概念混淆。

X.509中从概念上分清PKI和PMI有利于标准的叙述。

然而，由于PMI使用了公钥技术，PMI的使用和建立必须先有PKI的密钥管理支持。

也就是说，PMI不得不把自己与PKI绑定在一起。

当我们把两者合二为一时，PMI+PKI 就完全落在X.509标准定义的PKI范畴内。

根据X.509的定义，PMI+PKI仍旧可以叫做PKI，而PMI完全可以看成PKI的一个部分。

PKI

6）历史数据归档
4. PKI系统的组成（续）
(3)注册机构（RA，Registration Authority）
由于一个 PKI 区域的最终实体数量的增加， RA 可以充当CA和它的最终用户之间的中间实体，辅助 CA来完成一些证书处理功能。RA系统是整个CA中心得以正常运营不可缺少的一部分。 RA通常提供下列功能：（1）接收和验证新注册用户的注册信息；
解决: 让第三方即 CA 对公钥进行公正. 公正后的公钥就是证书。
公钥基础设施PKI——问题的提出
怎样才能知道任意一个公开密钥是属于谁的？如果收到一个自称是某人的公开密钥，能相信它吗？
设用户A希望给用户B 传送一份机密信息。
发送者
H
攻击者
用私钥解密其加密消息 A 请求B的公钥 B
接收者
假冒B发送H的公钥
CA负责证书的颁发和管理，属于可信任的第三方，其作用类似颁发身份证的机构。 CA 可以具有层次结构，除直接管理一些具体的证书之外，还管理一些下级 CA，同时又接受上级CA的管理。 CA 分为两类：公共 CA 通过 Internet 运作，向大众提供认证服务；这类 CA不仅对最终用户进行认证，而且还对组织认证。私有CA通常在一个公司的内部或者其他的封闭的网络内部建立，为它们的网络提供更强的认证和访问控制。
PKI策略内容一般包括：认证政策的制定、遵循的技术标准、各 CA 之间的关系、安全策略、服务对象、管理原则和框架、运作制度、所涉及的各方法律以及技术的实现。
4. PKI系统的组成（续）
(2)证书机构（CA，Certificate Authority）
又称为证书管理机构、证书颁发机构、证书管理中心。
接收和撤销的，密钥是如何产生、注册和认证

PKI简介

PKI简介PKI 介绍1.1 PKI的概念PKI是"Public Key Infrastructure"的缩写，意为"公钥基础设施"，是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。

PKI利用数字证书标识密钥持有人的身份，通过对密钥的规范化管理，为组织机构建立和维护一个可信赖的系统环境，透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障，满足各种应用系统的安全需求。

简单的说,PKI是提供公钥加密和数字签名服务的系统，目的是为了自动管理密钥和证书，保证网上数字信息传输的机密性、真实性、完整性和不可否认性。

就像墙上的电源插座和TCP/IP 栈一样,它的"接入点"是统一的。

1.2为什么需要PKI随着网络技术的发展，特别是Internet的全球化，各种基于互联网技术的网上应用，如电子政务、电子商务等得到了迅猛发展。

网络正逐步成为人们工作、生活中不可分割的一部分。

由于互联网的开放性和通用性，网上的所有信息对所有人都是公开的，因此应用系统对信息的安全性提出了更高的要求。

（1）对身份合法性验证的要求以明文方式存储、传送的用户名和口令存在着被截获、破译等诸多安全隐患。

同时，还有维护不便的缺点。

因此，需要一套安全、可靠并易于维护的用户身份管理和合法性验证机制来确保应用系统的安全性。

（2）对数据保密性和完整性的要求企业应用系统中的数据一般都是明文，在基于网络技术的系统中，这种明文数据很容易泄密或被篡改，必须采取有效的措施保证数据的保密性和完整性。

（3）传输安全性要求以明文方式在网上传输的数据，很容易被截获以至泄密，必须对通信通道进行加密保护。

利用通信专线的传统方式已经远远不能满足现代网络应用发展的需求，必须寻求一种新的方法来保证基于互联网技术的传输安全需求。

（4）对数字签名和不可否认的要求不可抵赖性为了防止事件发起者事后抵赖，对于规范业务，避免法律纠纷起着很大的作用。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

一．PKI简介
PKI是Public Key Infrastructure的缩写，通常译为公钥基础设施。

称为“基础设施”是因为它具备基础设施的主要特征。

PKI在网络信息空间的地位与其他基础设施在人们生活中的地位非常类似。

电力系统通过延伸到用户端的标准插座为用户提供能源；PKI通过延伸到用户的接口为各种网络应用提供安全服务，包括身份认证、识别、数字签名、加密等。

一方面PKI对网络应用提供广泛而开放的支撑；另一方面，PKI系统的设计、开发、生产及管理都可以独立进行，不需要考虑应用的特殊性。

目前，安全的电子商务就是采用建立在PKI基础上的数字证书，通过对要传输的数字信息进行加密和签名来保证信息传输的机密性、真实性、完整性和不可否认性（又称非否认性)，从而保证信息的安全传输和交易的顺利进行。

PKI已成为电子商务应用系统、乃至电子政务系统等网络应用的安全基础和根本保障。

PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的完整性、机密性、不可否认性。

数据的完整性是指数据在传输过程中不能被非法篡改；数据的机密性是指数据在传输过程中，不能被非授权者偷看；数据的不可否认性是指参加某次通信交换的一方事后不可否认本次交换曾经发生过。

二．证书申请
1．PKI组件
PKI主要包括认证中心CA、注册机构RA、证书服务器、证书库、时间服务器和PKI策略等。

（1）CA
CA是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。

CA用于创建和发布证书，它通常为一个称为安全域的有限群体发放证书。

创建证书的时候，
CA系统首先获取用户的请求信息，其中包括用户公钥（公钥一般由用户端产生，如电子邮件程序或浏览器等），CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。

其他用户、应用程序或实体将使用CA的公钥对证书进行验证。

如果一个CA系统是可信的，则验证证书的用户可以确信，他所验证的证书中的公钥属于证书所代表的那个实体。

CA还负责维护和发布证书废除列表CRL。

当一个证书，特别是其中的公钥因为其他原因无效时，CRL提供了一种通知用户和其他应用程序的中心管理方式。

CA系统生成CRL以后，可以放到LDAP（轻量级目录访问协议）服务器中供用户查询或下载，也可以放置在Web服务器的合适位置，以页面超级连接的方式供用户直接查询或下载。

CA的核心功能就是发放和管理数字证书，具体描述如下：
∙接收验证最终用户数字证书的申请。

∙确定是否接受最终用户数字证书的申请。

∙向申请者颁发或拒绝颁发数字证书。

∙接收、处理最终用户的数字证书更新请求。

∙接收最终用户数字证书的查询、撤销。

∙产生和发布证书吊销列表（CRL）。

∙数字证书的归档。

∙密钥归档。

∙历史数据归档。

根CA证书，是一种特殊的证书，它使用CA自己的私钥对自己的信息和公钥进行签名。

（2）RA
RA负责申请者的登记和初始鉴别，在PKI体系结构中起承上启下的作用，一方面向CA转发
安全服务器传输过来的证书申请请求，另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。

（3）证书服务器
证书服务器负责根据注册过程中提供的信息生成证书的机器或服务。

（4）证书库
证书库是发布证书的地方，提供证书的分发机制。

到证书库访问可以得到希望与之通信的实体的公钥和查询最新的CRL。

它一般采用LDAP目录访问协议，其格式符合X.500标准。

（5）时间服务器
提供单调增加的精确的时间源，并且安全的传输时间戳，对时间戳签名以验证可信时间值的发布者。

（6）PKI策略
PKI安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。

它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。

一般情况下，在PKI中有两种类型的策略：一是证书策略，用于管理证书的使用，比如，可以确认某一CA是在Internet上的公有CA，还是某一企业内部的私有CA；另外一个就是CPS （Certificate Practice Statement证书操作管理规范）。

一些商业证书发放机构（CCA）或者可信的第三方操作的PKI系统需要CPS。

这是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档。

它包括CA是如何建立和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册的，以及密钥是如何存储的，用户是如何得到它的等等。

现在为防止CPS泄露太多的信息，准备使用一种新的文件类型，即PKI信息披露规范PDS。

三．证书应用
数字证书是由权威、公正的第三方CA机构所签发的符合X.509标准的权威的电子文档。

1．数据加密
数字证书技术利用一对互相匹配的密钥进行加密、解密。

当你申请证书的时候，会得到一个私钥和一个数字证书，数字证书中包含一个公钥。

其中公钥可以发给他人使用，而私钥你应该保管好、不能泄露给其他人，否则别人将能用它以你的名义签名。

当发送方向接收方发送一份保密文件时，需要使用对方的公钥对数据加密，接收方收到文件后，则使用自己的私钥解密，如果没有私钥就不能解密文件，从而保证数据的安全保密性。

这种加密是不可逆的，即使已知明文、密文和公钥也无法推导出私钥。

2．数字签名
数字签名是数字证书的重要应用之一，所谓数字签名是指证书用户使用自己的私钥对原始数据的哈希变换后所得消息摘要进行加密所得的数据。

信息接收者使用信息发送者的证书对附在原始信息后的数字签名进行解密后获得消息摘要，并对收到的原始数据采用相同的杂凑算法计算其消息摘要，将二者进行对比，即可校验原始信息是否被篡改。

数字签名可以提供数据完整性的保护，和不可抵赖性。

使用数字证书完成数字签名功能，需要向相关数字证书运营机构申请具备数字签名功能的数字证书，然后才能在业务过程中使用数字证书的签名功能。

3．应用范围
PKI技术的广泛应用能满足人们对网络交易安全保障的需求。

作为一种基础设施，PKI的应用范围非常广泛，并且在不断发展之中，下面给出几个应用实例：
（1）Web应用
浏览Web页面是人们最常用的访问Internet的方式。

如果要通过Web进行一些商业交易，该如何保证交易的安全呢？为了透明地解决Web的安全问题，在两个实体进行通信之前，先要建
立SSL连接，以此实现对应用层透明的安全通信。

SSL是一个介于应用层和传输层之间的可选层，它在TCP之上建立了一个安全通道，提供基于证书的认证，信息完整性和数据保密性。

SSL协议已在Internet上得到广泛的应用。

安全Web服务的流程(SSL协议工作流程)如图10-1-1所示。

（2）安全电子邮件
电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。

随着Internet的发展，商业机构或政府机构都开始用电子邮件交换一些秘密的或是有商业价值的信息，这就引出了一些安全方面的问题，这些问题包括：消息和附件可以在不为通信双方所知的情况下被读取、篡改或截取；发信人的身份无法确认。

电子邮件的安全需求也是机密性、完整性、认证性和不可否认性，而这些都可以利用PKI技术来获得。

目前发展很快的安全电子邮件协议是S/MIME，这是一个允许发送加密和有签名邮件的协议。

该协议的实现需要依赖于PKI技术。

四．Microsoft证书服务
Windows Server 2003有一个非常健壮的公钥基础结构。

它提供了一整套服务和工具，用以支持公钥应用程序的部署和管理，它的关键部分是Microsoft证书服务。

能够支持部署一个或多个企业级CA，这些CA支持证书的颁发和吊销。

它们与Active Directory集成在一起，Active Directory主要提供CA的位置信息、CA的策略，并公布颁发证书和吊销证书的信息。

Microsoft证书服务使企业能够方便地建立CA，以满足其商业需求。

证书服务包含一个默认策略模块，适于将证书颁发给企业实体。

证书服务还包括请求实体的验证以及该域PKI 安全策略是否允许所请求证书的验证。

在考虑到其他策略，可以很容易地对其进行相应的修改或改进。

因为证书服务是基于标准的，所以它为异构环境中支持公钥的应用程序提供了广泛的支持。

PKI是由一组在一起工作的服务和组件组成。

它用来建立一个受保护的通信环境，以保护intranet和Internet上的电子邮件通信安全，同时还可以保护Web站点和公司基于Web的事务处理，加强或更进一步保护加密文件系统，并使智能卡得以实施等。

PKI

合集下载