PKI 体系
作者:互联网
PKI简介
公开密钥基础建设(英语:Public Key Infrastructure,缩写:PKI),又称公开密钥基础架构、公钥基础建设、公钥基础设施、公开密码匙基础建设或公钥基础架构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证书。
概念
对称加密
- 特点:加解密使用相同密钥,加解密过程速度快
- 算法:DES、3DES、AES
非对称加密
- 特点:加解密各用密钥对其中之一,密钥对公开的部分为公钥,所有人都可以获取,另一个作为私钥,不公开
- 使用:公钥加&密私钥解密用于传输数据,私钥加密公钥解密用于做校验
- 算法:RSA、ECC(椭圆加密算法)
PKI解决的问题
问题一:网络环境下,用户A、B想互相通信,不希望通信内容被第三方知道
方案:使用对称加密方式保护数据
- 用户A在向B发送数据前,将内容使用对称加密方式加密(私密性)
- 用户B接收数据后,使用相同的密钥解密数据
问题二:用户A怎么将密钥告知B?怎么保证第三方不会从网络中获取到这个密钥?
方案:使用非对称加密方式保护密钥传输
- 用户A使用B的公钥加密数据密钥,与加密后的通信内容一块发送给B
- 用户B向使用私钥解密获取数据的加密密钥,再解密通信内容
问题三:用户A怎么在网络环境下获取B的公钥?如何证明公钥不会是攻击者发送的?
方案:引入CA作为公信机构
- 所有通信方都通过安全的方式获取CA的证书(如浏览器内置了一些机构的证书),证书中包含了CA的公钥及身份信息
- 用户B向CA提交一个证书申请,提交的信息包含用户B的身份信息及公钥等内容
- CA审批通过后,使用私钥为B签发证书,该证书包括了B的公钥及身份信息(身份唯一性),还有CA使用私钥对这些信息作的签名(完整性)
- 用户A从B获取证书,先通过CA的公钥验证该证书是否有效,再看身份信息是否属于B。验证通过后,获取证书中B的公钥以通信
问题四:证书是公开的,用户B收到数据后,怎么判断该数据是A发送而不是C冒充发送的?或者A发送了该数据后不认账怎么办?
方案:通信双方都使用证书
- 用户A将发送的内容的hash值用私钥签名,一起发送出去(不可抵赖性)
- 用户B获取A的证书,使用证书中的公钥校验接收内容的签名,校验通过证明数据确实是A发送的
标签:体系,公钥,加密,证书,CA,用户,密钥,PKI 来源: https://blog.csdn.net/Once_fish_/article/details/122810073