PKI技術(shù)知識(shí)-1

llzh35

PKI 技術(shù)

PKI（Public Key Infrastructure）。是基于公開密鑰理論和技術(shù)建立起來的安全體系，是提供信息安全服務(wù)具有普遍性的安全基礎(chǔ)設(shè)施。該體系在統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上提供了在線身份認(rèn)證，是CA認(rèn)證、數(shù)字證書、數(shù)字簽名以及相關(guān)的安全應(yīng)用組件的集合。PKI的核心是解決信息網(wǎng)絡(luò)空間中的信任問題，確定信息網(wǎng)絡(luò)、信息空間中各種經(jīng)濟(jì)、軍事、和管理行為行為主體（包括組織和個(gè)人）身份的唯一性、真實(shí)性和合法性。是解決網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題的技術(shù)保障體系。管理PKI的機(jī)構(gòu)即為CA中心。   
    作為一個(gè)安全基礎(chǔ)設(shè)施的全功能的PKI由一系列組件和服務(wù)構(gòu)成：
    1. 證書機(jī)構(gòu)
    2. 證書庫
    3. 證書撤消
    4. 密鑰備份和恢復(fù)
    5. 自動(dòng)密鑰更新
    6. 密鑰文檔管理
    7. 交差認(rèn)證
    8. 支持不可否認(rèn)  
    9. 時(shí)間戳
    10. 客戶端軟件
    而我們利用PKI技術(shù)能提供給您的是：數(shù)字的保密性 - 加密
                                   數(shù)據(jù)的完整性 - 數(shù)字簽名
                                   身份鑒別 - 數(shù)字簽名和證書  
                                   不可否認(rèn)性 - 數(shù)字簽名和證書
什么是數(shù)字證書？
    數(shù)字證書就是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，其作用類似于現(xiàn)實(shí)生活中的身份證。

    它是由一個(gè)權(quán)威機(jī)構(gòu)發(fā)行的，人們可以在交往中用它來識(shí)別對方的身份。  
    最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標(biāo)準(zhǔn)。


一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容：

證書的版本信息；
    證書的序列號，每個(gè)證書都有一個(gè)唯一的證書序列號；
    證書所使用的簽名算法；
    證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式；
    證書的有效期，現(xiàn)在通用的證書一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049；
    證書所有人的名稱，命名規(guī)則一般采用X.500格式；
    證書所有人的公開密鑰；
    證書發(fā)行者對證書的簽名。

    使用數(shù)字證書，通過運(yùn)用對稱和非對稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其它人竊��；信息在傳輸過程中不被篡改；發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份；發(fā)送方對于自己的信息不能抵賴。

加密技術(shù)
    由于數(shù)據(jù)在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息，加密技術(shù)是電子商務(wù)采取的主要保密安全措施，是最常用的保密安全手段。加密技術(shù)也就是利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。
    加密包括兩個(gè)元素：算法和密鑰。一個(gè)加密算法是將普通的文本（或者可以理解的信息）與一竄數(shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰和算法對加密同等重要。密鑰是用來對數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中，可通過適當(dāng)?shù)拿荑�加密技術(shù)和管理機(jī)制，來保證網(wǎng)絡(luò)的信息通訊安全。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。

    相應(yīng)地，對數(shù)據(jù)加密的技術(shù)分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)（DES，Data Encryption Standard）算法為典型代表，非對稱加密通常以RSA（Rivest ShamirAd1eman）算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，公鑰可以公開而私鑰需要保密。

bingocn

光看了最后一段就發(fā)現(xiàn)有問題，“加密密鑰可以公開而解密密鑰需要保密”這句話就錯(cuò)了，非對稱密碼中，只有公鑰和私鑰，他們都可以用來加密和解密（公鑰加密私鑰解密用來保證信息的機(jī)密性，但效率比對稱加密低，私鑰加密公鑰解密用來保證數(shù)據(jù)的不可否認(rèn)性），但只有公鑰能被公開，私鑰必須保密。
另外還有，從來沒聽說過“對稱加密”叫做“私人密鑰加密”，可能是我孤陋寡聞吧。DES被寫成DNS，還按字面意思翻譯成為中文，真ft了。

iwantin

pki 中公鑰加密稱為“加密”，私鑰加密稱為“簽名”。
RSA是非對稱算法，速度比較慢，DES算法是對稱算法，速度比較快。
在PKI中一般對數(shù)據(jù)的加密是先隨機(jī)產(chǎn)生一個(gè)對稱密鑰，用該密鑰對數(shù)據(jù)
進(jìn)行對稱加密，在使用公鑰對對稱密鑰進(jìn)行加密，該過程也叫數(shù)字信封。

解密則先用私鑰解出對稱密鑰，再解出明文數(shù)據(jù)。

llzh35

各位：實(shí)在不好意思，上面一段是我粘貼的，沒有檢查是否有錯(cuò)，下次一定不會(huì)出現(xiàn)這類事情的。