基础原理:
公钥加密技术
PKI基于公钥密码技术,但要了解PKI,我们先来看看公钥密码技术。 加密是保护数据的科学方法。 加密算法将输入文本数据和加密密钥进行数学组合,生成加密数据(密文)。 通过良好的加密算法,用基于密文的逆加密过程来产生原文并不那么容易,需要解密密钥来执行适当的变换。 密码技术根据用于解密的密钥是否相同,分为对称密码学和非对称密码学。 前者用于解密的密钥相同,后者用于解密的密钥不同。 这就是秘密加密密钥(签名密钥)和公共解密密钥(验证密钥)。 传统加密方式中,用于加密及解密的密钥完全相同,用这两个密钥共享信息。 该体制中使用的加密算法相对简单,但高效快速,密钥短且难以解密。 但是,密钥的传输和保管是个问题。 例如,为了通信双方用相同的密钥进行加密和解密,首先课题是分发密钥,在不安全的网络上分发密钥显然是不合适的; 另外,如果任何一方泄露了密钥,则双方都必须重新使新密钥有效。
1976年,美国密码学专家Diffie和Hellman为了解决上述密钥管理的课题,提出了一种密钥交换协议,使双方能够在不安全的介质上交换信息,安全地获取用于对称加密的相同密钥。 基于这一新思想,很快出现了非对称密钥密码体制,即公钥密码体制(PKI )。 自1976年首次提出正式的公钥加密算法后,一些算法相继被提出。 例如,Ralph Merkle猜谜法、diffielman指数密钥交换加密算法、RSA加密算法、hellman背包算法等。 目前有很多将传统和现代加密算法结合使用的具体应用。 例如,PGP、RIPEM等加密软件是目前应用非常广泛的加密和解密软件。 公钥算法的基本特性是加密密钥和解密密钥不同。 一个公钥用于加密数据,另一个私钥用于解密数据。 这两个密钥在数字上是相关的,但是即使使用很多计算机进行协同运算,也不可能从公用密钥中反算出对应的私钥。 这是因为两个密钥生成的基本原理基于一个数学计算的特性。 也就是说,将两个质数相乘可以简单地得到一个巨大的数字,相反,如果将这个巨大的乘法算术分解为构成它的两个质数,即使是超级计算机也需要很长时间。 另外,密钥对中的任意一方可以用于加密,另外一方可以用于解密,由于密钥对中所谓密钥的只有密钥对的所有者知道,所以人们可以将密钥作为所有者的身份证。 根据公钥算法,已知公钥不能导出私钥。 最后使用公钥时,安装这样的加密程序,设定私钥,从程序中生成庞大的公钥。 使用者将公钥的副本发送给联系人,要求他们同时使用同一加密程序。 然后,他人可以用公钥向第一个用户发送加密信息。 因为解密需要知道公钥的密码,所以只有使用者才能解密这些信息。 那是只有使用者自己知道的密钥。 在这些过程中,信息接收者有两种方法获取对方的公钥。 一种是直接联系对方获取对方的公钥。 另一种方法是确保向第三方可信认证机构(例如CertifiCAtion Authority,ca )获取对方的公钥。
PKI的定义
现在,让我们来看看PKI的定义。 PKI(publickeyinfrastructure )是一种通用的安全基础设施,利用非对称加密算法的原理和技术实现和提供安全服务,利用基于标准的公钥加密技术进行网上电子商务、电子政务PKI,公钥基础设施,顾名思义,PKI技术是提供利用公钥理论和技术构建的网络信息安全服务的基础设施。 PKI管理平台为网络中需要加密服务(如加密和数字签名)的所有用户提供所需的密钥和证书管理,用户可以使用PKI平台提供的安全服务进行安全通信。
PKI公钥基础架构使APP应用程序能够提高自己的数据和资源的安全性,并在与其他数据和资源的交换中提供更高的安全性。 使用PKI安全基础设施就像将电器插入墙上的插座一样简单。
1、使用方便,具有重型鳗鱼月光界面。
2、基础设施提供的服务是可预测、一致和有效的。
3、应用设施不需要知道基础设施是如何提供服务的。
PKI的内容
完整的PKI系统包括证书颁发机构(CA )、数字证书库、密钥备份和amp; 恢复系统、证书吊销系统和APP应用程序接口)等基本组件。
1、权威认证机构(CertifiCAte Authority ) :权威认证机构简称ca,是PKI的核心组成部分,也称为认证中心。 这是数字证书的颁发机构。 CA是PKI的核心,是PKI APP中权威、可信、公正的第三方机构。
2、数字证书库:在使用公钥方式的网络环境中,必须向公钥的用户证明公钥的真正合法性。 因此,在公开密钥体中
制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及它与公钥的匹配关系。目前较好的解决方案是引进证书(Certificate)机制。(1)证书。证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同网络环境中的一种身份证,用于证明某一主体的身份以及其公开密钥的合法性。(2)证书库。证书库是证书的集中存放地,是网上的一种公共信息库,供广大公众进行开放式查询。到证书库访问查询,可以得到想与之通信实体的公钥。证书库是扩展PKI系统的一个组成部分,CA的数字签名保证了证书的合法性和权威性。3、密钥备份及恢复系统:如果用户丢失了密钥,会造成已经加密的文件无法解密,引起数据丢失,为了避免这种情况,PKI提供密钥备份及恢复机制。
4、证书作废系统:有时因为用户身份变更或者密钥遗失,需要将证书停止使用,所以提供证书作废机制。
5、PKI应用接口系统: PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互,确保所建立起来的网络环境安全可信,并降低管理成本。没有PKI应用接口系统,PKI就无法有效地提供服务。
整个PKI系统中,只有CA会和普通用户发生联系,其他所有部分对用户来说都是透明的。
PKI体系结构
PKI体系是由多种认证机构及各种终端实体等组件所组成,其结构模式一般为多层次的树状结构。PKI是由很多CA及CA信任链组成的。CA通过三种方式组织到一起。第一种是首先建立根CA,再在根CA下组成分层的体系结构,上层CA向下层CA发放证书。第二种是CA连接成网状,并且它们之间的地位相互平等。第三种是美国技术标准组织制定了一种融合分层结构和网状结构体系特点的混合体系结构规范,这种混合体系结构也叫桥接体系结构。桥接体系结构是为解决以上两种体系交叉信任而建立的,它具有两种体系结构的优点。国际上常用的是分层体系结构和桥接体系结构。一个典型的PKI体系结构如下图所示:
PKI提供的服务
公钥基础设施可以为应用实体提供各种安全服务,主要有以下几个重要方面:
1、简单识别与强鉴别。口令在未受保护的网络上传送,很容易被截取或监听,即使口令被加密也无法防范。而使用公钥基础设施远程登录时,引入认证机制,而无需将口令在网络上传递。在实际应用中,用户常需要运行多个应用程序,若所有的应用程序都使用一个相同的口令,肯定会降低全局的安全性,因为它提供了多个被攻击点。安全基础设施可以极大地改善这种状况。用户可以初始登录在本地环境,在需要时,可以将成功登录的结果,安全地扩散到远程的应用系统,或安全地通知到其他需要登录的设备,减少远程登录的需求。这一操作可以进行扩展,一次成功的登录可以根据需要通知远程设备,而无需多次登录。这个特征就是安全基础设施完整性的概念。
2、终端用户的透明性。基础设施应该提供的是一个“黑盒子”级的服务。因此,公钥基础设施必须具有同样的特征:所有的安全操作应当隐没在用户的后面,无需额外的干预,无需用户注意密钥和算法,不会因为用户的错误操作对安全造成危害。
3、全面的安全性。公钥基础设施最大的益处是在整个应用环境中,使用单一可信的安全技术——公钥技术。它能保证数目不受限制的应用程序、设备和服务器无缝地协调工作,安全地传输、存储和检索数据,安全地进行事务处理,安全地访问服务器等。电子邮件应用、Web访问、防火墙、远程访问设备、应用服务器、文件服务器、数据库或更多的其他设备,能够用一种统一的方式理解和使用安全服务基础设施。在这种环境中,不仅极大地简化了终端用户使用各种设备和应用程序的方式,而且简化了设备和应用系统的管理工作,保证执行相同等级的安全策略。
PKI的优势
1、节省费用。在一个大型组织中,实施统一的安全解决方案,比实施多个有限的解决方案,费用要节省得多。
2、互操作性。在一个企业内部,实施多个点对点的解决方案,无法实现互操作性。因为这些方案是独立开发的,具有互不兼容的操作流程和工具平台。相反,安全基础设施具有很好的互操作性,因为每个应用程序和设备以相同的方式访问和使用基础设施。
3、开放性。PKI系统的设计具有开放型的特点。任何先进技术的早期设计,都希望在将来能和其他企业间实现互操作。一个基于开放的、国际标准公认的基础设施技术比一个专有的点对点的技术方案更可信和方便。
4、一致的解决方案。安全基础设施为所有的应用程序和设备提供了可靠的、一致的解决方案。与一系列互不兼容的解决方案相比,这种一致性的解决方案在一个企业内更易于安装、管理和维护。一致性解决方案使管理开销小和简单,这是基础设施的重要优势。
5、可验证性。安全基础设施为各种应用系统和设备之间的安全交互提供了可能,因为所有的交互采用统一的处理方式。也就是说,基础设施的操作和交互可以被验证是否正确,这个独立的、可信任的验证机构就是认证机构CA。在独立的点对点解决方案之间,安全性是很差的,因为即使每一个解决方案都经过严格测试,但方案之间的交互很难进行大规模的、全面的测试。
6、可选择性。这里的可选择性是指基础设施提供者是可供选择的。基础设施的提供者可以是一个企业内部的特设机构,也可以从社会上选择。它取决于提供者的专业技术水平、价格、服务功能、名望、公正性、长远稳定性及其他因素。