PKI公钥基础设施体系

PKI公钥基础设施体系

引用

CSDN

1.

https://blog.csdn.net/VVVVWeiYee/article/details/145749406

PKI（Public Key Infrastructure，公钥基础设施）体系是一种基于密码学的基础设施，主要用于身份认证和加密通信。它通过管理公钥加密和数字证书，为网络通信提供安全性、完整性和可用性保障。本文将详细介绍PKI体系的核心概念、工作原理和信任机制。

简介

公钥基础设施体系Public Key Infrastructure，是一种典型的密码技术，现今通常运用在身份认证和加密上，与传统的AAA认证不同，其拥有更高的安全性，也主要用于管理密钥和数字证书，而AAA体系更注重网络接入的管理和访问权限的分配

相关概念

对称加密与非对称加密

顾名思义，对称加密就是使用单密钥对数据进行加密和解密，而非对称加密有两把钥匙，一把用于加密另一把用于解密

对于对称加密来说，其加密解密操作简单易懂，且方便快捷，但这也使得密钥管理出现大问题，比方说我有n个用户那我就需要N*（N-1）/2个密钥来保障这n个用户间的通讯，也就是说每个用户有n-1个密钥需要管理，而且密钥传输需要的极大安全空间

常见的对称加密算法有DES，ASE等

而对于非对称加密来说，每个用户都有一个公钥和一个私钥，公钥放在公网环境下 不需要进行保护，可以用于加密数据，而私钥保管在用户手中，不可泄露，可用于解密，也就是常说的公加私解，私加公解，而双密钥的设定也极大增加了安全性

常见的非对称加密算法有RSA，DH，背包算法等

信息摘要

通过hash算法将数据转为定长片段的过程，常见的hash算法有MD5和SHA，这类算法具有不可逆性，对于信息变化敏感，常被用来验证文件完整性和准确性，这个应该不陌生，下载软件常常用来验证数据是否完整

数字签名

其包含数据，摘要信息，用户私钥签名

使用私钥对数据摘要进行加密形成

用于验证数据完整性与真实性，利用非对称加密技术和信息摘要技术，使用私钥加密数据生成hash值生成，对端通过公钥解密已证明其身份合法

拿uu加速器的数字签名为例，我们可以看到其签署者姓名，电子邮件地址和时间信息，也就是说其将文件与用户身份进行了绑定，并进行摘要，确保消息被篡改，但可以通过包装等手段进行伪造，从而达到欺骗的效果

数字证书（CA证书）

为防止上述情况出现，需要一个专门机构以保障数字签名的可靠行，于是CA认证机构出现了，目前我国认可的CA机构有55家，通过颁发数字证书来证实用户身份合法性

其内容包含数字签名，证书主体，证书颁发者，证书有效期以及持有者公钥信息

由CA证书颁发机构颁发，作为权威机构，其安全性高，无需怀疑，将相关信息与身份绑定，以达到信息不可抵赖性，从而保障通讯身份的可靠性，其内容包括公钥和用户信息，这样一来，使得信息具有不可抵赖性，同时证书也为数字签名提供验证机会

同样的我们可以看到证书详情和目的

数字信封

确保证数据的机密性，通过生成对称密钥加密数据，再通过用户的公钥进行加密对称密钥实现数据安全，这样一来通信时可实现即使信息被劫获而无法被破解

核心出装

CA（认证机构）

PKI的信任基础，负责颁发、管理和撤销数字证书，用于验证证书请求者的身份，并使用自己的私钥对证书进行签名，以提供信任

RA（注册机构）

可选部件，协助CA进行实体身份验证、证书请求处理和颁发证书，负责管理实体信息、认证流程、身份验证以及颁发与证书发行相关的操作，其具有独立性，是CA的延申，也是与CA 的合作

数字证书库

用于存储和维护已颁发的证书，允许用户随时访问和获取需要的证书，并验证证书的有效性

密钥管理

包括密钥生成、储存、分发和更新等功能，密钥对包含的公钥和私钥是保证PKI系统安全性和可靠性的重要部分

PKI安全策略

建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则

包含多种行为

通信过程

其工作原理可分为如下10步

1.生成数字签名

用发送端将要传输的数据通过Hash算法算出信息摘要，再使用自己的私钥对信息摘要进行加密签名，从而生成数字签名

2.封装数据信息

生成数字签名后，将其与原始信息和数字证书打包并生成一个对称密钥对打包的数据进行加密，生成加密信息

3.生成数字信封

将生成的对称密钥使用接收方的公钥进行加密，生成数字信封，最后将加密信息和数字信封一并发给接收端

4.拆解数字信封

通过接收端自己的私钥拆解出对称密钥

5.校验数据

使用拆解获取对称密钥解密出加密信息，获得原始信息，数字签名以及发送端的数字证书，证书中包含其公钥信息，对数字签名进行解密，对原始数据进行Hash算法，校对两者是否相同相同则证明数据没有被篡改

信任机制

信任链

由根证书、中间证书和终端证书组成，根证书由最高级别的认证机构颁发，中间证书由根证书颁发，终端证书由中间证书颁发，验证方可以通过逐级验证每个证书的签名，确保所有证书都是由受信任的CA签发的，从而建立信任

证书撤销列表（CRL）

CRL是由CA签名的作废证书列表，记录所有已吊销、失效或不再信任的数字证书，验证方可以从CRL中检查证书的吊销状态

在线证书状态协议（OCSP）

OCSP是一种实时查询检查证书状态的协议，它可以用于验证证书的有效性消息，通过查询OCSP服务器获取验证结果，而无需下载整个CRL

总结

PKI作为一种管理公钥加密和数字证书的基础体系，为通信提供安全性，完整性以及可用性，其信任机制和数字证书保障了通信的可用性，使其信息具有不可抵赖性，而其非对称加密和对称加密结合使用成就了通信的安全性，其查用信息加密实现了通信完整性