大家好,今天來給大家分享pki的相關(guān)知識,通過是也會對pki系統(tǒng)相關(guān)問題來為大家分享,如果能碰巧解決你現(xiàn)在面臨的問題的話,希望大家別忘了關(guān)注下本站哈,接下來我們現(xiàn)在開始吧!
一、目的與機(jī)能
公開密鑰基礎(chǔ)建設(shè)的設(shè)置使得未聯(lián)系的電腦用戶可以提出認(rèn)證,并使用公鑰證書內(nèi)的公鑰信息加密給對方。解密時,每個用戶使用自己的私密密鑰解密,該密鑰通常被通行碼保護(hù)。
大致而言,公開密鑰基礎(chǔ)建設(shè)由客戶端軟件、服務(wù)端軟件、硬件、法律合約與保證、操作程序等組成。簽署者的公鑰證書也可能被第三者使用,用來驗證由該簽署者簽署的數(shù)字簽名。
通常,公開密鑰基礎(chǔ)建設(shè)協(xié)助參與者對話以達(dá)成機(jī)密性、消息完整性、以及用戶認(rèn)證,而不用預(yù)先交換任何秘密信息。然而互通連成員間的公開密鑰基礎(chǔ)建設(shè)受制于許多現(xiàn)實問題,例如不確定的證書撤銷、證書中心發(fā)行證書的條件、司法單位規(guī)范與法律的變化、還有信任。
二、組成
PKI的組成要素主要有:用戶(使用PKI的人或機(jī)構(gòu));認(rèn)證機(jī)構(gòu)(CertificationAuthority,CA)(頒發(fā)證書的人或機(jī)構(gòu));倉庫(保存證書的數(shù)據(jù)庫)。用戶和認(rèn)證機(jī)構(gòu)稱之為實體。
用戶是使用PKI的人,使用PKI的人又分為兩種:一種是向認(rèn)證機(jī)構(gòu)(CA)注冊自己公鑰的人,另一種是希望使用已注冊公鑰的人。
認(rèn)證機(jī)構(gòu)是對證書進(jìn)行管理的人或機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)進(jìn)行這幾種操作:代用戶生成密鑰對(當(dāng)然可以由用戶自己生成);對注冊公鑰的用戶進(jìn)行身份驗證;生成并頒發(fā)證書;作廢證書。另外,對公鑰注冊和用戶身份驗證可以由注冊機(jī)構(gòu)(RegistrationAuthority,RA)來完成。
倉庫(repository)是存放證書的數(shù)據(jù)庫。倉庫也叫證書目錄。
三、用途
大部分企業(yè)級的公鑰基礎(chǔ)建設(shè)系統(tǒng),依賴由更高端級的證書中心發(fā)行給低端證書中心的證書,而層層構(gòu)筑而成的證書鏈,來創(chuàng)建某個參與者的身份識別證書的合法性。
這產(chǎn)生了不只一個電腦且通常涵蓋多個組織的證書層次結(jié)構(gòu),涉及到多個來源軟件間的合作。因此公開的標(biāo)準(zhǔn)對公鑰基礎(chǔ)建設(shè)相當(dāng)重要。這個領(lǐng)域的標(biāo)準(zhǔn)化多由互聯(lián)網(wǎng)工程工作小組的PKIX工作群完成。
企業(yè)公鑰基礎(chǔ)建設(shè)通常和企業(yè)的數(shù)據(jù)庫目錄緊密結(jié)合,每個員工的公鑰內(nèi)嵌在證書中,和人事資料一起存儲。
今日最先進(jìn)的目錄科技是輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol,LDAP)。事實上,最常見的證書格式X.509的前身X.500是用于LDAP的前置處理器的目錄略圖。
歷史
1976年WhitfieldDiffie、MartinHellman|Hellman、RonRivest、AdiShamir和LeonardAdleman等人相繼公布了安全密鑰交換與非對稱密鑰算法后,整個通信方式為之改變。
隨著高速電子數(shù)字通信的發(fā)展,用戶對安全通信的需求越來越強(qiáng)。
密碼協(xié)議在這種訴求下逐漸發(fā)展,造就新的密碼原型。全球互聯(lián)網(wǎng)發(fā)明與擴(kuò)散后,認(rèn)證與安全通信的需求也更加嚴(yán)苛。光商務(wù)理由便足以解釋一切。時在網(wǎng)景工作的TaherElGamal等人發(fā)展出傳輸安全層協(xié)議,包含了密鑰創(chuàng)建、服務(wù)器認(rèn)證等。公開密鑰基礎(chǔ)建設(shè)的架構(gòu)因此浮現(xiàn)。
廠商和企業(yè)家察覺了其后的廣大市場,開始設(shè)立新公司并引導(dǎo)法律認(rèn)知與保護(hù)。美國律師協(xié)會項目發(fā)行了一份對公開密鑰基礎(chǔ)建設(shè)操作的可預(yù)見法律觀點的詳盡分析,隨后,多個美國州***與其他國家的司法單位開始制定相關(guān)法規(guī)。消費者團(tuán)體等則提出對隱私、訪問、可靠性的質(zhì)疑,也被列入司法的考慮中。
被制定的法規(guī)實有不同,將公開密鑰基礎(chǔ)建設(shè)的機(jī)制轉(zhuǎn)換成商務(wù)操作有實際上的問題,遠(yuǎn)比許多先驅(qū)者所想的緩慢。
21世紀(jì)的前幾年才慢慢發(fā)覺,密碼工程沒那么容易被設(shè)計與實踐,某些存在的標(biāo)準(zhǔn)某方面甚至是不合宜的。
公開密鑰基礎(chǔ)建設(shè)的廠商發(fā)現(xiàn)了一個市場,但并非九零年代中期所預(yù)想的那個市場,這個市場發(fā)展得緩慢而且以不同的方式前進(jìn)。
公開密鑰基礎(chǔ)建設(shè)并未解決所期待的問題,某些廠商甚至退出市場。
公開密鑰基礎(chǔ)建設(shè)最成功的地方是在***部門,目前最大的公開密鑰基礎(chǔ)建設(shè)是美國防衛(wèi)信息系統(tǒng)局?(DefenseInformationSystemsAgency,DISA)的共同訪問卡(CommonaccessCards)方案。
1、PKI是PublicKeyInfrastructure的首字母縮寫,翻譯過來就是公鑰基礎(chǔ)設(shè)施;PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。
PKI的組成部分:
1、認(rèn)證中心CACA是PKI的核心,CA負(fù)責(zé)管理PKI結(jié)構(gòu)下的所有用戶(包括各種應(yīng)用程序)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網(wǎng)上驗證用戶的身份,CA還要負(fù)責(zé)用戶證書的黑名單***和黑名單發(fā)布,后面有CA的詳細(xì)描述。?
2、X.500?目錄服務(wù)器?X.500目錄服務(wù)器用于發(fā)布用戶的證書和黑名單信息,用戶可通過標(biāo)準(zhǔn)的LDAP?協(xié)議查詢自己或其他人的證書和下載黑名單信息。
3、具有高強(qiáng)度密碼算法(SSL)的安全WWW服務(wù)器Securesocketlayer(SSL)協(xié)議最初由Netscape企業(yè)發(fā)展,現(xiàn)已成為網(wǎng)絡(luò)用來鑒別網(wǎng)站和網(wǎng)頁瀏覽者身份,以及在瀏覽器使用者及網(wǎng)頁服務(wù)器之間進(jìn)行加密通訊的全球化標(biāo)準(zhǔn)。
4、Web(安全通信平臺)Web有WebClient端和WebServer端兩部分,分別安裝在客戶端和服務(wù)器端,通過具有高強(qiáng)度密碼算法的SSL協(xié)議保證客戶端和服務(wù)器端數(shù)據(jù)的機(jī)密性、完整性、身份驗證。?
5、自開發(fā)安全應(yīng)用系統(tǒng)自開發(fā)安全應(yīng)用系統(tǒng)是指各行業(yè)自開發(fā)的各種具體應(yīng)用系統(tǒng),例如銀行、證券的應(yīng)用系統(tǒng)等。
完整的PKI包括認(rèn)證政策的制定(包括遵循的技術(shù)標(biāo)準(zhǔn)、各CA之間的上下級或同級關(guān)系、安全策略、安全程度、服務(wù)對象、管理原則和框架等)、認(rèn)證規(guī)則、運作制度的制定、所涉及的各***律關(guān)系內(nèi)容以及技術(shù)的實現(xiàn)等。
擴(kuò)展資料:
PKI的優(yōu)勢:
1、采用公開密鑰密碼技術(shù),能夠支持可公開驗證并無法仿冒的數(shù)字簽名,從而在支持可追究的服務(wù)上具有不可替代的優(yōu)勢。
這種可追究的服務(wù)也為原發(fā)數(shù)據(jù)完整性提供了更高級別的擔(dān)保。支持可以公開地進(jìn)行驗證,或者說任意的第三方可驗證,能更好地保護(hù)弱勢個體,完善平等的網(wǎng)絡(luò)系統(tǒng)間的信息和操作的可追究性。
2、由于密碼技術(shù)的采用,保護(hù)機(jī)密性是PKI最得天獨厚的優(yōu)點。PKI不僅能夠為相互認(rèn)識的實體之間提供機(jī)密***,同時也可以為陌生的用戶之間的通信提供保密支持。
3、由于數(shù)字證書可以由用戶獨立驗證,不需要在線查詢,原理上能夠保證服務(wù)范圍的無限制地擴(kuò)張,這使得PKI能夠成為一種服務(wù)巨大用戶群的基礎(chǔ)設(shè)施。
PKI采用數(shù)字證書方式進(jìn)行服務(wù),即通過第三方頒發(fā)的數(shù)字證書證明末端實體的密鑰,而不是在線查詢或在線分發(fā)。這種密鑰管理方式突破了過去安全驗證服務(wù)必須在線的限制。
4、PKI提供了證書的撤銷機(jī)制,從而使得其應(yīng)用領(lǐng)域不受具體應(yīng)用的限制。撤銷機(jī)制提供了在意外情況下的補(bǔ)救措施,在各種安全環(huán)境下都可以讓用戶更加放心。
另外,因為有撤銷技術(shù),不論是永遠(yuǎn)不變的身份、還是經(jīng)常變換的角色,都可以得到PKI的服務(wù)而不用擔(dān)心被竊后身份或角色被永遠(yuǎn)作廢或被他人惡意盜用。為用戶提供“改正錯誤”或“后悔”的途徑是良好工程設(shè)計中必須的一環(huán)。
5、PKI具有極強(qiáng)的互聯(lián)能力。不論是上下級的領(lǐng)導(dǎo)關(guān)系,還是平等的第三方信任關(guān)系,PKI都能夠按照人類世界的信任方式進(jìn)行多種形式的互聯(lián)互通,從而使PKI能夠很好地服務(wù)于符合人類習(xí)慣的大型網(wǎng)絡(luò)信息系統(tǒng)。
PKI中各種互聯(lián)技術(shù)的結(jié)合使建設(shè)一個復(fù)雜的網(wǎng)絡(luò)信任體系成為可能。PKI的互聯(lián)技術(shù)為消除網(wǎng)絡(luò)世界的信任孤島提供了充足的技術(shù)保障。
參考資料來源:百度百科——PKI
身份認(rèn)證系統(tǒng)。PKI的含義是身份認(rèn)證系統(tǒng),該系統(tǒng)是以數(shù)字證書為載體,為每位***民警訪問***信息網(wǎng)及各類應(yīng)用系統(tǒng)提供身份識別和訪問權(quán)限認(rèn)證服務(wù)。
PKI是公鑰基礎(chǔ)設(shè)施的意思,用來實現(xiàn)基于公鑰密碼體制的密鑰和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能。
PKI體系是計算機(jī)軟硬件、權(quán)威機(jī)構(gòu)及應(yīng)用系統(tǒng)的結(jié)合。它為實施電子商務(wù)、電子政務(wù)、辦公自動化等提供了基本的安全服務(wù),從而使那些彼此不認(rèn)識或距離很遠(yuǎn)的用戶能通過信任鏈安全地交流。
建立和定義了一個組織信息安全方面的指導(dǎo)方針,同時也定義了密碼系統(tǒng)使用的處理***和原則。它包括一個組織怎樣處理密鑰和有價值的信息,根據(jù)風(fēng)險的級別定義安全控制的級別。
PKI的應(yīng)用
PKI的應(yīng)用非常廣泛,包括應(yīng)用在web服務(wù)器和瀏覽器之間的通信、電子郵件、電子數(shù)據(jù)交換(EDI)、在Internet上的信用卡交易和虛擬私有網(wǎng)(VPN)等。
通常來說,CA是證書的簽發(fā)機(jī)構(gòu),它是PKI的核心。眾所周知,構(gòu)建密碼服務(wù)系統(tǒng)的核心內(nèi)容是如何實現(xiàn)密鑰管理。
公鑰體制涉及一對密鑰(即私鑰和公鑰),私鑰只由用戶獨立掌握,無須在網(wǎng)上傳輸,而公鑰則是公開的,需要在網(wǎng)上傳送,故公鑰體制的密鑰管理主要是針對公鑰的管理問題,較好的方案是數(shù)字證書機(jī)制。
什么是PKI?
PKI(PublicKeyInfrastructure)是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系,簡單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。用戶可利用PKI平臺提供的服務(wù)進(jìn)行安全的電子交易,通信和互聯(lián)網(wǎng)上的各種活動。
為解決Internet的安全問題,世界各國對其進(jìn)行了多年的研究,初步形成了一套完整的Internet安全解決方案,即目前被廣泛采用的PKI-公鑰基礎(chǔ)設(shè)施。PKI(公鑰基礎(chǔ)設(shè)施)技術(shù)采用證書管理公鑰,通過第三方的可信任機(jī)構(gòu)--CA認(rèn)證中心把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起,在互聯(lián)網(wǎng)上驗證用戶的身份。目前,通用的辦法是采用建立在PKI基礎(chǔ)之上的數(shù)字證書,通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名,保證信息傳輸?shù)臋C(jī)密性、真實性、完整性和不可否認(rèn)性,從而保證信息的安全傳輸。PKI是基于公鑰算法和技術(shù),為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施。是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及到的所有軟件、硬件的***體。其核心元素是數(shù)字證書,核心執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。
PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重數(shù)字簽名等。一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分:
·公鑰密碼證書管理。
·黑名單的發(fā)布和管理。
·密鑰的備份和恢復(fù)。
·自動更新密鑰。
·自動管理歷史密鑰。
·支持交叉認(rèn)證。
由于PKI體系結(jié)構(gòu)是目前比較成熟、完善的Internet網(wǎng)絡(luò)安全解決方案,國外的一些大的網(wǎng)絡(luò)安全公司紛紛推出一系列的基于PKI的網(wǎng)絡(luò)安全產(chǎn)品,如美國的Verisign,IBM,Entrust等安全產(chǎn)品供應(yīng)商為用戶提供了一系列的客戶端和服務(wù)器端的安全產(chǎn)品,為電子商務(wù)的發(fā)展提供了安全保證。為電子商務(wù)、***辦公網(wǎng)、EDI等提供了完整的網(wǎng)絡(luò)安全解決方案。
隨著Internet應(yīng)用的不斷普及和深入,***部門需要PKI支持管理;商業(yè)企業(yè)內(nèi)部、企業(yè)與企業(yè)之間、區(qū)域***網(wǎng)絡(luò)、電子商務(wù)網(wǎng)站都需要PKI的技術(shù)和解決方案;大企業(yè)需要建立自己的PKI平臺;小企業(yè)需要社會提供的商業(yè)性PKI服務(wù)。從發(fā)展趨勢來看,PKI的市場需求非常巨大,基于PKI的應(yīng)用包括了許多內(nèi)容,如WWW服務(wù)器和瀏覽器之間的通信、安全的電子郵件、電子數(shù)據(jù)交換、Internet上的信用卡交易以及VPN等。因此,PKI具有非常廣闊的市場應(yīng)用前景。
PublicKeyInfrastructure(簡稱PKI),中文叫做公開密鑰基礎(chǔ)設(shè)施,也就是利用公開密鑰機(jī)制建立起來的基礎(chǔ)設(shè)施。PKI指的是證明書的***和分發(fā)的一種機(jī)制。在這個機(jī)制的保障前提下,進(jìn)行可信賴的網(wǎng)絡(luò)通信。即安全的網(wǎng)路通信保障機(jī)制。pki技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。pki的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重數(shù)字簽名等。
文章到此結(jié)束,希望可以幫助到大家。
