PKI public key infrastructure
简介:
公钥加密技术
PKI是建立在公钥加密技术之上的,那么要了解PKI则首先要看一下公钥加密技术。加密是保护数据的科学方法。加密算法在数学上结合了输入的文本数据和一个加***,产生加密的数据(密文)。通过一个好的加密算法,通过密文进行反向加密过程,产生原文就不是那么容易了,需要一个解***来执行相应的转换。密码技术按照加解密所使用的**相同与否,分为对称密码学和非对称密码学,前者加解密所使用的**是相同的,而后者加解密所使用的**是不相同的,即一个秘密的加***(签字**)和一个公开的解***(验证**)。在传统密码*中,用于加密的**和用于解密的**完全相同,通过这两个**来共享信息。这种*所使用的加密算法比较简单,但高效快速,**简短,破译困难。然而**的传送和保管是一个问题。例如,通讯双方要用同一个**加密与解密,首先,将**分发出去是一个难题,在不安全的网络上分发**显然是不合适的;另外,任何一方将**泄露,那么双方都要重新启用新的**。
1976年,美国的密码学专家Diffie和Hellman为解决上述**管理的难题,提出一种**交换协议,允许在不安全的媒体上双方交换信息,安全地获取相同的用于对称加密的**。在此新思想的基础上,很快出现了非对称**密码*,即公钥密码*(PKI)。自1976年第一个正式的公共**加密算法提出后,又有几个算法被相继提出。如Ralph Merkle猜谜法、Diffie-Hellman指数**交换加密算法、RSA加密算法、Merkle-Hellman背包算法等。目前,结合使用传统与现代加密算法的具体应用有很多,例如PGP、RIPEM等加密软件,是当今应用非常广的加密与解密软件。公共**算法的基本特性是加密和解***是不同的,其中一个公共**被用来加密数据,而另一个私人**被用来解密数据。这两个**在数字上相关,但即便使用许多计算机协同运算,要想从公共**中逆算出对应的私人**也是不可能的。这是因为两个**生成的基本原理根据一个数学计算的特性,即两个对位质数相乘可以轻易得到一个巨大的数字,但要是反过来将这个巨大的乘积数分解为组成它的两个质数,即使是超级计算机也要花很长的时间。此外,**对中任何一个都可用于加密,其另外一个用于解密,且**对中称为私人**的那一个只有**对的所有者才知道,从而人们可以把私人**作为其所有者的身份特征。根据公共**算法,已知公共**是不能推导出私人**的。最后使用公钥时,要安装此类加密程序,设定私人**,并由程序生成庞大的公共**。使用者向与其联系的人发送公共**的拷贝,同时请他们也使用同一个加密程序。之后他人就能向最初的使用者发送用公共**加密成密码的信息。仅有使用者才能够解码那些信息,因为解码要求使用者知道公共**的口令,那是惟有使用者自己才知道的私人**。在这些过程当中,信息接受方获得对方公共**有两种方法:一是直接跟对方联系以获得对方的公共**;另一种方法是向第三方即可靠的验证机构(如Certification Authority,CA),可靠地获取对方的公共**。
现在,我们可以看PKI的定义:PKI(Public Key Infrastructure)是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施,是一种遵循标准的利用公钥加密技术为网上电子商务、电子政务的开展,提供一整套安全的基础平台。PKI,公钥基础设施,顾名思义,PKI技术就是利用公钥理论和技术建立的提供网络信息安全服务的基础设施。PKI管理平台能够为网络中所有需要采用加密和数字签名等密码服务的用户提供所需的**和证书管理,用户可以利用PKI平台提供的安全服务进行安全通信。 <?XML:NAMESPACE PREFIX = O />
PKI公开**基础设施能够让应用程序增强自己的数据和资源的安全,以及与其他数据和资源交换中的安全。使用PKI安全基础设施像将电器插入墙上的插座一样简单。
总结:为通信数据加密,确保数据安全。通过验证身份证,利用秘钥加密解密
PKI 系统的构成部分:
- 权威的认证机构 CA -认证系统的核心
- 数字证书库、秘钥备份以及恢复系统
- 证书作废系统
- 应用接口 等基本组成部分 :为应用提供服务的接口
PKI 加密的几种算法
对称加密算法 --加密速度快,可加密内容
加密,解密需要同一个秘钥
DES 单钥密码*:加密解密用同一把**;不足在于**的管理和传送
非对称加密算法 – 加密速度慢
加密利用公钥,解密需要私钥,两个秘钥不同
RSA 公钥密码:公开的加***,不公开的解***
SSL单向认证 双向认证
单向认证客户端不需要发送自己的公钥
双向验证,双发均需要发送公钥进行身份认证
公钥的传输可能也同样进行加密