PKI简介
公开密钥基础建设(英语:Public Key Infrastructure,缩写:PKI),又称公开密钥基础架构、公钥基础建设、公钥基础设施、公开密码匙基础建设或公钥基础架构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证书。
概念
对称加密
- 特点:加解密使用相同密钥,加解密过程速度快
- 算法:DES、3DES、AES
非对称加密
- 特点:加解密各用密钥对其中之一,密钥对公开的部分为公钥,所有人都可以获取,另一个作为私钥,不公开
- 使用:公钥加&密私钥解密用于传输数据,私钥加密公钥解密用于做校验
- 算法:RSA、ECC(椭圆加密算法)
PKI解决的问题
问题一:网络环境下,用户A、B想互相通信,不希望通信内容被第三方知道
方案:使用对称加密方式保护数据
- 用户A在向B发送数据前,将内容使用对称加密方式加密(私密性)
- 用户B接收数据后,使用相同的密钥解密数据
问题二:用户A怎么将密钥告知B?怎么保证第三方不会从网络中获取到这个密钥?
方案:使用非对称加密方式保护密钥传输
- 用户A使用B的公钥加密数据密钥,与加密后的通信内容一块发送给B
- 用户B向使用私钥解密获取数据的加密密钥,再解密通信内容
问题三:用户A怎么在网络环境下获取B的公钥?如何证明公钥不会是攻击者发送的?
方案:引入CA作为公信机构
- 所有通信方都通过安全的方式获取CA的证书(如浏览器内置了一些机构的证书),证书中包含了CA的公钥及身份信息
- 用户B向CA提交一个证书申请,提交的信息包含用户B的身份信息及公钥等内容
- CA审批通过后,使用私钥为B签发证书,该证书包括了B的公钥及身份信息(身份唯一性),还有CA使用私钥对这些信息作的签名(完整性)
- 用户A从B获取证书,先通过CA的公钥验证该证书是否有效,再看身份信息是否属于B。验证通过后,获取证书中B的公钥以通信
问题四:证书是公开的,用户B收到数据后,怎么判断该数据是A发送而不是C冒充发送的?或者A发送了该数据后不认账怎么办?
方案:通信双方都使用证书
- 用户A将发送的内容的hash值用私钥签名,一起发送出去(不可抵赖性)
- 用户B获取A的证书,使用证书中的公钥校验接收内容的签名,校验通过证明数据确实是A发送的
标签:体系,公钥,加密,证书,CA,用户,密钥,PKI 来源: https://blog.csdn.net/Once_fish_/article/details/122810073
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。