小樱知识 > 生活常识什么是pki（PKI系统简介）

什么是pki（PKI系统简介）

提问时间：2022-06-10 02:47:08来源：小樱知识网

一.导言

为各类应用提供安全、一致、可信的方式与PKI进行交互，确保建立的网络环境安全可靠，降低管理成本。

4.2数字证书

PKI的核心载体是数字证书，即可信机构为个人颁发的身份证书，可视为虚拟网络世界中个人的身份证。

数字证书的分类一般分为四类:1。根据证书持有人分类；2.根据密钥分类；3.根据验证模式分类；4.按域名分类；如下图所示:

图3.1数字证书分类图

4.3 CA中心

CA中心管理和操作CA系统，负责颁发数字证书。负责颁发数字证书的系统称为CA系统，负责管理和操作CA系统的机构称为CA中心。所有与数字证书相关的概念和技术统称为PKI(公钥基础设施)。详情请参考:https://blog.csdn.net/liuhuiyi/article/details/7776825;

图4.3.1 PKI发布流程

第五，PKI的意义

PKI应用广泛，主要包括网上金融、网上银行、网上证券、电子商务、电子政务等行业。其主要功能是为网络中的数据交换提供完整的安全服务。作为一种安全基础设施，PKI可以提供六种安全服务:身份认证、数据完整性、数据机密性、数据公平性、不可否认性和时间戳。

5.1身份认证

由于网络的开放性和匿名性，非法用户通过一些技术手段在网上进行欺骗的门槛越来越低，从而对合法用户和系统造成极大的伤害。身份认证的本质是验证被认证对象的真实性和有效性的过程，被认为是网上交易的基础。在PKI系统中，认证机构(CA)对系统中的每个合法用户进行一次在线身份认证，即身份证；

图4.1.1认证

5.2数据完整性(电子邮件)

数据完整性是为了防止非法篡改信息，如修改、复制、插入、删除等。在交易过程中，需要保证双方接收到的数据与原始数据完全一致，否则交易会出现安全问题。大多数情况下，通过观察来判断数据是否发生了变化是不现实的。在网络安全中，哈希函数(也称为密码哈希函数)一般用于保证通信过程中数据的完整性。通过Hash算法，我们将任意长度的数据转化为固定长度的数字摘要(MAC)，在相同的计算条件下，原始数据中任意一位的变化都会产生完全不同的数字摘要。

这一特性便于人们判断原始数据是否被非法篡改，从而保证了数据的完整性和准确性。PKI系统中使用的主要哈希算法有SHA-1和MD-5；

图4.2.1数据完成流程图

5.3数据保密性(服务访问)

数据的机密性是对需要保护的数据进行加密，以保证信息在传输和存储过程中不被非授权者获取。在PKl系统中，所有的保密性都是通过密码技术实现的。有两个密钥对，一个叫加密密钥对，用于加密和解密；另一种称为签名密钥对，用作签名。一般来说，用于加密和解密的密钥对并不加密和解密实际的大量数据，只是协商会话密钥，会话密钥才是真正用于加密和解密大量数据的。

在实际数据通信中，发送方首先生成一个用于实际数据加密的对称算法密钥，称为会话密钥，用这个密钥对要处理的数据进行加密。然后，发送方使用与接收方的加密密钥相对应的公钥对会话密钥进行加密，并将加密的数据发送给接收方。接收到这些信息后，接收方首先用自己的加密密钥对中的私钥解密会话密钥，然后用会话密钥(对称密钥)解密实际数据。

图4.3.1数据保密流程图

5.4不可否认性(合同)

不可否认性保证了双方都不能否认他们所做的事情。在PKI系统中，不可否认性来源于数字签名。当用户签署数字签名时，签名的私钥只能由签名者本人掌握，系统中的其他实体无法进行这样的签名。因此，在私钥安全的假设下，签名人不能否认自己的签名。保护签名私钥的安全是不可否认性的基础。

5.5数字签名

因为单个且唯一的私钥创建签名，所以可以在签名的数据和私钥对应的实体之间建立连接，并且可以通过用实体的公钥验证签名来实现这种连接。如果签名验证是正确的，并且对应于用于验证签名的公钥的实体从诸如由可信实体签署的公钥证书中是已知的，则数字签名可用于证明数字签署的数据确实来自证书中标识的实体。所以PK的数字签名服务分为两部分:签名生成服务和签名验证服务。签名生成服务需要访问签名者的私钥，该私钥是敏感信息，必须受到保护，因为它代表签名者。如果被盗，其他人可以伪装成签名者，用密钥签名。因此，签名服务通常是安全应用程序的一部分，可以安全地访问签名私钥。相反，签名验证服务应该是开放的。一旦公钥由可信的签名者签名，它通常被认为是公共信息。验证服务是否收到签名数据、签名、公钥或公钥证书，然后检查签名对于所提供的数据是否有效。它返回验证是否成功的标识；