十五章、KPI(千峰网络安全300课时笔记)

十五章、KPI(Public Key Infrastruction)公钥基础设施

引言：千峰网络安全300课时学习，视频学习过程中的学习笔记。笔记中借鉴了CSDN博主「beglage」文章中的图片记录,感谢千峰网络的视频和beglage博主的博文笔记记录分享。

B站千峰网络安全开源课程视频

---

目录

KPI公钥基础设施

      1、PKI概述

      2、信息安全三要素

      3、哪些IT领域用到PKI：

      4、公钥加密技术

      5、数字签名：

      6、证书：

      7、PKI练习

---

KPI公匙基础设施

1、PKI概述

名称：Public Key Infrastruction 公钥基础设施

作用：通过加密技术和数字签名保证信息的安全

组成：公钥机密技术、数字证书、CA、RA

2、信息安全三要素

什么是信息安全?
      信息安全的概念相对比较宽泛，通过综合大量的中外文献资料，信息安全的概念可以归纳如下：信息安全指的是网络信息资源中的软件、硬件以及信息系统中运行的各种数据受到保护，使其不会因为被动的或者主动的攻击而遭受到篡改、破坏、泄漏等，能够确保信息系统安全、稳定、可靠的运行，使得信息服务能够保持长久的连续性。信息安全的范畴归纳起来主要包括下面五个主要内容：未授权拷贝信息的安全性、保密性、完整性、真实性以及寄生系统的安全。 信息安全的最终目标是尽一切安全措施保护信息的安全，使得信息不会遭受到破坏，，因此信息需要经过加密。为了确保信息资源的安全，对于网络中的信息要进行访问控制、对信息源需要进行验证，确保没有任何非法软件驻留[3]。信息安全是一门涉及学科非常多的学科，包括计算机科学、通信技术、密码技术、概率论技术、信息安全技术、网络技术、数学科学、信息论等，是一门综合性要求比较高的学科。

信息安全三要素指的是以下三点：

1）信息安全的机密性

2）信息安全的完整性

3）信息安全的身份验证/操作的不可否认性

3、哪些IT领域用到PKI：

1）SSL/HTTPS

2）IPsecVPN

3）部分远程访问VPN

4、公钥加密技术

什么是公钥加密？

     公钥加密，也叫非对称（密钥）加密（public key encryption），属于通信科技下的网络安全二级学科，指的是由对应的一对唯一性密钥（即公开密钥和私有密钥）组成的加密方法。它解决了密钥的发布和管理问题，是商业密码的核心。在公钥加密体制中，没有公开的是私钥，公开的是公钥。

     常见的算法：RSA、ElGamal、背包算法、Rabin(Rabin的加密法可以说是RSA方法的特例)、Diffie-Hellman (D-H) 密钥交换协议中的公钥加密算法、Elliptic Curve Cryptography（ECC,椭圆曲线加密算法）。使用最广泛的是RSA算法（由发明者Rivest、Shamir和Adleman姓氏首字母缩写而来）是著名的公开金钥加密算法，ElGamal是另一种常用的非对称加密算法。

作用：实现对信息加密、数字签名等安全保障

加密算法：

1）对称加密算法

加解密道的密钥一致

DES 3DES AES

2）非对称加密算法

*通信双方各自产生一对公私钥

*双方各自交换公钥

*公钥和私钥互为加解密关系！

*公私钥不可互相逆推！

RSA DH

3）HASH算法：MD5 SHA（不可逆,验证完整性）

HASH值 = 摘要

5、数字签名

所谓数字签名就是，用自己的私钥对摘要加密得出的密文就是数字签名。

6、证书：

证书用于保证公密钥的合法性

证书格式遵循X.509标准

数字证书保护信息：

使用者的公钥值

使用者标识信息（如名称和电子邮件地址）

有效期（证书的有效时间）

颁发者标识信息

颁发者的数字签名

数字证书由权威公正的 第三方机构即CA签发

PKI实验

实验步骤;

1、配置服务器IP地址10.1.1.2/24

2、安装IIS服务，并建立站点。

在xp客户机上验证访问 http://www.flower.com

3、安装CA组件

4、打开IIS，先生成证书申请文件

5、向CA申请证书：

打开网页：http://10.1.1.2.certsrv 并向CA发送web服务器申请文件

6、CA颁发证书

7、在web服务器上下载并完成安装

8、在web服务器上启用SSL443

9、在客户端上验证