PKI基础
PKI(Public Key Infrastructure)公钥基础设施:
简单地说,PKI是用公钥概念和技术实施的,支持公开密钥的管理并提供真实性、保密性、完整性、
以及可追究性安全服务的具有普适性的安全基础设施。
专家定义:PKI是创建,颁发,管理,撤销公钥证书所涉及到的所有软件,硬件的集合体。
学术界定义:PKI是一种遵循标准的利用非对称密码算法原理来实现并提供安全服务的具有通用
性的安全基础设施。
核心执行机构:CA; 核心元素:数字证书。
数字世界的信息安全要素:
1,Privacy(保密性):确认信息的保密,不被窃取
2,Integrity(完整性)确保你收到的信息没有被篡改
3,Authentication & Authorization (鉴别与授权)确认对方的身份并确保其不越权
4,Non-Repudiation(抗抵赖)有证据保证交易或者其他操作不被否认.
=====================================================
加密和密钥:
用密钥加密数据,保证它在传输和保存过程中的完整性和真实性.
加密算法是用来改变原始数据的方法.(对称加密算法等)
密钥是使加密过程中得出一个唯一结果的变量.
密钥分为两种:对称密钥与非对称密钥.
对称密钥加密:
又称私钥加密,既信息的发送方和接收方用一个密钥去加密和解密数据.
它最大优势是加/解密速度快,适合于对大量数据进行加密,但密钥的管理
困难.
常用加密算法:
DES、3-DES、 SSF33、 IDEA、AES、RC2、RC4
非对称密钥加密系统:
又称公钥密钥加密.它需要使用一对密钥来分别完成加密和解密操作,一个
公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥.信息发送
者用公开密钥去加密,而信息接受者则用私用密钥去解密.公钥机制灵活,但
加密和解密速度却比对称密钥加密慢很多.(通过单向函数的数学原理,以实现加
,解密密钥的分离.)
性能:
效率较慢--不适用于大量的数据加密
密钥管理:
公钥可以公开,分布式存放
常用于:
加密
数字签名
密钥交换????
加密算法:
RSA,ECC,Diffie-Hellman,DSA
非对称密钥加密技术采用一对匹配的密钥进行加密和解密,具有两个密钥,一个是公钥
一个是私钥.他们具有这种性质:每把密钥执行一种对数据的单向处理.每把的功能
恰恰与另一个相反,一把用于加密时,则另一把就用于解密.
密钥对的工作是可以任选方向的,这提供了"数字签名"的基础,如果要一个用户自己的私
人密钥对数据进行了处理,别人可以用他提供的公共密钥对数据加以处理,别人可以用他提
供的公共密钥对数据加以处理。由于仅仅拥有者本人知道私人密钥,这种被处理过的报文
就形成了一种电子签名----一种别人无法产生的文件。 数字证书中包含了公共密钥信息,
从而确认了拥有密钥对的用户的身份。
========================================================
数字签名:
公/私钥系统还有一个好处就是其非对称的天性。这使得每个密钥对的持有者都可以用他们的私钥进行数学运算,
而这种运算是其他人都无法做到的。这就是数字签名和不可否认性的基础。
典型的数字签名技术使用非对称密码体制。在公钥密码体制中,数字签名技术可以用来保证原始信息的真实性,
而且能够保证原始信息的完整性。
数字签名是用签名方的私钥对原始信息采取不可逆的单向散列算法提取出的一串唯一特征码
(称为:信息摘要)进行加密的一个过程,这个过程所得到的密文即称为签名信息。
摘要算法:
DATA-->Hashing algorithm-->D4 43 F5 22 9A...(唯一的数据)
特征:
不可逆
对任何长度的信息进行哈希后,结果都是一个固定长度的数据摘要,摘要的长度
通常为128bits或160bits
原始信息中一个字节的改变会导致摘要后的结果发生变化
常用算法:
MD5,SHA-1
将数字摘要和数字签名结合:
将明文通过摘要算法得到摘要,然后通过私钥进行加密就成了数字签名,
将数字签名和明文发送给接收者.
接收者通过发送者提供的公钥对数字签名进行解密,并通过相同的摘要
算法对明文进行运算,最后和公钥解密后的数据进行对比,如果数据是相同的
就表明没有篡改,是发送者发送过来的.(完整性和不可否认性)
加密和数字签名的结合:
信息发送方A发送明文,通过会话密钥对明文进行加密,再通过算法获得明文的摘要信息
通过A的私钥加密,生成数字签名,然后通过B(接收方)的公钥对会话密钥进行加密.
B使用私钥对会话密钥进行解密,然后B通过会话密钥对密文进行解密获得明文.
最后通过A的公钥来解密数字签名,并对明文进行与A同样的算法然后对比,来验证数据是否完整
等.
??????? 会话密钥:加密和解密过程的会话密钥.
密钥(Cryptographic key)是用在加密和解密过程的会话(均衡)
密钥和用在认证过程中公共密钥和私有密钥。在这三种密钥中,
会话密钥和私有密钥必须一直保密。
四大安全要素的解决办法:
对称加密;
非对称加密;
数字签名;
哈希算法;
===============================================================================================
数字证书:
信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方
需验证对方证书的有效性,从而解决相互间的信任问题。
证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
从证书的用途来看,数字证书可分为签名证书和加密证书。
签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;
加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。
数字证书包含了:持有者的名字,能够证明证书持有者身份的可靠信息还有证书
持有者的公钥。在证书中的公钥既可被他人用于加密也可用来验证持有者的数字签名。
数字证书中也包含序列号、有效期、与证书相联系的权利和使用信息等。
最后,数字证书中包含发证机关CA的信息。所有证书都用CA的私钥进行数字签名。
============================================================
PKI系统的组成:
证书签发系统CA
证书注册系统RA
证书持有者
证书应用系统
证书存储及发布系统
CRL?? 当证书吊销后,用户再次拿着这张证书过来进行验证,就需要来验证这
证书是否有效。而被注销的证书就记录在了CRL中。
KMC:密钥管理中心
所要处理的事情:
密钥的生成
密钥的发布
密钥的备份
密钥的恢复
密钥的更新
密钥的归档
密钥的查询
密钥的销毁
LDAP:目录访问协议
SSL(Secure Sockets Layer安全套接层):是为网络通信提供安全及数据完整性的
一种安全协议,TLS和SSL在传输层对网络
连接进行加密。它被广泛的用于浏览器与
服务器之间的身份认证和加密数据传输、
SSL协议提供的服务主要有: 1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)加密数据以防止数据中途被窃取;
3)维护数据的完整性,确保数据在传输过程中不被改变。
又称(安全通道)
SSL的通信流程:(B客户端,S服务端)
STEP1:B-->S(发起对话,协商传送加密算法)
STEP2: S-->B (发送服务器数字证书)
STEP3:B-->S (传送本次对话的密钥)
STEP4:S-->B (获取密钥)
STEP5:S-->B (进行通讯)