大家好,今天來給大家分享pki的相關知識,通過是也會對pki系統相關問題來為大家分享,如果能碰巧解決你現在面臨的問題的話,希望大家別忘了關注下本站哈,接下來我們現在開始吧!
一、目的與機能
公開密鑰基礎建設的設置使得未聯系的電腦用戶可以提出認證,并使用公鑰證書內的公鑰信息加密給對方。解密時,每個用戶使用自己的私密密鑰解密,該密鑰通常被通行碼保護。
大致而言,公開密鑰基礎建設由客戶端軟件、服務端軟件、硬件、法律合約與保證、操作程序等組成。簽署者的公鑰證書也可能被第三者使用,用來驗證由該簽署者簽署的數字簽名。
通常,公開密鑰基礎建設協助參與者對話以達成機密性、消息完整性、以及用戶認證,而不用預先交換任何秘密信息。然而互通連成員間的公開密鑰基礎建設受制于許多現實問題,例如不確定的證書撤銷、證書中心發行證書的條件、司法單位規范與法律的變化、還有信任。
二、組成
PKI的組成要素主要有:用戶(使用PKI的人或機構);認證機構(CertificationAuthority,CA)(頒發證書的人或機構);倉庫(保存證書的數據庫)。用戶和認證機構稱之為實體。
用戶是使用PKI的人,使用PKI的人又分為兩種:一種是向認證機構(CA)注冊自己公鑰的人,另一種是希望使用已注冊公鑰的人。
認證機構是對證書進行管理的人或機構。認證機構進行這幾種操作:代用戶生成密鑰對(當然可以由用戶自己生成);對注冊公鑰的用戶進行身份驗證;生成并頒發證書;作廢證書。另外,對公鑰注冊和用戶身份驗證可以由注冊機構(RegistrationAuthority,RA)來完成。
倉庫(repository)是存放證書的數據庫。倉庫也叫證書目錄。
三、用途
大部分企業級的公鑰基礎建設系統,依賴由更高端級的證書中心發行給低端證書中心的證書,而層層構筑而成的證書鏈,來創建某個參與者的身份識別證書的合法性。
這產生了不只一個電腦且通常涵蓋多個組織的證書層次結構,涉及到多個來源軟件間的合作。因此公開的標準對公鑰基礎建設相當重要。這個領域的標準化多由互聯網工程工作小組的PKIX工作群完成。
企業公鑰基礎建設通常和企業的數據庫目錄緊密結合,每個員工的公鑰內嵌在證書中,和人事資料一起存儲。
今日最先進的目錄科技是輕量目錄訪問協議(LightweightDirectoryAccessProtocol,LDAP)。事實上,最常見的證書格式X.509的前身X.500是用于LDAP的前置處理器的目錄略圖。
歷史
1976年WhitfieldDiffie、MartinHellman|Hellman、RonRivest、AdiShamir和LeonardAdleman等人相繼公布了安全密鑰交換與非對稱密鑰算法后,整個通信方式為之改變。
隨著高速電子數字通信的發展,用戶對安全通信的需求越來越強。
密碼協議在這種訴求下逐漸發展,造就新的密碼原型。全球互聯網發明與擴散后,認證與安全通信的需求也更加嚴苛。光商務理由便足以解釋一切。時在網景工作的TaherElGamal等人發展出傳輸安全層協議,包含了密鑰創建、服務器認證等。公開密鑰基礎建設的架構因此浮現。
廠商和企業家察覺了其后的廣大市場,開始設立新公司并引導法律認知與保護。美國律師協會項目發行了一份對公開密鑰基礎建設操作的可預見法律觀點的詳盡分析,隨后,多個美國州***與其他國家的司法單位開始制定相關法規。消費者團體等則提出對隱私、訪問、可靠性的質疑,也被列入司法的考慮中。
被制定的法規實有不同,將公開密鑰基礎建設的機制轉換成商務操作有實際上的問題,遠比許多先驅者所想的緩慢。
21世紀的前幾年才慢慢發覺,密碼工程沒那么容易被設計與實踐,某些存在的標準某方面甚至是不合宜的。
公開密鑰基礎建設的廠商發現了一個市場,但并非九零年代中期所預想的那個市場,這個市場發展得緩慢而且以不同的方式前進。
公開密鑰基礎建設并未解決所期待的問題,某些廠商甚至退出市場。
公開密鑰基礎建設最成功的地方是在***部門,目前最大的公開密鑰基礎建設是美國防衛信息系統局?(DefenseInformationSystemsAgency,DISA)的共同訪問卡(CommonaccessCards)方案。
1、PKI是PublicKeyInfrastructure的首字母縮寫,翻譯過來就是公鑰基礎設施;PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。
PKI的組成部分:
1、認證中心CACA是PKI的核心,CA負責管理PKI結構下的所有用戶(包括各種應用程序)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網上驗證用戶的身份,CA還要負責用戶證書的黑名單***和黑名單發布,后面有CA的詳細描述。?
2、X.500?目錄服務器?X.500目錄服務器用于發布用戶的證書和黑名單信息,用戶可通過標準的LDAP?協議查詢自己或其他人的證書和下載黑名單信息。
3、具有高強度密碼算法(SSL)的安全WWW服務器Securesocketlayer(SSL)協議最初由Netscape企業發展,現已成為網絡用來鑒別網站和網頁瀏覽者身份,以及在瀏覽器使用者及網頁服務器之間進行加密通訊的全球化標準。
4、Web(安全通信平臺)Web有WebClient端和WebServer端兩部分,分別安裝在客戶端和服務器端,通過具有高強度密碼算法的SSL協議保證客戶端和服務器端數據的機密性、完整性、身份驗證。?
5、自開發安全應用系統自開發安全應用系統是指各行業自開發的各種具體應用系統,例如銀行、證券的應用系統等。
完整的PKI包括認證政策的制定(包括遵循的技術標準、各CA之間的上下級或同級關系、安全策略、安全程度、服務對象、管理原則和框架等)、認證規則、運作制度的制定、所涉及的各***律關系內容以及技術的實現等。
擴展資料:
PKI的優勢:
1、采用公開密鑰密碼技術,能夠支持可公開驗證并無法仿冒的數字簽名,從而在支持可追究的服務上具有不可替代的優勢。
這種可追究的服務也為原發數據完整性提供了更高級別的擔保。支持可以公開地進行驗證,或者說任意的第三方可驗證,能更好地保護弱勢個體,完善平等的網絡系統間的信息和操作的可追究性。
2、由于密碼技術的采用,保護機密性是PKI最得天獨厚的優點。PKI不僅能夠為相互認識的實體之間提供機密***,同時也可以為陌生的用戶之間的通信提供保密支持。
3、由于數字證書可以由用戶獨立驗證,不需要在線查詢,原理上能夠保證服務范圍的無限制地擴張,這使得PKI能夠成為一種服務巨大用戶群的基礎設施。
PKI采用數字證書方式進行服務,即通過第三方頒發的數字證書證明末端實體的密鑰,而不是在線查詢或在線分發。這種密鑰管理方式突破了過去安全驗證服務必須在線的限制。
4、PKI提供了證書的撤銷機制,從而使得其應用領域不受具體應用的限制。撤銷機制提供了在意外情況下的補救措施,在各種安全環境下都可以讓用戶更加放心。
另外,因為有撤銷技術,不論是永遠不變的身份、還是經常變換的角色,都可以得到PKI的服務而不用擔心被竊后身份或角色被永遠作廢或被他人惡意盜用。為用戶提供“改正錯誤”或“后悔”的途徑是良好工程設計中必須的一環。
5、PKI具有極強的互聯能力。不論是上下級的領導關系,還是平等的第三方信任關系,PKI都能夠按照人類世界的信任方式進行多種形式的互聯互通,從而使PKI能夠很好地服務于符合人類習慣的大型網絡信息系統。
PKI中各種互聯技術的結合使建設一個復雜的網絡信任體系成為可能。PKI的互聯技術為消除網絡世界的信任孤島提供了充足的技術保障。
參考資料來源:百度百科——PKI
身份認證系統。PKI的含義是身份認證系統,該系統是以數字證書為載體,為每位***民警訪問***信息網及各類應用系統提供身份識別和訪問權限認證服務。
PKI是公鑰基礎設施的意思,用來實現基于公鑰密碼體制的密鑰和證書的產生、管理、存儲、分發和撤銷等功能。
PKI體系是計算機軟硬件、權威機構及應用系統的結合。它為實施電子商務、電子政務、辦公自動化等提供了基本的安全服務,從而使那些彼此不認識或距離很遠的用戶能通過信任鏈安全地交流。
建立和定義了一個組織信息安全方面的指導方針,同時也定義了密碼系統使用的處理***和原則。它包括一個組織怎樣處理密鑰和有價值的信息,根據風險的級別定義安全控制的級別。
PKI的應用
PKI的應用非常廣泛,包括應用在web服務器和瀏覽器之間的通信、電子郵件、電子數據交換(EDI)、在Internet上的信用卡交易和虛擬私有網(VPN)等。
通常來說,CA是證書的簽發機構,它是PKI的核心。眾所周知,構建密碼服務系統的核心內容是如何實現密鑰管理。
公鑰體制涉及一對密鑰(即私鑰和公鑰),私鑰只由用戶獨立掌握,無須在網上傳輸,而公鑰則是公開的,需要在網上傳送,故公鑰體制的密鑰管理主要是針對公鑰的管理問題,較好的方案是數字證書機制。
什么是PKI?
PKI(PublicKeyInfrastructure)是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系,簡單來說,PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。用戶可利用PKI平臺提供的服務進行安全的電子交易,通信和互聯網上的各種活動。
為解決Internet的安全問題,世界各國對其進行了多年的研究,初步形成了一套完整的Internet安全解決方案,即目前被廣泛采用的PKI-公鑰基礎設施。PKI(公鑰基礎設施)技術采用證書管理公鑰,通過第三方的可信任機構--CA認證中心把用戶的公鑰和用戶的其他標識信息捆綁在一起,在互聯網上驗證用戶的身份。目前,通用的辦法是采用建立在PKI基礎之上的數字證書,通過把要傳輸的數字信息進行加密和簽名,保證信息傳輸的機密性、真實性、完整性和不可否認性,從而保證信息的安全傳輸。PKI是基于公鑰算法和技術,為網上通信提供安全服務的基礎設施。是創建、頒發、管理、注銷公鑰證書所涉及到的所有軟件、硬件的***體。其核心元素是數字證書,核心執行者是CA認證機構。
PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。一個典型、完整、有效的PKI應用系統至少應具有以下部分:
·公鑰密碼證書管理。
·黑名單的發布和管理。
·密鑰的備份和恢復。
·自動更新密鑰。
·自動管理歷史密鑰。
·支持交叉認證。
由于PKI體系結構是目前比較成熟、完善的Internet網絡安全解決方案,國外的一些大的網絡安全公司紛紛推出一系列的基于PKI的網絡安全產品,如美國的Verisign,IBM,Entrust等安全產品供應商為用戶提供了一系列的客戶端和服務器端的安全產品,為電子商務的發展提供了安全保證。為電子商務、***辦公網、EDI等提供了完整的網絡安全解決方案。
隨著Internet應用的不斷普及和深入,***部門需要PKI支持管理;商業企業內部、企業與企業之間、區域***網絡、電子商務網站都需要PKI的技術和解決方案;大企業需要建立自己的PKI平臺;小企業需要社會提供的商業性PKI服務。從發展趨勢來看,PKI的市場需求非常巨大,基于PKI的應用包括了許多內容,如WWW服務器和瀏覽器之間的通信、安全的電子郵件、電子數據交換、Internet上的信用卡交易以及VPN等。因此,PKI具有非常廣闊的市場應用前景。
PublicKeyInfrastructure(簡稱PKI),中文叫做公開密鑰基礎設施,也就是利用公開密鑰機制建立起來的基礎設施。PKI指的是證明書的***和分發的一種機制。在這個機制的保障前提下,進行可信賴的網絡通信。即安全的網路通信保障機制。pki技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。pki的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。
文章到此結束,希望可以幫助到大家。
