PKI技术知识-1

llzh35

PKI 技术

PKI（Public Key Infrastructure）。是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务具有普遍性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供了在线身份认证，是CA认证、数字证书、数字签名以及相关的安全应用组件的集合。PKI的核心是解决信息网络空间中的信任问题，确定信息网络、信息空间中各种经济、军事、和管理行为行为主体（包括组织和个人）身份的唯一性、真实性和合法性。是解决网上身份认证、信息完整性和抗抵赖等安全问题的技术保障体系。管理PKI的机构即为CA中心。   
    作为一个安全基础设施的全功能的PKI由一系列组件和服务构成：
    1. 证书机构
    2. 证书库
    3. 证书撤消
    4. 密钥备份和恢复
    5. 自动密钥更新
    6. 密钥文档管理
    7. 交差认证
    8. 支持不可否认  
    9. 时间戳
    10. 客户端软件
    而我们利用PKI技术能提供给您的是：数字的保密性 - 加密
                                   数据的完整性 - 数字签名
                                   身份鉴别 - 数字签名和证书  
                                   不可否认性 - 数字签名和证书
什么是数字证书？
    数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。

    它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。  
    最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。


一个标准的X.509数字证书包含以下一些内容：

证书的版本信息；
    证书的序列号，每个证书都有一个唯一的证书序列号；
    证书所使用的签名算法；
    证书的发行机构名称，命名规则一般采用X.500格式；
    证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；
    证书所有人的名称，命名规则一般采用X.500格式；
    证书所有人的公开密钥；
    证书发行者对证书的签名。

    使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。

加密技术
    由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术是电子商务采取的主要保密安全措施，是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。
    加密包括两个元素：算法和密钥。一个加密算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制，来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。

    相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest ShamirAd1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，公钥可以公开而私钥需要保密。

bingocn

光看了最后一段就发现有问题，“加密密钥可以公开而解密密钥需要保密”这句话就错了，非对称密码中，只有公钥和私钥，他们都可以用来加密和解密（公钥加密私钥解密用来保证信息的机密性，但效率比对称加密低，私钥加密公钥解密用来保证数据的不可否认性），但只有公钥能被公开，私钥必须保密。
另外还有，从来没听说过“对称加密”叫做“私人密钥加密”，可能是我孤陋寡闻吧。DES被写成DNS，还按字面意思翻译成为中文，真ft了。

iwantin

pki 中公钥加密称为“加密”，私钥加密称为“签名”。
RSA是非对称算法，速度比较慢，DES算法是对称算法，速度比较快。
在PKI中一般对数据的加密是先随机产生一个对称密钥，用该密钥对数据
进行对称加密，在使用公钥对对称密钥进行加密，该过程也叫数字信封。

解密则先用私钥解出对称密钥，再解出明文数据。

llzh35

各位：实在不好意思，上面一段是我粘贴的，没有检查是否有错，下次一定不会出现这类事情的。