PKI:公鑰基礎設施（Public Key Infrastructure）

• 通過使用公鑰技術和數字簽名來確保信息安全

• 由公鑰加密技術、數字證書、CA、RA組成

PKI體系能夠實現的功能:

• 數據機密性

• 身份驗證

• 數據完整性

• 操作的不可否認性

公鑰加密技術是PKI的基礎:

公鑰與私鑰關系

• 成對生成，互不相同，互相加密與解密

• 不能根據一個密鑰來推算出另一個密鑰

• 公鑰對外公開，私鑰只有私鑰持有人才知道

• 私鑰應該由密鑰的持有人妥善保管

  根據實現的功能不同，可分為數據加密和數字簽名

• 
  

• 發送方使用接收方的公鑰加密數據

• 接收方使用自己的私鑰解密數據

數據加密能保證所發送數據的機密性

數字簽名:

• 發送方對原始數據執行HASH算法得到摘要值

• 發送方用自己私鑰加密摘要值

• 將加密的摘要值與原始數據發送給接收方

• 對方用發送方的公鑰對摘要進行解密，同時又對收到的文件用與發送方相同的HASH算法得到一個新的摘要

• 將解密的摘要與新得到的摘要進行對比，可以得出文件在傳輸過程中是否被破壞或篡改

數字簽名保證數據完整性、身份驗證和不可否認

PKI協議

• SSL

• HTTPS

• IPSec

證書用於保證密鑰的合法性，主體可以是用戶、計算機、服務等，格式遵循X.509標準

• 數字證書包含信息

• 使用者的公鑰值

• 使用者標識信息

• 有效期

• 頒發者標識信息

• 頒發者的數字簽名

數字證書由權威公正的第三方機構即CA簽發

CA（Certificate Authority，證書頒發機構）

核心功能是頒發和管理數字證書

證書的頒發過程：

用戶申請-RA處理申請-RA驗證並簽名-RA提交CA-CA制作證書並歸檔-CA發放證書給RA-RA頒發證書給用戶-用戶驗證

CA分類

• 企業（域環境，證書自動頒發）

• 獨立（工作組環境，證書手動頒發）

申請證書地址：http://服務器IP/certsrv

本文出自 “網絡” 博客，請務必保留此出處http://yangshufan.blog.51cto.com/13004230/1942840

PKI與證書服務