PKI的核心部分是什么?
完整的 PKI 系统由数字证书、认证中心(CA)、证书资料库、证书吊销系统、密钥备份及恢复系统等部分组件构成。PKI的核心是数字证书,通过数字证书来管理和关联用户角色。PKI的具体功能包括识别用户身份、创建和分发证书、维护和撤销证书、分发和维护加密密钥等部分,各部分之间相互通信协同工作以达到加密通信和身份验证的目的。PKI提供消息交换的身份验证、机密性、抗抵赖性、完整性保护。它混合了对称与不对称算法和哈希方法。PKI广泛应用于电子商务、网上银行和机密电子邮件等一系列网络服务。
PKI能够提供的安全服务:
身份认证
由于网络具有开放性和匿名性等特点,非法用户通过一些技术手段假冒他人身份进行网上欺诈的门槛越来越低,从而对合法用户和系统造成极大的危害。身份认证的实质就是证实被认证对象是否真实和是否有效的过程,被认为是当今网上交易的基础。在PKI体系中,认证中心为系统内每个合法用户办一个网上身份认证。
数据完整性(电子邮件)
数据的完整性就是防止非法篡改信息,如修改、复制、插入、删除等。在交易过程中,要确保交易双方接收到的数据与原数据完全一致,否则交易将存在安全问题。在网络安全中,一般使用散列函数的方法(Hash函数,也称密码杂凑函数)来保证通信时数据的完整性。通过Hash算法我们将任意长度的数据通过变换为长度固定的数字摘要(消息认证码,MAC),并且原始数据中任何一位的改变都将会在相同的计算条件下产生截然不同的数字摘要。
数据保密性(服务访问)
数据的保密性就是对需要保护的数据进行加密,从而保证信息在传输和存储过程中不被未授权人获取。在PKl系统中,所有的保密性都是通过密码技术实现的。密钥对分为两种,一种称作加密密钥对,用作加解密;另一种称作签名密钥对,用作签名。一般情况下,用来加解密的密钥对并不对实际的大量数据进行加解密,只是用于协商会话密钥,而真正用于大量数据加解密的是会话密钥。
不可抵赖性(合同)
不可抵赖性保证参与双方不能否认自己曾经做过的事情。在PKI系统中,不可抵赖性来源于数字签名。由于用户进行数字签名的时候.签名私钥只能被签名者自己掌握,系统中的其他实体不能做出这样的签名,因此,在私钥安全的假设下签名者就不能否认自己做出的签名。
数字签名
由于单一的、独一无二的私钥创建了签名,所以在被签名数据与私钥对应的实体之间可以建立一种联系,这种联系通过使用实体公钥验证签名来实现。如果签名验证正确,并且从诸如可信实体签名的公钥证书中知道了用于验证签名的公钥对应的实体,那么就可以用数字签名来证明被数字签名数据确实来自证书中标识的实体。因此,PKI的数字签名服务分为两部分:签名生成服务和签名验证服务。