公钥基础设施 PKI

  • 1.功能
  • 2.设计
  • 3.认证方法
    • 3.1证书机构(CA)
    • 3.2信任网络(Wot)
    • 3.3简单的公共关键基础设施(SKPI)
    • 3.4分散的PKI
    • 3.5基于区块链的 PKI
  • 4.使用

密码学上,公开密钥基础建设借着数字证书认证机构(certificate authority CA)将用户的个人身份跟公开密钥链接在一起。对每个证书中心用户的身份必须是唯一的。链接关系通过注册和发布过程创建,取决于担保级别,链接关系可能由CA的各种软件或在人为监督下完成。PKI的确定链接关系的这一角色称为注册管理中心(Registration Authority RA)。RA确保公开密钥和个人身份链接,可以防抵赖。

1.功能

PKI提供“信任服务” - 信任实体的行为或输出,无论人或计算机。信任服务目标尊重以下一个或多个功能:机密性,完整性和真实性 (Confidentiality, Integrity and Authenticity CIA)。

保密性:保证任何 实体不得恶意或无意地以清晰文本查看有效载荷。数据被加密使其保密,因此即使被读取也是乱码。PKI 用于保密目的的最常见用途是在运输层安全(Transport Layer Security TLS)。

完整性:保证如果一个实体以最轻微的方式更改(篡改)传输数据,很明显,它就会发生,因为它的完整性会受到损害。防止完整性受到损害并不重要,重要的是有明确证据表明它被篡改了。

真实性:保证您在连接到受保护的服务时能够确定您所连接到的内容,或证明您的合法性。前者称为服务器端身份验证 - 通常在使用密码对 Web 服务器进行身份验证时使用。后者称为客户端身份验证 - 有时在使用智能卡(托管数字证书和私钥)进行身份验证时使用。

2.设计

公钥加密技术使实体能够在不安全的公共网络上进行安全通信,并通过数字签名可靠地验证实体的身份。

公钥基础架构(PKI)是用于创建、存储和分发数字证书的系统,用于验证特定公钥是否属于某个实体。PKI 创建数字证书,将公钥映射到实体,将这些证书安全地存储在中央存储库中,并在需要时撤销它们。

PKI 包括:
授权机构(CA):存储、签发和签署数字证书的证书;
注册机构(RA):验证请求将数字证书存储在 CA的实体身份;
中央目录:即存储和索引密钥的安全位置;
证书管理系统:管理诸如访问存储的证书或交付要签发的证书等事项;
证书策略:说明了PKI关于其程序的要求。其目的是允许外人分析PKI的可靠性。

用户是使用PKI的人,使用PKI的人又分为两种:一种是向认证机构(CA)注册自己公钥的人,另一种是希望使用已注册公钥的人。

认证机构是对证书进行管理的人或机构。认证机构进行这几种操作:代用户生成密钥对(当然可以由用户自己生成);对注册公钥的用户进行身份验证;生成并颁发证书;作废证书。另外,对公钥注册和用户身份验证可以由注册机构(Registration Authority,RA)来完成。

仓库(repository)是存放证书的数据库。仓库也叫证书目录。

3.认证方法

广义上讲,传统上有三种方法可以获得信任:证书机构 (certificate authorities CAs)、信任网络(web of trust WoT)和简单的公共关键基础设施(simple public key infrastructure SPKI)

3.1证书机构(CA)

CA 的主要作用是以数字签名并发布绑定给定用户的公钥。这是使用 CA 自己的私钥完成的,因此对用户密钥的信任依赖于对 CA 密钥有效性的信任。当 CA 是与用户和系统分离的第三方时,则称为注册机构(RA),该机构可能与 CA 分离。根据绑定的保证水平,通过软件或人类监督,建立关键的键。

"受信任的第三方"一词 ( trusted third party TTP) 也可用于证书授权(CA)。此外,PKI 本身经常被用作 CA 实现的同义词。

3.2信任网络(Wot)

解决公共关键信息公开认证问题的另一种方法是信任网计划,该计划使用自签名证书和第三方证明这些证书。单一术语"信任网"并不意味着存在单一的信任网或共同的信任点,而是任意数量可能脱节的"信任网"之一。此方法的实现示例是PGP(相当良好的隐私)和GnuPG(开放PGP的实现,PGP 的标准化规范)。由于 PGP 和实施允许使用电子邮件数字签名自行发布公共关键信息,因此实现自己的信任网络相对容易。

信任网络的好处之一,如在PGP中,它能够与所有各方完全信任的PKI CA进行互操作,该域(如公司内部CA)中愿意作为受信任的介绍人保证证书。如果"信任网"是完全信任的,那么,由于信任网的性质,信任一个证书是授予信任该网络的所有证书。PKI 仅与控制证书颁发的标准和做法一样有价值,包括 PGP 或个人建立的信任网络,可能会显著降低该企业或领域实施 PKI 的可信度。

3.3简单的公共关键基础设施(SKPI)

另一种不涉及公共关键信息的公开认证的替代方案是简单的公共关键基础设施(SPKI),它源于三项独立努力,旨在克服X.509和PGP信任网的复杂性。SPKI 不将用户与人关联,因为关键是什么是可信的,而不是人。SPKI 不使用任何信任概念,因为验证人也是发行人。这在 SPKI 术语中称为"授权循环",其中授权是其设计不可或缺的一部分。[需要引文]这种类型的PKI特别适用于使PKI的集成不依赖于第三方的证书授权,证书信息等:一个很好的例子就是办公室里的空盖网络。

3.4分散的PKI

分散标识符(Decentralized identifiers DIDs) 消除了对标识符集中注册以及关键管理的集中证书权限的依赖,这是分层 PKI 的标准。在 DID 注册表是分布式分类账的情况下,每个实体都可以作为自己的根权。此架构称为分散 PKI (decentralized PKI DPKI)。

3.5基于区块链的 PKI

PKI 的一种新兴方法是使用通常与现代加密货币相关的区块链技术。由于区块链技术旨在提供分布式和不可出售的信息分类账,因此它具有被认为非常适合存储和管理公钥的品质。一些加密货币支持存储不同的公钥类型(SSH、GPG、RFC 2230等),并提供直接支持OpenSSH服务器 PKI 的开源软件。虽然区块链技术可以大致证明工作往往支持信任,依靠各方对PKI的信心,但问题仍然存在,如行政符合政策,操作安全和软件实施质量。证书权威范式有这些问题,无论采用的基本加密方法和算法如何,寻求赋予证书可信属性的 PKI 也必须解决这些问题。

4.使用

一种或另一种类型的 KKI 以及来自多个供应商中的任何一个具有许多用途,包括为用户身份提供公共密钥和绑定,用于以下用途:

电子邮件的加密和/或发送者身份验证(例如,使用OpenPGP或S/MIME);
文档的加密和/或身份验证(例如,如果文档编码为XML,则XML 签名或XML 加密标准);
用户对应用程序的身份验证(例如,智能卡徽标、使用SSL的客户端身份验证)。在谜团和mod_openpgp项目中,数字签名HTTP认证具有实验用途;
引导安全通信协议,如互联网密钥交换(IKE) 和SSL。在这两种情况中,安全通道(“安全关联”)的初始设置使用不对称密钥(即公钥)方法,而实际通信使用更快的对称密钥(即秘密密钥)方法;
移动签名是使用移动设备创建的电子签名,依靠独立电信环境中的签名或认证服务;
物联网需要相互信任的设备之间的安全通信。公钥基础设施使设备能够获取和更新 X509 证书,这些证书用于在设备之间建立信任,并使用TLS加密通信。

公钥基础设施 (Public-key infrastructure PKI)相关推荐

  1. [千峰安全篇9]Public Key Infrastructure

    Public Key Infrastructure 1.PKI概述 名称:Public Key Infrastructure 公钥基础设施 作用:通过加密技术和数字签名保证信息的安全 组成:公钥机密技 ...

  2. Public Key Infrastructure

    PKI(Public Key Infrastructure),即公钥基础结构,利用公钥加密技术为网上电子商务的开展提供了一套安全基础平台,用户利用PKI平台提供的安全服务进行安全通信.简单地说,PKI ...

  3. 公钥(Public Key)与私钥(Private Key)

    公钥(Public Key)与私钥(Private Key) 公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部 ...

  4. IRIS 2021 技术文档 First Look 28 - InterSystems 公钥基础设施 (PKI)

    本文档介绍了 InterSystems 公钥基础设施(PKI),它可以在开发组织的安全策略中发挥重要作用.它提供有关公钥加密.证书颁发机构和 PKI 的信息.然后介绍一些与使用 InterSystem ...

  5. 公钥基础设施 PKI 技术与应用发展

    公钥基础设施 PKI 技术与应用发展 一.概述 PKI是"Public Key Infrastructure"的缩写,意为"公钥基础设施".简单地说,PKI技术 ...

  6. PKI 公钥基础设施

    PKI概念 PKI(Public Key Infrastructure)即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必 ...

  7. 关于证书(certificate)和公钥基础设施(PKI)的一切

    这篇长文并不是枯燥.零碎地介绍 PKI.X.509.OID 等概念,而是从前因后果.历史沿革 的角度把这些东西串联起来,逻辑非常清晰,让读者知其然,更知其所以然. 证书和 PKI 的目标其实很简单:将 ...

  8. 第17节 PKI公钥基础设施

    PKI公共秘钥技术 1PKI概述 2公钥加密技术 2.1对称加密算法 2.2非对称加密算法 2.3不可逆算法 2.4数字证书技术 3PKI工作原理与过程--以非对称加密技术.数字证书为例 3.1公钥与 ...

  9. PKI 公钥基础设施原理与应用

    文章目录 PKI 是什么 PKI 详细介绍 PKI 的组成 核心算法 CA 机构 数字证书 证书撤销机制 应用:访问控制 参考资料 PKI 是什么 Public Key Infrastructure( ...

最新文章

  1. 赵劲松:预知潜在风险,做化工安全科技创新的引领者
  2. 关于RPM包中的rpmnew和rpmsave
  3. mysql数据库元表_mysql中元数据库information_schema学习之TABLES表
  4. C++Bubble sort冒泡排序的实现算法(附完整源码)
  5. J2Pay – API响应
  6. 01数据库基本设计规范
  7. Spring学习总结(2)- AOP
  8. linux双机热备份
  9. Tomcat8正确配置环境变量详细方法
  10. android 手机ssh客户端,android手机ssh客户端ConnectBot
  11. kali2021安装RTL8188GU无线网卡[TL-WN726N]驱动
  12. php 拼接html字符串,php截断带html字符串文章内容的方法
  13. ArcGIS_标准差椭圆分析
  14. 新的开始,fighting
  15. 计算机网络物联网论文,物联网技术及其应用_计算机网络论文.doc
  16. Mysql磁盘空洞的成因以及重建表的几种方式
  17. 每日一题----空瓶子喝可乐问题
  18. 故宫景点功课17:内廷西路(中)
  19. 如何使IOT2050成为PN设备
  20. 爬虫学习4——Xpath爬取网页信息

热门文章

  1. MYSQL数据库⾯试题
  2. python 求向量模长(一范二范)
  3. 计算机中丢失Smtpemail,SMTP和ESMTP错误代码列表
  4. 网络安全风险与防范方法
  5. 转(JAVA的JNI调用)
  6. 计算机电影制作专业,影视制作专业是学什么的
  7. 用三种方式安装Nginx
  8. Android 设计模式之MVC,从一个实例中来理解MVC
  9. InputStream输入字节流
  10. 【太虚AR_v0.1】使用教程 | SLAM(Markerless)