非對稱加密最大的特點就是擁有兩個密鑰，即公鑰和私鑰，從私鑰可推導(dǎo)出公鑰，但從公鑰不能推導(dǎo)出私鑰。但是想要應(yīng)用非對稱密碼算法，首先要解決公鑰歸屬問題，需要正確地傳達(dá)用戶的公鑰是什么，某一個公鑰到底屬于哪個人。而這時就需要用到我們今天的主角——PKI閃亮登場了。

PKI簡介

PKI全稱為Public Key Infrastructure，中文譯為公鑰基礎(chǔ)設(shè)施，是基于公鑰密碼學(xué)，建立起一種普遍適用的基礎(chǔ)設(shè)施，可以通過數(shù)字證書很好地解決公鑰歸屬問題，為各種網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù)。

PKI的作用

1. 真實性：標(biāo)識與身份鑒別——確保與你通信的另一方是它所聲稱的真實身份。
2. 完整性：不被修改，沒有錯誤——保證信息在存儲或傳輸過程中保持不被篡改、破壞。
3. 機密性：隱私與保密——除了通信雙方之外，其他方無法獲知該信息。
4. 非否認(rèn)性：責(zé)任確定——任何一方無法抵賴自己曾做過的操作。

PKI系統(tǒng)的組成結(jié)構(gòu)

PKI基本結(jié)構(gòu)由證書認(rèn)證機構(gòu)（certificate authority, CA）、證書持有者（certificate holder）、依賴方（relying party）三方構(gòu)成：

1. CA是一個獨立的可信第三方，為證書持有者簽發(fā)數(shù)字證書，數(shù)字證書中聲明了證書持有者的身份和公鑰。CA在簽發(fā)證書前應(yīng)對證書持有者的身份信息進(jìn)行核實驗證，并根據(jù)其核驗結(jié)果為其簽發(fā)證書。
2. 證書持有者向CA申請數(shù)字證書，并向CA提供必要的信息以證明其身份及能力，獲得由CA簽發(fā)的證書；證書持有者在與依賴方進(jìn)行交互時，需向依賴方提供由CA簽發(fā)的數(shù)字證書證明其有效身份。
3. 依賴方是證書的驗證方，依賴方與證書持有者進(jìn)行交互（如建立通信連接）時，需獲取證書持有者的數(shù)字證書，驗證數(shù)字證書的真實性和有效性。依賴方可以指定其信任的CA列表，若證書持有者提供的數(shù)字證書不是受信CA簽發(fā)的數(shù)字證書，依賴方將不認(rèn)可該證書所聲明的信息。

數(shù)字證書、CA和PKI的關(guān)系

數(shù)字證書是PKI最基本的元素，也是承載PKI安全服務(wù)最重要的載體。數(shù)字證書存在的意義在于回答“公鑰屬于誰”的問題，以幫助用戶安全地獲得對方的公開密鑰。

三者之間的關(guān)系簡單來說就是從屬關(guān)系，CA是PKI的核心執(zhí)行機構(gòu)，是PKI的主要組成部分，而數(shù)字證書是由CA頒發(fā)的，所以三者是從屬關(guān)系，既數(shù)字證書從屬于CA從屬于PKI。

免責(zé)聲明：素材源于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系刪稿。

cc

收藏 海報分享