PKI基本概念
PKI全稱 Public Key Infrastructure,翻譯公鑰基礎設施。是一種利用公鑰理論和技術建立的提供信息安全服務的基礎設施。爲互聯網通信中的信息安全提供身份認證、防抵賴和保密性。
PKI提供的安全服務:身份認證、數字簽名、數字信封、時間戳等。
數字證書
數字證書是指由CA(電子認證服務)機構頒發用於證明/驗證網絡身份的數字文件,對網絡傳輸中的數據進行加密/解密,保證了數據的完整性和安全性。一套完整的數字證書一般包括:公鑰證書和私鑰證書各一份。
私鑰證書
是一組實體用戶所專有的(不公佈於網絡),在公鑰密碼體系(PKI)中用於數字簽名的。《電子簽名法》解釋爲:屬於電子簽名人所專有的證書爲私鑰證書。
公鑰證書
一個私鑰對應一個公鑰,在PKI體系中主要用生數字簽名驗證。
證書密鑰算法
證書密鑰算法分爲:RSA(國際算法)和SM2(ECC橢圓曲線密碼算法)。
算法
對稱加密
數據加/解密時使用的相同密鑰,不區分公鑰和私鑰。不屬於PKI體系。算法例如:DES、AES、3DES、IDE郵件加密、
非對稱加密(例:數字簽名)
在PKI體系中,一般採用非對稱加/解密算法,即加密和解密時採用不同的密鑰。例如採用私鑰加密,解密時使用公鑰解密(例:數字簽名);採用公鑰加密,解密時使用私鑰(例:數字信封)。算法例如:RSA/ECC。
數字簽名
數字簽名的過程雖然也是非對稱加/解密的過程,但在加/解密過程中,加密後的數據,解密後還原明文。但數字簽名,是在原文後面加上一段簽名數據(該簽名數據是通過對原文進行摘要計算(MD5/SHA1/2),對得到的摘要數據進行私鑰加密),接收者收到帶簽名的數據(原文+數據簽名),使用簽名私鑰對應的公鑰對簽名數據進行解密(非對稱加/解密),得到原文的摘要,同時再次計算收到的原文摘要,與解密的摘要進行對比,是否一致。如果一致,則該原文未被篡改,不一致,證明原文已被修改(即使多一個空格)。
因愛而生
曾經有一對相愛的戀愛人,男生叫Bob,女生叫Alice,由於種種原因不能公開戀情,但是彼此有是愛的那麼深。爲了方便平時的聯繫,Bob想了一個辦法,在發信的時候進行加密發給對方,並且只有對方纔能解密;但是發現光加密是不行的,萬一有人冒名寫信怎麼辦呢?Alice說,你每次寫信的時候,能不能加上你自己特有的簽名。只有有你親自簽名的信我才認。
數字證書頒發
Bob和Alice向第三方CA發起證書申請,CA審覈過後,分別爲每發頒發了一對數字證書;一把私鑰證書和一把公鑰證書。
數字證書公鑰交換
Bob和Alice互相交換加密密鑰(彼此公鑰證書)。加密時採用對方的公鑰證書,只有對應的私鑰證書才能解密 。這樣就防止了被竊取。
數字簽名+數字信封
Bob寫好信以後,用自己的私鑰證書進行數字簽名,然後再用Alice的公鑰證書對信進行加密。然後發給Alice。
簽名驗證和解密
Alice收到信以後,用自己的私鑰證書進行解密,再用Bob的公鑰證書驗證簽名,只有驗證通過Alice才能認可這是Bob寫給她的。
拙詞劣句,望有文筆之士幫忙。