1.預備知識
PKI(Public Key Infrastructure)定義
PKI:利用公鑰理論和技術建立的提供網絡信息安全服務的基礎設施。爲用戶提供所需的密鑰和證書管理,用戶可以利用PKI平臺提供的安全服務進行安全通信。
PKI內容:
1. 認證機構
PKI的核心部分,認證中心,是數字證書的簽發機構,權威可信任的第三方機構
2. 數字證書庫
在使用公鑰體制的網絡環境中,必須向公鑰的使用者證明公鑰的真實合法性。因此,在公鑰體制環境中,必須有一個可信的機構來對任何一個主體的公鑰進行公證,證明主體的身份以及它與公鑰的匹配關係。
3. 密鑰備份
如果用戶丟失了密鑰,會造成已經加密的文件無法解密,引起數據丟失,爲了避免這種情況,PKI提供密鑰備份及恢復機制
4. 證書作廢
身份變更或密鑰遺失
5. 應用接口系統
PKI應用接口系統是爲各種各樣的應用提供安全、一致、可信任的方式與PKI交互,確保所建立起來的網絡環境安全可信,並降低管理成本。
6.安全強度 取決於密鑰長度
如:56位密鑰破解 需要3.5或21分鐘
128位密鑰破解 需要5.4*10 18次方年
7.安全標準
(1)成本標準:信息價值與破解成本的比較
(2)時間有效期:信息的有效期與破解時間的比較
PKI加密技術:
對稱加密 加密密鑰和解密密鑰是同一個密鑰
非對稱加密 公鑰 和 私鑰 密鑰對 公鑰加密私鑰解密 私鑰加密公鑰解密 (公鑰與私鑰不能互相推導)
每個用戶有一個非對稱密鑰就足夠,適合互聯網傳公鑰 加密效率低
2.加密細節
加密 隱藏細節 使用對稱密鑰加密數據 使用公鑰加密對稱密鑰
數字簽名 作用 防止抵賴 確信信息來源 不能更改
3.證書頒發機構
數字證書 就是非對稱密鑰
2.實踐
查找電腦中的數字證書,以windows2003爲例:
查看網站數字證書:
查看與增刪計算機上的數字證書
查看證書2
5.CA的種類
(1)企業CA 在域環境中 爲域中的用戶和計算機頒發證書 不需要管理員頒發 在線
(2)獨立CA 爲互聯網上廣大企業和用戶發證書 根證書機構可以離線 提供證書吊銷列表的CA必須在線
(1)根CA
(2)子CA
2.在企業中如何使用PKI技術實現安全
更改計算機名
在windows2008中安裝根CA
在企業中安裝企業CA 子CA
爲子CA申請數字證書
將申請提交給 獨立CA
安裝數字證書
注:文章中有參照韓立剛老師的視頻教程,實驗過程由於虛擬機問題實驗未完成,在後續有時間會補回來。。。
如若文章未滿足您的需求非常抱歉,由於個人原因尚未將此文完善,有時間一定補上。