PKI数据库-管理类品行

PKI（HTTPS）体系详解PKI是什么百度百科:PKI是Public Key Infrastructure的⾸字母缩写，翻译过来就是公钥基础设施；PKI是⼀种遵循标准的利⽤公钥加密技术为电⼦商务的开展提供⼀套安全基础平台的技术和规范。

X.509标准中，为了区别于权限管理基础设施(Privilege Management Infrastructure，简称PMI)，将PKI定义为⽀持公开密钥管理并能⽀持认证、加密、完整性和可追究性服务的基础设施]。

这个概念与第⼀个概念相⽐，不仅仅叙述PKI能提供的安全服务，更强调PKI必须⽀持公开密钥的管理。

也就是说，仅仅使⽤公钥技术还不能叫做PKI，还应该提供公开密钥的管理。

因为PMI仅仅使⽤公钥技术但并不管理公开密钥，所以，PMI就可以单独进⾏描述了⽽不⾄于跟公钥证书等概念混淆。

X.509中从概念上分清PKI和PMI有利于标准的叙述。

然⽽，由于PMI使⽤了公钥技术，PMI的使⽤和建⽴必须先有PKI的密钥管理⽀持。

也就是说，PMI不得不把⾃⼰与PKI绑定在⼀起。

当我们把两者合⼆为⼀时，PMI+PKI就完全落在X.509标准定义的PKI范畴内。

根据X.509的定义，PMI+PKI仍旧可以叫做PKI，⽽PMI完全可以看成PKI的⼀个部分。

PKI 既不是⼀个协议，也不是⼀个软件，它是⼀个标准，在这个标准之下发展出的为了实现安全基础服务⽬的的技术统称为 PKI。

PKI的组成部分百度百科:PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，⽬的是为了管理密钥和证书。

⼀个机构通过采⽤PKI 框架管理密钥和证书可以建⽴⼀个安全的⽹络环境。

PKI 主要包括四个部分：X.509 格式的证书（X.509 V3）和证书废⽌列表CRL（X.509 V2）；CA 操作协议；CA 管理协议；CA 政策制定。

⼀个典型、完整、有效的PKI 应⽤系统⾄少应具有以下五个部分: 1）认证中⼼CA CA 是PKI 的核⼼，CA负责管理PKI 结构下的所有⽤户（包括各种应⽤程序）的证书，把⽤户的公钥和⽤户的其他信息捆绑在⼀起，在⽹上验证⽤户的⾝份，CA 还要负责⽤户证书的⿊名单登记和⿊名单发布，后⾯有CA 的详细描述。

什么是PKI？为什么会出现PKI？景安网络—专业的数据中心服务商！提供快云服务器,快云VPS,虚拟主机,域名注册,服务器托管,服务器租用,SSL证书，数据库存储。

PKI（Public Key Infrastructure ）即'公开密钥体系'，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单的来说，PKI是利用公钥理论和技术建立的提供安全服务的基础设施。

PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

PKI的基础技术主要包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

PKI的基本组成包含：完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，PKI构建也将围绕着这五大系统来着手进行。

1.认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征；2.数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；3.密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。

为避免这种情况，PKI 提供备份与恢复密钥的机制。

但须注意，密钥的备份与恢复必须由可信的机构来完成。

并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其性而不能够作备份。

4.证书作废系统：证书作废处理系统是PKI的一个必备的组件。

与日常生活中的各种身份证件一样，证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。

为实现这一点，PKI必须提供作废证书的一系列机制。

5.应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。

简述pki的运行模型公钥基础设施PKI 的原理，顾名思义PKI是基于公钥密码技术的。

要想深刻理解PKI的原理，就一定要对PKI涉及到的密码学知识有比较透彻的理解。

下面简单介绍一下密码学知识。

对于普通的对称密码学，加密运算与解密运算使用同样的密钥。

通常，使用的加密算法比较简便高效，密钥简短，破译极其困难，由于系统的保密性主要取决于密钥的安全性，所以，在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。

正是由于对称密码学中双方都使用相同的密钥，因此无法实现数据签名和不可否认性等功能。

而与此不同的非对称密码学，具有两个密钥，一个是公钥一个是私钥，它们具有这种性质：用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。

公钥顾名思义是公开的，所有的人都可以得到它；私钥也顾名思义是私有的，不应被其他人得到，具有唯一性。

这样就可以满足电子商务中需要的一些安全要求。

比如说要证明某个文件是特定人的，该人就可以用他的私钥对文件加密，别人如果能用他的公钥解密此文件，说明此文件就是这个人的，这就可以说是一种认证的实现。

还有如果只想让某个人看到一个文件，就可以用此人的公钥加密文件然后传给他，这时只有他自己可以用私钥解密，这可以说是保密性的实现。

基于这种原理还可以实现完整性。

这就是PKI 所依赖的核心思想，这部分对于深刻把握PKI 是很重要的，而恰恰这部分是最有意思的。

比如在现实生活中，我们想给某个人在网上传送一个机密文件，该文件我们只想让那个人看到，我们设想了很多方法，首先我们想到了用对称密码将文件加密，而在我们把加密后的文件传送给他后，我们又必须得让他知道解密用的密钥，这样就又出现了一个新的问题，就是我们如何保密的传输该密钥，此时我们发现传输对称密钥也不可靠。

后来我们可以改用非对称密码的技术加密，此时发现问题逐渐解决了。

然而又有了一个新的问题产生，那就是如何才能确定这个公钥就是某个人的，假如我们得到了一个虚假的公钥，比如说我们想传给A 一个文件，于是开始查找A 的公钥，但是这时B 从中捣乱,他把自己的公钥替换了A 的公钥，让我们错误的认为B 的公钥就是A 的公钥，导致我们最终使用B 的公钥加密文件，结果A 无法打开文件，而B 可以打开文件，这样B 实现了对保密信息的窃取行为。

一．PKI简介PKI是Public Key Infrastructure的缩写，通常译为公钥基础设施。

称为“基础设施”是因为它具备基础设施的主要特征。

PKI在网络信息空间的地位与其他基础设施在人们生活中的地位非常类似。

电力系统通过延伸到用户端的标准插座为用户提供能源；PKI通过延伸到用户的接口为各种网络应用提供安全服务，包括身份认证、识别、数字签名、加密等。

一方面PKI对网络应用提供广泛而开放的支撑；另一方面，PKI系统的设计、开发、生产及管理都可以独立进行，不需要考虑应用的特殊性。

目前，安全的电子商务就是采用建立在PKI基础上的数字证书，通过对要传输的数字信息进行加密和签名来保证信息传输的机密性、真实性、完整性和不可否认性（又称非否认性)，从而保证信息的安全传输和交易的顺利进行。

PKI已成为电子商务应用系统、乃至电子政务系统等网络应用的安全基础和根本保障。

PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的完整性、机密性、不可否认性。

数据的完整性是指数据在传输过程中不能被非法篡改；数据的机密性是指数据在传输过程中，不能被非授权者偷看；数据的不可否认性是指参加某次通信交换的一方事后不可否认本次交换曾经发生过。

二．证书申请1．PKI组件PKI主要包括认证中心CA、注册机构RA、证书服务器、证书库、时间服务器和PKI策略等。

（1）CACA是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。

CA用于创建和发布证书，它通常为一个称为安全域的有限群体发放证书。

创建证书的时候，CA系统首先获取用户的请求信息，其中包括用户公钥（公钥一般由用户端产生，如电子邮件程序或浏览器等），CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。

其他用户、应用程序或实体将使用CA的公钥对证书进行验证。

如果一个CA系统是可信的，则验证证书的用户可以确信，他所验证的证书中的公钥属于证书所代表的那个实体。

PKI1.PKI的定义PKI（Public Key Infrastructure ）即"公钥基础设施"，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，即PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。

它是一个使用公钥概念和密码技术实施和提供安全服务的具有普适性的安全基础设施的总称，是生成、管理、存储、颁发和撤销基于公钥密码的数字证书所需要的软硬件、人员和策略和规程的总和。

它以公开密钥密码算法为基础，结合对称密码算法、摘要算法等，通过数字签名、数字证书等技术来保证网络传输数据的机密性、完整性、不可否认性以及身份鉴别等。

2. PKI基础协议PKIX基础协议是以RFC3280（早期的RFC 2459）为核心，详细定义了X.509v3 公钥证书和X.509 v2 CRL 的格式、数据结构及其操作步骤等，来保证PKI功能的实现。

PKI的基础协议有很多，如ITU-T X.680 Abstract Syntax Notation One（语法符号标准ASN.1）、ITU-T X.690 ASN.1 Encoding Rules（数据编码标准）和ITU-T X.500 系列标准等。

而国际电信联盟ITU X.509协议，是PKI技术体系中应用最为广泛、也是最为基础的一个协议。

它主要目的在于定义一个规范的数字证书格式，以便为基于X.500协议的目录服务提供一种认证手段。

2.1X 509证书格式3.PKI的基本构成公钥证书证书作废列表（CRL）策略管理机构（PMA）认证机构（CA）注册机构（RA）证书管理机构（CMA）证书存档(Repository)署名用户（Subscriber）依赖方(Relying party)最终用户（End User）4.PKI的运行1）署名用户向证明机构（CA）提出数字证书申请；2）CA验明署名用户身份，并签发数字证书；3）CA将证书公布到证书库中；4）署名用户对电子信件数字签名作为发送认证，确保信件完整性，不可否认性，并发送给依赖方。

PKI 技术PKI（Public Key Infrastructure）。

是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务具有普遍性的安全基础设施。

该体系在统一的安全认证标准和规范基础上提供了在线身份认证，是CA认证、数字证书、数字签名以及相关的安全应用组件的集合。

PKI的核心是解决信息网络空间中的信任问题，确定信息网络、信息空间中各种经济、军事、和管理行为行为主体（包括组织和个人）身份的唯一性、真实性和合法性。

是解决网上身份认证、信息完整性和抗抵赖等安全问题的技术保障体系。

管理PKI的机构即为CA中心。

公钥基础设施（PKI）、特权管理基础设施（PMI）PKI/PMI作为“信任体系”建设的一种实用性探索，适应大时空、流动授权、跨域共享；可提供身份认证、授权管理、责任认定；可以初步构建其“信任体系”（见27号文）；在一些领域内颇有吸引力。

但在使用中，要重视：应用需求是基础、业务流程优化是保障、以及务求实效是关键的原则。

作为一个安全基础设施的全功能的PKI由一系列组件和服务构成：1. 证书机构2. 证书库3. 证书撤消4. 密钥备份和恢复5. 自动密钥更新6. 密钥文档管理7. 交差认证8. 支持不可否认9. 时间戳10. 客户端软件而我们利用PKI技术能提供给您的是：数字的保密性- 加密数据的完整性- 数字签名身份鉴别- 数字签名和证书不可否认性- 数字签名和证书什么是数字证书？数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。

它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。

一个标准的X.509数字证书包含以下一些内容：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的签名。