PKI:
公鑰基礎設施,主要用於身份認證和數據加密。
具體解決的問題:
機密性 完整性 身份認證 不可否認性
PKI的組成:
CA認證中心:用於證書的生成,簽發,更新,作廢等操作
RA註冊中心:負責處理用戶的註冊、審覈、證書申請、下載等
KMC祕鑰管理中心:負責加密證書密鑰對的生成、保存、查詢
LDAP吊銷文件存儲:ldap中的CRL文件記錄着證書的狀態,如過期、正常、凍結等
加密機祕鑰存放:存放個個模塊根證書的祕鑰
OCSP實時證書狀態監聽:與CRL文件功能一樣,但ocsp是實時監控,ldap是定時更新
PKI具體的分類:
對稱加密算法
特點 公鑰加密,公鑰解密;每人手中一把祕鑰;加解密速度快
算法 des(祕鑰長度56位)、3des(168位)、aes(128,192,256位)、國密sm1,sm4(128位)
非對稱加密算法
特點 公鑰加密,私鑰解密;私鑰加密,公鑰解密;每人手中兩把
算法 rsa(1024,2048位)、ecc、國密sm2(256位)
非對稱加密流程:
1.李四要發送數據給張三
2.張三先將自己的公鑰公佈
3.李四利用張三的公鑰加密數據,發送給張三
4.張三收到數據後,利用自己的私鑰解密得到原文
由PKI引出的解決方案:
CA數字證書 解決身份認證問題
數字簽名 解決完整性和不可否認性問題
SSL加密 解決數據加密和身份認證問題
數字信封 解決數據加密問題