1.预备知识
PKI(Public Key Infrastructure)定义
PKI:利用公钥理论和技术建立的提供网络信息安全服务的基础设施。为用户提供所需的密钥和证书管理,用户可以利用PKI平台提供的安全服务进行安全通信。
PKI内容:
1. 认证机构
PKI的核心部分,认证中心,是数字证书的签发机构,权威可信任的第三方机构
2. 数字证书库
在使用公钥体制的网络环境中,必须向公钥的使用者证明公钥的真实合法性。因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及它与公钥的匹配关系。
3. 密钥备份
如果用户丢失了密钥,会造成已经加密的文件无法解密,引起数据丢失,为了避免这种情况,PKI提供密钥备份及恢复机制
4. 证书作废
身份变更或密钥遗失
5. 应用接口系统
PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互,确保所建立起来的网络环境安全可信,并降低管理成本。
6.安全强度 取决于密钥长度
如:56位密钥破解 需要3.5或21分钟
128位密钥破解 需要5.4*10 18次方年
7.安全标准
(1)成本标准:信息价值与破解成本的比较
(2)时间有效期:信息的有效期与破解时间的比较
PKI加密技术:
对称加密 加密密钥和解密密钥是同一个密钥
非对称加密 公钥 和 私钥 密钥对 公钥加密私钥解密 私钥加密公钥解密 (公钥与私钥不能互相推导)
每个用户有一个非对称密钥就足够,适合互联网传公钥 加密效率低
2.加密细节
加密 隐藏细节 使用对称密钥加密数据 使用公钥加密对称密钥
数字签名 作用 防止抵赖 确信信息来源 不能更改
3.证书颁发机构
数字证书 就是非对称密钥
2.实践
查找电脑中的数字证书,以windows2003为例:
查看网站数字证书:
查看与增删计算机上的数字证书
查看证书2
5.CA的种类
(1)企业CA 在域环境中 为域中的用户和计算机颁发证书 不需要管理员颁发 在线
(2)独立CA 为互联网上广大企业和用户发证书 根证书机构可以离线 提供证书吊销列表的CA必须在线
(1)根CA
(2)子CA
2.在企业中如何使用PKI技术实现安全
更改计算机名
在windows2008中安装根CA
在企业中安装企业CA 子CA
为子CA申请数字证书
将申请提交给 独立CA
安装数字证书
注:文章中有参照韩立刚老师的视频教程,实验过程由于虚拟机问题实验未完成,在后续有时间会补回来。。。
如若文章未满足您的需求非常抱歉,由于个人原因尚未将此文完善,有时间一定补上。