亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        公鑰基礎(chǔ)設(shè)施(PKI)原理淺析

        2015-08-15 06:28:38莊城山

        莊城山

        (安徽工業(yè)職業(yè)技術(shù)學(xué)院,安徽銅陵 244000)

        公鑰基礎(chǔ)設(shè)施(PKI)原理淺析

        莊城山

        (安徽工業(yè)職業(yè)技術(shù)學(xué)院,安徽銅陵244000)

        公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure)是一組利用非對稱加密算法原理和技術(shù)實現(xiàn)并提供安全服務(wù)的具有通用性的技術(shù)規(guī)范和標(biāo)準(zhǔn)。文章以密碼學(xué)發(fā)展的3個階段為線索介紹了古典密碼學(xué)、現(xiàn)代密碼學(xué)和公鑰密碼學(xué)。通過形象的案例總結(jié)了公鑰密碼學(xué)的不足,介紹了當(dāng)前廣泛用于解決電子商務(wù)中安全問題的公鑰基礎(chǔ)設(shè)施(PKI)技術(shù)。以此為基礎(chǔ)分析了PKI技術(shù)的工作原理和工作流程。

        公鑰基礎(chǔ)設(shè)施(PKI);密碼學(xué);密鑰;證書

        一、引言

        隨著計算機(jī)技術(shù),尤其是網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,人們通過網(wǎng)絡(luò)交互的信息量越來越大。網(wǎng)絡(luò)為人們之間的交流帶來巨大便利的同時,也存在著巨大的安全隱患。經(jīng)過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)可能會被非法竊聽。如何保證數(shù)據(jù)傳輸過程中的保密性、完整性和不可否認(rèn)性,是網(wǎng)絡(luò)安全技術(shù)里需要研究的重要課題。以公鑰密碼學(xué)為基礎(chǔ)的公鑰基礎(chǔ)設(shè)施(PKI)是排除這一隱患的重要手段。因公鑰基礎(chǔ)設(shè)施(PKI)工作原理較為復(fù)雜,理解通常較為困難。本文嘗試從應(yīng)用角度分析公鑰基礎(chǔ)設(shè)施(PKI)基本原理,旨在幫助初學(xué)者更加容易的了解和掌握這項技術(shù)。

        二、密碼學(xué)發(fā)展的3個階段

        1.古典密碼學(xué)階段

        根據(jù)密碼學(xué)的發(fā)展歷程,通常將古代到1949年這一漫長的時期稱為古典密碼學(xué)階段。這一階段是密碼學(xué)的啟蒙階段,更多像一門藝術(shù)而不是科學(xué)。密碼專家根據(jù)信仰和智慧來設(shè)計和破解密碼,而不是后來的學(xué)者普遍采用的基于數(shù)學(xué)的推理和證明。

        古典密碼學(xué)階段加密、解密的對象通常是各種字符。這個階段,數(shù)據(jù)的安全性只取決于加密算法的保密性。算法泄露,密碼也就很容易被人破解。這個階段比較有代表性的加密技術(shù)是 “替換密碼技術(shù)”和“換位密碼技術(shù)”??傮w來說安全性較差,破解難度較低。

        2.現(xiàn)代密碼學(xué)階段

        1949年以shannon發(fā)表的一片文章 《保密系統(tǒng)的信息理論》(The Communication Theory of Secret Systems)為基礎(chǔ)建立了現(xiàn)代密碼學(xué)的基礎(chǔ)理論。從此密碼學(xué)真正成為一門科學(xué)。1949年到1975年這個階段被稱為現(xiàn)代密碼學(xué)階段。

        這一階段,數(shù)據(jù)的加密解密除了密碼,還需要密鑰。因加密解密使用相同密鑰,所以又稱為對稱加密算法。加密數(shù)據(jù)的安全性取決于密鑰的保密性,而不是加密算法本身。

        DES(Data Encryption Standard)算法是一種最為典型的對稱加密算法。是美國政府在1977年采納的數(shù)據(jù)加密標(biāo)準(zhǔn),最早由IBM公司設(shè)計并提出,后來被國際標(biāo)準(zhǔn)局采納為國際標(biāo)準(zhǔn)。

        3.公鑰密碼學(xué)階段

        從1976年至今的密碼學(xué)發(fā)展階段被稱為公鑰密碼學(xué)階段。1976年,Differ和Hellman在他們發(fā)表的論文中第一次提出了公開密鑰密碼學(xué)的概念,開創(chuàng)了密碼學(xué)的新紀(jì)元。1977年由3位教授提出了RSA公鑰成為這個時期最為代表性的算法。

        三、公鑰密碼學(xué)中的非對稱密鑰加密算法

        1.為什么會出現(xiàn)非對稱密鑰加密算法

        前面提到的現(xiàn)代密碼學(xué)階段的對稱加密算法,加密解密使用同一密鑰。而如何將密鑰安全的分發(fā)給預(yù)定的通信對象存在困難。在實際應(yīng)用中很難有一種方法能夠保證密鑰正好能夠安全的分發(fā)到預(yù)定的通信對方,這正是對稱加密算法的主要缺點。因此人們研發(fā)了另一種加密算法,即非對稱加密算法。非對稱加密算法創(chuàng)造性的將密鑰分為 “公鑰”和 “私鑰”?!八借€”需要保密,通常僅自己擁有。“公鑰”無需保密,分配給通信對方。非對稱加密算法近乎完美的解決了對稱加密算法的缺點。

        2.非對稱加密算法的兩種主要應(yīng)用情境

        (1)信息加密

        圖1 信息加密

        如圖1所示,如果Bob希望文件安全的傳遞給Alice,需要Alice有一對加密密鑰(公鑰)和解密密鑰(私鑰)。他需要先得到Alice的公鑰。利用Alice的公鑰將文件加密后得到密文再通過網(wǎng)絡(luò)傳送給Alice。Alice利用自己的私鑰對密文解密即可可到文件的原文。即使Bob之外的人得到了Alice的公鑰也不會對此過程產(chǎn)生不利影響。

        (2)數(shù)字簽名

        圖2 數(shù)字簽名

        如圖2所示,進(jìn)行數(shù)字簽名需要Alice有一對公私密鑰,私鑰進(jìn)行簽名,公鑰用于驗證簽名的真實性。如果Bob收到一封聲稱來自Alice,并且已經(jīng)數(shù)字簽名的郵件。Bob要想驗證其真實性,必須先得到Alice的公鑰。只有Alice的公鑰才能驗證通過Alice私鑰對郵件的數(shù)字簽名。

        四、CA與數(shù)字證書

        以上兩種非對稱加密算法的應(yīng)用情境看似十分完美,實際上也存在缺陷。無論是信息的加密,還是數(shù)字簽名的驗證,都需要事先得到對方的公鑰(如在圖1、2中Bob需要得到Alice的公鑰)。關(guān)鍵問題是Bob得到聲稱來自Alice的公鑰就真的是來自Alice嗎?這就是公鑰的真實性和合法性問題。

        這正是非對稱加密算法的缺點所在,即不容易簡單的判斷出所得到的公鑰是否是來自預(yù)定的對象。其實這個問題的解決不是一個單純的技術(shù)問題。比如,你碰到一個陌生人,他自我介紹說:他叫張山。那他究竟是不是張山呢?無法直接從他的話語中得出正確結(jié)論,無論他做出怎么樣的保證。其實要想知道正確答案也很簡單,只需要他出示一個能證明他身份的證件(如身份證)即可。只要我們能判斷證件的真?zhèn)危鸢副刈匀唤視???墒俏覀冊傧胂?,本質(zhì)上真的就是那張身份證起了作用,讓我們相信他就是張山嗎?不是的。我們真正相信的是簽發(fā)那個證件的權(quán)威機(jī)構(gòu)(公安部)。我們假設(shè)其分支機(jī)構(gòu)公安局是權(quán)威的,不會作假和出錯的。當(dāng)這個權(quán)威給出證明說那人確實是張山時,我們肯定會相信的。

        接下來我們所缺少的就是這樣一個公正的權(quán)威中心了。如果我們信任這個權(quán)威中心,我們就相信一切他給予證明的信息。在網(wǎng)絡(luò)里這個權(quán)威中心就叫CA,即證書辦法機(jī)構(gòu),又稱數(shù)字證書認(rèn)證中心。作為電子商務(wù)交易中受信任的第三方,專門解決非對稱加密算法中公鑰的合法性問題。全世界有很多的知名證書頒發(fā)機(jī)構(gòu),如大名鼎鼎的verisign(威瑞信)。CA主要的工作就是審查用戶的申請,核實用戶所提交的資料的真實性,頒發(fā)和管理證書。

        所以在實際工作中直接使用的并不是公鑰,而是經(jīng)過CA簽署過后用戶的證書。證書的實質(zhì)和核心是公鑰。

        五、公鑰基礎(chǔ)設(shè)施(PKI)

        1.什么是公鑰基礎(chǔ)設(shè)施(PKI)

        公鑰基礎(chǔ)設(shè)施(PKI)是一個利用非對稱加密算法原理和技術(shù)實現(xiàn)并提供安全服務(wù)的具有通用性的技術(shù)規(guī)范和標(biāo)準(zhǔn)。是管理非對稱加密算法的密鑰和確認(rèn)信息,整合數(shù)字證書、公鑰加密技術(shù)和CA的系統(tǒng)。其結(jié)合了軟件、加密技術(shù)和組織需要進(jìn)行非對稱加密算法的服務(wù)。

        公鑰基礎(chǔ)設(shè)施(PKI)是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺,它通過 “信息加密”和“數(shù)字簽名”等密碼服務(wù)及所必需的密鑰和證書管理體系,為實現(xiàn)網(wǎng)絡(luò)通信保密性、完整性和不可否認(rèn)性的一套完整、成熟可靠的解決方案。簡單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。

        2.典型的PKI系統(tǒng)的構(gòu)成

        完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu)(CA)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、PKI應(yīng)用接口系統(tǒng)等基本構(gòu)成部分。構(gòu)建一個典型、完整的PKI系統(tǒng)也將圍繞著這五大部分來完成。

        3.PKI系統(tǒng)的基本運行模型

        PKI系統(tǒng)的基本運行模型如圖3所示

        圖3 PKI系統(tǒng)運行的基本模型

        (1)CSP程序根據(jù)用戶提供的信息產(chǎn)生公,私密鑰對

        (2)私鑰存儲在用戶的注冊表中,將公鑰和用戶信息發(fā)送給CA

        (3)CA對用戶信息進(jìn)行審查后,用自己的私鑰簽署并頒發(fā)證書

        (4)用戶下載CA所信任的CA的證書

        (5)Alice將自己從CA申請的證書分配給Bob

        (6)Bob使用從CA下載的證書驗證從Alice得到的證書的真?zhèn)巍?/p>

        PKI系統(tǒng)的運行解決了公鑰合法性驗證的問題。首先Alice向CA申請證書,Bob下載CA證書,表示Alice和Bob都信任CA。頒發(fā)給Alice的證書是CA的私鑰簽署的,Bob又下載了CA的證書。其本質(zhì)類似數(shù)字簽名的驗證。所以Bob能夠容易的辨別Alice證書的合法性。

        六、公鑰基礎(chǔ)設(shè)施的主要應(yīng)用

        1.RSA加密算法

        RSA算法是經(jīng)典的公開密鑰加密算法,使用十分廣泛。RSA是1977年由羅納德·李維斯特(Ron Rivest)、阿迪·薩莫爾(Adi Shamir)和倫納德·阿德曼(Leonard Adleman)一起提出的。當(dāng)時他們都在麻省理工學(xué)院工作,RSA就是他們?nèi)齻€姓氏開頭字母拼在一起組成的。

        2.安全套接字層(SSL)

        目前電子商務(wù)行業(yè)發(fā)展勢頭迅猛,大有方興未艾之勢。電子商務(wù)關(guān)鍵信息的加密是電子商務(wù)信息安全領(lǐng)域需要考慮的重要內(nèi)容。公鑰密碼學(xué)的優(yōu)點是便于密碼的管理、分發(fā);缺點在于計算開銷大、處理速度慢。在實際應(yīng)用中對稱密鑰算法和公鑰加密算法經(jīng)常結(jié)合使用。SSL是兩者相結(jié)合的典型,所有以HTTPS開頭的網(wǎng)頁的訪問都是公鑰密碼學(xué)的典型應(yīng)用。

        3.安全電子郵件

        電子郵件是互聯(lián)網(wǎng)上的典型和普遍的應(yīng)用,但電子郵件的安全性問題也日益凸顯。通過公鑰密碼學(xué)對郵件進(jìn)行簽名和加密,可以實現(xiàn)郵件的保密性,驗證郵件的完整性和不可否證性,從而真正實現(xiàn)安全的電子郵件。

        七、結(jié)語

        公鑰基礎(chǔ)設(shè)施(PKI)是以公鑰密碼學(xué)為基礎(chǔ)建立并提供服務(wù)的一套安全基礎(chǔ)設(shè)施。PKI技術(shù)是網(wǎng)絡(luò)安全技術(shù)的核心,也是電子商務(wù)的基礎(chǔ)和關(guān)鍵技術(shù)。目前,PKI技術(shù)的應(yīng)用非常廣泛,如:安全套接字層(SSL)、虛擬專用網(wǎng)絡(luò)(VPN)、安全電子郵件等。對PKI技術(shù)的理解和掌握是學(xué)習(xí)網(wǎng)絡(luò)安全必備的基礎(chǔ)知識,也是維護(hù)網(wǎng)絡(luò)安全所必備的知識和技能。

        [1]石淑華,池瑞楠.計算機(jī)網(wǎng)絡(luò)安全技術(shù)(第3版)[M].北京:人民郵電大學(xué)出版社,2012.

        [2]鄧春紅.網(wǎng)絡(luò)安全原理與實務(wù)(第二版)[M].北京:北京理工大學(xué)出版社,2014.

        [3]蔣亞軍.網(wǎng)絡(luò)安全技術(shù)與實踐[M].北京:人民郵電出版社,2012.

        (責(zé)任編輯:方少卿)

        2013年安徽省省級質(zhì)量工程項目“《網(wǎng)絡(luò)互聯(lián)技術(shù)》精品資源共享課程”(編號:2013gxk159)。

        TP309

        A

        1671-752X(2015)01-0060-03

        2014-09-12

        莊城山(1975-),男,安徽銅陵人,安徽工業(yè)職業(yè)技術(shù)學(xué)院信息系副主任,高級工程師,講師,碩士,研究方向:計算機(jī)網(wǎng)絡(luò)技術(shù)、復(fù)雜網(wǎng)絡(luò)。

        国产自拍高清在线观看| 亚洲αv在线精品糸列| 日韩av一区二区在线观看| 日韩一区在线精品视频| 黑色丝袜秘书夹住巨龙摩擦| 久久国产A√无码专区亚洲| 日韩精品视频免费福利在线观看| 中文字幕日韩精品人妻久久久| 精品亚洲a∨无码一区二区三区| 内射囯产旡码丰满少妇| 久久国产成人午夜av影院| 国内揄拍国内精品久久| 最美女人体内射精一区二区| 不卡高清av手机在线观看| 真实国产网爆门事件在线观看| 激情五月六月婷婷俺来也| 国产大片黄在线观看| 九九九精品成人免费视频小说| 亚洲乱码一区AV春药高潮| 中文字幕亚洲精品在线| 午夜精品久久久久久毛片| 久久国产精品国产精品日韩区| av男人操美女一区二区三区| 白白色白白色视频发布| 成人白浆超碰人人人人| 久久中文字幕亚洲精品最新| 亚洲一区二区三区熟妇| 亚洲av无码专区在线观看成人| 久热香蕉视频| 福利视频自拍偷拍视频| 久久久精品中文字幕麻豆发布| 在线va免费看成| 亚洲日本VA午夜在线电影| 日韩美女亚洲性一区二区| 亚洲av午夜福利精品一区二区| 久久国产热精品波多野结衣av| 日本国产精品高清在线| 无码熟妇人妻av影音先锋| 国产极品美女高潮无套在线观看| 大量老肥熟女老女人自拍| 日日噜噜夜夜狠狠久久丁香五月 |