PKI技术原理..docx

对称加密???????? symmetric cryptographic非对称加密???? asymmetric cryptographic密钥交换协议 key agreement/exchange哈希算法????????? Hash报文认证码????? MAC数字签名????????? digital signature数字证书????????? digital ID/certificate证书颁发机构 certificate authority公钥架构???? ?public key infrastructurePK 公钥SK 私钥?公钥加密技术?PKI是建立在公钥加密技术之上的，那么要了解PKI则 首先要看一下公钥加密技术。加密是保护数据的科学方法。加密算法在数学上结合了输入的文本数据和一个加密密钥，产生加密的数据（密文）。通过一个好的加密 算法，通过密文进行反向加密过程，产生原文就不是那么容易了，需要一个解密密钥来执行相应的转换。密码技术按照加解密所使用的密钥相同与否，分为对称密码 学和非对称密码学，前者加解密所使用的密钥是相同的，而后者加解密所使用的密钥是不相同的，即一个秘密的加密密钥(签字密钥)和一个公开的解密密钥(验证密钥)。 在传统密码体制中，用于加密的密钥和用于解密的密钥完全相同，通过这两个密钥来共享信息。这种体制所使用的加密算法比较简单，但高效快速，密钥简短，破译 困难。然而密钥的传送和保管是一个问题。例如，通讯双方要用同一个密钥加密与解密，首先，将密钥分发出去是一个难题，在不安全的网络上分发密钥显然是不合 适的；另外，任何一方将密钥泄露，那么双方都要重新启用新的密钥。?　1976年，美国的密码学专家Diffie和Hellman为解决上述密钥管理的难题，提出一种密钥交换协议，允许在不安全的媒体上双方交换信息，安全地获取相同的用于对称加密的密钥。在此新思想的基础上，很快出现了非对称密钥密码体制，即公钥密码体制（PKI）。自1976年第一个正式的公共密钥加密算法提出后，又有几个算法被相继提出。如Ralph Merkle猜谜法、Diffie-Hellman指数密钥交换加密算法、RSA加密算法、Merkle-Hellman背包算法等。目前，结合使用传统与现代加密算法的具体应用有很多，例如PGP、RIPEM等加密软件，是当今应用非常广的加密与解密软件。公共密钥算法的基本特性是加密和解密密钥是不同的，其 中一个公共密钥被用来加密数据，而另一个私人密钥被用来解密数据。这两个密钥在数字上相关，但即便使用许多计算机协同运算，要想从公共密钥中逆算出对应的 私人密钥也是不可能的。这是因为两个密钥生成的基本原理根据一个数学计算的特性，即两个对位质数相乘可以轻易得到一个巨大的数字，但要是反过来将这个巨大 的乘积数分解为组成它的两个质数，即使是超级计算机也要花很长的时间。此外，密钥对中任何一个都可用于加密，其另外一个用于解密，且密钥对中称为私人密钥 的那一个只有密钥对的所有者才知道，从而人们可以把私人密钥作为其所有者的身份特征。根据公共密钥算法，已知公共密钥是不能推导出私人密钥的。最后使用公 钥时，要安装此类加密程序，设定私人密钥，并由程序生成庞大的公共密钥。使用者向与其联系的人发送公共密钥的拷贝，同时请他们也使用同一个加密程序。之后 他人就能向最初的使用者发送用公共密钥加密成密码的信息。仅有使用者才能够解码那些信息，因为解码要求使用者知道公共密钥的口令，那是惟有使用者自己才知 道的私人密钥。在这些过程当中，信息接受方获得对方公共密钥有两种方法：一是直接跟对方联系以获得对方的公共密钥；另一种方法是向第三方即可靠的验证机构 （如Certification Authority，CA），可靠地获取对方的公共密钥。??现在，我们可以看PKI的定义：PKI（Public Key Infrastructure）是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施，是一种遵循标准的利用公钥加密技术为网上电子商务、电子政务的开展，提供一整套安全的基础平台。PKI，公钥基础设施，顾名思义，PKI技术就是利用公钥理论和技术建立的提供网络信息安全服务的基础设施。PKI管理平台能够为网络中所有需要采用加密和数字签名等密码服务的用户提供所需的密钥和证书管理，用户可以利用PKI平台提供的安全服务进行安全通信。?PKI公开密钥基础设施能够让应用程序增强自己的数据和资源的安全，以及与其他数据和资源交换中的安全。使用PKI安全基础设施像将电器插入墙上的插座一样简单。　PKI的内容?　一个完整的PKI系统必须具备权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口（API）等基本组成部分。?　1、权威认证机构（Certi