PKI技术原理（整理）.pptx

对 称 加 密 symmetric cryptographic 非 对 称 加 密 asymmetric cryptographic 密钥交换协议 key agreement/exchange 哈 希 算 法 Hash 报 文 认 证 码 MAC 数 字 签 名 digital signature 数 字 证 书 digital ID/certificate 证书颁发机构 certificate authority 公 钥 架 构 public key infrastructure PK 公钥 SK 私钥 公钥加密技术 PKI 是建立在公钥加密技术之上的，那么要了解 PKI 则 首先要看一下公钥加密技术。加密是保护数据的科 学方法。加密算法在数学上结合了输入的文本数据和一个加密密钥，产生加密的数据（密文）。通过一个 好的加密 算法，通过密文进行反向加密过程，产生原文就不是那么容易了，需要一个解密密钥来执行相应 的转换。密码技术按照加解密所使用的密钥相同与否，分为对称密码 学和非对称密码学，前者加解密所使 用的密钥是相同的，而后者加解密所使用的密钥是不相同的，即一个秘密的加密密钥(签字密钥)和一个公 开的解密密钥(验证密钥)。 在传统密码体制中，用于加密的密钥和用于解密的密钥完全相同，通过这两个 密钥来共享信息。这种体制所使用的加密算法比较简单，但高效快速，密钥简短，破译 困难。然而密钥的 传送和保管是一个问题。例如，通讯双方要用同一个密钥加密与解密，首先，将密钥分发出去是一个难题， 在不安全的网络上分发密钥显然是不合 适的；另外，任何一方将密钥泄露，那么双方都要重新启用新的密 钥。 1976 年，美国的密码学专家 Diffie 和 Hellman 为解决上述密钥管理的难题，提出一种密钥交换 协议，允许在不安全的媒体上双方交换信息，安全地获取相同的用于对称加密的密钥。在此新思 想的基础上，很快出现了非对称密钥密码体制，即公钥密码体制（PKI）。自 1976 年第一个正式 的公共密钥加密算法提出后，又有几个算法被相继提出。如Ralph Merkle 猜谜法、Diffie-Hellman 指数密钥交换加密算法、RSA 加密算法、Merkle-Hellman 背包算法等。目前，结合使用传统与现 代加密算法的具体应用有很多，例如 PGP、RIPEM 等加密软件，是当今应用非常广的加密与解密 软件。公共密钥算法的基本特性是加密和解密密钥是不同的，其 中一个公共密钥被用来加??数 据，而另一个私人密钥被用来解密数据。这两个密钥在数字上相关，但即便使用许多计算机协同 运算，要想从公共密钥中逆算出对应的 私人密钥也是不可能的。这是因为两个密钥生成的基本 原理根据一个数学计算的特性，即两个对位质数相乘可以轻易得到一个巨大的数字，但要是反过 来将这个巨大 的乘积数分解为组成它的两个质数，即使是超级计算机也要花很长的时间。此外， 密钥对中任何一个都可用于加密，其另外一个用于解密，且密钥对中称为私人密钥 的那一个只 有密钥对的所有者才知道，从而人们可以把私人密钥作为其所有者的身份特征。根据公共密钥算 法，已知公共密钥是不能推导出私人密钥的。最后使用公 钥时，要安装此类加密程序，设定私 人密钥，并由程序生成庞大的公共密钥。使用者向与其联系的人发送公共密钥的拷贝，同时请他 们也使用同一个加密程序。之后 他人就能向最初的使用者发送用公共密钥加密成密码的信息。 仅有使用者才能够解码那些信息，因为解码要求使用者知道公共密钥的口令，那是惟有使用者自 己才知 道的私人密钥。在这些过程当中，信息接受方获得对方公共密钥有两种方法：一是直接 跟对方联系以获得对方的公共密钥；另一种方法是向第三方即可靠的验证机构 （如 Certification Authority，CA），可靠地获取对方的公共密钥。 ; 现在，我们可以看 PKI 的定义：PKI（Public Key Infrastructure）是一个用非对称密码算法原理和技术 来实现并提供安全服务的具有通用性的安全基础设施，是一种遵循标准的利用公钥加密技术为网上电子商 务、电子政务的开展，提供一整套安全的基础平台。PKI，公钥基础设施，顾名思义，PKI 技术就是利用公 钥理论和技术建立的提供网络信息安全服务的基础设施。PKI 管理平台能够为网络中所有需要采用加密和 数字签名等密码服务的用户提供所需的密钥和证书管理，用户可以利用 PKI 平台提供的安全服务进行安全 通信。 PKI 公开密钥基础设施能够让应用程序增强自己的数据和资源的安全，以及与其他数据和资源交换中的安 全。使用 PKI 安全基础设施像将电器插入墙上的插座一样简单。 PK