什么是PKI技术
PKI技术是一套Internet安全解决方案,PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
PKI的基本组成
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分:
- 公钥密码证书管理。
- 黑名单的发布和管理。
- 密钥的备份和恢复。
- 自动更新密钥。
- 自动管理历史密钥。
- 支持交叉认证。
PKI的主要功能
PIK的功能有:产生、验证和分发密钥;签名和验证;证书的获取;验证证书;保存证书;证书废止的申请;密钥的恢复;CRL的获取;密钥更新;交叉认证等。其中产生、验证和分发密钥是根据密钥生成模式不同,用户公私钥对的产生、验证及分发有两种方式:用户自己产生密钥对,这种方式适合于分布式密钥生成模式。CA为用户产生密钥对,这种方式适合集中式密钥生成模式。密钥的恢复是在密钥泄密、证书作废后,为了恢复PKI实体的业务处理和产生数字签名,泄密实体将获得一对新的密钥,并要求CA产生新的证书。每一个实体产生新的密钥时,会获得CA用新私钥签发的新证书,而原来用泄密的密钥签发的旧证书将作废,并放入CRL。CRL的获取是指每一个CA均可以产生CRL。CRL可以定期产生,也可以每次有证书作废请求后实时产生。CA应将其产生的CRL及时发送到目录服务器上去。CRL的获取可以有多种方式:CA产生CRL后,自动发送给下属各实体。大多数情况下,由使用证书的各PKI实体从目录服务器中获得相应的CRL。PKI体系中的各实体可以在同一天,也可以在不同时间更换密钥,不管哪种方式,PKI中的实体都应该在密钥截至日期之前获得新的密钥对和新证书。交叉认证就是多个PKI域之间实现互操作。交叉认证实现的方法有多种:一种方法是桥接CA,即用一个第三方CA作为桥,将多个CA连接起来成为一个可信任的统一体;另一种方法是多个CA的根CA互相签发根证书,这样当不同PKI域中的终端用户沿着不同的认证链检验认证到根时,就能达到互相信任的目的。通常网络信任关系通过信任关系树来实现,但是通过交叉认证机制,会缩短信任关系路径,提高效率。PKI(public key infrastructure公钥基础设施)技术是利用公钥密码学理论和技术建立起来的,相关密码学理论是PKI系统最重要的理论基础。
GDCA(数安时代)拥有国内自主签发信鉴易 TrustAUTH SSL证书以及是国际多家知名品牌:GlobalSign、Symantec、GeoTrust SSL证书指定的国内代理商。为了让国内更多的网站升级到安全的https加密传输协议,五一期间,GDCA推出多种国际知名SSL证书优惠活动,实现HTTPS加密并展示网站真实身份信息。详情请资讯GDCA产品官网在线客服https://www.sslsq.com/。
