第17节 PKI公钥基础设施
PKI公共秘钥技术
- 1PKI概述
- 2公钥加密技术
- 2.1对称加密算法
- 2.2非对称加密算法
- 2.3不可逆算法
- 2.4数字证书技术
- 3PKI工作原理与过程——以非对称加密技术、数字证书为例
- 3.1公钥与私钥配合保证信息机密性
- 3.2利用不可逆算法保证信息完整性
- 3.3数字证书保证身份验证与操作的不可否认性
- 4部署HTTPS服务器并熟悉PKI技术原理
- 4.1win2008配置WEB服务器
- 4.2win2008配置DNS服务器
- 4.3win2008部署CA证书颁发机构
- 4.4为WEB服务器认证证书
- 4.5限制网站使用https协议
- 5总结
- 6不足与展望
- 参考文献
1PKI概述
- PKI:Public Key Infrastructure 公钥基础设施。
- 作用:通过加密技术和数字签名保证信息的安全。
- PKI的组成:公钥加密技术、数字证书、CA(证书颁发机构)、RA(注册机构)。
- 信息安全的三要素:机密性、完整性、身份验证与操作的不可否认性。
- 应用场景:(1)SSL/HTTPS;(2)IPsevVPN;(3)部分远程访问VPN。
2公钥加密技术
- 作用:实现对信息加密、数字签名等安全保障。
2.1对称加密算法
- 特点:加解密的秘钥一致。
- 常用算法:DES、3DES、AES。
2.2非对称加密算法
- 特点:
(1)通信双方格子产生一对公私钥;
(2)双方各自交换公钥;
(3)公钥和私钥为互相加解密关系;
(4)公私钥不可互相逆推。 - 公私钥的作用:
(1)公钥提供给对方,让对方给信息加密,加密结果仅自己的私钥能解密。
(2)私钥自己用,对摘要加密得到数字签名,对方有公钥可以验证签名是否正确,即可以验证信息的完整性。 - 常用算法:RSA、DH。
2.3不可逆算法
- 作用:计算得到信息的“摘要”,用于验证信息的完整性。
- 常用算法:MD5、SHA。
2.4数字证书技术
- 证书由第三方权威机构CA签发,用于保证秘钥的合法性。
- 证书格式遵循X.509标准。
- 数字证书包含信息如下:
(1)使用者的公钥信息
(2)使用者的标识信息(名称、IP、电子邮件地址等)
(3)有效期
(4)颁发者标识信息
(5)颁发者的数字签名(颁发者采用私钥加密过,其他人员可以采用颁发者提供的公钥验证证书真伪)
3PKI工作原理与过程——以非对称加密技术、数字证书为例
3.1公钥与私钥配合保证信息机密性
相比于对称加密算法,非对称加密算法利用公钥与私钥相互配合,才能够保证信息的机密性。
- 在通信开始前,用户AB需要互换公钥。
- 由于公钥与私钥间可以互相加解密,为保证信息只有用户B能够解密,A发出的信息采用B的公钥进行加密,发出密文。
- B收到信息后,采用自己的私钥进行解密,还原信息。
3.2利用不可逆算法保证信息完整性
虽然利用公钥与私钥配合能够保证信息机密性,不被他人破解而导致信息泄露,但是该方法无法保证信息的完整性(即该信息是否被非法改动)。
- 在通信开始前,用户AB需要互换公钥。
- 由于公钥与私钥间可以互相加解密,为保证信息只有用户B能够解密,A采用B的公钥进行加密得到密文。
- A将密文用不可逆算法得到信息摘要,并用自己的私钥对摘要进行加密。
- A将密文和加密的摘要发给B。
- B用户利用A的公钥对加密摘要进行解密,同时算出密文的摘要,对比两个摘要是否一致。一致时则验证了信息的完整性,不一致时则表明信息被篡改。
- B用户用自己的私钥对密文进行解密,得到信息。
3.3数字证书保证身份验证与操作的不可否认性
以上步骤完成了对信息机密性和完整性的保障,但是是建立在用户AB至今彼此确信对方的公钥准确可靠的前提下,在实际环境中,任何用户都不可能存有所有机器的公钥,如果临时对话时才交换公钥,该过程容易被黑客盗换成黑客的公钥,那么后续信息的加密与验证将由黑客说了算。因此,需要有权威机构对每个用户的公钥做公证,确保用户身份与公钥对应,就像人与身份证对应一样。
- 用户A向CA申请注册数字证书。
- 制止证书:CA根据使用者信息确定了证书内容,并用不可逆算法得到证书内容的hash值,用CA的私钥对hash值进行加密,形成证书签名。
- CA将证书颁发给用户A。
- 其余步骤与3.2节类似,用户A将密文、加密的摘要、证书发给B。
- 用户B先验证证书真伪。用户B用同样的不可逆算法得到证书内容的hash值,同时根据CA的公钥解密证书签名,对比两者是否一致。一致时则验证了证书的完整性,不一致时则表明证书信息被篡改。
- 用户B再验证信息完整性及解密密文。
4部署HTTPS服务器并熟悉PKI技术原理
win2008中需要配置以下服务器:
- IIS服务器→提供web服务;
- DNS服务器→提供域名解析服务;
- CA证书颁发机构→公证WEB服务器证书;
4.1win2008配置WEB服务器
- 打开win2008、winXP,连接至同一局域网,配置IP,win2008IP为10.1.1.1、winXPIP为10.1.1.2确保能够互相ping通。其中win2008的DNS可以使用自己的IP地址也可以设置回环地址。
- win2008右键我的电脑→管理→点击角色→添加角色→弹出向导下一步→勾选WEB服务→下一步。
- 勾选动态网站功能→下一步→安装。
- 查看默认网站。开始→管理工具→IIS→右键默认站点→编辑绑定。
- 发布动态网站。右键网站→添加网站→填写名称路径等信息→确定。
- 设置网站属性。相比于win2003服务器,win2008服务器搭配网站时,点击该网站就能在右边出现属性窗口,找到默认网站等需要设置的属性。
- 设置默认网页优先顺序。
4.2win2008配置DNS服务器
- win2008右键我的电脑→管理→点击角色→添加角色→弹出向导下一步→勾选DNS服务→下一步→新建主分区→添加主机。
- winxp验证网页是否配置成功。
4.3win2008部署CA证书颁发机构
- win2008右键我的电脑→管理→点击角色→添加角色→弹出向导下一步→勾选AD证书服务→下一步。
- 勾选所需要的服务类型→下一步→选择独立→选择根CA→新建私钥→选择算法→CA机构命名(可以不改或根据域名修改)→设置CA机构证书有效期→设置文件位置(保持默认)→角色服务(保持默认)→安装。
- 检查服务器已安装的角色。
- 安装完成后在默认网页可以看到新增许多内容。
4.4为WEB服务器认证证书
- 以服务器的名义申请证书文件。打开IIS服务→选择服务器→找到服务器证书→创建证书→填写用户单位信息→设置用户公钥类型→设置申请证书名称及存放位置→完成。
- 将证书提交给CA公认。win2008打开IE浏览器→输入10.1.1.1\CertSrv(微软服务器默认生成的都是这个)→申请证书→高级证书申请→选择以base64编码的XXX→打开上一步下载的IIS-SQ,复制全部,黏贴→提交。
- CA机构颁发证书。开始→管理工具→证书颁发机构→挂起的申请→选中右键→所有任务→颁发→查看颁发。
- win2008IE浏览器查看证书颁发状态。输入10.1.1.1\CertSrv→查看挂起的证书申请状态→
- 将证书导入到服务器中。打开IIS服务→选择服务器→找到服务器证书→完成证书申请→选中证书路径并自定义名称。
- 查看当前证书类型。
4.5限制网站使用https协议
- win2008选中所有设置的网站→编辑绑定→新增→确定。
- 截止此处,该网站既提供80端口又提供443端口,选中网站→找到SSL设置→√要求SSL,客户证书忽略→应用。
- winXP访问网站。输入www.dianying.com,无法访问网站,因为使用的是80端口,需要在前面加上https:\.访问,则弹出以下警告,因xinxp不信任该CA机构,点确认可以继续访问。
- 浏览器中已经有内置了信任的CA机构,可以在工具→浏览器选项→内容→证书颁发者查看。
5总结
- 了解介绍PKI技术含义、作用、安全的三要素。
- 熟悉PKI技术中集中主要的算法和数字证书技术。
- 以保障安全三要素为出发点,分三阶段掌握PKI技术原理。
- 在win2008中部署https服务器,在部署过程中熟悉理解PKI技术。
6不足与展望
- 仍需补充密码学相关知识。
- 补充PKI技术的发展历程、各阶段的痛点和完善措施。
- 补充理解各个加密算法
- 研究为什么公钥与私钥可以互相加解密、研究为什么公私钥间无法互相推导。
参考文献
- 《网络安全笔记-07.2-PKI与非对称加密过程》
第17节 PKI公钥基础设施相关推荐
- 信安小白,一篇博文讲明白数字证书和PKI(公钥基础设施)
数字证书 系列博文 前言 一.数字证书 二.CA(Certification Authority)认证 2.1 CA认证信息 2.2 CA结构 2.3 一般的证书产生流程 2.4 完整流程 三.PKI ...
- PKI 公钥基础设施
PKI概念 PKI(Public Key Infrastructure)即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必 ...
- PKI 公钥基础设施原理与应用
文章目录 PKI 是什么 PKI 详细介绍 PKI 的组成 核心算法 CA 机构 数字证书 证书撤销机制 应用:访问控制 参考资料 PKI 是什么 Public Key Infrastructure( ...
- IRIS 2021 技术文档 First Look 28 - InterSystems 公钥基础设施 (PKI)
本文档介绍了 InterSystems 公钥基础设施(PKI),它可以在开发组织的安全策略中发挥重要作用.它提供有关公钥加密.证书颁发机构和 PKI 的信息.然后介绍一些与使用 InterSystem ...
- 公钥基础设施 PKI 技术与应用发展
公钥基础设施 PKI 技术与应用发展 一.概述 PKI是"Public Key Infrastructure"的缩写,意为"公钥基础设施".简单地说,PKI技术 ...
- 公钥基础设施 (Public-key infrastructure PKI)
公钥基础设施 PKI 1.功能 2.设计 3.认证方法 3.1证书机构(CA) 3.2信任网络(Wot) 3.3简单的公共关键基础设施(SKPI) 3.4分散的PKI 3.5基于区块链的 PKI 4. ...
- 什么是 PKI? 公钥基础设施的定义和指南
公钥基础设施 (PKI) 管理 Internet 通信中的身份和安全性,以保护人员.设备和数据. 组织依靠 PKI 解决方案来验证和加密流经 Web 服务器.数字身份.连接设备和应用程序的信息.随着组 ...
- 关于证书(certificate)和公钥基础设施(PKI)的一切
这篇长文并不是枯燥.零碎地介绍 PKI.X.509.OID 等概念,而是从前因后果.历史沿革 的角度把这些东西串联起来,逻辑非常清晰,让读者知其然,更知其所以然. 证书和 PKI 的目标其实很简单:将 ...
- 给工程师:关于证书(certificate)和公钥基础设施(PKI)的一切
公众号关注 「奇妙的 Linux 世界」 设为「星标」,每天带你玩转 Linux ! 译者序 本文翻译自 2018 年的一篇英文博客:Everything you should know about ...
最新文章
- Java 基础 | 命名和运算
- QT的QModbusResponse类的使用
- 微信又更新了,“拍一拍”玩法升级...
- exception日志 php_PHP中错误与异常的日志记录用法分析
- 我眼中的性能测试工程师
- 手动安装pytorch gpu版本 (cpu版本同理)
- hdu 1561 The more, The Better (依赖背包 树形dp)
- 基于天地图标点html教程,天地图WEB API入门指导
- 试除法判定质数、试除法分解质因数(附例题)
- 关于synchronized
- UML统一建模语言习题一
- 北航超算运行matlab,工信部网:北航学子荣获ASC19世界大学生超算竞赛最高计算性能奖...
- 通过股票数据接口如何看懂Level-2行情?
- 企业终端无法获取到 IP地址
- MATLAB生成excel表格
- 数据结构之二叉树 一
- Konga面板接入LDAP踩坑实战
- [转帖]苹果是怎么吃到的?——职业规划,从了解自己开始
- CNSS数据与测量作业
- 单片机驱动AT24C02存储芯片