public key infrastructure
【TechTarget中国原创】公钥基础设施(PKI,public key infrastructure)使使用不安全的公共网络(如互联网)用户,可以通过使用从可信机构获得和共享的公共和私人加密密钥来安全地秘密地交换数据和资金。公钥基础设施提供了一个数字证书(它可以识别一个人或组织)和可以存储并在必要时撤销证书的目录服务。现在有许多不同供应商的方法和服务正在涌现。与此同时,用于PKI的互联网标准也正在编制中。
公钥基础设施使用公钥加密(public key cryptography)。公钥加密是互联网上验证信息发送者或加密信息最常用的方法。传统的加密技术通常包括创建和共享信息加密和解密的密钥。私钥或公钥系统有个重大缺陷,就是如果密钥被其他人发现或破解,信息就很容易被解密。为此,公钥加密和公钥基础设施是互联网的首选方法。(私钥系统有时被称为对称加密,公钥系统有时被称为非对称加密。)
公钥基础设施(PKI)包括:
- 发行和验证数字证书的证书授权中心(CA)。证书包括公钥或公钥信息。
- 注册中心(RA),在数字证书发布给请求者之前,注册中心是证书授权中心的验证者。
- 一个或多个目录,证书(与他们的公钥)保存在其中。
- 证书管理系统。
公钥加密和私钥加密如何工作
在公钥密码系统中,证书授权中心(CA)使用相同的算法(一种比较有名的算法是RSA)同时创建公钥和私钥。私钥只给申请方,公钥则在一个目录中向公众提供(作为数字证书的一部分),所有方都可以访问。私钥从来不与其他人共享或通过互联网发送。你使用私钥来解密被别人(可以从公共目录中找出你的公钥的人)用你的公钥加密的文本。因此,如果我向你发送消息,我可以从中心管理员那找到你的公钥(而不是你的私钥),然后用你的公钥将给你的信息加密。当你收到信息时,你用你的私钥解密。除了加密信息(确保隐私)之外,还可以通过使用你的私钥来加密数字证书,向我验证自己(这样我就知道是你发的信息)。当我收到它,我可以使用你的公钥进行解密。下面用一个表来说明:
要做的事情 | 使用谁的 | 密钥的类别 |
发送加密信息 | 使用接收者的 | 公钥 |
发送加密签名 | 使用发送者的 | 私钥 |
解密加密信息 | 使用接收者的 | 私钥 |
解密加密签名 | 使用发送者的 | 公钥 |
提供基础设施的供应商
有许多产品能使公司或企业集团实施公钥基础设施。电子商务和企业对企业商务的快速发展,增加了对PKI解决方案的需求。相关的想法是虚拟专用网络(VPN)和IP安全(IPSec)标准。公钥基础设施的领导者有:
- RSA——开发了主要算法,供公钥基础设施供应商使用。
- Verisign——它是一个证书授权中心,销售允许公司创建自己的证书授权中心的软件。
- GTE Cybertrust——它提供PKI的实施方法和咨询服务,计划以固定价格向其他公司出售。
- Xcert——它的网络哨兵产品在服务器上检查证书的撤销状态,使用在线证书状态协议(OCSP)。
- Netscape——据说它的目录服务器产品可以在一秒内支持5千万个对象和处理5000个查询;安全电子商务允许公司或外联网管理者管理数字证书;元目录可将所有企业的目录连接到一个单一目录进行安全管理。
相当好的隐私
对于电子邮件,相当好的隐私(PGP)产品可以使你加密任何有公钥的人的信息。你用他们的公钥来加密,然后,他们用私钥来解密。PGP用户共享一个称为密钥环的公钥目录。(如果你要给不能访问密钥环的人发送信息,你不能给他们发送加密信息。)另一个选择是,PGP让你使用你的私钥加密数字签名。收件人可以获取你的公钥(如果他们能访问密钥环),解密你的签名,然后查看是不是你发送的消息。
最近更新时间:2010-3-11 贡献者:Jim Brayton、Andrea Finneman、Nathan Turajski和Scott Wiltsey 翻译:曾芸芸 