PKI的數(shù)據(jù)加密實(shí)質(zhì)是利用公鑰加密算法交換機(jī)密密鑰的優(yōu)勢,并利用對(duì)稱加密算法速度快效率高、適合大量數(shù)據(jù)安全加密的特點(diǎn),產(chǎn)生的一種既快速又靈活的加密解決方案。通信雙方通過運(yùn)用密鑰對(duì)(e,d)為對(duì)稱加密算法中的機(jī)密密鑰進(jìn)行加解密操作,實(shí)現(xiàn)明文數(shù)據(jù)的安全傳送。

加密算法在PKI系統(tǒng)中的應(yīng)用

密鑰管理

PKI一般采用雙證書體系,公鑰算法支持RSA和ECC兩種公鑰算法,對(duì)稱密碼算法支持國密辦指定的加密算法。密鑰對(duì)分為加密密鑰對(duì)和簽名密鑰對(duì)。簽名密鑰對(duì)在用戶端的PKI實(shí)體鑒別密碼器中生成,密鑰不離開PKI實(shí)體鑒別密碼器;加密密鑰對(duì)在密鑰管理中心KM中生成和托管,并由KM經(jīng)CA中心發(fā)給用戶,并自動(dòng)導(dǎo)入PKI實(shí)體鑒別密碼器中。由于加密密鑰對(duì)非常重要,而且必須通過網(wǎng)絡(luò)在KM密鑰管理中心、CA中心和用戶終端間傳送,所以,必須采取有效的措施確保加密密鑰對(duì)的安全傳送(包括機(jī)密性、完整性和不可否認(rèn)性)。密鑰管理包括密鑰的生成和托管、密鑰的恢復(fù)、密鑰的查詢和密鑰的銷毀等過程。

證書管理

PKI系統(tǒng)中的數(shù)字證書采用標(biāo)準(zhǔn)的X.509v4格式,證書管理主要包括證書申請(qǐng)、證書簽發(fā)、證書更新和證書注銷等過程。

當(dāng)然為了防止發(fā)送方可能的惡意欺騙行為,如發(fā)送方發(fā)送數(shù)據(jù)后宣布加密密鑰被盜,不承認(rèn)自己曾經(jīng)的行為,可以結(jié)合時(shí)間戳技術(shù)即CA中心在接收到申請(qǐng)的數(shù)字摘要生成證書時(shí),與日期和時(shí)間綁定在一起生成標(biāo)明時(shí)間的時(shí)間戳,可用于比較重要的安全網(wǎng)絡(luò)事務(wù)和應(yīng)用場合。

admin

收藏 海報(bào)分享