爱华网PKI 技术(Public Key Infrastructure-公钥基础设施)
概括起来,进行电子交易的互联网用户所面临的安全问题有:
一.保密性 如何保证电子商务中涉及的大量保密信息在公开网络的传输过程中不被窃取;
二.完整性 如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易;
三.身份认证与授权 在电子商务的交易过程中,如何对双方进行认证,以保证交易双方身份的正确性;
四.抗抵赖 在电子商务的交易完成后,如何保证交易的任何一方无法否认已发生的交易。
为解决这些问题,就提出了PKI 技术(Public Key Infrastructure-公钥基础设施),
所谓PKI 就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。它由公开密钥密
码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。PKI 是利用公
钥技术实现电子商务安全的一种体系,是一种基础设施,网络通讯、网上交易是利用它来保证安全的。
从某种意义上讲,PKI 包含了安全认证系统,即安全认证系统-CA 系统是PKI不可缺的组成部分。
PKI的基础之一是非对称性密钥加密算法,目前比较常见的是RSA算法和ECC(椭圆曲线)算法。目前用得最
多的是RSA算法。非对称性密钥加密算法指的是加密密钥 不等于 解密密钥的算法。也就是说下面的密钥k1≠k2
明文->k1加密->密文
密文->k2解密->明文
这样我们就可以把其中一组密钥公开,我们称为公钥,另外一组保留作为私钥。而公钥和个人数据捆绑,
就可以组成数字证书。这些都是PKI的基础。
PKI技术采用数字证书管理公钥,通过第三方的可信任机构--认证中 心CA(CertificateAuthority),
把用户的公钥和用户的其他标识信息(如名称、e-mail、身份 证号等)捆绑在一起,在Internet 网上验证用
户的身份。前,通用的办法是采用基于PKI结合数字证书,通过把要传输的数字信息进行加密,保证信息传输
的保密性、完整性,签名保证身份的真实性和抗抵赖。
非对称密钥加密算法速度一般都比较慢,所以PKI还需要对称性密钥加密算法的配合,而k1=k2的算法叫做
对称密钥加密算法,如DES,AES,RC4.
此外,为了进行数字签名,还需要对数据进行摘要的算法,例如MD5,SHA算法
基于PKI技术的通信基础协议
SSL (Secure Socket Layer)
SSH (Secure Shell)
这篇专题的基础就是以polarSSL开源代码为基础的,所有的样例代码都是中间裁剪而成,这个SSL代码非常
精简,很适合搭建各种小系统或者做嵌入式软件。不过注意这个软件不是完全免费的,遵循GPL2.0版本
网址: http://polarssl.org/
