PKI系统介绍

1.定义

(1)PKI:

公钥基础设施（Public Key Infrastructure，简称PKI）是目前网络安全建设的基础与核心，是电子商务安全实施的基本保障，因 此，对PKI技术的研究和开发成为目前信息安全领域的热点。

PKI是以不对称加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵抗性为安全目的，来实施和提供安全服务的具有普适性的安全基础设施。其安全基础之一是证书中的用户信息与真实用户一一对应。而密钥管理机制的不完善成为制约PKI系统发展的最大因素。常见的解决方法是将智能卡和PIN 认证技术相结合，利用PIN 码来保护私钥安全。

PKI 既不是一个协议，也不是一个软件，它是一个标准，在这个标准之下发展出的为了实现安全基础服务目的的技术统称为 PKI。

(2)公钥加密技术:

加密是保护数据的科学方法。加密算法在数学上结合了输入的文本数据和一个加密密钥，产生加密的数据（密文）。通过一个好的加密算法，通过密文进行反向加密过程，产生原文就不是那么容易了，需要一个解密密钥来执行相应的转换。密码技术按照加解密所使用的密钥相同与否，分为对称密码学和非对称密码学，前者加解密所使用的密钥是相同的，而后者加解密所使用的密钥是不相同的，即一个秘密的加密密钥(签字密钥)和一个公开的解密密钥(验证密钥)。在传统密码体制中，用于加密的密钥和用于解密的密钥完全相同，通过这两个密钥来共享信息。这种体制所使用的加密算法比较简单，但高效快速，密钥简短，破译困难。然而密钥的传送和保管是一个问题。例如，通讯双方要用同一个密钥加密与解密，首先，将密钥分发出去是一个难题，在不安全的网络上分发密钥显然是不合适的；另外，任何一方将密钥泄露，那么双方都要重新启用新的密钥。

(3)加密算法:

加密可以分为对称加密和非对称加密。两者的主要区别就是是否使用同一个秘钥，对称加密需要用同一个秘钥。非对称加密不需要用同一个秘钥，而是需要两个秘钥：公开密钥（publickey）和私有密钥（privatekey），并且加密密钥和解密密钥是成对出现的。

对称加密:

对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。对称加密有很多种算法，由于它效率很高，所以被广泛使用在很多加密协议的核心当中。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。常见的对称加密有 DES、AES 等。

非对称加密:

非对称加密使用一对“私钥-公钥”，用私钥加密的内容只有对应公钥才能解开，反之亦然。非对称加密有以下特性：
对于一个公钥，有且只有一个对应的私钥;
公钥是公开的，并且不能通过公钥反推出私钥;
通过私钥加密的密文只能通过公钥能解密，通过公钥加密的密文也只能通过私钥能解密。

非对称加密不需要共享同一份秘钥，安全性要比对称加密高，但由于算法强度比对称加密复杂，加解密的速度比对称加解密的速度要慢。常见的非对称加密有 RSA、ESA、ECC 等。

(4)数字签名:

数字签名是基于非对称加密方法来实现的。数字签名就是用摘要算法提取出源文件的摘要并用私钥进行加密后的内容。如：在发送文件时再附带上源文件的数字签名。如果被黑客截取到加密后的文件和数字签名，黑客即使使用公钥解出了文件摘要，由于摘要算法的特性黑客也无法还原出原始内容。但接收者可以解密出文件内容再用同样的摘要算法提取出摘要来和数字签名里的摘要进行比对，摘要一致则说明文件没有被篡改过。

数字签名必须保证以下几点：
　
接收者能够核实发送者对报文的签名；发送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。

(5)数字证书:

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

数字证书里一般会包含公钥、公钥拥有者名称、CA 的数字签名、有效期、授权中心名称、证书序列号等信息。

数字证书如何确保列出的用户就是公钥的拥有者呢？关键点是 CA 的数字签名，CA会用自己的私钥将证书内容的摘要进行加密。因为 CA 的公钥是公开的，任何人都可以用公钥解密出 CA 的数字签名的摘要，再用同样的摘要算法提取出证书的摘要和解密 CA 数字签名后的摘要比对，一致则说明这个证书没有被篡改过，可以信任。

利用数字证书，配合相应的安全代理软件，可以在网上信息交易过程中检验对方的身份真伪，实现信息交易双方的身份真伪，为保证交易信息的真实性、完整性、机密性和不可否认性。数字证书提供了PKI的基础。

2.PKI组成

PKI是一个标准，它包括一些基本的组件，不同的组件提供不同的服务，主要由一下几个组件组成：

认证中心 CA(证书签发)： CA 机构，又称为证书授证 (Certificate Authority) 中心，是 PKI 的”核心”，即数字证书的申请及签发机关，CA 必须具备权威性的特征，它负责管理 PKI 结构下的所有用户(包括各种应用程序)的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA 还要负责用户证书的黑名单登记和黑名单发布。

CA 是PKI的核心。它是公正、权威、可信的第三方网上认证机构，负责数字证书的签发、撤销和生命周期的管理，还提供密钥管理和证书在线查询等服务。

X.500目录服务器(证书保存)： X.500目录服务器用于”发布”用户的证书和黑名单信息，用户可通过标准的 LDAP 协议查询自己或其他人的证书和下载黑名单信息。

具有高强度密码算法(SSL)的安全 WWW 服务器(即配置了 HTTPS 的apache)： Secure socket layer(SSL)协议最初由 Netscape 企业发展，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

Web(安全通信平台)： Web 有 Web Client 端和 Web Server 端两部分，分别安装在客户端和服务器端，通过具有高强度密码算法的 SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。

自开发安全应用系统：自开发安全应用系统是指各行业自开发的各种具体应用系统，例如银行、证券的应用系统等。

一个典型的PKI系统如上图所示。当中包含PKI策略、软硬件系统、证书机构CA、注冊机构RA、证书公布系统和PKI应用等。

3.生物识别与PKI技术

随着软件、硬件以及生物统计学的发展，生物识别技术逐渐普及到我们的生活中。指纹识别是运用最多的技术之一，在支付行业中如ApplePay、Huawei Pay、Sumsang Pay等均是使用指纹识别技术。现实生活中，办公打卡、门禁也广泛使用到指纹识别技术。除此之外，人脸识别技术也得到了广泛的使用。由此可见，生物识别技术已经从遥不可及变为触手可及。我们可以通过生物识别的各类技术，去避免比如到有些酒店刷门禁卡刷几遍仍不通过的尴尬情景；在智能家居领域，也可以通过人脸识别+步态分析以及指纹验证等技术手段体验到智能居家的安全便捷。

生物识别技术结合PKI数字证书技术，可以形成多证据链、多因子的安全认证过程。这是我们和主流生物识别厂商在金融领域合作的一个典型的方案，在信用卡网申过程中，利用生物识别技术和网络身份认证服务，能够核验用户身份，通过活体检测能保证人证合一，根据使用场景，系统采用场景证书对采集的资料进行签名、加密，整个过程简单易用，不仅安全可靠，同时又符合监管要求。

参考：

1.PKI技术原理(收集 整理 归纳)

2.PKI系统深入介绍

3.互联网安全之数字签名、数字证书与PKI系统

4.PKI Public Key Infrastructure公钥基础设施

5.生物识别与PKI技术在支付应用安全中的探讨