PKI體系如何保障身份安全？

 組件說明

數(shù)字證書

PKI中核心載體為數(shù)字證書，即由具有公信力的機構(gòu)為個人頒發(fā)的身份ID，其可看作個人在虛擬網(wǎng)絡(luò)世界的身份ID。

數(shù)字證書的分類一般為4大類：根據(jù)證書持有者分類、根據(jù)秘鑰分類、根據(jù)驗證模式分類以及根據(jù)域名分類。

CA中心

CA 中心管理并運營 CA 系統(tǒng)，CA 系統(tǒng)負責(zé)頒發(fā)數(shù)字證書。專門負責(zé)頒發(fā)數(shù)字證書的系統(tǒng)稱為 CA 系統(tǒng)，負責(zé)管理并運營 CA 系統(tǒng)的機構(gòu)稱為 CA 中心。所有與數(shù)字證書相關(guān)的各種概念和技術(shù)，統(tǒng)稱為 PKI（Public Key Infrastructure）。

身份認證

由于網(wǎng)絡(luò)具有開放性和匿名性等特點，非法用戶通過一些技術(shù)手段假冒他人身份進行網(wǎng)上欺詐的門檻越來越低，從而對合法用戶和系統(tǒng)造成極大的危害。身份認證的實質(zhì)就是證實被認證對象是否真實和是否有效的過程，被認為是當(dāng)今網(wǎng)上交易的基礎(chǔ)。在PKI體系中，認證中心(Certification Authority，CA)為系統(tǒng)內(nèi)每個合法用戶辦一個網(wǎng)上身份認證。

數(shù)據(jù)完整性（電子郵件）

數(shù)據(jù)的完整性就是防止非法篡改信息，如修改、復(fù)制、插入、刪除等。在交易過程中，要確保交易雙方接收到的數(shù)據(jù)與原數(shù)據(jù)完全一致，否則交易將存在安全問題。如果依靠觀察的方式來判斷數(shù)據(jù)是否發(fā)生過改變，在大多數(shù)情況下是不現(xiàn)實的。在網(wǎng)絡(luò)安全中，一般使用散列函數(shù)的方法(Hash函數(shù)，也稱密碼雜湊函數(shù))來保證通信時數(shù)據(jù)的完整性。通過Hash算法我們將任意長度的數(shù)據(jù)通過變換為長度固定的數(shù)字摘要(消息認證碼，MAC)，并且原始數(shù)據(jù)中任何一位的改變都將會在相同的計算條件下產(chǎn)生截然不同的數(shù)字摘要。

數(shù)據(jù)保密性（服務(wù)訪問）

數(shù)據(jù)的保密性就是對需要保護的數(shù)據(jù)進行加密，從而保證信息在傳輸和存儲過程中不被未授權(quán)人獲取。在PKl系統(tǒng)中，所有的保密性都是通過密碼技術(shù)實現(xiàn)的。密鑰對分為兩種，一種稱作加密密鑰對，用作加解密；另一種稱作簽名密鑰對，用作簽名。一般情況下，用來加解密的密鑰對并不對實際的大量數(shù)據(jù)進行加解密，只是用于協(xié)商會話密鑰，而真正用于大量數(shù)據(jù)加解密的是會話密鑰。

不可抵賴性（合同）

不可抵賴性保證參與雙方不能否認自己曾經(jīng)做過的事情。在PKI系統(tǒng)中，不可抵賴性來源于數(shù)字簽名。由于用戶進行數(shù)字簽名的時候．簽名私鑰只能被簽名者自己掌握，系統(tǒng)中的其他實體不能做出這樣的簽名，因此，在私鑰安全的假設(shè)下簽名者就不能否認自己做出的簽名。保護簽名私鑰的安全性是不可抵賴問題的基礎(chǔ)。

數(shù)字簽名

由于單一的、獨一無二的私鑰創(chuàng)建了簽名，所以在被簽名數(shù)據(jù)與私鑰對應(yīng)的實體之間可以建立一種聯(lián)系，這種聯(lián)系通過使用實體公鑰驗證簽名來實現(xiàn)。如果簽名驗證正確，并且從諸如可信實體簽名的公鑰證書中知道了用于驗證簽名的公鑰對應(yīng)的實體，那么就可以用數(shù)字簽名來證明被數(shù)字簽名數(shù)據(jù)確實來自證書中標識的實體。因此，PKI的數(shù)字簽名服務(wù)分為兩部分：簽名生成服務(wù)和簽名驗證服務(wù)。

小結(jié)

針對PKI派拉能提供什么?