PKI的数据加密实质是利用公钥加密算法交换机密密钥的优势,并利用对称加密算法速度快效率高、适合大量数据安全加密的特点,产生的一种既快速又灵活的加密解决方案。通信双方通过运用密钥对(e,d)为对称加密算法中的机密密钥进行加解密操作,实现明文数据的安全传送。
加密算法在PKI系统中的应用
密钥管理
PKI一般采用双证书体系,公钥算法支持RSA和ECC两种公钥算法,对称密码算法支持国密办指定的加密算法。密钥对分为加密密钥对和签名密钥对。签名密钥对在用户端的PKI实体鉴别密码器中生成,密钥不离开PKI实体鉴别密码器;加密密钥对在密钥管理中心KM中生成和托管,并由KM经CA中心发给用户,并自动导入PKI实体鉴别密码器中。由于加密密钥对非常重要,而且必须通过网络在KM密钥管理中心、CA中心和用户终端间传送,所以,必须采取有效的措施确保加密密钥对的安全传送(包括机密性、完整性和不可否认性)。密钥管理包括密钥的生成和托管、密钥的恢复、密钥的查询和密钥的销毁等过程。
证书管理
PKI系统中的数字证书采用标准的X.509v4格式,证书管理主要包括证书申请、证书签发、证书更新和证书注销等过程。
当然为了防止发送方可能的恶意欺骗行为,如发送方发送数据后宣布加密密钥被盗,不承认自己曾经的行为,可以结合时间戳技术即CA中心在接收到申请的数字摘要生成证书时,与日期和时间绑定在一起生成标明时间的时间戳,可用于比较重要的安全网络事务和应用场合。
小知识之PKI:
PKI(Public Key Infrastructure ) 即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。