網路安全和pki管理的認識

『壹』 網路安全之PKI技術原理

PKI：利用公鑰理論和技術建立的提供網路信息安全服務的基礎設施。為用戶提供所需的密鑰和證書管理，用戶可以利用PKI平台提供的安全服務進行安全通信。

PKI內容

1、認證機構

PKI的核心部分，認證中心，是數字證書的簽發機構，權威可信任的第三方機構

2、數字證書庫

在使用公鑰體制的網路環境中，必須向公鑰的使用者證明公鑰的真實合法性。因此，在公鑰體制環境中，必須有一個可信的機構來對任何一個主體的公鑰進行公證，證明主體的身份以及它與公鑰的匹配關系。

3、密鑰備份

如果用戶丟失了密鑰，會造成已經加密的文件無法解密，引起數據丟失，為了避免這種情況，PKI提供密鑰備份及恢復機制

4、證書作廢

身份變更或密鑰遺失

5、應用介面系統

PKI應用介面系統是為各種各樣的應用提供安全、一致、可信任的方式與PKI交互，確保所建立起來的網路環境安全可信，並降低管理成本。

目前網路交互、網路交易、電子商務、電子政務，可信賴的數字信息環境，必需建立在這些安全要素之上

PKI基於公鑰理論，建立在公鑰加密技術之上，了解PKI就先了解公鑰加密技術。

Public Key Infrastructure 公鑰基礎設施

在傳統密碼體制中，用於加密的密鑰和解密的密鑰完全相同，通過這兩個密鑰來共享信息。

這種體制所使用的加密演算法比較簡單，但高效快速，密鑰簡短，破譯困難。然而密鑰的傳送和保管是一個問題。例如，通訊雙方要用同一個密鑰加密與解密，首先，將密鑰分發出去是一個難題，在不安全的網路上分發密鑰顯然是不合適的；另外，任何一方將密鑰泄露，那麼雙方都要重新啟用新的密鑰。

常見演算法：MD5、RSA、DES

問題：共享的密鑰不安全、通信者都需要不通密鑰、通信雙方都可否認信息。

『貳』 什麼是PKI為什麼會出現PKI

PKI
(
Public
Key
Infrast
ructure,
公鑰基礎設施)
技術,
PKI
技術採用證書管理公鑰,
通過
第三方的可信任機構———認證中心(Cer
tificate
Authority
,
CA
)
,
把用戶的公鑰和用戶的
其他標識信息(
如名稱、E-mail、身份證號等)捆綁在一起,
在Internet
上驗證用戶的身份。
目前,
通用的辦法是採用建立在PKI
基礎之上的數字證書,
通過對要傳輸的數字信息進
行加密和簽名,
保證信息傳輸的機密性、真實性、完整性和不可否認性,
從而保證信息的安
全傳輸。
簡單來說PKI就是採用公鑰技術為基礎，保證網路安全傳輸的技術，出現PKI可以替代用戶名密碼登陸這種不是太安全的方案。

『叄』 PKI指的是什麼意思

PKI是Public Key Infrastructure的首字母縮寫，翻譯過來就是公鑰基礎設施；PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平台的技術和規范。

PKI技術是公鑰基礎設施的簡稱，這種技術的主要原理是遵循既定標準的密鑰管理平台，能夠為互聯網的應用提供加密服務以及數字簽名服務。簡單來說，PKI技術就是一種基礎設施，主要是利用公鑰理論和技術來提供一切安全服務。

(3)網路安全和pki管理的認識擴展閱讀：

安全服務

PKI的應用非常廣泛，其為網上金融、網上銀行、網上證券、電子商務、電子政務等網路中的數據交換提供了完備的安全服務功能。PKI作為安全基礎設施，能夠提供身份認證、數據完整性、數據保密性、數據公正性、不可抵賴性和時間戳六種安全服務。

身份認證

由於網路具有開放性和匿名性等特點，非法用戶通過一些技術手段假冒他人身份進行網上欺詐的門檻越來越低，從而對合法用戶和系統造成極大的危害。身份認證的實質就是證實被認證對象是否真實和是否有效的過程，被認為是當今網上交易的基礎。在PKI體系中，認證中心(Certification Authority，CA)為系統內每個合法用戶辦一個網上身份認證，即身份證。

『肆』 PKI是什麼

PKI（Public Key Infrastructure ） 即"公鑰基礎設施"，是一種遵循既定標準的密鑰管理平台,它能夠為所有網路應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。
PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。
[編輯本段]PKI綜述
PKI是Public Key Infrastructure的縮寫，是指用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。這個定義涵蓋的內容比較寬，是一個被很多人接受的概念。這個定義說明，任何以公鑰技術為基礎的安全基礎設施都是PKI。當然，沒有好的非對稱演算法和好的密鑰管理就不可能提供完善的安全服務，也就不能叫做PKI。也就是說，該定義中已經隱含了必須具有的密鑰管理功能。
X.509標准中，為了區別於許可權管理基礎設施(Privilege Management Infrastructure，簡稱PMI)，將PKI定義為支持公開密鑰管理並能支持認證、加密、完整性和可追究性服務的基礎設施]。這個概念與第一個概念相比，不僅僅敘述PKI能提供的安全服務，更強調PKI必須支持公開密鑰的管理。也就是說，僅僅使用公鑰技術還不能叫做PKI，還應該提供公開密鑰的管理。因為PMI僅僅使用公鑰技術但並不管理公開密鑰，所以，PMI就可以單獨進行描述了而不至於跟公鑰證書等概念混淆。X.509中從概念上分清PKI和PMI有利於標準的敘述。然而，由於PMI使用了公鑰技術，PMI的使用和建立必須先有PKI的密鑰管理支持。也就是說，PMI不得不把自己與PKI綁定在一起。當我們把兩者合二為一時，PMI+PKI就完全落在X.509標準定義的PKI范疇內。根據X.509的定義，PMI+PKI仍舊可以叫做PKI，而PMI完全可以看成PKI的一個部分。
美國國家審計總署在2001年[iii]和2003年的報告中都把PKI定義為由硬體、軟體、策略和人構成的系統，當完善實施後，能夠為敏感通信和交易提供一套信息安全保障，包括保密性、完整性、真實性和不可否認。盡管這個定義沒有提到公開密鑰技術，但到目前為止，滿足上述條件的也只有公鑰技術構成的基礎設施，也就是說，只有第一個定義符合這個PKI的定義。所以這個定義與第一個定義並不矛盾。
綜上所述，我們認為：PKI是用公鑰概念和技術實施的，支持公開密鑰的管理並提供真實性、保密性、完整性以及可追究性安全服務的具有普適性的安全基礎設施。
[編輯本段]PKI的基本組成:
完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用介面（API）等基本構成部分，構建PKI也將圍繞著這五大系統來著手構建。
PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。一個典型、完整、有效的PKI應用系統至少應具有以下部分：
· 公鑰密碼證書管理。
· 黑名單的發布和管理。
· 密鑰的備份和恢復。
· 自動更新密鑰。
· 自動管理歷史密鑰。
· 支持交叉認證。
認證機構（CA）：即數字證書的申請及簽發機關，CA必須具備權威性的特徵；
數字證書庫：用於存儲已簽發的數字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰；
密鑰備份及恢復系統：如果用戶丟失了用於解密數據的密鑰，則數據將無法被解密，這將造成合法數據丟失。為避免這種情況，PKI提供備份與恢復密鑰的機制。但須注意，密鑰的備份與恢復必須由可信的機構來完成。並且，密鑰備份與恢復只能針對解密密鑰，簽名私鑰為確保其唯一性而不能夠作備份。
證書作廢系統：證書作廢處理系統是PKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內也可能需要作廢，原因可能是密鑰介質丟失或用戶身份變更等。為實現這一點,PKI必須提供作廢證書的一系列機制。
應用介面（API）：PKI的價值在於使用戶能夠方便地使用加密、數字簽名等安全服務，因此一個完整的PKI必須提供良好的應用介面系統，使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互，確保安全網路環境的完整性和易用性。
通常來說，CA是證書的簽發機構,它是PKI的核心。眾所周知，構建密碼服務系統的核心內容是如何實現密鑰管理。公鑰體制涉及到一對密鑰（即私鑰和公鑰），私鑰只由用戶獨立掌握，無須在網上傳輸，而公鑰則是公開的，需要在網上傳送，故公鑰體制的密鑰管理主要是針對公鑰的管理問題，目前較好的解決方案是數字證書機制。
[編輯本段]PKI的目標
PKI就是一種基礎設施，其目標就是要充分利用公鑰密碼學的理論基礎，建立起一種普遍適用的基礎設施，為各種網路應用提供全面的安全服務。公開密鑰密碼為我們提供了一種非對稱性質，使得安全的數字簽名和開放的簽名驗證成為可能。而這種優秀技術的使用卻面臨著理解困難、實施難度大等問題。正如讓電視機的開發者理解和維護發電廠有一定的難度一樣，要讓每一個應用程序的開發者完全正確地理解和實施基於公開密鑰密碼的安全有一定的難度。PKI希望通過一種專業的基礎設施的開發，讓網路應用系統的開發人員從繁瑣的密碼技術中解脫出來而同時享有完善的安全服務。
將PKI在網路信息空間的地位與電力基礎設施在工業生活中的地位進行類比可以更好地理解PKI。電力基礎設施，通過伸到用戶的標准插座為用戶提供能源，而PKI通過延伸到用戶本地的介面，為各種應用提供安全的服務。有了PKI，安全應用程序的開發者可以不用再關心那些復雜的數學運算和模型，而直接按照標准使用一種插座（介面）。正如電冰箱的開發者不用關心發電機的原理和構造一樣，只要開發出符合電力基礎設施介面標準的應用設備，就可以享受基礎設施提供的能源。
PKI與應用的分離也是PKI作為基礎設施的重要標志。正如電力基礎設施與電器的分離一樣。網路應用與安全基礎實現了分離，有利於網路應用更快地發展，也有利於安全基礎設施更好地建設。正是由於PKI與其他應用能夠很好地分離，才使得我們能夠將之稱為基礎設施，PKI也才能從千差萬別的安全應用中獨立出來，才能有效地獨立地發展壯大。PKI與網路應用的分離實際上就是網路社會的一次「社會分工」，這種分工可能會成為網路應用發展史上的重要里程碑。
[編輯本段]PKI技術包含的內容
PKI在公開密鑰密碼的基礎上，主要解決密鑰屬於誰，即密鑰認證的問題。在網路上證明公鑰是誰的，就如同現實中證明誰是什麼名字一樣具有重要的意義。通過數字證書，PKI很好地證明了公鑰是誰的。PKI的核心技術就圍繞著數字證書的申請、頒發、使用與撤銷等整個生命周期進行展開。其中，證書撤銷是PKI中最容易被忽視，但卻是很關鍵的技術之一，也是基礎設施必須提供的一項服務。
PKI技術的研究對象包括了數字證書，頒發數字證書的證書認證中心，持有證書的證書持有者和使用證書服務的證書用戶，以及為了更好地成為基礎設施而必須具備的證書注冊機構、證書存儲和查詢伺服器，證書狀態查詢伺服器，證書驗證伺服器等。
PKI作為基礎設施，兩個或多個PKI管理域的互聯就非常重要。PKI域間如何互聯，如何更好地互聯就是建設一個無縫的大范圍的網路應用的關鍵。在PKI互連過程中，PKI關鍵設備之間，PKI末端用戶之間，網路應用與PKI系統之間的互操作與介面技術就是PKI發展的重要保證，也是PKI技術的研究重點。
[編輯本段]PKI的優勢
PKI作為一種安全技術，已經深入到網路的各個層面。這從一個側面反映了PKI強大的生命力和無與倫比的技術優勢。PKI的靈魂來源於公鑰密碼技術，這種技術使得「知其然不知其所以然」成為一種可以證明的狀態，使得網路上的數字簽名有了理論上的安全保障。圍繞著如何用好這種非對稱密碼技術，數字證書破殼而出，並成為PKI中最為核心的元素。
PKI的優勢主要表現在：
1、 採用公開密鑰密碼技術，能夠支持可公開驗證並無法仿冒的數字簽名，從而在支持可追究的服務上具有不可替代的優勢。這種可追究的服務也為原發數據完整性提供了更高級別的擔保。支持可以公開地進行驗證，或者說任意的第三方可驗證，能更好地保護弱勢個體，完善平等的網路系統間的信息和操作的可追究性。
2、 由於密碼技術的採用，保護機密性是PKI最得天獨厚的優點。PKI不僅能夠為相互認識的實體之間提供機密性服務，同時也可以為陌生的用戶之間的通信提供保密支持。
3、 由於數字證書可以由用戶獨立驗證，不需要在線查詢，原理上能夠保證服務范圍的無限制地擴張，這使得PKI能夠成為一種服務巨大用戶群的基礎設施。PKI採用數字證書方式進行服務，即通過第三方頒發的數字證書證明末端實體的密鑰，而不是在線查詢或在線分發。這種密鑰管理方式突破了過去安全驗證服務必須在線的限制。
4、 PKI提供了證書的撤銷機制，從而使得其應用領域不受具體應用的限制。撤銷機制提供了在意外情況下的補救措施，在各種安全環境下都可以讓用戶更加放心。另外，因為有撤銷技術，不論是永遠不變的身份、還是經常變換的角色，都可以得到PKI的服務而不用擔心被竊後身份或角色被永遠作廢或被他人惡意盜用。為用戶提供「改正錯誤」或「後悔」的途徑是良好工程設計中必須的一環。
5、 PKI具有極強的互聯能力。不論是上下級的領導關系，還是平等的第三方信任關系，PKI都能夠按照人類世界的信任方式進行多種形式的互聯互通，從而使PKI能夠很好地服務於符合人類習慣的大型網路信息系統。PKI中各種互聯技術的結合使建設一個復雜的網路信任體系成為可能。PKI的互聯技術為消除網路世界的信任孤島提供了充足的技術保障。
[編輯本段]PKI的未來
在尋找PKI的招牌應用（Killer Application）屢告失敗後，PKI突破性的增長並沒有出現。大量的投資進入了PKI建設中卻沒有帶來預期的收益。有人說PKI根本就是一種騙術，有些人說PKI已經死了，而有人說它沒有死，只是在休息。
本書也不敢預測未來，只能談談對PKI面臨的問題，市場的需求以及其競爭技術。
2001年，美國審計總署總結PKI發展面臨的挑戰時指出，互操作問題，系統費用昂貴等是當時的主要困難。2003年美國審計總署總結聯邦PKI發展問題時仍舊強調，在PKI建設中，針對技術問題和法律問題，在很多地方缺乏策略和指南或者存在錯誤的策略和指南；實施費用高，特別是在實施一些非標準的介面時資金壓力更大；互操作問題依然突出，PKI系統與其他系統的集成時面臨已有系統的調整甚至替換的問題；使用和管理PKI需要更多培訓，PKI的管理仍舊有嚴重障礙。
盡管PKI建設的問題很多，也沒有出現如同人們想像的突破性的發展，但我們仍舊不難發現，所有這些挑戰，實際上都源於PKI技術的復雜。比如，實施者對標準的理解不一致是造成互操作問題一個重要原因。目前，隨著人們研究的深入，標準的出台，更多實施者的參與，更多應用的推進都會極大推進互操作性問題的解決。大量的技術人員參與建設，也會加速PKI產品的降價，降低PKI用戶的購買成本。隨著用戶對PKI的深入了解，使用和維護PKI也將不是一個昂貴的過程。諸多的困難，並沒有阻擋，也不可能阻擋PKI的應用的腳步。PKI已經逐步深入到網路應用的各個環節。PKI的諸多優勢使得PKI的應用逐步擴大。
舉一個例子，電子商務中需要可追究性保護，而PKI提供的任意第三方可驗證能夠提供一個更加公平的環境支持。比如，甲方乙方簽訂合同後，不用擔心對方跟某位領導（也許可以稱為權威方）有什麼關系，因為任意的一個第三方都可以驗證合法的合同內容。這種公開的驗證方式使得商務活動可以變得更加民主與和諧。這樣公平的技術環境是對稱密碼技術和基於身份的密碼技術無法提供的。在一個企業內部，PKI也可以為構建一個更加民主的商務環境提供技術支持。比如，聰明的老闆或領導一定是言而有信的領導，肯定會將下屬或員工看成自己的合作者，也願意一樣接受制度的制約。PKI這種第三方驗證的方式鼓勵了這種平等的合作，表明了一種「在法律面前人人平等」的民主作風。而使用對稱密碼技術的員工卻不得不無條件地信任密鑰分發中心，對稱密碼的管理系統沒有能力提供追究領導責任的技術途徑。
PKI提供的安全服務支持了許多以前無法完成的應用。PKI技術可以保證運行代碼正確地通過網路下載而不被黑客篡改；可以保證數字證件，比如護照的真實性，而不用擔心被證件閱讀者假冒；可以用於版權保護而不用擔心沒有證據；可以用於負責任的新聞或節目分級管理從而凈化文化環境，等等。
PKI技術並沒有一個招牌應用，也沒有人們想像中那麼迅速的發展。然而，也許正是沒有招牌應用才使得PKI能夠成為所有應用的安全基礎；沒有快速發展也許說明PKI的發展不會是曇花一現，而是經久不衰。作為一項目前還沒有替代品的技術，PKI正逐步得到更加廣泛的應用。
[[i]] Peter Gutmann. PKI:It』s Not Dead, Just Resting.
[[i]] Carlisle Adams, Steve Lloyd. Understanding PKI. Second Edition. Boston: Addison- Wesley, 2002:28.
[[ii]] International Standard. ISO/IEC9594-8. The Directory:Public-key and attribute certificate frameworks. Geneva:ISO, 2000
[[iii]] United States General Accounting Office. Advances and Remaining Challenges to Adoption of Public Key Infrastructure Technology. Washington, D.C.:GAO,2001:74
[[iv]] United States General Accounting Office. Status of Federal Public Key Infrastructure Activities at Major Federal Departments and Agencies. Washington, D.C.:GAO,2003:7

『伍』 外網的pki與內網的pki有什麼區別

隨著計算機技術和通信技術的飛速發展，信息化的浪潮席捲全球，無論是企事業單位還是政府機構越來越多的傳統事務向自動化、網路化轉變，企業的系統信息化建設已成為企業存在和發展的關鍵因素。企業在建設和健全自身的信息化系統時，由於網路技術的復雜性和諸多客觀和主管因素，使得無論在內網還是外網上都同樣面臨著很多的安全問題。總的概括起來，企業在基於網路的系統信息化建設過程中所遇到的安全問題主要體現在以下幾個方面：
1) 身份認證：由於網路對用戶的開放性，使得非法用戶可以借機進行利用並破壞，他們很容易偽造、假冒企業應用系統和用戶的身份。這樣，用戶無法知道他們所登錄的應用系統是否真實、可信的系統，應用系統也無法證明訪問的用戶是否是系統中的合法用戶。
2) 信息機密性：數據在互聯網或者內網上傳輸敏感、機密信息數據時，有可能在傳輸過程中被截取，被非法用戶加以利用。
3) 信息完整性：在保證信息機密性的同時，還需要保證敏感數據的完整傳輸。敏感數據在網路傳輸過程中很可能遭惡意篡改，使得接收方不能得到完整的信息。
4) 信息抗抵賴：如果沒有有效的手段保證電子數據共享和傳輸的抗抵賴，誰都可以否認自己共享和傳輸過的電子數據。一旦出現問題，將沒有任何有效的證據，對肇事者進行追究。
這些問題構成了企業系統信息化建設中的四大網路安全問題，也成為企業發展和壯大的重要瓶頸。
而目前以PKI技術為基礎的數字證書應用已經被廣泛應用於信息化建設，並已證明是保證信息安全的成熟解決方案。

簡單來說，CA系統可以理解為一個跨應用的「安全支撐平台」，利用證書的特點來實現身份綁定和各種許可權控制（例如最基本的數據訪問、修改、刪除、增加等）。具體到財務系統，又可以分成本地財務系統安全防護和遠程登錄財務系統安全防護等不同情況，可以通過CA及SSL VPN等產品搭建基本的遠程辦公系統。

相比較傳統的用戶名+密碼方式登錄系統，利用數字證書可以實現更高的安全性和靈活的角色許可權管理性。

如需了解更詳細的方案，可以給我發站內消息聯系。

『陸』 談談對網路安全的認識

網路空間安全專業是網路空間安全一級學科下的專業，學科代碼為「083900」，授予「工學」學位，涉及到以信息構建的各種空間領域，研究網路空間的組成、形態、安全、管理等。網路空間安全專業，致力於培養「互聯網+」時代能夠支撐國家網路空間安全領域的具有較強的工程實踐能力，系統掌握網路空間安全的基本理論和關鍵技術，能夠在網路空間安全產業以及其他國民經濟部門，從事各類網路空間相關的軟硬體開發、系統設計與分析、網路空間安全規劃管理等工作，具有強烈的社會責任感和使命感、寬廣的國際視野、勇於探索的創新精神和實踐能力的拔尖創新人才和行業高級工程人才。