PKI工作原理和组织安全指南（一）

发布日期：2020-08-27

公钥基础结构是我们在网络世界中日常生活的关键部分。它可以保护一切，从浏览器中的登录凭据到我们通过电子邮件共享的敏感数据，一应俱全。这种PKI运作方式的明细公钥基础结构是网络安全所固有的，好比一个保护壳，里面兜住了许多需要保护的东西。可以说，PKI是使网络安全工作的要素之一。

公钥基础结构（PKI）通常被称为一种网络安全技术或框架，但不仅限于此。你或许知道该术语与加密有关，但是你知道它实际上的主要作用或者工作方式吗？

首先我们来了解一下PKI是什么？

简而言之，公钥基础结构（PKI）是一个系统（基于加密密钥和数字证书），用于保护不同计算机系统之间的通信。它也是一个系统，可以帮助你的企业你的团队保持数据安全性和隐私要求的合规性，顺利通过等保等要求。

PKI为保护通信有两件事

身份验证：确保另一方是你要与之通信的合法服务器或者个人。

信息加密：确保没有其他方可以阅读你的通信甚至篡改你的通信。

为了更好地了解PKI的工作原理，我们首先需要使整个过程更加容易理解。因此，让我们以网站使用的SSL证书为例。在浏览器中你看到的挂锁图标，这意味着该网站正在使用基于PKI的SSL证书。

SSL使用PKI做两件事：

1. 你的浏览器会验证它是否已连接到wosign.com拥有的正确服务器。

2. 在你的浏览器和Web服务器之间传递的所有数据均已加密。

从技术角度上讲，PKI是加密技术，策略和过程的组合，可用于保护数字世界中的数据并进行身份验证。该术语还涉及数字证书和密钥的发布，使用，存储，分发，管理和吊销（也称为证书生命周期）以及颁发它们的实体。

PKI的主要功能是将公用密钥分发给正确的设备，软件和需要它们的用户。这意味着 PKI就是要确保你的敏感数据不会落入错误的人手中。

PKI的6个关键组成部分：

为了更好地了解PKI的工作原理，我们首先需要了解其中涉及的内容。

X.509数字证书——这些类型的证书包括密钥，有关（证书和密钥的）所有者身份的信息以及证书颁发机构的数字签名。这些类型的证书包括：

SSL/TLS网站安全证书；

S/MIME（客户端身份验证）证书；

代码签名证书，以及文件签名证书。

数字签名——数字签名可以确保消息、文件或数据没有任何更改。它使用信息的加密哈希值来确保数据的完整性，保证任何人都无法修改信息。

公钥和私钥对（非对称和对称）—— PKI之所以起作用，是因为密钥对可以加密和解密数据。在非对称加密中，有一个与所有人共享的公钥和一个保密的匹配私钥。在对称加密中，双方都使用一个密钥进行通信。

证书颁发机构（CA）——证书颁发机构使整个PKI系统值得信赖。CA验证各方并颁发证书。没有CA，PKI根本无法工作，因为任何人都可以向自己颁发证书，说他们是wotrus.com，是淘宝网站或任何他们想冒充的人。

信任链——信任链是一系列证书（根证书，中间证书和叶证书），这些证书在链接回表上显示签名的颁发CA。

正确的证书管理工具，策略和过程——这包括使用证书管理工具（例如证书管理器）。

公钥基础结构工作概述图

(本章节结束，未完待后续更新)