pki技术,PKI技术能有效的解决电子商务应用中的哪些问题

pki是什么

PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 PKI的基本组成: 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。 PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分： · 公钥密码证书管理。 · 黑名单的发布和管理。 · 密钥的备份和恢复。 · 自动更新密钥。 · 自动管理历史密钥。 · 支持交叉认证。 认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征； 数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥； 密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。 证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。

PKI的技术基础包括哪两部分？

PKI的基础技术包括公开密钥体制，加密机制。

PKI在公开密钥密码的基础上，主要解决密钥属于谁，即密钥认证的问题。在网络上证明公钥是谁的，就如同现实中证明谁是什么名字一样具有重要的意义。通过数字证书，PKI很好地证明了公钥是谁的。

PKI的核心技术就围绕着数字证书的申请、颁发、使用与撤销等整个生命周期进行展开。其中，证书撤销是PKI中最容易被忽视，但却是很关键的技术之一，也是基础设施必须提供的一项服务。

扩展资料：

PKI的应用非常广泛，包括应用在web服务器和浏览器之间的通信、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟私有网(VPN)等。

通常来说，CA是证书的签发机构，它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及一对密钥（即私钥和公钥），私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，较好的方案是数字证书机制。

参考资料来源：百度百科-公钥基础设施

什么是PKI？

PKI全称（Public Key Infrastructure） ：公开密钥基础设施，也就是利用公开密钥机制建立起来的基础设施。

PKI指的是证书的制作和分发的一种机制，在这个机制的保障前提下，进行可信赖的网络通信，即安全的网络通信保障机制，pki技术是信息安全技术的核心，也是电子商务的关键和基础技术，它的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等等。

优势

1，采用公开密钥密码技术，能够支持不可篡改的数字签名，在数字签名中包括了验证者的身份信息、验证信息等数据，能够保障数字证书的安全性，同时在验证的过程中，可以追溯验证者的信息，对数据的安全性提供了较高的保护；

2，支持离线验证身份，基于PKI技术的数字证书，支持离线的身份验证，由于数字证书由CA第三方认证中心方法，数字证书中已经存储了用户的身份验证信息以及身份验证的密钥，在身份验证的过程中不需要在线查询，提供了多重身份验证的方式；

3，PKI体系中包含了CA数字证书的撤销服务，使得用户对数字证书应用更为可控，保障了用户在各种环境下身份信息的安全，放置了身份信息的丢失以及被盗后的恶意应用，为CA数字证书提供了可控的安全机制；

4，PKI技术具有良好的网络交互能力，它能够通过网络为正在交互的双方系统提供有效的安全机制，能够为大规模分布式网络以及更为复杂的网络环境提供安全服务，使得网络数据的传输得到了有效保障；

什么是PKI/ PMI

PKI是Public Key Infrastructure的首字母缩写，翻译过来就是公钥基础设施；PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

PKI技术是公钥基础设施的简称，这种技术的主要原理是遵循既定标准的密钥管理平台，能够为互联网的应用提供加密服务以及数字签名服务。简单来说，PKI技术就是一种基础设施，主要是利用公钥理论和技术来提供一切安全服务。

PKI技术的优势

1、采用公开密钥密码技术，能够支持不可篡改的数字签名，在数字签名中包括了验证者的身份信息、验证信息等数据，能够保障数字证书的安全性，同时，在验证的过程中，可以追溯验证者的信息，对数据的安全性提供了较高的保护。

2、PKI技术具有良好的网络交互能力。PKI技术能够通过网络为正在交互的双方系统提供有效的安全机制，能够为大规模分布式网络以及更复杂的网络环境提供安全服务，使得网络数据的传输得到有效的保障。

3、支持离线验证身份。基于PKI技术的数字证书，支持离线的身份验证。由于数字证书由CA第三方认证中心发放，数字证书中已经存储用户的身份验证信息以及身份验证的密钥，在身份验证的过程中不需要在线查询，提供了多重身份验证方式。

Linux PKI和CA技术

PKI （Public Key Infrastructure ）公开密钥基础设施，是利用公开密钥技术所构建的，解决网络安全问题的，普遍适用的一种基础设施; 是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

PKI既不是一个协议，也不是一个软件，它是一个标准，在这个标准之下发展出的为了实现安全基础服务目的的技术统称为PKI。PKI通过传播数字证书来保证安全，于是认证中心CA就变成了PKI的核心。

认证中心CA(Certificate Authority) 是一个负责发放和管理数字证书的第三方权威机构，它负责管理PKI结构下的所有用户(包括各种应用程序)的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份。CA机构的数字签名使得攻击者不能伪造和篡改证书。

认证中心主要有以下5个功能：

证书的颁发：接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请。可以受理或拒绝

证书的更新：认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书

证书的查询：查询当前用户证书申请处理过程；查询用户证书的颁发信息，这类查询由目录服务器ldap来完成

证书的作废：由于用户私钥泄密等原因，需要向认证中心提出证书作废的请求；证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表 (Certificate Revocation List,CRL) 来完成上述功能。

证书的归档：证书具有一定的有效期，证书过了有效期之后就将作废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。

PKI的标准规定了PKI的设计、实施和运营，规定了PKI各种角色的”游戏规则”，提供数据语法和语义的共同约定。PKI体系中有很多SSL证书格式标准。

其中最为人熟知的有x.509和PKCS#12（pfx, p12为证书后缀）

1. 证书版本号(Version)

版本号指明X.509证书的格式版本，现在的值可以为: 0:v1， 1:v2， 2:v3

2. 证书序列号(Serial Number)

序列号指定由CA分配给证书的唯一的"数字型标识符"。当证书被取消时，实际上是将此证书的序列号放入由CA签发的证书废除列表CRL(Certificate revocation lists 证书黑名单)中，

3. 签名算法标识符(Signature Algorithm)

签名算法标识用来指定由CA签发证书时所使用的"签名算法"。算法标识符用来指定CA签发证书时所使用的公开密钥算法或hash算法

4. 签发机构名(Issuer)

此域用来标识签发证书的CA的X.500DN(DN-Distinguished Name)名字。包括:

1) 国家(C) 2) 省市(ST) 3) 地区(L) 4) 组织机构(O) 5) 单位部门(OU) 6) 通用名(CN) 7) 邮箱地址

5. 有效期(Validity)

指定证书的有效期，包括:

1) 证书开始生效的日期时间 2) 证书失效的日期和时间

每次使用证书时，需要检查证书是否在有效期内。

6. 证书用户名(Subject)

指定证书持有者的X.500唯一名字。包括:

同签发机构名(Issuer)中的条目

7. 证书持有者公开密钥信息(Subject Public KeyInfo)

证书持有者公开密钥信息域包含两个重要信息:

1) 证书持有者的公开密钥的值 2) 公开密钥使用的算法标识符。此标识符包含公开密钥算法和hash算法。

8. 扩展项(extension)

X.509V3证书是在v2的基础上一标准形式或普通形式增加了扩展项，以使证书能够附带额外信息。

9. 签发者唯一标识符(Issuer Unique Identifier)

签发者唯一标识符在第2版加入证书定义中。此域用在当同一个X.500名字用于多个认证机构时，用一比特字符串来唯一标识签发者的X.500名字。可选。

10. 证书持有者唯一标识符(Subject Unique Identifier)

持有证书者唯一标识符在第2版的标准中加入X.509证书定义。此域用在当同一个X.500名字用于多个证书持有者时，用一比特字符串来唯一标识证书持有者的X.500名字。可选。

11. 签名算法(Signature Algorithm)

证书签发机构对证书上述内容的签名算法

12. 签名值(Issuer's Signature)

证书签发机构对证书上述内容的签名值

证书案例

不涉及pki技术应用的是

视频压缩。pki技术一种充分利用公钥密码学技术，所以不涉及pki技术应用的是视频压缩。视频压缩通常指的是通过特定的压缩技术，比如调节视频的参数等，从而达到缩减视频大小节省空间的目的。