公钥基础设施 · PKI
📌 一句话理解
PKI就是“网络世界的身份证系统”:它帮你在网上证明“我是我”,并让信息安全地传给对方。
🆔 PKI是什么?
PKI(Public Key Infrastructure,公钥基础设施) 是一套用于管理数字证书和公钥加密的系统。它解决了网络通信中的三大问题:身份认证、数据加密、信息防篡改。
┌─────────────────────────────────────────────────────────────────┐
│ PKI = 网络身份证系统 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 现实世界 网络世界 │
│ │
│ ┌─────────┐ ┌─────────┐ │
│ │ 身份证 │ │ 数字证书 │ │
│ │ 公安局 │ │ CA机构 │ │
│ │ 签发 │ │ 签发 │ │
│ └─────────┘ └─────────┘ │
│ │
│ • 身份证证明你是谁 • 数字证书证明网站/人是谁 │
│ • 身份证防伪造 • 数字证书防篡改 │
│ │
└─────────────────────────────────────────────────────────────────┘
🔧 PKI的核心组成
| 组件 | 全称 | 作用 | 类比 |
|---|---|---|---|
| CA | 认证机构 | 签发和管理数字证书 | 公安局(发身份证) |
| RA | 注册机构 | 验证申请者身份 | 派出所(受理申请) |
| 证书库 | 存储证书 | 存放已签发的证书 | 身份证数据库 |
| 密钥管理 | 管理密钥 | 管理公钥和私钥 | 保管你的印章 |
┌─────────────────────────────────────────────────────────────────┐
│ PKI 工作流程 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────┐ ①申请证书 ┌─────────┐ │
│ │ 网站 │ ──────────────► │ RA │ │
│ │ (淘宝) │ │ (注册机构)│ │
│ └─────────┘ └────┬────┘ │
│ │ │
│ │ ②验证身份 │
│ ▼ │
│ ┌─────────────┐ │
│ │ CA │ │
│ │ (认证机构) │ │
│ └──────┬──────┘ │
│ │ │
│ │ ③签发证书 │
│ ▼ │
│ ┌─────────┐ ④返回证书 ┌─────────┐ │
│ │ 网站 │ ◄────────────── │ 网站 │ │
│ │ (淘宝) │ │ 获得证书 │ │
│ └─────────┘ └─────────┘ │
│ │
│ 现在,你访问淘宝时,浏览器会检查这个证书 │
│ 确认是真的淘宝,不是假网站 │
│ │
└─────────────────────────────────────────────────────────────────┘
🔑 公钥加密的核心概念
PKI的核心是一对密钥:公钥 和 私钥。
| 密钥 | 谁持有 | 作用 | 类比 |
|---|---|---|---|
| 公钥 | 公开给所有人 | 用来加密信息 | 公开的密码箱 |
| 私钥 | 只有自己知道 | 用来解密信息 | 只有你有钥匙 |
┌─────────────────────────────────────────────────────────────────┐
│ 公钥 + 私钥 工作原理 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 你想给朋友发加密消息: │
│ │
│ ┌─────────┐ ┌─────────┐ │
│ │ 你的 │ │ 朋友的 │ │
│ │ 消息 │ │ 消息 │ │
│ └────┬────┘ └────┬────┘ │
│ │ ▲ │
│ ▼ │ │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │ 用朋友的│ ─► │ 加密的 │ ─► │ 用朋友的│ │
│ │ 公钥加密│ │ 密文 │ │ 私钥解密│ │
│ └─────────┘ └─────────┘ └─────────┘ │
│ │
│ 特点: │
│ • 公钥加密的内容,只有对应的私钥能解开 │
│ • 私钥永远不会公开 │
│ • 就算别人截获密文,没有私钥也看不懂 │
│ │
└─────────────────────────────────────────────────────────────────┘
🔒 数字签名:证明你是你
除了加密,PKI还能做数字签名。
┌─────────────────────────────────────────────────────────────────┐
│ 数字签名 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 你想证明某份文件是你发的: │
│ │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │ 文件 │ ─► │ 用自己的│ ─► │ 文件 + │ │
│ │ │ │ 私钥签名│ │ 签名 │ │
│ └─────────┘ └─────────┘ └────┬────┘ │
│ │ │
│ ▼ │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │ 验证成功│ ◄── │ 用你的 │ ◄── │ 对方收到│ │
│ │ 是你发的│ │ 公钥验证│ │ 文件 │ │
│ └─────────┘ └─────────┘ └─────────┘ │
│ │
│ 特点: │
│ • 证明文件是你发的(不可抵赖) │
│ • 证明文件没有被改过(完整性) │
│ │
└─────────────────────────────────────────────────────────────────┘
🏠 生活中的PKI应用
| 场景 | PKI怎么用 |
|---|---|
| HTTPS网站 | 浏览器检查网站证书,确认是真的,不是假网站 |
| 网银U盾 | 里面存着你的私钥,用来签名交易 |
| 电子合同 | 数字签名,证明是你签的,不能抵赖 |
| 网银转账 | 用证书加密交易信息,防止被偷看 |
| 登录认证 | 用证书登录,不用输密码 |
🔐 你每天都在用PKI!
┌─────────────────────────────────────────────────────────────────┐
│ 你每天都在用PKI │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 早上:打开淘宝 ──► 浏览器检查淘宝证书(PKI) │
│ │
│ 上午:登录网银 ──► 网银用证书确认是你本人(PKI) │
│ │
│ 下午:签电子合同 ──► 用数字签名(PKI) │
│ │
│ 晚上:支付宝支付 ──► 加密传输你的支付信息(PKI) │
│ │
│ ───────────────────────────────────────────────────────────── │
│ 地址栏的 🔒 小锁图标,就是PKI在保护你! │
│ │
└─────────────────────────────────────────────────────────────────┘
💡 小提示:浏览器地址栏的HTTPS和小锁图标,就是PKI技术的体现!
✅ 自测小问题
- PKI的全称是什么?中文是什么意思?
- 公钥和私钥有什么区别?
- 你平时在哪些地方用到PKI?
点击查看答案
- Public Key Infrastructure,公钥基础设施
- 公钥公开给所有人,用于加密;私钥自己保管,用于解密
- 访问HTTPS网站、网银、支付宝、电子合同等
📚 教材链接
- 教材位置:第五章 5.2.3 信息系统安全风险防范的常用技术