1 加密预备知识

1.1 对称加密

对称加密： 加密秘钥和解密秘钥是同一个秘钥，不适合互联网上传递，密钥维护工作量大n(n-1)/2， 优点是加密效率高

1.2 非对称加密

非对称加密：分为公钥和私钥，组成密钥对。必须成对使用。公钥加密，私钥解密；私钥加密公钥解密

公钥不能推导出私钥，根据私钥能生成公钥。不能相互推导，但数学上是有关联的。

系统产生随机数，有数学函数根据产生的随机数生成公钥和私钥，生成以后就不需要生成的随机数了。但是相互推导不出来。

适合在互联网传输公钥，加密效率低

1.3 密钥安全程度

密钥长度决定安全程度。

1.3.1 安全标准

1. 成本标准：解密成本超过了加密信息的价值
2. 时间有效期

1.4 非对称个加密应用

1. 加密：对对称加密的密钥进行保护，数据采用对称密钥加密，而对称密钥有通信一方的公钥进行加密保护
2. 数字签名：作用防止抵赖，确信信息来源 ， 不能更改，更改后数字签名就失效了。

1.5 签名的作用与细节

• 作用：确保信息来源。

• 细节：私钥签名，公钥确认。签名就是明文散列后的摘要(hash值)采用私钥加密后的内容。

发送方：发送明文(内容), 公钥，签名(明文hash值采用私钥加密后的内容)

接收方如何确认信息没有被更改：接收方将接收到的明文采用相同的hash函数对明文进行计算得到摘要；用收到的公钥对签名解密后又得到一个摘要，比较这两个摘要是否相同。

2 证书颁发机构

2.1 证书颁发机构的作用

数字证书：就是非对称个加密

证书颁发机构：发证。颁发机构是被大家信任的。CA类似于派出所。公立性，不参与商业活动。

CA：有CA私钥和CA公钥。

公司访问CA的网站，申请证书：需要写个人信息，比如我是什么什么单位，注册地址等等相关信息，然后CA查工商部门，来确认有你这个人，比如法人代表等信息都核实后，然后给你发证。即对你的公钥进行签名。

证书上会有公司相关信息，公钥，还有CA的签名。

接受方信任这个证书颁发机构，就会有这个证书颁发机构的公钥，这里就是CA的公钥。

2.2 查看计算机和用户信任的根证书

颁发者：是CA的信息 主题：是使用者的信息

CRL：证书吊销列表。如果你的私钥和公钥都被别人拿走了

如何信任根证书颁发机构：导入计算机

如何查看网站出示的证书

2.3 认证中心(CA)的种类

1. 企业CA：在域环境中，为域中的用户和计算机颁发证书，不需要管理员颁发，在线
2. 独立CA：为互联网上广大企业和用户发证书，根证书机构可以离线，提供证书吊销列表的CA必须在线

另一种分类方式：

1. 根CA
2. 子CA

3 在企业中如何使用PKI技术实现安全

独立CA(河北省CA) — > 子CA(企业CA，用于给企业内部签发证书)