PKI技术是信息安全行业的核心密码技术之一，其为身份认证搭建基础设施平台

——身份认证是网络安全的第一道防线

我国信息化的快速发展以及其他信息系统安全性要求的提高，是数字认证市场发展的基础。随着《中华人民共和国网络安全法》、《网络安全等级保护条例》的推出，使得网络安全上升到法律层面，建设网络强国成为国家战略，国内各行业的网络安全意识得到了进一步的加强，趋严的网络安全监管环境导致各行业对网络安全投入的持续增长得到保证。

在一个开放的分布式网络环境中，用户通过工作站访问服务器上提供的服务，服务器应能够限制非授权用户的访问并能够鉴别对服务的请求，但工作站无法可信地向网络服务证实用户的身份，即工作站存在三种威胁：（1）一个工作站上一个用户可能冒充另一个用户操作（2）一个用户可能改变一个工作站的网络地址，从而冒充另一台工作站工作（3）一个用户可能窃听他人的信息交换，并重放攻击获得对一个服务器的访问权或中断服务器的运行。目前常用的认证技术有四种：

⚫基于口令的身份认证机制：基于口令的认证是指系统通过用户输入的用户名和密码来确立用户身份的一种机制。基于口令的身份认证是最常见的也是最简单的一种身份认证机制。其优点是简单，方便，应用广泛，但其安全性仅依赖于口令，因此安全性比较差。

⚫挑战/响应认证机制：挑战/相应方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一个不同的“挑战”码，客户端程序收到这个“挑战”码，根据客户端和服务器之间共享的密钥信息，以及服务器端发送的“挑战”码做出相应的“应答”。服务器根据应答的结果确定是否接受客户端的身份声明。这种认证方式简单，密码以不明文出现，有一定的安全性，但抵挡黑客攻击的能力较差。

⚫ DCE/Kerberos 的认证机制：是一种被证明为非常安全的双向身份认证技术。Kerberos 在古希腊神话中是指一只有三个头的狗，这条狗守护在地狱之门外，防止活人闯入。因此Kerberos 协议的重要组成部分也是三个：client，server，KDC（密钥发放中心），双向认证指的就是，不但server 可以对client 进行认证，client 也能对server 进行认证。优点是可以一次签发多次使用，适合分布式系统，但对称密码技术易被破解，用户多时密钥管理不方便。

⚫公共密钥的认证机制：即使用符合X.509的身份证明，是目前安全度最高的认证机制。使用这种方法必须有一个第三方的授权证明（即CA）中心为客户签发身份证明。客户和服务器各自从CA 获取证明，并且信任该授权证明中心。在会话和通讯时首先交换身份证明，其中包含了将各自的公钥交给对方，然后才使用对方的公钥验证对方的数字签名、交换通讯的加密密钥等。这种认证方式的优点除了也可以身份双向认证，身份证一次签发多次使用，适合分布式系统之外，还采用非对称加密技术使得安全性更高。只是需要建设相应的配套设施，目前较为流行和完善的是以PKI 为核心的一套信息安全系统。

——PKI 为身份认证搭建基础设施平台

电子认证主要解决网络空间中“你是谁”、“你能做什么”、“你做了什么”等最基本的安全问题，即通过数字证书认定真实世界中的人对应在网络空间中的身份，使数字证书像身份证代表真实世界中的人一样，代表网络用户在网络空间中的唯一标识，通过对数字证书认证、授权、审计对用户在网络空间中的活动进行控制和审计；同时，利用PKI 技术实现网络传输过程中的保密性、完整性、真实性和不可抵赖性。

PKI 可以理解为是产生、管理、存储、分发和撤销基于公开密钥密码学的公钥证书所必须的软件、硬件、人、策略和处理过程的集合。通过PKI 系统是通过以下四个核心部分来实现身份认证的。

PKI 系统组成部分

资料来源：公开资料

PKI 加密、解密技术图解

资料来源：公开资料