什么是公鑰基礎設施

公鑰基礎設施(PKI) 是一種遵循既定標準的密鑰管理平臺，它通過“信息加密”和“數字簽名”等密碼服務及所必需的密鑰和證書管理體系，為實現網絡通信保密性、完整性和不可否認性的一套完整、 成熟可靠的解決方案。簡單來說，PKI 就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI 技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。

網絡層安全防護主要涉及以下安全機制：

• 加密機制：加密機制用于保證通信過程中信息的機密性，采用加密算法對數據或通信業務流進行加密。它可以單獨使用，也可以與其他機制結合起來使用。加密算法可分為對稱密鑰系統和非對稱密鑰系統。

• 數字簽名機制：數字簽名機制用于保證通信過程中操作的不可否認性，發送者在報文中附加使用自己私鑰加密的簽名信息，接收者使用簽名者的公鑰對簽名信息進行驗證。

• 數據完整性機制：數據完整性機制用于保證通信過程中信息的完整性，發送者在報文中附加使用單向散列算法加密的認證信息，接收者對認證信息進行驗證。使用單向散列算法加密的認證信息具有不可逆向恢復的單向性。

• 實體認證機制：實體認證機制用于保證實體身份的真實性，通信雙方相互交換實體的特征信息來聲明實體的身份，如口令、證書及生物特征等。

• 訪問控制機制：訪問控制機制用于控制實體對系統資源的訪問，根據實體的身份及有關屬性信息確定該實體對系統資源的訪問權，訪問控制機制一般分為自主訪問控制和強制訪問控制。

• 信息過濾機制：信息過濾機制用于控制有害信息流入網絡，根據安全規則允許或禁止某些信息流入網絡，防止有害信息對網絡系統的入侵和破壞。

• 路由控制機制：路由控制機制用于控制報文的轉發路由，根據報文中的安全標簽來確定報文的轉發路由，防止將敏感報文轉發到某些網段或子網，被攻擊者竊聽和獲取。

• 公證機制：公證機制是由第三方參與的數字簽名機制，通過雙方都信任的第三方的公證來保證雙方操作的不可否認性。

• 主動防御機制：主動式動態網絡安全防御是指在動態網絡中，直接對網絡信息進行監控，并能夠完成吸引網絡攻擊蜜罐網絡，牽制和轉移黑客對真正業務往來的攻擊，并對數據傳輸進行控制，對捕獲的網絡流數據進行分析，獲取黑客入侵手段，依據一定的規則或方法對網絡入侵進行取證，對攻擊源進行跟蹤回溯。