公鑰基礎(chǔ)設(shè)施 (PKI)無(wú)處不在，從網(wǎng)站和電子郵件到用于保護(hù)家庭和企業(yè)安全的智能設(shè)備，PKI保護(hù)著一切安全，在物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、網(wǎng)絡(luò)安全等重點(diǎn)領(lǐng)域應(yīng)用廣泛。我們?cè)谇懊娴摹?strong>PKI是什么意思？PKI主要組成包括什么？》內(nèi)容中詳細(xì)介紹過什么是PKI，今天我們接著探討關(guān)于PKI的15項(xiàng)用途及應(yīng)用實(shí)例。

PKI 應(yīng)用：確保公共網(wǎng)站、網(wǎng)絡(luò)應(yīng)用程序和服務(wù)的安全

提到 PKI 用例，人們通常會(huì)想到網(wǎng)站安全證書（即SSL證書）。這些數(shù)字證書對(duì)網(wǎng)站連接進(jìn)行加密，并驗(yàn)證網(wǎng)站控制機(jī)構(gòu)的數(shù)字身份。在會(huì)話開始的SSL/TLS 握手過程中，網(wǎng)站服務(wù)器會(huì)向連接的客戶端提供證書。

1、網(wǎng)站的安全加密連接

在網(wǎng)站上安裝有效的 SSL證書，可以為原本不安全的超文本傳輸協(xié)議（HTTP）連接添加傳輸層安全性（即之前的安全套接層），實(shí)現(xiàn)HTTPS加密。從而有效避免攻擊者在傳輸過程中截獲你的明文數(shù)據(jù)，避免用戶名、密碼和其他敏感數(shù)據(jù)泄露。

2、網(wǎng)站數(shù)字身份驗(yàn)證（認(rèn)證）

根據(jù)SSL證書的驗(yàn)證類型，SSL證書分為DV SSL證書、OV SSL證書以及EV SSL證書，其中OV SSL證書以及EV SSL證書需要提供企業(yè)組織的經(jīng)核實(shí)的組織詳情才能頒發(fā)。網(wǎng)站部署此類證書，用戶的網(wǎng)絡(luò)客戶端就能知道你的網(wǎng)站是合法的，是由你的組織真正運(yùn)營(yíng)的。

PKI 應(yīng)用：無(wú)需密碼即可驗(yàn)證用戶和設(shè)備身份

IBM 2024年X-Force 威脅情報(bào)指數(shù)報(bào)告的數(shù)據(jù)顯示，攻擊者滲透組織網(wǎng)絡(luò)和系統(tǒng)的方式發(fā)生了重大變化。他們不再?gòu)暮蟠皾撊耄ê诳凸簦菑那伴T進(jìn)入（即使用泄露的憑據(jù)登錄）。這意味著密碼容易受到網(wǎng)絡(luò)釣魚和社會(huì)工程學(xué)策略的攻擊，而現(xiàn)在可以不使用密碼，而選擇基于公鑰基礎(chǔ)設(shè)施PKI的身份驗(yàn)證，從而避免因密碼保密管理不善和安全配置錯(cuò)誤導(dǎo)致的泄露或被盜風(fēng)險(xiǎn)。

3、用戶身份驗(yàn)證

用戶身份驗(yàn)證（也稱客戶端身份驗(yàn)證）的范圍很廣，從基于證書的 Active Directory 用戶配置文件身份驗(yàn)證、向員工發(fā)放的實(shí)體身份徽章，到用于對(duì)電子郵件進(jìn)行數(shù)字簽名和加密的 S/MIME證書，無(wú)所不包。基本上，這些都是身份和訪問管理的關(guān)鍵要素。

你可以在一臺(tái)機(jī)器上安裝多個(gè)用戶證書，但每個(gè)用戶只能對(duì)其授權(quán)訪問的系統(tǒng)進(jìn)行身份驗(yàn)證。這有助于驗(yàn)證只有經(jīng)過授權(quán)和驗(yàn)證的用戶才能訪問內(nèi)部應(yīng)用程序、內(nèi)聯(lián)網(wǎng)網(wǎng)站和其他資源。

4、無(wú)線網(wǎng)絡(luò)認(rèn)證

基于 PKI 的 Wi-Fi 訪問允許授權(quán)用戶證明自己的數(shù)字身份，而無(wú)需輸入密碼，否則密碼很容易受到中間人（MitM）和邪惡孿生攻擊。這樣，他們就可以訪問你的 Wi-Fi 網(wǎng)絡(luò)，同時(shí)將證書私鑰安全地保存在設(shè)備的可信平臺(tái)模塊（TPM）上。

5、VPN身份驗(yàn)證

同樣，基于 PKI 的 VPN 身份驗(yàn)證允許授權(quán)用戶連接到您的虛擬專用網(wǎng)絡(luò)，而不會(huì)在嘗試偽造安全加密連接時(shí)暴露自己的憑據(jù)。

6、設(shè)備身份驗(yàn)證

基于PKI證書的設(shè)備身份驗(yàn)證有助于確保設(shè)備及其所連接系統(tǒng)的安全。它能讓你驗(yàn)證設(shè)備的合法性，并能輕松訪問授權(quán)系統(tǒng)。設(shè)備證書驗(yàn)證的是設(shè)備本身，而不是可能訪問設(shè)備的特定用戶。它是驗(yàn)證和保護(hù)以下設(shè)備的理想選擇：

• 物聯(lián)網(wǎng)IoT設(shè)備（醫(yī)療設(shè)備、航空傳感器等）；
• 移動(dòng)設(shè)備（確保使用公司配發(fā)的設(shè)備或 BYOD 的遠(yuǎn)程員工的安全訪問）。

PKI 應(yīng)用：保護(hù)和驗(yàn)證電子郵件

電子郵件是當(dāng)今大多數(shù)企業(yè)的首選通信方式，但是，電子郵件在帶來諸多好處的同時(shí)，也存在一些缺點(diǎn)：即可能被欺騙，并有在傳輸過程中被攔截或篡改的風(fēng)險(xiǎn)。不過，這正是 PKI 可以大顯身手的地方。

7、電子郵件數(shù)字簽名

電子郵件數(shù)字簽名是一種有趣的工具，它能向電子郵件收件人保證信息的真實(shí)性（即發(fā)件人就是他們所說的那個(gè)人），以及信息在傳輸過程中沒有被篡改。創(chuàng)建電子郵件數(shù)字簽名只要求簽名者擁有電子郵件簽名證書（或通常所說的 S/MIME 證書）。

內(nèi)部和/或外部用戶可根據(jù)您使用的是公開信任的證書還是私人信任的證書來驗(yàn)證數(shù)字簽名電子郵件的合法性。

8、安全、端對(duì)端電子郵件加密

這是一種在使用 S/MIME證書的雙方之間發(fā)送安全加密信息的安全機(jī)制。使用收件人的公開密鑰，發(fā)件人可以在郵件離開郵箱之前對(duì)郵件內(nèi)容進(jìn)行加密。這就提供了端到端的安全性，確保郵件在收件人的收件箱中是安全的。

9、電子郵件服務(wù)器驗(yàn)證

SSL證書也可用于確保郵件服務(wù)器之間連接的安全和身份驗(yàn)證(注意：這不會(huì)對(duì)郵件本身加密，只會(huì)對(duì)連接加密。）。例如，SMTP 連接默認(rèn)不加密，這意味著它們很容易被壞人截獲。因此，我們建議始終使用公鑰加密來確保電子郵件傳輸?shù)陌踩?/span>

2023年12月Gmail 更新要求在電子郵件服務(wù)器上安裝SSL證書。這樣做可以實(shí)現(xiàn)服務(wù)器身份驗(yàn)證，確保郵件通過安全連接發(fā)送。

10、在電子郵件收件箱中顯示經(jīng)過驗(yàn)證的公司徽標(biāo)

經(jīng)過驗(yàn)證的認(rèn)證標(biāo)志證書（VMC證書）是一種較新的數(shù)字證書，可從一開始就確保品牌名稱的識(shí)別性。使用這種受公眾信任的證書，結(jié)合用于信息識(shí)別的品牌指示符（BIMI）和基于域的信息驗(yàn)證、報(bào)告和一致性（DMARC），就可以在用戶收件箱中的電子郵件旁顯示商標(biāo)徽標(biāo)。有了 VMC 和 BIMI，您可以通過在前面顯示公司商標(biāo)徽標(biāo)，向收件人保證郵件的真實(shí)性。

PKI 應(yīng)用：證明文件的合法性和未改動(dòng)性

企業(yè)的合同和文件非常重要。沒有人希望有人在事后篡改這些文件，尤其是您的高層管理人員。因此，使用文檔簽名證書簽署 Microsoft Office 文檔和 Adobe PDF 文件至關(guān)重要。

11、敏感 Office 文件和 PDF 保護(hù)

文檔簽名證書滿足Adobe、Microsoft的文檔簽名技術(shù)標(biāo)準(zhǔn)，可對(duì)Adobe reader、 Adobe Acrobat，以及PDF文檔，Word、Excel等格式的Office文檔簽名。文檔簽名證書允許個(gè)人和企業(yè)在電子文件上添加數(shù)字簽名，在證明文件所有權(quán)以及簽署人真實(shí)身份的同時(shí)，保障電子文件傳遞的安全性和完整性，確保經(jīng)簽署的文件在網(wǎng)絡(luò)傳輸過程中不被非法篡改。

12、歐盟合格電子簽名（QESes）

公鑰基礎(chǔ)設(shè)施PKI使為重要的個(gè)人和專業(yè)應(yīng)用提供符合 eIDAS 要求的合格電子簽名成為可能。2014 年 eIDAS 法規(guī)（910/2014）為使用基于 PKI 的數(shù)字簽名奠定了基礎(chǔ)，這些簽名可在歐盟任何地方創(chuàng)建和驗(yàn)證。

通過 eIDAS 認(rèn)證的電子簽名使用 PKI 創(chuàng)建經(jīng)過驗(yàn)證的數(shù)字身份，并使用哈希算法保護(hù)文件的完整性。

PKI 應(yīng)用：保護(hù)軟件完整性和軟件供應(yīng)鏈

13、軟件身份和完整性保護(hù)

想讓您的應(yīng)用程序和代碼盡可能安全？那就使用公眾信任的代碼簽名證書對(duì)軟件產(chǎn)品進(jìn)行數(shù)字簽名。此過程使用私鑰和加密功能來創(chuàng)建數(shù)字簽名，從而與 Windows 操作系統(tǒng)建立長(zhǎng)期信任。

這種方法可確保您的軟件顯示經(jīng)過驗(yàn)證的數(shù)字身份，并創(chuàng)建校驗(yàn)和，在軟件被更改時(shí)通知用戶的設(shè)備。通過對(duì)軟件進(jìn)行簽名，您可以幫助保護(hù)客戶的軟件供應(yīng)鏈，讓他們有辦法驗(yàn)證您的應(yīng)用程序和更新是真實(shí)的，自簽名以來未被篡改。

14、軟件組件驗(yàn)證

軟件物料清單 (SBOM) 是創(chuàng)建軟件的組件列表。其中包括所有第三方依賴項(xiàng)和開放源代碼。您可以使用基于云的代碼簽名服務(wù)對(duì) SBOM 進(jìn)行簽名。

簽署您的 SBOM 可為您的軟件應(yīng)用程序增加一層安全性，并通過提供經(jīng)過驗(yàn)證的組件列表、證明代碼的來源等方式幫助客戶更放心地使用您的產(chǎn)品。

15、驗(yàn)證空中更新

作為一家定期發(fā)布更新或打補(bǔ)丁的物聯(lián)網(wǎng)制造商，如果您想確保您發(fā)布的所有固件補(bǔ)丁和其他軟件更新都是可信的，并且在到達(dá)時(shí)沒有被更改，那么一個(gè)好辦法就是對(duì)您的OTA 軟件包進(jìn)行簽名。

這些更新可讓您通過云遠(yuǎn)程部署 OTA 更新，用戶無(wú)需實(shí)際干預(yù)，即可快速輕松地安裝更新。例如：蘋果設(shè)備用戶在 iPhone 和 iPad 上收到的更新，或者特斯拉車主在電動(dòng)汽車上收到的更新。

總結(jié)

從用于確保網(wǎng)站安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的安全工具，到控制對(duì)敏感 IT 系統(tǒng)訪問的身份和訪問管理資源，公鑰基礎(chǔ)設(shè)施 (PKI)的應(yīng)用涉及現(xiàn)代企業(yè)的方方面面，企業(yè)可以根據(jù)自身的網(wǎng)絡(luò)設(shè)備、web應(yīng)用等實(shí)際需求出發(fā)，再結(jié)合具體應(yīng)用場(chǎng)景來更好的利用PKI。

參考來源：https://www.thesslstore.com/blog/pki-uses-applications-examples/