一.概述
公钥基础设施Public Key Infrastructure,简称PKI )是当前网络安全建设的基础和核心,是电子商务安全实施的基本保障,因此PKI技术的研究与开发成为当前信息安全领域的热点本文对PKI技术进行了全面的分析和总结,其中包括PKI组成、PKI应用等,并对CA的开发进行了简要分析。 本文对PKI特别是CA的开发、应用和推广有一定的促进作用。
二、PKI技术的信任服务及意义
一) PKI技术信任服务
公钥基础设施PKI是以公钥技术为基础,以数据机密性、完整性、不可否认性为安全目的而构建的认证、授权、加密等软硬件集成设施。
PKI安全平台提供智能可靠、高效的许可服务。 其中,信任服务主要是解决在广大网络海洋中如何确认“你是你、我是我、他是他”的问题,而PKI是在网络上建立信任体系的最有效技术。 许可服务主要是解决网络中“每个实体能做什么”的问题。 要在虚拟网络中模拟现实,必须建立适合这种网络环境的有效许可体系。 通过PKI建立许可证管理基础设施PMI是在网络上建立有效许可证的最佳选择。
迄今为止,全面准确实现的PKI系统是完全解决所有网络交易和通信安全问题的最佳方法。 美国国家标准技术局的解释是,在网络通信和网络交易中,特别是在电子政务和电子商务业务中,最需要的安全保证有四个方面:身份识别和认证、保密或隐私、数据完整性和不可否认。 PKI完全可以提供上述四个方面的保障,其提供的服务主要包括以下三个方面:
1、认证
在现实生活中,认证通常采用两人事先协商确定秘密,然后根据该秘密进行相互认证的方式。 随着互联网的扩大和用户的增加,事前协商的秘密变得非常复杂,特别是在电子政务中,新录用和退休是常见的。 另外,在大规模的网络中,几乎不可能进行两项谈判。 在一个密钥管理中心进行协调也有很大的困难,如果网络规模较大,密钥管理中心也可能成为网络通信的瓶颈。
PKI用证书进行认证,认证时对方知道你是你,但不知道你为什么是你。 在此,证书是可信的第三方证书,由此,通信双方能够安全地进行相互认证,而不担心对方是假的。
2、支持密钥管理
通过加密证书,通信双方能够协商通信加密的关键秘密。 如果需要通信,可以基于认证来协商密钥。 在大型网络特别是电子政务中,密钥恢复也是密钥管理的重要方面之一,政府绝不希望加密系统在欢呼声季节被窃取使用。 政府个别工作人员背叛或者利用加密系统进行反政府活动的,政府可以通过法定程序解密其通信内容,保护政府的合法权益。 PKI通过出色的密钥恢复功能提供可靠、可管理的密钥恢复机制。 PKI的普及应用可以在全社会提供全面的密钥恢复和管理能力,保证网络活动的健康有序发展。
3、完整性和不可否认
完整性和不可否认的是PKI提供的最基本的服务。 一般来说,完整性可以通过双方协商秘密来解决,但如果一方有意否认,其完整性不能接受第三方仲裁。 PKI提供的完整性可以由第三方仲裁,这种可以由第三方仲裁的完整性通信双方都不可否认。 例如,kqdls可以向dcddt发送合同,dcddt可以向kqdls请求数字签名。 签名后的合同不仅是dcddt,其他人也可以验证该合同实际上是由kqdls发行的。 所有人,包括dcddt,都没有模仿kqdls签署此合同的能力。 “不可否认”就是通过这样的PKI数字签名机制提供服务。 如果法律允许,这种“不可否认性”就是法律依据美国等一些国家已经颁布了数字签名法)。 如果正确使用,PKI的安全性应该高于当前使用的纸面印章系统。
完善的PKI系统通过不对称算法和安全的应用设备,基本解决了网络社会中的大部分安全问题。 PKI系统具有以下能力:
这可以将没有政府的网络社会改造成可以追究政府、管理、责任的社会,防止黑客在网络上肆意攻击。 在有限的局域网内,这种改造效果更好。 目前,许多网站、电子商务、安全电子邮件系统等已经采用了PKI技术。
三. PKI APP应用
PKI技术的广泛应用可以满足人们对网络交易安全保障的需求。 当然,作为基础设施,PKI的应用范围非常广泛,在发展中,以下是一些应用实例。
虚拟专用网络VPN ) VPN是建立在公共通信基础设施上的专用数据通信网络,它利用网络层安全协议特别是IPSec )和建立在PKI上的加密和签名技术来保护机密性。 基于PKI的IPSec协议现在是VPN体系结构的基础,它在路由器之间、防火墙之间或路由器与防火墙之间提供加密和验证的通信。 虽然实现起来很复杂,但安全性比其他协议要丰富得多。
作为互联网上最有效的APP应用程序,安全的电子邮件因其易用、经济高效而成为现代企业的标准信息交换工具。 随着互联网的发展,企业和政府机构开始通过电子邮件交换秘密信息和有商业价值的信息,出现了消息和附件被通信双方不知道地读取、篡改、剪切等安全问题无法确认呼叫者的身份。 电子邮件
件的安全需求也是机密、完整、认证和不可否认,而这些都可以利用PKI技术来获得。目前发展很快的安全电子邮件协议是S/MIME The Secure Multipurpose Internet Mail Extension),这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。
Web安全
浏览Web页面是人们最常用的访问Internet的方式。如果要通过Web 进行一些商业交易,该如何保证交易的安全呢?为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。-结合SSL协议和数字证书,PKI技术可以保证Web 交易多方面的安全需求,使Web上的交易和面对面的交易一样安全。
PKI的应用非常广泛,包括在web服务器和浏览器之间的通讯、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟私有网(VPN)等。
一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA用于签发并管理证书;RA可作为CA的一部分,也可以独立,其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等;PKI存储库包括LDAP目录服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。