论文部分内容阅读
摘 要 信息安全技术越来越受到人们的重视。PKI技术是目前网络安全建设的基础和核心。本文对PKI技术的概念,基本组成等做了简单分析,并对PKI具体应用做了简要介绍。
关键词 PKI技术 网络安全 数字证书
中图分类号:TP393.08 文献标识码:A
随着电子邮件、电子商务、网上银行及资源发布等Internet和Intranet应用的发展,经常需要在开放网络中的不明身份实体之间进行通信,其中包括一些敏感数据。互联网在给我们带来便利和利益的同时也带来了安全隐患,这些安全问题也阻碍着行业的发展。
1 PKI的概念
PKI即公钥基础设施①(Public Key Infrastructure)它是在公钥密码理论和技术基础上建立起来的一种综合安全平台,通过第三方可信任机构——认证机构(Certificate Authority,CA),把用户的公钥和用户的其它标识信息(如姓名、E-mail、身份证号等)绑定在一起,为网络用户、设备提供信息安全服务的,具有普适性的信息安全基础设施。PKI技术保证了网上传递信息的保密性、完整性、真实性、不可否认性和存取控制的目的。
2 PKI构成和PKI实现
完整的PKI系统包括认证机构(CA)、数字证书库、密钥备份及恢复系统、证书撤销处理系统和PKI应用接口系统,一般构建PKI也是围绕这五个系统进行的。②
2.1 认证机构
认证机构是整个PKI的核心,它主要的功能有证书发放、证书更新、证书撤销和证书验证。具体描述如下:接收验证最终用户数字证书的申请;确定是否接受最终用户数字证书的申请——证书的审批;向申请者颁发或拒绝颁发数字证书——证书的发放;接受、处理最终用户的数字证书更新请求——证书的更新;接受最终用户数字证书的查询、撤销;产生和发布证书注销列表(CRL)。
2.2 数字证书库
证书库是CA颁发证书和撤销证书的存放地,用户可以从此处获得其他用户的证书和公钥。构造证书库的最佳方法是采用支持LDAP协议的目录系统,用户或者相关的应用通过LDAP来访问证书库。
2.3 密钥备份和恢复系统
因为某种原因用户可能丢失了解密数据的密钥,密钥的丢失将导致那些被密钥加密过的数据无法恢复而造成数据的丢失。为了避免这种情况的发生,PKI提供了密钥备份与解密密钥的恢复机制,这就是密钥备份与恢复系统。
2.4 证书撤销处理
证书注销列表(Certificate Revocation List. CRL)中记录尚未过期但己声明作废的用户证书序列号,证书撤销是PKI中非常重要的一个组件,作废证书通过将证书列入CRL来完成,供证书使用者在认证对方证书时查询使用。通常,系统中由CA负责创建、更新及维护CRL 。
2.5 PKI应用接口系统
一个完整的PKI必须提供良好的应用接口系统,以便各种应用都能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性。
它的主要功能是为所有应用对证书的合法性、密钥备份与恢复、证书作废处理、交叉证书验证,提供可信、透明、统一的支持。
3 PKI的应用
PKI/CA已经广泛应用在金融、电子政务等领域,如网上银行使用数字证书确定使用者身份、企事业单位信息系统使用基于硬件的USBKEY或IC卡进行身份鉴别及其他信息保护等。下面给出几个应用实例。
3.1 安全电子邮件
电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。目前发展很快的安全电子邮件协议是S/MIME(The Secure Multipurpose Internet Mail Extension),这是一个允许发送加密和有签名邮件的协议,该协议的实现需要依赖于PKI技术。
3.2 web安全应用(SSL/TLS)
Web安全问题最适合的入手点是浏览器,而浏览器都支持SSL协议(The Secure Sockets Layer),这是一个在传输层和应用层之间的安全通信层。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全。
3.3 VPN/IPsec
VPN是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(尤其是IPSec)和建立在PKI上的加密与签名技术来获得机密性保护。基于PKI技术的IPSec协议现在邮件成为架构VPN的基础,它可以为路由器之间,防火墙之间提供加密盒认证的通信。③
3.4 电子商务的应用
电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的Web服务器并寻找卖方。当买方登录服务器时,买卖双方都要在网上验证对方的电子身份证,这被称为双向认证。整个交易过程都是在PKI所提供的安全服务之下进行,实现了真实性、完整性、机密性和不可否认性。
4 结束语
随着互联网的发展,基于网络环境下数据加密/签名的应用将越来越广泛,PKI技术能很好的实现网络统一标准的身份认证。PKI的技术也在不断发展中,CA信任模型,加解密算法,密钥管理方案也在不断变化中。由此可见,PKI的应用前景将无比广阔。
关键词 PKI技术 网络安全 数字证书
中图分类号:TP393.08 文献标识码:A
随着电子邮件、电子商务、网上银行及资源发布等Internet和Intranet应用的发展,经常需要在开放网络中的不明身份实体之间进行通信,其中包括一些敏感数据。互联网在给我们带来便利和利益的同时也带来了安全隐患,这些安全问题也阻碍着行业的发展。
1 PKI的概念
PKI即公钥基础设施①(Public Key Infrastructure)它是在公钥密码理论和技术基础上建立起来的一种综合安全平台,通过第三方可信任机构——认证机构(Certificate Authority,CA),把用户的公钥和用户的其它标识信息(如姓名、E-mail、身份证号等)绑定在一起,为网络用户、设备提供信息安全服务的,具有普适性的信息安全基础设施。PKI技术保证了网上传递信息的保密性、完整性、真实性、不可否认性和存取控制的目的。
2 PKI构成和PKI实现
完整的PKI系统包括认证机构(CA)、数字证书库、密钥备份及恢复系统、证书撤销处理系统和PKI应用接口系统,一般构建PKI也是围绕这五个系统进行的。②
2.1 认证机构
认证机构是整个PKI的核心,它主要的功能有证书发放、证书更新、证书撤销和证书验证。具体描述如下:接收验证最终用户数字证书的申请;确定是否接受最终用户数字证书的申请——证书的审批;向申请者颁发或拒绝颁发数字证书——证书的发放;接受、处理最终用户的数字证书更新请求——证书的更新;接受最终用户数字证书的查询、撤销;产生和发布证书注销列表(CRL)。
2.2 数字证书库
证书库是CA颁发证书和撤销证书的存放地,用户可以从此处获得其他用户的证书和公钥。构造证书库的最佳方法是采用支持LDAP协议的目录系统,用户或者相关的应用通过LDAP来访问证书库。
2.3 密钥备份和恢复系统
因为某种原因用户可能丢失了解密数据的密钥,密钥的丢失将导致那些被密钥加密过的数据无法恢复而造成数据的丢失。为了避免这种情况的发生,PKI提供了密钥备份与解密密钥的恢复机制,这就是密钥备份与恢复系统。
2.4 证书撤销处理
证书注销列表(Certificate Revocation List. CRL)中记录尚未过期但己声明作废的用户证书序列号,证书撤销是PKI中非常重要的一个组件,作废证书通过将证书列入CRL来完成,供证书使用者在认证对方证书时查询使用。通常,系统中由CA负责创建、更新及维护CRL 。
2.5 PKI应用接口系统
一个完整的PKI必须提供良好的应用接口系统,以便各种应用都能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性。
它的主要功能是为所有应用对证书的合法性、密钥备份与恢复、证书作废处理、交叉证书验证,提供可信、透明、统一的支持。
3 PKI的应用
PKI/CA已经广泛应用在金融、电子政务等领域,如网上银行使用数字证书确定使用者身份、企事业单位信息系统使用基于硬件的USBKEY或IC卡进行身份鉴别及其他信息保护等。下面给出几个应用实例。
3.1 安全电子邮件
电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。目前发展很快的安全电子邮件协议是S/MIME(The Secure Multipurpose Internet Mail Extension),这是一个允许发送加密和有签名邮件的协议,该协议的实现需要依赖于PKI技术。
3.2 web安全应用(SSL/TLS)
Web安全问题最适合的入手点是浏览器,而浏览器都支持SSL协议(The Secure Sockets Layer),这是一个在传输层和应用层之间的安全通信层。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全。
3.3 VPN/IPsec
VPN是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(尤其是IPSec)和建立在PKI上的加密与签名技术来获得机密性保护。基于PKI技术的IPSec协议现在邮件成为架构VPN的基础,它可以为路由器之间,防火墙之间提供加密盒认证的通信。③
3.4 电子商务的应用
电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的Web服务器并寻找卖方。当买方登录服务器时,买卖双方都要在网上验证对方的电子身份证,这被称为双向认证。整个交易过程都是在PKI所提供的安全服务之下进行,实现了真实性、完整性、机密性和不可否认性。
4 结束语
随着互联网的发展,基于网络环境下数据加密/签名的应用将越来越广泛,PKI技术能很好的实现网络统一标准的身份认证。PKI的技术也在不断发展中,CA信任模型,加解密算法,密钥管理方案也在不断变化中。由此可见,PKI的应用前景将无比广阔。