江苏龙网

  1. 主页 > 生活百科 > >

公钥基础设施PKI技术

PKI技术

1. 公钥基础设施简介
(1)PKI的概念
公钥基础设施,利用公钥理论和技术建立的提供信息安全服务的基础设施 。在公钥体制中,加密密钥与解密密钥各不相同,发送者利用接收者的公钥发送加密信息,接收者利用自己的私钥进行解密 。这种方式保证了信息的机密性、不可抵赖性 。
公钥体制主要用于CA认证、数字签名和密钥交换等 。
PKI基于公开密钥理论和技术的安全体系,提供信息安全服务的具有普适性的安全基础设施;
该体系在统一的安全认证标准和规范基础上,提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合;
PKI是认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障 。
PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种主体身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益 。
PKI是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施;授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持 。数字证书认证中心CA、审核注册中心RA(Registration Authority)、密钥管理中心KM(Key Manager)都是组成PKI的关键组件 。
(2) PKI的内容
PKI是以公开密钥技术为基础,以数据的机密性、完整性和不可抵赖性为安全目的而构建的认证、授权、加密等硬件、软件的综合设施 。根据美国国家标准技术局的描述,在网络通信和网络交易中,特别是在电子政务和电子商务业务中,最需要的安全保证包括四个方面:身份标识和认证、保密或隐私、数据完整性和不可否认性 。
PKI可以完全提供以上四个方面的保障,它所提供的服务主要包括以下三个方面 。
①认证 。在现实生活中,认证方式通常是两个人事前协商,确定一个秘密,依据这个秘密相互认证 。随着网络规模的扩大,两两协商几乎不可能;透过一个密钥管理中心来协调困难也会很大,当网络规模巨大时,密钥管理中心成为网络通信的瓶颈 。PKI通过证书进行认证,认证时对方知道你就是你,但却无法知道你为什么是你 。在这里,证书是一个可信的第三方证明,通过它,通信双方可以安全地进行互相认证,而不用担心对方是假冒的 。
②支持密钥管理 。通过加密证书,通信双方可以协商一个秘密,而这个秘密可以作为通信加密的密钥 。在需要通信时,可以在认证的基础上协商一个密钥 。在大规模的网络中,密钥恢复也是密钥管理的一个重要方面 。PKI提供可信的、可管理的密钥恢复机制,PKI提供全面的密钥恢复与管理能力,保证网上活动的健康有序发展 。
③完整性与不可否认 。完整性与不可否认是PKI提供的最基本的服务 。PKI提供的完整性是可以通过第三方仲裁的,并且这种由第三方进行仲裁的完整性是通信双方都不可否认的 。不可否认是通过PKI的数字签名机制来提供服务的,当法律许可时,该“不可否认性”可以作为法律依据 。正确使用时,PKI的安全性高于纸面图章系统 。
(3) PKI的体系结构
一个标准PKI系统具备以下主要内容:
①认证机构CA,是PKI的核心执行机构,通常称为认证中心 。CA还包括RA,它是数字证书的申请注册、证书签发和管理机构 。
CA主要职责:验证并标识证书申请者身份;对申请者的信用度、申请证书的目的、身份的真实可靠性等进行审查,确保证书与身份绑定的正确性 。
确保CA用于签名证书的非对称密钥的质量和安全性 。CA用于签名的私钥长度必须足够长,并且私钥必须由硬件卡产生,私钥不出卡 。
管理证书信息资料 。管理证书序号和CA标识,确保证书主体标识的惟一性,防止证书主体名字的重复 。在使用中检查证书有效期,不使用过期或作废证书,确保网上交易安全 。维护作废证书列表CRL,因某种原因证书作废,必须将其作为“黑名单”发布在CRL中,以供交易时在线查询,防止交易风险 。对已签发证书的使用全过程进行监视跟踪,作全程日志记录,以备发生交易争端时,提供公正依据,参与仲裁 。
由此可见,CA是保证电子商务、电子政务、网上银行、网上证券等交易的权威性、可信任性和公正性的第三方机构 。
②证书和证书库 。证书是数字证书或电子证书的简称,它符合X.509标准,是网上实体身份的证明 。证书是由具备权威性、可信任性和公正性的第三方机构签发的,因此,它是权威性的电子文档 。


推荐阅读


上一篇:茶叶同翅目吸汁型害虫,日本出现新的茶树害虫

下一篇:茶叶蛋的做法,茶叶蛋的危害