1703483510
1703483511
(三)PKI认证体系
1703483512
1703483513
1.PKI的含义
1703483514
1703483515
PKI(Public Key Infrastructure)即“公开密钥体系”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。PKI可以提供会话保密、认证、完整性、访问控制、源不可否认、安全通信、密钥恢复和安全时间等9项信息安全所需要的服务。简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
1703483516
1703483517
PKI采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信息,以在互联网上验证用户的身份。PKI把公钥密码和对称密码结合起来,在互联网上实现密钥的自动管理,保证网上数据的安全传输。
1703483518
1703483519
因此,从大的方面来说,所有提供公钥加密和数字签名服务的系统,都可归结为PKI系统的一部分,PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性和有效性。
1703483520
1703483521
2.PKI的组成
1703483522
1703483523
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、密钥和证书的更新、证书作废系统、支持交叉认证、应用接口(API)等基本构成部分。
1703483524
1703483525
(1)认证机构CA(Certificate Authority,简称CA)
1703483526
1703483527
CA是PKI的核心执行机构,是PKI的主要组成部分,业界人士通常称它为认证中心。即数字证书的申请及签发机关,CA必须具备权威性的特征;
1703483528
1703483529
(2)数字证书库
1703483530
1703483531
证书是数字证书或电子证书的简称,它符合X.509标准,是网上实体身份的证明。证书是由具备权威性、可信任性和公正性的第三方机构签发的,因此,它是权威性的电子文档。数字证书库是用于存储已签发的数字证书及公钥的存放处,用户可由此获得所需的其他用户的证书及公钥。
1703483532
1703483533
(3)密钥备份及恢复系统
1703483534
1703483535
密钥备份及恢复是密钥管理的主要内容,如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构(CA)来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
1703483536
1703483537
(4)密钥和证书的更新
1703483538
1703483539
一个证书的有效期是有限的,这种规定在理论上是基于当前非对称算法和密钥长度的可破译性分析;在实际应用中是由于长期使用同一个密钥有被破译的危险,因此,为了保证安全,证书和密钥必须有一定的更换频度。为此,PKI对已发的证书必须有一个更换措施,这个过程称为“密钥更新或证书更新”。证书更新一般由PKI系统自动完成。
1703483540
1703483541
(5)证书作废系统
1703483542
1703483543
证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。
1703483544
1703483545
(6)应用接口(API)
1703483546
1703483547
PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。
1703483548
1703483549
(7)交叉认证
1703483550
1703483551
交叉认证就是多个PKI域之间实现互操作。交叉认证实现的方法有多种:一种方法是桥接CA,即用一个第三方CA作为桥,将多个CA连接起来,成为一个可信任的统一体;另一种方法是多个CA的根CA(RCA)互相签发根证书,这样当不同PKI域中的终端用户沿着不同的认证链检验认证到根时,就能达到互相信任的目的。
1703483552
1703483553
3.PKI的服务
1703483554
1703483555
PKI作为安全基础设施,能为不同的用户按不同安全需求提供多种安全服务。这些服务主要包括认证、数据完整性、数据保密性、不可否认性和公正服务。
1703483556
1703483557
(1)认证
1703483558
1703483559
认证服务即身份识别与鉴别,向一个实体确认另一个实体确实是他自己,鉴别身份的真伪。PKI的认证服务采用数字签名这一密码技术。
[
上一页 ]
[ :1.70348351e+09 ]
[
下一页 ]