1703483532
1703483533
(3)密钥备份及恢复系统
1703483534
1703483535
密钥备份及恢复是密钥管理的主要内容,如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构(CA)来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
1703483536
1703483537
(4)密钥和证书的更新
1703483538
1703483539
一个证书的有效期是有限的,这种规定在理论上是基于当前非对称算法和密钥长度的可破译性分析;在实际应用中是由于长期使用同一个密钥有被破译的危险,因此,为了保证安全,证书和密钥必须有一定的更换频度。为此,PKI对已发的证书必须有一个更换措施,这个过程称为“密钥更新或证书更新”。证书更新一般由PKI系统自动完成。
1703483540
1703483541
(5)证书作废系统
1703483542
1703483543
证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。
1703483544
1703483545
(6)应用接口(API)
1703483546
1703483547
PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。
1703483548
1703483549
(7)交叉认证
1703483550
1703483551
交叉认证就是多个PKI域之间实现互操作。交叉认证实现的方法有多种:一种方法是桥接CA,即用一个第三方CA作为桥,将多个CA连接起来,成为一个可信任的统一体;另一种方法是多个CA的根CA(RCA)互相签发根证书,这样当不同PKI域中的终端用户沿着不同的认证链检验认证到根时,就能达到互相信任的目的。
1703483552
1703483553
3.PKI的服务
1703483554
1703483555
PKI作为安全基础设施,能为不同的用户按不同安全需求提供多种安全服务。这些服务主要包括认证、数据完整性、数据保密性、不可否认性和公正服务。
1703483556
1703483557
(1)认证
1703483558
1703483559
认证服务即身份识别与鉴别,向一个实体确认另一个实体确实是他自己,鉴别身份的真伪。PKI的认证服务采用数字签名这一密码技术。
1703483560
1703483561
(2)数据完整性服务
1703483562
1703483563
向一个实体确保数据没有被有意或无意地修改。PKI的数据完整性服务可以采用两种技术。第一种技术是数字签名。第二种技术是消息认证码或MAC。这项技术通常采用对称分组密码或密码杂凑函数。
1703483564
1703483565
(3)数据保密性服务
1703483566
1703483567
PKI的保密性服务采用了“数字信封”机制,即发送方先产生一个对称密钥,并用该对称密钥加密敏感数据。同时,发送方还用接收方的公钥加密对称密钥,就像把它装入一个“数字信封”。然后,把被加密的对称密钥(“数字信封”)和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开“数字信封”,并得到对称密钥,再用对称密钥解开被加密的敏感数据。
1703483568
1703483569
(4)不可否认性服务
1703483570
1703483571
不可否认性服务是指从技术上保证实体对其行为的认可。在这中间,人们更关注的是数据来源的不可否认性、接收的不可否认性以及接收后的不可否认性。此外还有传输的不可否认性、创建的不可否认性和同意的不可否认性。
1703483572
1703483573
(5)公证服务
1703483574
1703483575
PKI中的公证服务与一般社会公证人提供的服务有所不同,PKI中支持的公证服务是指“数据认证”,也就是说,公证人要证明的是数据的有效性和正确性,这种公证取决于数据验证的方式。
1703483576
1703483577
(四)CA
1703483578
1703483579
在上一节中,我们介绍了目前安全解决方案中占据了重要位置的PKI技术,它可以保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。一个完整的PKI系统中,认证机构居于核心地位。
1703483580
1703483581
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
[
上一页 ]
[ :1.703483532e+09 ]
[
下一页 ]