PKI基础和证书系统.docVIP

第四章PKI基础与证书系统 4．1 PKI概述 由于网络的全球性、开放性、无缝连通性、共享性、动态性发展，使得任何人都可以自由接入。电子商务在这样的环境中，时时处处受到安全的威胁，认识电子商务的安全威胁与对它的全面防范是十分重要的。 公钥基础设施PKI是随着电子商务安全技术的高速发展而发展起来的新概念。PKI就是用公钥概念与技术来实施和提供安全服务的具有普遍适应性的基础设施。换句话说是指一系列的基础服务，这些基础服务最主要用来支持以公钥密码体制为基础的加密和数字签名技术的广泛应用。 PKI是一种基础设施，因此它遵循统一的标准，具有可扩展性，根据安全技术的进步与更新。为用户提供安全、便捷的安全服务平台，能够为用户透明地提供采用加密和数字签名等安全服务所需要的密钥和证书管理。 PKI是电子商务和其他信息系统的安全基础，用来建立不同实体间的“信任”关系。它的基础是加密技术，核心是证书服务。用户使用由认证中心签发的数字证书，结合加密技术，可以保证通信内容的保密性、完整性、真实性及交易的不可抵赖性，并可进行用户身份的识别。 PKI具有可信的权威认证机构CA，在公钥加密技术基础上实现数字证书的产生、发放、管理、存档以及证书作废管理等功能，并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范以及PKI体系中的各成员提供全部的安全服务。 4．1．1 PKI的基本概念 为解决Internet的安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用PKI。PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行安全通信。 PKI通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份。例如，某企业可以建立公钥基础设施(PKI)体系来控制对其计算机网络的访问。PKI让个人或企业安全从事其商业行为。企业员工可以在互联网上安全发送电子邮件而不必担心其发送的信息被非法的第三方(竞争对手等)截获。企业可以建立其内部Web站点，只对其信任的客户发送信息。 PKI采用各参与方都信任一个同一CA(认证中心)，由该CA来核对和验证各参与方身份的这种信任机制。例如，许多个人和企业都信任合法的驾驶证或护照。这是因为他们都信任颁发这些证件的同一机构——政府，因而他们也就信任这些证件。数字证书也一样。 通过公钥基础设施(PKl)，交易双方(可能是在线银行与其客户或者是雇主与其雇员)共同信任签发其数字证书的认证中心(CA)。典型的是采用数字证书的应用软件和CA信任的机制。例如，有相同客户端浏览器中，根证书列表里包含了它所信任CA的根证书，当浏览器需要验证一个数字证书的合法性(假如说要进行在线安全交易)的时候，此浏览器首先从其根证书列表中查找签发该数字证书的认证中心根证书，如果该认证中心根证书存在于浏览器的根证书列表中并验证通过后，浏览器承认此站点的具有合法身份并显示此站点的网页。如果该认证中心根证书不在信任CA根证书列表中，浏览器会显示警告信息并询问是否要信任这个新的认证中心。通常，浏览器会弹出提供永久的信任、临时的信任或不相信该认证中心的选项对话框给客户选择，因为作为客户来说，他们有权选择信任哪些认证中心，而信任的处理工作通过应用软件来完成(在这个例子中是通过浏览器完成的)。“公开密钥基础设施”PKI是国际上目前较为成熟的解决开放式互联网络信息安全需求的一套体系，而且还在发展之中。 PKI体系支持： ． 身份认证； ． 信息传输、存储的完整性； ． 信息传输、存储的机密性； ． 操作的不可否认性。 “基础设施”的目的就是：只要遵循必要的原则，不同的实体就可以方便地使用基础设施提供的服务。 PKI公开密钥基础设施就是为整个组织提供安全的基本框架，可以被组织中任何需要安全的应用和对象使用。安全设施的“接入点”是统一的，便于使用(就像是TCP／IP栈和墙上的电源插座一样)。 PKI安全基础设施适用于多种环境的框架。这个框架避免了零碎的、点对点的，特别是没有互操作性的解决方案，引入了可管理的机制以及跨越多个应用和计算平台的一致安全性。 PKI公开密钥基础设施可以实现“应用支撑”的功能。例如，电力系统就是一个应用支撑，它可以让“应用”，如烤炉、电灯正常工作。进一步，电力基础设施具有通用性和实用性的特点，它能支持新的“应用”(如吹风机)，而这些“应用”在电力基础设施设计的时候还没有出现。PKI公开密钥基础设施具有同样的特性。与PKI安全基础设施对应的应用是指需要安全服务而使用安全基础设施的模块，例如Web浏览器、电子邮件客户端程序、IPSec支撑的设备等等。PKI公开密钥基础设施能够让应用程序增强自己的数据和资源的安全；以及与