[PKI简述.docVIP

PKI简述PKI是电子商务安全技术平台的基石，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。　　PKI（Public?Key?Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分：X.509格式的证书（X.509?V3）和证书废止列表CRL（X.509?V2）；CA/RA操作协议；CA管理协议；CA政策制定。一个典型、完整、有效的PKI应用系统至少应具有以下部分；·?认证中心CA?CA是PKI的核心，CA负责管理PKI结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布，后面有CA的详细描述。?·?X.500目录服务器?X.500目录服务器用于发布用户的证书和黑名单信息，用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。?·?具有高强度密码算法(SSL)的安全WWW服务器?出口到中国的WWW服务器，如微软的IIS、Netscape的WWW服务器等，受出口限制，其RSA算法的模长最高为512位，对称算法为40位，不能满足对安全性要求很高的场合，为解决这一问题，采用了山东大学网络信息安全研究所开发的具有自主版权的SSL安全模块，在SSL安全模块中使用了自主开发的SJY系列密码设备，并且把SSL模块集成在Apache?WWW服务器中，Apache?WWW服务器在WWW服务器市场中占有百分之50以上的份额，其可移植性和稳定性很高。?·?Web（安全通信平台）?Web有Web?Client端和Web?Server端两部分，分别安装在客户端和服务器端，通过具有高强度密码算法的SSL协议保证客户端和服务器端数据的机密性、完整性、身份验证。?·?自开发安全应用系统?自开发安全应用系统是指各行业自开发的各种具体应用系统，例如银行、证券的应用系统等。?　　完整的PKI包括认证策略的制定（包括遵循的技术标准、各CA之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等）、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现。二、PKI的核心--CA　　为了保证电子商务交易中信息的安全性(保密性、真实完整性和不可否认性)。需要使交易各方能够相互信任，并通过一种信任验证机制互相验证。这种信任及信任验证机制是通过参加电子商务的各方的数字证书（即证明其身份的标识）认证实现的。　　数字证书是各实体在网上进行信息交流及商务交易活动中的身份证明，具有唯一性和权威性。为满足这一要求，需要建立一个参与电子商务各方都信任的机构，专门负责数字证书的发放和管理，以保证数字证书的真实可靠。这个机构就是数字证书认证中心（Certificate?Authority,?以下简称CA）。CA是保证网上电子交易安全的关键环节，它产生、发放并管理所有参与网上交易的实体的数字证书。CA的主要职责包括：证书颁发、证书更新、证书废除、证书和CRL的公布、证书状态的在线查询、证书认证和制定政策等。1.?证书颁发：申请者在CA的注册机构（RA）进行注册，申请证书。CA对申请者进行审核，审核通过则生成证书，颁发给申请者。证书的申请可采取在线申请和亲自到RA申请两种方式。证书的颁发也可采取两种方式，一是在线直接从CA下载，一是CA将证书制作成介质（磁盘或IC卡）后，由申请者带走。?2.?证书更新：当证书持有者的证书过期，证书被窃取，丢失时通过更新证书方法，使其使用新的证书继续参与网上认证。证书的更新包括证书的更换和证书的延期两种情况。证书的更换实际上是重新颁发证书。因此证书的更换的过程和证书的申请流程基本情况一致。而证书的延期只是将证书有效期延长，其签名和加密信息的公私密钥没有改变。?3.?证书废除：证书持有者可以向CA申请废除证书。CA通过认证核实，即可履行废除证书职责，通知有关组织和个人，并写入黑名单CRL（Certificate?Revocation?List）。有些人（如证书持有者的上级或老板）也可申请废除证书持有者的证书。?4.?证书和CRL的公布：CA通过LDAP（Lightweight?Directory?Acess?Protocol）服务器维护着用户证书和黑名单（CRL）。它向用户提供目录浏览服务，负责将新签发的证书或废除的证书加入到LDAP服务器上。这样用