PKI在网络信任系统中应用.docVIP

PKI在网络信任系统中应用 　　[摘要] 在电子商务中，信任已经成为谈判策略中一个重要因素，网络信任系统也成为安全服务的重要组成部分。本文简要介绍了PKI体系的技术、构架和服务，它可以很好地应用在网络信任系统中。 　　[关键词] 电子商务 信任 PKI 　　 　　随着电子商务逐渐成为21世纪经济生活的新领域，互联网已成为运作电子商务的一个有序的虚拟社会。在开放式网络环境的电子商务中进行在线交易面临着交易者的身份可靠性、交易者发布的信息真实性、交易者履行约定的可信任性等诸多问题，对信任的研究就显得很有必要。由于在线交易的过程中信息不对称、时空跨度，以及对Internet的依赖等的条件下造成的不确定性，以信任作为降低交易复杂性的有效机制，信任研究为电子商务发展给出理论依据。目前基于公钥基础设施(Public Key Infrastructures，简称PKI技术)建立完善的数字证书认证机构(Certification Authority，简称CA)得到了很大发展，已成为电子商务、电子政务等应用领域发展的关键。 　　 　　一、PKI技术 　　 　　PKI是一套基于公钥的加密技术(一般是RSA技术)。作为一种基础设施，PKI由公钥技术、数字证书、证书发放机构和关于公钥的安全策略等基本成分共同组成，用于保证网络通信和网上交易的安全。从广义上讲，所有提供公钥加密和数字签名服务的系统都可称为PKI系统。PKI的主要目的是通过自动管理密钥和数字证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便地使用加密和数字签名技术。 　　1.PKI组成 　　PKI包括以下几个组成部分:(1)认证机构：简称CA，即数字证书的颁发机构，是PKI的核心，具有权威性，为用户所信任。(2)数字证书库：存储已颁发的数字证书及公钥，提供给公众查询。(3)密钥备份及恢复系统：对用户密钥进行备份，在丢失时可恢复。(4)证书吊销系统：与各种身份证件一样，证书在有效期以内也可能需要作废。(5)PKI应用接口系统：便于各种各样的应用能够以安全可信的方式与PKI交互，确保所建立的网络环境安全可信。 　　其中数字证书和认证机构是PKI体系中的关键部分。另外，PKI实际上还是一个正在发展的标准，还存在一些问题，但并不妨碍它在网络上的广泛应用。一个成熟的PKI应用系统还涉及到项目管理、网络结构、网络支持、目录资源、程序开发和政策管理等，需要很长时间才能完成，在发展的过程中逐步去完善，这也是网络安全技术发展的一个必然规律。 　　2.PKI提供的服务 　　PKI为开放的Internet环境提供了4个基本的安全服务：(1)认证，确认实体真实身份；(2)数据完整性，确保数据在传输过程中不被修改；(3)不可否认性，确保实体不能否认其发送过消息，也不能否认接收过消息；(4)机密性。 　　3.PKI的管理 　　PKI 的管理功能可归纳为证书管理和密钥管理两部分。证书管理包括策略批准、证书签发、证书发布、证书撤消和证书归档几个方面。密钥管理主要指密钥对的安全管理。密钥产生、密钥备份和恢复、密钥更新。 　　 　　二、PKI在信任系统中的应用 　　 　　1.数字证书认证中心的构建 　　PKI在实际应用中是一套软硬件系统和安全策略的集合，它提供了一整套安全性，使得用户不知道对方或者分布很广的情况下，以证书为基础，通过一系列的信任关系进行通讯和电子商务交易．我们以一个数字证书认证中心的构建为例，讨论和分析PKI网络在信任系统的应用。 　　一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA用于签发并管理证书。RA可作为CA的一部分，也可以独立开来，其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等。PKI存储库包括LDAP目录服务器和普通数据库，用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理，并提供一定的查询功能。 　　数字证书中心认证系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。安全服务器面向普通用户，用于提供证书申请、浏览、证书撤消列表以及证书下载等安全服务。CA服务器是整个证书机构的核心，负责证书的签发。注册机构RA面向登记中心操作员，在CA体系结构中起承上启下的作用。LDAP服务器提供目录浏览服务，负责将注册机构服务器传过来的用户信息以及数字证书加入到服务器上。数据库服务器是认证机构中的核心部分，用于认证机构数据(如密钥和用户信息等)、日志和统计信息的存储和管理。 　　2.密钥产生 　　密钥对的产生是证书申请过程中重要的一步，CA首先产生自身的私钥和公钥，然后生成数字证书，并且将数字证书传输给安全服务器。CA还负责为操作员、安全服务器以及注册机构服务器