一种新的PKI互操作模型.pdfVIP

第2章PKI技术研究 2．1概述 对称密码体制的应用遇到密钥分配问题。非对称密码体制的出现解决了对称密钥 的分配，但又产生了公钥信任在大范围内传播问题。最终PKI用证书管理公镅，较好 解决了密钥管理方面的问题，使得公钥密码体制在其诞生的二十年后得到了广泛应 用，PKI的理论基础是各种密码体制。本章将对PKI所用到的密码学技术及机制进行 论述和研究。 2．2 PKI中密码编码技术 密码编码系统根据所用密钥的数量可分为对称密码算法和非对称密码算法。如果 发送者和接收者双方使用相同的密钥，则该系统称为对称加密、秘密密钥加密或单密 钥加密。如果发送者和接收者各自使用一个不同的密钥来加密和解密，则该系统称为 非对称加密、公开密钥加密或双密钥加密。 2．3 PKI关键技术研究 2．3．1数字签名技术 对于重要的文件，为了防止出现对文件的否认、伪造、篡改等问题，传统的方法 是在文件上手写签名。但是在计算机系统中无法使用手写签名，取而代之的是数字签 名机制。数字签名应该能实现手写签名的作用，其本质特征就是利用签名者的私有信 息产生签名。因此，当被验证时，能通过信任的第三方在任何时候证明只有私有信息 的唯一掌握者才能产生此签名。 数字签名具有以下特点： 1)签名是可信的： 2)签名是不能伪造的： 3)签名是不可重用的； 4)签名后的文件是不能更改的； 5)签名是不能否认的。 数字签名可以用秘密密钥来实现，也可用公开密钥来实现。采用对称密钥是建立 在有众人信任的中间仲裁机构的基础上，它的完整性的基础是这个中间仲裁机构。这 种方式的安全性不高，而且步骤繁琐。而采用非对称密钥加密法进行数字签名则不受 此限制，收发两方之间不需要任何可信赖机构。它的完整性的基础是每个通信者所拥 有的私钥。 数字签名技术比较好的解决了数据传输过程中的身份的真实性和完整性问题。 2．3．2数字证书技术 上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。在网上进 行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书 来进行有关的交易操作。 从原理上来讲，就是一个可信的第三方实体对另一个实体的一系列信息进行签名 得到～个数字文档，证书用户可以通过这个可信第三方来证明另一实体的身份。它由 三部分组成：实体的一系列信息，签名加密算法和一个数字签名。其中实体的信息主 要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥和证书颁发机构的 信息。 标准的证书格式是由国际电信电报联盟(InJ)制定的X．509V3。第三版证书通过 在实体信息中增加标准扩展项对vl和v2证书进行了扩展。这些扩展已经定义出一 些内容，包括关键扩展和非关键扩展。各个组织和个人可以选取这些扩展中的一些项 使用。 2．3．3数字信封技术 数字信封f3l的作用类似于普通信封。普通信封在法律的约束下保证只有收信人才 能阅读信的内容，数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的 内容。 数字信封也称为混合加密，采用了对称密码机制和非对称密码机制。数字信封假 定接收方有自己的一对公钥和私钥，并且发送方已经得到了接收方的公钥，数字信封 4 采用接收方的公钥对通信用的随机产生的对称密钥打包，形成数字信封发送给接收 方，形成数字信封，发送给接收方．这样就保证了数据传输的完整性和机密性。 2．4 PKI系统框架 对称密码体制的应用遇到密钥分配问题。公钥密码体制的出现解决了对称密钥的 分配，但又产生了公钥信任在大范围内传播问题。最终PKI用证书管理公钥，较好解 决了密钥管理方面的问题使得公钥密码体制在其诞生的二十年后得到了广泛应用．这 就是PIG的重要作用和它产生的根本原因。本节将说明PKI是什么，并试图描绘出 PKI设计和实施的技术框架。 PKI的理论基础是各种密码体制，但是PKI并不致力于各种密码体制的应用。而 是旨在为各种密码体制应用所需的密钥管理(包括密钥的生成、分发、存储、失效、 更新和销毁等)服务。并且以基础设施方式进行建设，保证这种服务的普遍性、全面 性和易用性。PKI用公钥概念与技术来实施和提供安全服务，其总体技术架构如图2．1 所示。 [三妇臣至口[圃 图2。I PKI系统框架 2