PKI基礎(chǔ)內(nèi)容介紹(5)
PKI是一種新的安全技術(shù),它由公鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)(CA)和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實現(xiàn)電子商務安全的一種體系,是一種基礎(chǔ)設施,網(wǎng)絡通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講,PKI包含了安全認證系統(tǒng),即安全認證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。
PKI(Public Key Infrastructure)公鑰基礎(chǔ)設施是提供公鑰加密和數(shù)字簽名服務的系統(tǒng)或平臺,目的是為了管理密鑰和證書。一個機構(gòu)通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡環(huán)境。PKI主要包括四個部分:X.509格式的證書(X.509 V3)和證書廢止列表CRL(X.509 V2);CA/RA操作協(xié)議;CA管理協(xié)議;CA政策制定。一個典型、完整、有效的PKI應用系統(tǒng)至少應具有以下部分:
1.認證中心CA CA是PKI的核心,CA負責管理PKI結(jié)構(gòu)下的所有用戶(包括各種應用程序)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網(wǎng)上驗證用戶的身份,CA還要負責用戶證書的黑名單登記和黑名單發(fā)布,后面有CA的詳細描述。
2.X.500目錄服務器 X.500目錄服務器用于發(fā)布用戶的證書和黑名單信息,用戶可通過標準的LDAP協(xié)議查詢自己或其他人的證書和下載黑名單信息。
3.具有高強度密碼算法(SSL)的安全WWW服務器 出口到中國的WWW服務器,如微軟的IIS、Netscape的WWW服務器等,受出口限制,其RSA算法的模長最高為512位,對稱算法為40位,不能滿足對安全性要求很高的場合,為解決這一問題,采用了山東大學網(wǎng)絡信息安全研究所開發(fā)的具有自主版權(quán)的SSL安全模塊,在SSL安全模塊中使用了自主開發(fā)的SJY系列密碼設備,并且把SSL模塊集成在Apache WWW服務器中,Apache WWW服務器在WWW服務器市場中占有百分之50以上的份額,其可移植性和穩(wěn)定性很高。
4.Web(安全通信平臺) Web有Web Client端和Web Server端兩部分,分別安裝在客戶端和服務器端,通過具有高強度密碼算法的SSL協(xié)議保證客戶端和服務器端數(shù)據(jù)的機密性、完整性、身份驗證。
5.自開發(fā)安全應用系統(tǒng) 自開發(fā)安全應用系統(tǒng)是指各行業(yè)自開發(fā)的各種具體應用系統(tǒng),例如銀行、證券的應用系統(tǒng)等。
完整的PKI包括認證政策的制定(包括遵循的技術(shù)標準、各CA之間的上下級或同級關(guān)系、安全策略、安全程度、服務對象、管理原則和框架等)、認證規(guī)則、運作制度的制定、所涉及的各方法律關(guān)系內(nèi)容以及技術(shù)的實現(xiàn)。
【編輯推薦】
