PKI技术及其应用研究
摘要:pki技术是信息安全技术的核心,也是电子商务的关键和基础技术。本文对pki技术进行详细的阐述了,并对pki技术在网络安全的应用做了研究。
关键词:pk;公钥基础设施;网络安全;信息安全
中图分类号:tp399 文献标识码:a 文章编号:1007-9599 (2012) 17-0000-02 1 引言
pki(public key infrastructure)即”公钥基础设施”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而pki技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题[1]。 2 pki系统的构成
一个典型的pki系统如图1所示,包括pki策略、软硬件系统、证书机构(ca)、注册机构(ra)、证书发布系统和pki应用等[2]。 2.1 pki策略
在pki系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过ca和ra技术融入
到ca和ra的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。 2.2 软硬件系统
pki系统运行所需的所有软件、硬件的集合,主要包括认证服务器、目录服务器、pki平台等。 2.3 证书机构(ca)
ca(certification authority)是一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由ca签发的网络用户电子身份证明—证书,任何相信该ca的人,按照第三方信任原则,也都应当相信持有证明的该用户。ca也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的ca是至关重要的,这不仅与密码学有关系,而且与整个pki系统的构架和模型有关。此外,灵活也是ca能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的ca产品兼容。 2.4 注册机构(ra)
ra(registration authority)是用户和ca的接口,它所获得的用户标识的准确性是ca颁发证书的基础。ra不仅要支持面对面的登记,也必须支持远程登记。要确保整个pki系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的ra系统。 2.5 证书发布系统
负责证书的发放,如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组织中现存的,也可以是pki方案中提供的。 3 pki的应用 3.1 安全电子邮件
作为internet上最有效的应用,电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。随着internet的持续增长,商业机构或政府机构都开始用电子邮件交换一些秘密的或是有商业价值的信息,这就引出了一些安全方面的问题,包括:消息和附件可以在不为通信双方所知的情况下被读取、篡改或截掉;发信人的身份无法确认。电子邮件的安全需求也是机密、完整、认证和不可否认,而这些都可以利用pki技术来获得。目前发展很快的安全电子邮件协议是s/mime(the secure multipurpose internet mail extension),这是一个允许发送加密和有签名邮件的协议,该协议的实现需要依赖于pki技术。 3.2 web安全
为了透明地解决web的安全问题,最合适的入手点是浏览器。而浏览器都支持ssl协议(the secure sockets layer),这是一个在传输层和应用层之间的安全通信层。在两个实体进行通信之前,先要建立ssl连接,以此实现对应用层透明的安全通信。利用pki技术,ssl协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全,服务器端和浏览器端分别由可信的第三方颁发数字证书,这样在交易时,双方可以通过数字证
书确认对方的身份。需要注意的是,ssl协议本身并不能提供对不可否认性的支持,这部分的工作必须由数字证书完成。
结合ssl协议和数字证书,pki技术可以保证web交易多方面的安全需求,使web上的交易和面对面的交易一样安全。 3.3 虚拟专用网
vpn是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(尤其是ipsec)和建立在pki上的加密与签名技术来获得机密性保护。基于pki技术的ipsec协议现在已经成为架构vpn的基础,它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信[3]。虽然它的实现会复杂一些,但其安全性比其他协议都完善得多。 3.4 电子商务
电子商务的建设最重要的就是解决电子商务应用的安全问题。就是要解决信息存储、传输的安全;提高防护、检测、响应恢复和抗攻击能力;保证保密性、鉴别性、完整性、可用性和可控性[4]。其核心是保证系统数据的安全和系统的可用性。pki的核心环节ca就是电子交易中信赖的基础。主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书,使网上交易用户属性的客观真实性与证书的真实性一致。为网上交易各方的信息安全提供有效的、可靠的保护机制。这些机制提供机密性、身份验证特性(使交易的每一方都可以确认其它各方的身份)、不可否认性(交易的各方不可否认它们的参与)。它的建立对开放网络上的电子商务的
开展具有非常重要的意义。 4 结语
随着互联网的发展,基于网络环境下数据加密/签名的应用将越来越广泛,pki作为技术基础可以很好地实现通行于网络的统一标准的身份认证,其中既包含有线网络,也涵盖了无线通信领域。因此我们可以预见,pki的应用前景将无比广阔。 参考文献:
[1]陈晓纪,李大明,柴旭光.pki技术在安全电子商务系统中的应用研究[j].邢台职业技术学院学报,2010,3.
[2]窦军伟.pki技术发展与应用初探[j].电脑知识与技术,2010,10.
[3]张蓉,杨磊,程慧.pki技术及其发展应用[j].大众科技,2010,2.
[4]田文强,穆瑞辉.电子商务系统中基于pki技术的角色访问控制模型[j].新乡教育学院学报,2009,4.
[作者简介]李远英(1980-),女,贵州凯里人,贵州电子信息职业技术学院,讲师,研究方向:计算机硬件技术和数据库技术。
因篇幅问题不能全部显示,请点此查看更多更全内容