售前咨询
技术支持
渠道合作

什么是PKI?

什么是PKI?

PKI(Public Key Infrastructure )即”公开密钥体系”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。

PKI的组成部分

PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA 操作协议;CA 管理协议;CA 政策制定。一个典型、完整、有效的PKI 应用系统至少应具有以下五个部分;

1) 认证中心CA

2) X.500 目录服务器

3) 具有高强度密码算法(SSL)的安全WWW服务器

4) Web(安全通信平台)

5) 自开发安全应用系统

PKI的基础技术

PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分:

  • 公钥密码证书管理。
  • 黑名单的发布和管理。
  • 密钥的备份和恢复。
  • 自动更新密钥。
  • 自动管理历史密钥。
  • 支持交叉认证。

PKI的优势

1、 采用公开密钥密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保。支持可以公开地进行验证,或者说任意的第三方可验证,能更好地保护弱势个体,完善平等的网络系统间的信息和操作的可追究性。

2、 由于密码技术的采用,保护机密性是PKI最得天独厚的优点。PKI不仅能够为相互认识的实体之间提供机密性服务,同时也可以为陌生的用户之间的通信提供保密支持。

3、 由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。PKI采用数字证书方式进行服务,即通过第三方颁发的数字证书证明末端实体的密钥,而不是在线查询或在线分发。这种密钥管理方式突破了过去安全验证服务必须在线的限制。

4、 PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。撤销机制提供了在意外情况下的补救措施,在各种安全环境下都可以让用户更加放心。另外,因为有撤销技术,不论是永远不变的身份、还是经常变换的角色,都可以得到PKI的服务而不用担心被窃后身份或角色被永远作废或被他人恶意盗用。为用户提供“改正错误”或“后悔”的途径是良好工程设计中必须的一环。

5、 PKI具有极强的互联能力。不论是上下级的领导关系,还是平等的第三方信任关系,PKI都能够按照人类世界的信任方式进行多种形式的互联互通,从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。PKI的互联技术为消除网络世界的信任孤岛提供了充足的技术保障。

PKI技术的应用

PKI技术的广泛应用能满足人们对网络交易安全保障的需求。当然,作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。

1. 虚拟专用网络(VPN)

VPN是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(尤其是IPSec)和建立在PKI上的加密与签名技术来获得机密性保护。 基于PKI技术的IPSec协议现在已经成为架构VPN的基础,它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它 的实现会复杂一些,但其安全性比其他协议都完善得多。

2. 安全电子邮件

作为Internet上最有效的应用,电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。随着Internet的持续 增长,商业机构或政府机构都开始用电子邮件交换一些秘密的或是有商业价值的信息,这就引出了一些安全方面的问题,包括:消息和附件可以在不为通信双方所知 的情况下被读取、篡改或截掉;发信人的身份无法确认。电子邮件的安全需求也是机密、完整、认证和不可否认,而这些都可以利用PKI技术来获得。目前发展很 快的安全电子邮件协议是S/MIME (The Secure Multipurpose Internet Mail Extension),这是一个 允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。

3. Web安全

浏览Web页面是人们最常用的访问Internet的方式。如果要通过Web 进行一些商业交易,该如何保证交易的安全呢?为了透明地解决Web 的安全问题,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加 密通信。此外服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。-结合SSL协议和数字证书,PKI技术可以保证Web 交易多方面的安全需 求,使Web上的交易和面对面的交易一样安全。

上一篇:

下一篇:

相关文章