PKI基礎內容介紹(5)
PKI是一種新的安全技術,它由公鑰密碼技術、數字證書、證書發放機構(CA)和關于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術實現電子商務安全的一種體系,是一種基礎設施,網絡通訊、網上交易是利用它來保證安全的。從某種意義上講,PKI包含了安全認證系統,即安全認證系統-CA/RA系統是PKI不可缺的組成部分。
PKI(Public Key Infrastructure)公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或平臺,目的是為了管理密鑰和證書。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網絡環境。PKI主要包括四個部分:X.509格式的證書(X.509 V3)和證書廢止列表CRL(X.509 V2);CA/RA操作協議;CA管理協議;CA政策制定。一個典型、完整、有效的PKI應用系統至少應具有以下部分:
1.認證中心CA CA是PKI的核心,CA負責管理PKI結構下的所有用戶(包括各種應用程序)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網上驗證用戶的身份,CA還要負責用戶證書的黑名單登記和黑名單發布,后面有CA的詳細描述。
2.X.500目錄服務器 X.500目錄服務器用于發布用戶的證書和黑名單信息,用戶可通過標準的LDAP協議查詢自己或其他人的證書和下載黑名單信息。
3.具有高強度密碼算法(SSL)的安全WWW服務器 出口到中國的WWW服務器,如微軟的IIS、Netscape的WWW服務器等,受出口限制,其RSA算法的模長最高為512位,對稱算法為40位,不能滿足對安全性要求很高的場合,為解決這一問題,采用了山東大學網絡信息安全研究所開發的具有自主版權的SSL安全模塊,在SSL安全模塊中使用了自主開發的SJY系列密碼設備,并且把SSL模塊集成在Apache WWW服務器中,Apache WWW服務器在WWW服務器市場中占有百分之50以上的份額,其可移植性和穩定性很高。
4.Web(安全通信平臺) Web有Web Client端和Web Server端兩部分,分別安裝在客戶端和服務器端,通過具有高強度密碼算法的SSL協議保證客戶端和服務器端數據的機密性、完整性、身份驗證。
5.自開發安全應用系統 自開發安全應用系統是指各行業自開發的各種具體應用系統,例如銀行、證券的應用系統等。
完整的PKI包括認證政策的制定(包括遵循的技術標準、各CA之間的上下級或同級關系、安全策略、安全程度、服務對象、管理原則和框架等)、認證規則、運作制度的制定、所涉及的各方法律關系內容以及技術的實現。
【編輯推薦】
