PKI技术是一套Internet安全解决方案,PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
pki技术_PKI技术 -PKI技术
为解决Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用的PKI体系结构,PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
pki技术_PKI技术 -目的及组成
从广义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做PKI系统,PKI的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性,数据的机密性是指数据在传输过程中,不能被非授权者偷看,数据的完整性是指数据在传输过程中不能被非法篡改,数据的有效性是指数据不能被否认。一个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI是怎样管理证书和密钥的,一个典型、完整、有效的PKI应用系统至少应具有以下部分:
公钥密码证书管理。
黑名单的发布和管理。
密钥的备份和恢复。
自动更新密钥。
自动管理历史密钥。
支持交叉认证。
由于PKI体系结构是目前比较成熟、完善的Internet网络安全解决方案,国外的一些大的网络安全公司纷纷推出一系列的基于PKI的网络安全产品,如美国的Verisign, IBM ,Entrust等安全产品供应商为用户提供了一系列的客户端和服务器端的安全产品,为电子商务的发展提供了安全保证。为电子商务、政府办公网、EDI等提供了完整的网络安全解决方案。
PKI是一种新的安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系,是一种基础设施,网络通讯、网上交易是利用它来保证安全的。从某种意义上讲,PKI包含了安全认证系统,即安全认证系统-CA/RA系统是PKI不可缺的组成部分。
PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。 X.509格式的证书和证书废除列表(CRL); CA/RA操作协议; CA管理协议; CA政策制定。
pki技术_PKI技术 -属性证书
X.509 V4增加了属性证书的概念。提起属性证书就不能不提起授权管理基础设施(PMI,Privilege Management Infrastructure)。PMI授权技术的核心思想是以资源管理为核心,将对资源的访问控制权统一交由授权机构进行管理,即由资源的所有者来进行访问控制管理。与PKI信任技术相比,两者的区别主要在于PKI证明用户是谁,并将用户的身份信息保存在用户的公钥证书中;而PMI证明这个用户有什么权限、什么属性、能干什么,并将用户的属性信息保存在授权证书(又称管理证书)中。
图中显示了PMI服务系统的体系结构。从图中可以看出,PMI系统主要分为授权管理中心(又称AA中心)和资源管理中心(又称RM中心)两部分。授权服务平台是授权管理中心的主要设备,是实现PMI授权技术的核心部件,主要为用户颁发CA授权证书。
在PKI信任技术中,授权证书非常适合于细粒度的、基于角色的访问控制领域。X.509公钥证书原始的含义非常简单,即为某个人的身份提供不可更改的证据。但是,人们很快发现,在许多应用领域,比如电子政务、电子商务应用中,需要的信息远不止是身份信息,尤其是当交易的双方在以前彼此没有过任何关系的时候。在这种情况下,关于一个人的权限或者属性信息远比其身份信息更为重要。例如,销售商为了决定一笔订货是否可信,是否应该发货给定货人,他就必须知道定货人的信用情况,而不仅仅是其名字。
为了使上述附加信息能够保存在证书中,X.509 v4中引入了公钥证书扩展项,这种证书扩展项可以保存任何类型的附加数据。随后,各个证书系统纷纷引入自己的专有证书扩展项,以满足各自应用的需求。然而,扩展项的引入在证书的互操作性、发放证书的权限,以及证书的撤销等方面带来了许多问题。
因此,授权证书的合理性是简单而引人注目的。既然不同的部门具有不同的发放证书权限,而且在证书中最容易改变的信息是属性信息,那么为什么不把X.509 v3证书分拆成两个不同的证书:一个是存放身份信息的公钥证书;另一个是存放属性信息的授权证书,这样就可以极大地简化发放证书的流程,并且在一定程度上解决了证书撤销的问题。因为如果授权证书使用短有效期,那么它们就不需要被撤销,而仅仅是过期作废罢了!
pki技术_PKI技术 -漫游证书
PKI技术
证书应用的普及自然产生了证书的便携性需要,而到目前,能提供证书和其对应私钥移动性的实际解决方案只有两种:第一种是智能卡技术。在该技术中,公钥/私钥对存放在卡上,但这种方法存在缺陷,如易丢失和损坏,并且依赖读卡器(虽然带USB接口的智能钥匙不依赖读卡器,但成本太高);第二种选择是将证书和私钥复制到一张软盘备用,但软盘不仅容易丢失和损坏,而且安全性也较差。
一个新的解决方案就是使用漫游证书,它通过第三方软件提供,只需在任何系统中正确地配置,该软件(或者插件)就可以允许用户访问自己的公钥/私钥对。它的基本原理很简单,即将用户的证书和私钥放在一个安全的中央服务器上,当用户登录到一个本地系统时,从服务器安全地检索出公钥/私钥对,并将其放在本地系统的内存中以备后用,当用户完成工作并从本地系统注销后,该软件自动删除存放在本地系统中的用户证书和私钥。
这种解决方案的好处是可以明显提高易用性,降低证书的使用成本,但它与已有的一些标准不一致,因而在应用中受到了一定限制。笔者认为,在小额支付等低安全要求的环境中,该解决方案是一种较为适合的方法。
pki技术_PKI技术 -无线PKI(WPKI)
随着无线通信技术的广泛应用,无线通信领域的安全问题也引起了广泛的重视。将PKI技术直接应用于无线通信领域存在两方面的问题:其一是无线终端的资源有限(运算能力、存储能力、电源等);其二是通信模式不同。为适应这些需求,目前已公布了WPKI草案,其内容涉及WPKI的运作方式、WPKI如何与现行的PKI服务相结合等。
WPKI中定义了三种不同的通信安全模式:
● 使用服务器证书的WTLSCLASS2模式;
● 使用Client证书的WTLSClass3模式;
● 使用Client证书合并WMLScript的signText模式。
所谓的Class1、Class2及Class3是定义在WTLS标准中的安全需求,如表所示(见B11版,其中M表示强制必须要运行,O表示可选择性运行)。
PKI技术
在证书编码方面,WPKI证书格式想尽量减少常规证书所需的存储量。采用的机制有两种:其一是重新定义一种证书格式(WTLS 证书格式),以此减少X.509证书尺寸;其二是采用ECC算法,减少证书的尺寸,因为ECC密钥的长度比其他算法的密钥要短得多。WPKI也在IETFPKIX证书中限制了一个数据区的尺寸。由于WPKI证书是PKIX证书的一个分支,还要考虑与标准PKI之间的互通性。