PKI：网络安全的重要基石(转)

最新推荐文章于 2022-05-23 21:48:22 发布

congzhang6627

最新推荐文章于 2022-05-23 21:48:22 发布

阅读量287

点赞数

文章标签：网络 ldap 操作系统

PKI：网络安全的重要基石(转)[@more@]

　　自从有通信活动以来，安全问题一直受到人们的重视，所以人类发明了封条、签字、密码锁等安全措施和机制来增强通信的安全性。进入互联网时代之后，由于信息在几乎不受保护的情形下在网络间传输，这更加深了使用者对网络的不信任感，相关信息安全技术因此孕育而生。

　　　　PKI（Public Key Infrastructure，公匙基础设施）就是广为使用的信息安全技术之一。其原理是通过数学加解密的公式发展而成。利用数学加解密公式可制成两种数字钥匙，其中一种钥匙叫公钥（Public Key）公开发行；另一种钥匙叫私钥（Private Key），是由使用者自己保管。由于Internet的广泛使用催生了电子商务，PKI已经逐渐成为互联网的基本技术之一，PKI以及与之相关的认证中心(CA，Certificate Authority)，可以说是目前电子商务所必不可少的安全机制。

　　　　企业中的需求

　　　　在当今企业信息系统之中，计算机大多数是联网的。文件交换、电子邮件、数据交流，已经在个人、部门乃至企业之间普遍开展。当一个组织越来越依赖互联网，并将互联网作为商务活动工具时，网络安全性的重要性也随之提高。那么，这些信息交流活动是否安全呢？

　　　　作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，这是针对信息系统的安全五要素而言的。

　　　　安全五要素是指认证、权限、完整、加密、不可否认。具体而言就是在信息传递过程中，接收数据的人是否是应该得到它的人？接收数据的人是否拥有相应的等级来看这些信息？数据在传输和保存的过程中，是否被他人暗中修改？数据的加密措施是否可靠？某人看到数据之后，如何证明他这样做了？

　　　　解决上述问题，虽然PKI不是惟一的，但是可以说是目前最完善的技术，甚至可以说是目前惟一可行的技术。同时，安全级别要求高的应用程序，也都可以说是PKI大展身手的舞台。目前，通常的PKI应用有电子邮件、VPN、在线交易系统、联网OA系统等。

　　　　PKI的组成

　　　　PKI体系既包括硬件模块，也包括软件模块，还有管理软硬件的安全策略。

　　　　每一位使用者拥有一对在认证配置过程中初始化的密码，称为“私匙”和“公匙”。公匙是共享的，可以嵌入在电子证书中，也可以存放在认证中心服务器上，用于分发。“公匙”用于加密数据，私匙则用于解密。其详细的工作原理涉及到密码学的知识，这里则不详细阐述。

　　　　除了密码系统，由各种软件功能模块组成的对公匙进行管理、应用的设施也很关键。PKI基础设施的设计，基于如何管理整个密匙对生命过程和使用流程。整个PKI系统包括了如下软件模块：

　　　　认证中心(Certificate Authority CA)。它是一个发证中心，可以说是PKI体系的中枢。在CA中心，会存储一些用户的基本信息，包括CA证书的名字、CA证书是否可用、CA证书使用者基本信息（名称、电子邮件地址）以及“公匙”。当加密传输信息的时候，CA会验证证书是否仍然有效。如果证书无效，CA会将其作废。引发证书作废的原因有很多，例如用户离职、忘记密码、认证证书过期、认证证书被破坏等。

　　　　在一些较大的组织机构（甚至一些国家），会有多级CA构成多层结构，这涉及到“交叉认证”这一概念。交叉认证是指当一个组织的PKI使用者，需要同另外一个组织的PKI使用者打交道时，他们各自的CA可以通过上一层的某一CA中心来沟通，以确认对方身份。

　　　　在多数情况下，CA是与一套用户注册管理系统(Registration Authority，RA)配套使用的。在企业中，CA通常由IT部门管理，而RA则由人事部门管理。RA接受用户认证请求，一旦用户身份被确认则将其转交给CA。根据用户所申请的认证保密程度的不同，RA从技术上可以为其设置不同的流程进行确认。安全级别要求不高的可以采用程序自动处理的方式，例如只要用户所填的各项信息与其在公司HR数据库保存的信息一致即予以通过，或者程序自动验证用户所填写电子邮箱地址有效即可；安全级别高的则可以手工通过，例如当面检验身份证。

　　　　认证分发系统（Certificate Distribution System）。它被用来存储CA所发出的证书、公匙以及废止证书名单(CRL)。根据PKI系统的不同规格，体系也可以使用目录服务器来发放、存储认证证书。目录服务器使用LDAP（Lightweight Directory Access Protocol,轻量级目录访问协议），可以更有效地管理证书用户信息。

　　　　安全策略。PKI体系需要在一定的安全策略指导下运行，例如安全证书如何发放、如何作废、如何更新以及如何存储。鉴于PKI的重要性，安全策略的管理最好由包含管理层人士、IT部门、法律部门在内的团队来负责，由他们共同制订一个满足公司要求的安全策略。

　　　　PKI的应用

　　　　广泛的应用是普及一项技术的保障。PKI支持SSL、IP over VPN、S／MIME等协议，这使得它可以支持加密Web、VPN、安全邮件等应用。值得注意的是，PKI支持不同CA间的交叉认证，并能实现证书、密钥对的自动更换，这扩展了它的应用范畴。

　　　　一个完整的PKI产品应具备以下功能：根据X.509标准发放证书，产生密钥对，管理密钥和证书，为用户提供PKI服务，如用户安全登录、增加和删除用户、恢复密钥、检验证书等。其他相关功能还包括交叉认证、支持LDAP协议、支持用于认证的智能卡等。此外，PKI的特性融入各种应用（如防火墙、浏览器、电子邮件、群件、网络操作系统）也正在成为趋势。

　　　　基于PKI技术的IPSec协议，现在已经成为架构VPN 的基础。它可以为路由器之间、防火墙之间，或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些，但安全性比其他协议都完善得多。

　　　　目前，发展很快的安全电子邮件协议是S/MIME (The Secure Multipurpose Internet Mail Extension)，这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。当发E-mail给一位或多位接收人时，发送者可以先将邮件加密、签名。这样，只有指定的接收人才可以在CA中心的服务器上取得公匙并开启邮件。即使该邮件被其他人截获，这些人也会因为得不到公匙而无法阅读邮件。

　　　　此外，PKI还允许客户自行认证证书，即一个企业购买了PKI软件后，可以管理本企业内的整个PKI体系，如增加、删除用户、恢复密钥、吊销证书等。一般的PKI系统都带有编程接口API，允许开发人员进行扩充开发，这极大地扩展了PKI应用的灵活性。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/8403220/viewspace-935136/，如需转载，请注明出处，否则将追究法律责任。