PKI与SSL理论
(文献综述)
1. PKI的概念
PKI(公钥基础设施,Public Key Infrastruture)是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。一般基础设施的目的是:只要遵循需要的原则,不同的实体就可以方便地使用基础设施所提供的服务。PKI作为一种用于安全的基础实施,与一般的基础设施一样,必须遵循同样的原则,同样是为了向实体提供服务。PKI是一种遵循标准的利用公钥为网上电子商务、电子政务的开展,提供一整套安全的基础平台。用户利用PKI平台提供的安全服务进行安全通信。
2. PKI理论基础
PKI的理论是基于密码学的。密码学包括密码编码学(主要内容是密码体制的设计)和密码分析学(主要内容是密码体制的破译),密码编码技术和密码分析技术是相互依存、互相支持、密不可分的两个方面。
从密码体制方面来说,密码体制有对称密钥密码技术和非对称密钥技术密码技术。对称密钥密码技术要求加密/解密双方拥有相同的密钥,而非对称密钥密码在计算上是不能相互推算出来的。PKI技术虽然主要是基于非对称密钥密码技术,即公开密钥密码技术,但同时也交叉使用对称密钥密码技术,二者相辅相成,使PKI能够成为方便灵活地提供安全服务的安全基础设施。
3. PKI的体系结构
PKI体系结构一般由多种认证机构与各种终端实体组成。目前,在PKI体系基础上建立的安全证书体系得到了广大用户、商家、银行、企业及政府各职能部门的普遍关注。美国、加拿大等国的政府机构,都提出了建立国家PKI体系的具体实施方案。我国信息产业部等相关政府部门也在制定“中国认证机构的总体框架”,从中国的实际国情出发,制定国家PKI体系结构。
PKI体系的建立首先应该着眼于用户使用证书及相关服务的全面性和便利性。建立和设计一个PKI体系必须保证以下服务功能的实现:
Ø 用户实体身份的可信任认证
Ø 制定完整的证书管理政策
Ø 建立高可信度的认证机构CA中心
Ø 用户实体属性的管理
Ø 用户身份隐私保护
Ø 证书作废列表的管理
下图为一个典型的PKI体系结构图:
PAA:政策批准机构,由它来创建整个PKI系统的方针、政策,批准本PAA下属的PCA的政策,为下属PCA签发公钥证书,建立整个PKI体系的安全策略,并具有监控各PCA行为的责任。
PCA:政策PCA机构,为政策CA制定本PCA的具体政策,可以是上级PAA政策的扩充和细化,但不能与之相背离。这些政策可以包括本PCA范围内密钥的产生、密钥的长度,证书的有效期规定及CRL的处理等。并为下属CA签发公钥证书。
CA:认证机构,也称认证中心,具备有效地政策制定功能,按照上级PCA制定的政策,担任具体的用户公钥证书的签发、生成、发布及CRL生成和发布功能。
ORA:在线证书申请,进行证书申请者的身份认证,向CA提交证书申请,验证接收CA签发的证书,并将证书发放给申请者。必要时,还协助证书制作的处理过程。
4. 国内外研究现状
2001年2月,我国批准成立了中国PKI论坛筹备工作组,同年6月,我国成为亚洲PKI论坛成员。经过几年的发展,我国PKI体系建设取得了显著的成效,PKI技术有了巨大的进步,PKI系统的应用发展非常迅速并形成了一定的规模,在此基础上积累了运营和管理经验,并培养了许多PKI专业人才。
但同时,我国的PKI体系还存在以下问题:(1)没有完全形成国家级的PKI体系;(2)没有完全统一的PKI标准;(3)PKI系统自身的安全性仍然存在一定问题。
对于PKI系统的核心——CA的建设,也取得了较大的发展。目前,我国主要存在两类CA:(1)国家电子政务PKI体系,这类CA中心以地方政府为背景,具有明显的区域特征;(2)国家公共PKI体系,这类CA中心具有一定行业背景,只要立足于行业应用。
1998年我国成立了第一家CA认证中心(CTCA)。2004年4月1号,我国开始实施《电子签名法》,对CA机构进行责任认定,在运营规范等方面做了法律上的要求,这是我国在信息化领域颁布的第一部法律,充分说明了我国对PKI系统建设以及身份认证的重视程度。由于有了法律支持,随着《电子签名法》、《电子认证服务管理办法》的出台,使得认证服务不再存在无标准、无法规、无主管的状态。
PKI在国外的发展情况可以以美国为例进行介绍,美国的PKI建设主要经历了三个阶段:1996年之前的无序阶段、1996年至2002年以FBCA为核心的体系搭建阶段、2003年之后策略管理和体系建设并举的成熟阶段。
1996年,美国成立FPKISC(the Federal PKI Steering Committee,联邦PKI指导委员会),标志着FPKI开始由无序向有序发展。1998年,FPKISC提出了联邦PKI的管理模式——由被管理者自行管理(governance by the governed),并提出了联邦桥CA(FBCA)的概念,成立了联邦PKI策略权威(FPKIPA),由该机构来决定某机构的PKI能否通过FBCA与其他机构的PKI互操作,即由FPKIPA来实现各机构PKI证书策略与FBCA证书策略的映射,从而使各机构能够决定其他机构证书策略能否达到自己所要求的信任级别。FBKISC意图通过FPCA来实现所有机构PKI的互通,从而形成一个统一的FPKI,并且通过实现FBCA与其他桥CA之间的互通,实现FPKI与其他PKI之间的互通。
2003年以来,随着电子政务法的颁布以及一系列相关政策的出台,标志着美国FPKI逐渐走向成熟。在这个阶段,法律规定最基本规则,一切政策的制定以法律为准绳,主管机构以制定策略并监督管理为主要职责,促进PKI在整个联邦机乃至范围内使用。
当前,美国在以策略管理为主导的指导思想下,FPKIPA职责由过去单纯对PBCA证书策略(CA)、认证业务声明(CPS)以及交叉认证管理发展成为对FPKI所有策略的管理。FPKI已经不再是以PBCA为核心的体系结构,而是包含根CA、独立CA的混合模式。
5. SSL参考协议简介
SSL(Secuer Socket Lyaer,安全套接字层)是一种在两台机器之间提供安全信道的协议,它是一个位于TCP/PI层和应用层之间的中间层协议,而它提供的通道在应用层。协议由两层组成,最底层是SSL记录层协议(SSL Recodr Porotcol),它基于可靠的传输层协议,用于封装各种高层协议。高层协议主要包括SSL握手协议(SSL Hnadshkae Protoeol)、改变加密约定协议(Change Cipher Spec Poroteol)、警报协议(Alert Protocol)等。
SSL的一个优点是它与应用层协议无关,一个高层的协议可以透明的位于SSL协议层的上方。SSL协议提供的安全连接有以下几个基本特性:
Ø 连接是安全的,在握手过程中,SSL协议通信双方会为后面的传输商定一个密钥。
Ø SSL协议是属于PKI体系内的协议,所以说可以利用公钥加密算法来认证通信对方的身份。
Ø 连接是可靠的,传输中的数据包含有数据完整性的校验码,使用安全的Hahs函数计算校验码。
SSL安全协议是国际上最早应用于电子商务的一种网络安全协议,至今仍然有许多网上商店在使用,在点对点的网上银行业务中也经常使用。该协议己经成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。
SSL协议是一个很优秀的协议,正是由于它的优秀,所以被应用在很多对安全性要求很高的场合,也就受到了广泛的研究,协议本身在不断的被改良的同时,也出现了很多威胁SSL网络安全协议的攻击,由于这些攻击的针对性很强,所以在有些时候,这些攻击显得特别危险。
当然,大部分的攻击都是针对不安全的应用,而并非协议本身的问题。特别是在握手协议中的不正确应用,会极大的影响系统的安全性。
6. 参考文献
[1]. 关振胜. 公钥基础设施PKI与认证机构CA. 电子工业出版社2002年1月第一版.
[2]. 关振胜. 公钥基础设施PKI及其应用. 电子工业出版社2008年1月第一版
[3]. 肖凌, 李之棠. 公开密钥基础设施(PKI)结构. 计算机工程与应用, 2002.10.
[4]. 李智. 中美PKI建设现状比较及我国PKI体系建设前景. 电子政务,2003年第2期43.
[5]. 任金强,刘海龙. 美国联邦PKI(FPKI)的发展与现状. 电子政务,2005年第9期23.
[6]. 杜小利. 中国PKI发展及应用现状. 工程技术,2008年
[7]. 孙达. PKI在公安信息系统中的应用探讨. 应用安全.
[8]. 李世清. PKI(CA)技术在军队信息网中的研究与应用. 重庆大学工程硕士学位论文, 2005年.
[9]. 李薇. 基于PKI的安全管理系统的设计与实现. 太原理工大学硕士学位论文, 2005年.
[10]. 蒋定德. PKI中签发用户证书机制的研究及实现. 电子科技大学硕士学位论文, 2005年.
[11]. 庞红玲. PKI系统证书撤销机制的研究与实现. 解放军信息工程大学硕士学位论文, 2005年.
[12]. 陈敬佳. 基于PKI技术的网络安全平台设计与实现. 武汉理工大学硕士学位论文, 2006年.
[13]. 韩跃科. PKI技术在保障公文流转安全中的应用研究. 新疆大学硕士学位论文, 2007年.
[14]. UnderstandingPublic Key Infrastructure – An RSA Data Securtiy White Paper. 1999.
[15]. CarlEllison, Bruce Schneier. Ten Risks of PKI: What You’re not Being Told aboutPublic Key Infrastructure. Computer Security Journal, Volume XVI, Number 1,2000.
[16]. PKIImplementation Issue: A Comparative Study of Pakistan with some AsianCountries. International Journal on Computer Sciece and Engineering Vol.1,2009.