计算机系统知识之认证技术

  认证技术主要是解决网络通信过程中通信双方的身份认证。认证的过程涉及加密和密钥交换。通常，加密可使用对称加密、非对称加密和两种加密方法的混合方法。认证方一般有账户名/口令认证、使用摘要算法认证和基于PKI的认证。
  一个有效的PKI系统必须是安全的和透明的，用户在获得加密和数字签名服务时不需要详细地了解PKI的内部运作机制。在一个典型、完整和有效的PKI系统中，除了具有证书的创建和发布，特别是证书的撤销功能外，一个可用的PKI产品还必须提供相应的密钥管理服务，包括密钥的备份、恢复和更新等。没有一个好的密钥管理系统，将极大地影响一个PKI系统的规模、可伸缩性和在协同网络中的运行成本。在一个企业中，PKI系统必须有能力为一个用户管理多对密钥和证书；能够提供安全策略编辑和管理工具，如密钥周期和密钥用途等。
  PKI是一种遵循既定标准的密钥管理平台，能够为所有网络应用提供加密和数字签名等密码服务及所需的密钥和证书管理体系。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封和双重数字签名等。完整的PKI系统必须具有权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（Application Programming Interface，API）等基本构成部分。
  （1）认证机构。即数字证书的申请及签发机构，CA必须具备权威性的特征。
  （2）数字证书库。用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及密钥。
  （3）密钥备份及恢复系统。如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为了避免这种情况，PKI提供了备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。
  证书作废系统。证书作废处理系统是PKI的一个必备组件。与日常生活中的各种身份证件一样，证书在有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点，PKI必须提供作废证书的一系列机制。
  （5）应用接口。PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。