PKI认证技术

  认证技术主要解决网络通信过程中通信双方的身份认可。认证的过程涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合方法。认证方一般有账户名/口令认证、使用摘要算法认证和基于PKI的认证。

      一 个有效的PKI系统必须是安全的和透明的，用户在获得加密和数字签名服务时，不需要详细地了解PKI的内部运作机制。在一个典型、完整和有效的PKI系统中，除了具有证书的创建和发布，特别是证书的撤销功能外，个可用的 PKI产品还必须提供相应的密钥管理服务，包括密钥的备份、恢复和更新等。没有一一个好的密钥管理系统，将极大地影响一个PKI 系统的规模、可伸缩性和在协同网络中的运行成本。在一个企业中，PKI系统必须有能力为个用户管理多对密钥和证书;能够提供安全策略编辑和管理工具，如密钥周期和密钥用途等。

      PKI是一种遵循既定标准的密钥管理平台，能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封和双重数字签名等。完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口Application Programming Iterfice, APID 等基本构成部分。

PKI策略定义了信息安全的指导方针和密码系统的使用规则，具体内容包括CA之间的信任关系、遵循的技术标准、安全策略、服务对象、管理框架、认证规则、运作制度、所涉及的法律关系等:软/硬件系统是PKI运行的平台，包括认证服务器、目录服务器等: CA负责密钥的生成和分配:注册机构是用户(subscriber) 与CA之间的接口，负责对用户的认证:证书签发系统负责公钥数字证书的分发，可以由用户自己或通过目录服务器进行发放: PKI 的应用非常广泛，Web通信、电子邮件、电子数据交换、电子商务、网上信用卡交易、虚拟专用网等都是PKI潜在的应用领域。

自20世纪90年代以来，PKI 技术逐渐得到了各国政府和许多企业的重视，由理论研究进入商业应用阶段。IETF和ISO等国际组织陆续颁布了X.509、PKIX、PKCS、 S/MIME、 SSL、SET、IPSec、 LDAP等一系列与PKI应用有关的标准: RSA、 VeriSign、 Entrust、 Batimore 等网络安全公司纷纷推出了PKI产品和服务:网络设备制造商和软件公司开始在网络产品中增加PKI功能:美国、加拿大、韩国、日本和欧盟等国家相继建立了PKI体系:银行、证券、保险和电信等行业的用户开始接受和使用PKI技术。

PKI解决 了不依赖秘密信道进行密钥管理的重大课题，但这只是概念的转变，并没有多少新技术。PKI 是在民间密码研究摆脱政府控制的斗争中发展起来的，这种斗争度达到了白热化程度，PGP 的发明者Philip Zimmemann 曾经因为违反美国的密码产品贸易管制政策而被联邦政府调查。PKI以商业运作的形式壮大起来，以国际标准的形式确定，PKI 技术完全开放，甚至连一向持反对态度的美国国防部(DoD)、 联邦政府也不得不开发PKI策略。DoD定义的KMIPKI标准规定了用于管理公钥证书和对称密钥的技术、服务和过程，KMI是提供信息保障能力的基础架构，PKI 是KMI的主要组成部分，提供了生成、生产、分发、控制和跟踪公钥证书的服务框架。