| 出版日期:2002-05-13 总期号:1116 本年期号:33 |
|
 |
PKI支撑网络安全
张雪琳、马跃 由于互联网所具有的广泛性和开放性,使其不可避免地存在着信息安全的隐患。人们迫切需要能够对网上传输的数据提供机密性、完整性、有效性保证。为了防范这种隐患,许多新的安全技术和规范不断涌现,PKI便是其中之一。 PKI(Public Key Infrastructure,公开密钥基础设施)是一种遵循既定标准的密钥管理平台,它可以为各种网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。PKI可以提供会话保密、认证、完整性、访问控制、源不可否认、目的不可否认、安全通信、密钥恢复和安全时间戳九项信息安全所需要的服务。在这个结构中,公开密钥密码算法居于中心地位,称其为PKI。利用PKI,人们方便地建立和维护一个可信的网络计算环境,无需直接见面就能够确认彼此的身份,安全地进行信息交换。 基本组成 完整的PKI系统有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书撤销系统、应用接口(API)等基本构成部分。 权威认证机构CA CA是PKI的核心,主要职责是颁发证书、验证用户身份的真实性。一般情况下,证书必须由一个可信任的第三方权威机构——CA认证中心实施数字签名以后才能发布。而获得证书的用户通过对CA的签名进行验证,从而确定了公钥的有效性。 数字证书库 数字证书库是证书集中存贮的地方,用户可以从此处获得其他用户可用的证书和公钥信息。数字证书库一般是基于LDAP或是基于X.500系列的,也可以基于其他平台。 密钥备份及恢复系统 密钥可能会由于一些原因而使密钥的所有者无法访问。密钥的丢失将导致那些被密钥加过密的数据无法恢复。为避免这种情况的出现,就需要PKI提供密钥备份与恢复的机制。 证书撤销处理系统 CA签发证书来把用户的身份和密钥绑定在一起。那么,当用户的身份改变或密钥遭到破坏时,就必须存在一种机制来撤销这种认可。 PKI应用接口系统 一个完整的PKI必须提供良好的应用接口系统,以便各种应用都能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,降低管理和维护的成本。 应用前景 IDC调查显示,2003年世界PKI市场将达到13亿美元。而英国市场调查公司Datamonitor对PKI市场的估计则更为乐观,该公司预计包括产品、集成、专业服务、维护和PKI服务在内的PKI市场到2003年将达到35亿美元。由此可以断言,PKI技术正在日趋成熟,其应用已覆盖了安全电子邮件、虚拟专用网络(VPN)、Web交互安全、电子数据交换、Internet上的信用卡交易等,涉及电子商务、电子政务、电子事务安全等诸多领域。 美国在2000年就有了《全球及全国商业电子签名法》。作为美国历史上第一部联邦级的电子签名法,它意味着网上炒股、网上签约、政府网上采购等大宗交易都可以通过电子签名来完成,而不再需要传统的纸笔签名。德国、日本、新加坡和韩国等国家也已经相继通过电子签名法。随着Internet应用的不断普及和深入,政府部门将利用PKI来支持管理;商业企业内部、企业与企业之间、区域性服务网络、电子商务网站将使用PKI的技术和解决方案。在不久的将来,政府以及大企业将会建立自己的PKI平台,而中小企业以及个人则会需要社会提供的商业性PKI服务,PKI的市场需求是非常巨大的。 许多PKI新技术都在不断地涌现,CA之间的信任模型、使用的加解密算法、密钥管理的方案等也在不断地变化之中。网络,特别是Internet网络的安全应用离不开 PKI技术的支持。网络应用中的机密性、真实性、完整性、不可否认性和存取控制等安全需求,只有PKI技术才能满足。作为一个网络发展大国,我国的PKI市场方兴未艾,未来必将大有可为。 相关链接 ·Microsoft Windows 2000 Server包括一个标准的PKI,用户可以将一个集成的PKI配置成他们服务器和桌面基础结构的一部分,并可以通过采用管理其它Windows 2000安全特性同样的方式来管理它。 ·Sun Solaris操作系统集成了PKI服务。由于Solaris支持LDAP,第三方的PKI产品也能和该操作系统集成。同时,Solaris的PKI服务还将支持用于认证的智能卡。 ·CA eTrust PKI 2.0是一个全面的安全解决方案,它能帮助企业部署PKI这一构成安全电子商务的重要组件。通过简化PKI的实施,eTrust PKI可以降低使用和管理电子证书的成本,同时加速基于PKI的电子商务交易的激活和终止。 ·RSA Security RSA Keon 系列 PKI 产品是在当今主要的电子邮件、Web浏览器、Web服务器和VPN应用程序中实现、管理和简化公开密钥身份验证和加密安全性的解决方案。 ·VeriSign VeriSign Document Signer for Acrobat 5.0.使用数字签名技术保障Acrobat文档的安全,用户可以通过在PDF文件上进行数字签名通过 VeriSign Global Trust Network来保障其互操作性。 ·Entrust Entrust Web Portal Solutions是Web门户站点解决方案,它涵盖了一个Web门户站点的许多安全性需求,从登录和访问控制要求到为具有法律约束力的高额交易提供保密和数字签名。 |
||||||||||||||||||||||||||
