所謂PKI就是一個用公鑰概念和技術實施和提供安全服務的具有普適性的安全基礎設施。但PKI的定義在不斷地延伸和擴展。PKI涉及到多個實體之間的協作過程,如CA、RA、證書庫、密鑰恢復伺服器和終端用戶。國外的PKI套用已經開始,開發PKI的廠商也很多。許多廠家如Baltimore、entrust等推出了可以套用的PKI產品,有些公司如VerySign等已經開始提供PKI服務。網路許多套用已經在使用PKI技術以保證網路的認證、不可否認、加解密和密鑰管理等。儘管如此,總的說來PKI技術仍在發展中。PKI系統僅僅還是在做示範工程。我們認為PKI技術將成為所有套用的計算基礎結構的核心部件,包括那些越出傳統網路界限的套用。
1)PKI基礎
PKI基礎設施採用證書管理公鑰,通過第三方的可信任機構:CA認證中心,把用戶的公鑰和用戶的其它標識信息捆綁在一起,在Internet網上驗證用戶的身份。PKI基礎設施把公鑰密碼和對稱密碼結合起來,在Internet網上實現密鑰的自動管理,保證網上數據的安全傳輸。
從廣義上講,所有提供公鑰加密和數字簽名服務的系統,都可叫做PKI系統,PKI的主要目的是通過自動管理密鑰和證書,可以為用戶建立起一個安全的網路運行環境,使用戶可以在多種套用環境下方便地使用加密和數字簽名技術,從而保證網上數據的機密性、完整性、有效性。數據的機密性是指數據在傳輸過程中,不能被非授權者偷看;數據的完整性是指數據在傳輸過程中不能被非法篡改;數據的有效性是指數據不能被否認。一個有效的PKI系統必須是安全的和透明的,用戶在獲得加密和數字簽名服務時,不需要詳細地了解PKI是怎樣管理證書和密鑰的,一個典型、完整、有效的PKI套用系統至少應具有以下部分:
(1)公鑰密碼證書管理;
(2)黑名單的發布和管理;
(3)密鑰的備份和恢復;
(4)自動更新密鑰;
(5)自動管理歷史密鑰;
(6)支持交叉認證。
由於PKI基礎設施是目前比較成熟、完善的Internet網路安全解決方案,國外的一些大的網路安全公司紛紛推出一系列的基於PKI的網路安全產品,如美國的VeriSign,IBM,加拿大的Entrust、SUN等安全產品供應商為用戶提供了一系列的客戶端和伺服器端的安全產品,為電子商務的發展以及政府辦公網、EDI等提供了安全保證。簡言之,PKI (Public Key Infrastructure)公鑰基礎設施就是提供公鑰加密和數字簽名服務的系統,目的是為了管理密鑰和證書,保證網上數字信息傳輸的機密性、真實性、完整性和不可否認性。
2)單鑰密碼算法(加密)
單鑰密碼算法,又稱對稱密碼算法:是指加密密鑰和解密密鑰為同一密鑰的密碼算法。因此,信息的傳送者和信息的接收者在進行信息的傳輸與處理時,必須共同持有該密碼(稱為對稱密碼)。在對稱密鑰密碼算法中,加密運算與解密運算使用同樣的密鑰。通常,使用的加密算法比較簡便高效,密鑰簡短,破譯極其困難;由於系統的保密性主要取決於密鑰的安全性,所以,在公開的計算機網路上安全地傳送和保管密鑰是一個嚴峻的問題。最典型的是DES (Data Encryption Standard)算法。
3)雙鑰密碼算法(加密、簽名〉
雙鑰密碼算法,又稱公鑰密碼算法:是指加密密鑰和解密密鑰為兩個不同密鑰的密碼算法。公鑰密碼算法不同於單鑰密碼算法,它使用了一對密鑰:一個用於加密信息,另一個則用於解密信息,通信雙方無需事先交換密鑰就可進行保密。
4)PKI組成
PKI是一種新的安全技術,它由公開密鑰密碼技術、數字證書、證書發放機構(CA)和關於公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術實現電子商務安全的一種體系,是一種基礎設施,網路通訊、網上交易是利用它來保證安全的。從某種意義上講,PKI包含了安全認證系統,即安全認證系統一CA/RA系統是PKI不可缺的組成部分。
PKI(Public Key Infrastructure)公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或平台,目的是為了管理密鑰和證書。一個機構通過採用PKI框架管理密鑰和證書可以建立一個安全的網路環境。PKI主要包括四個部分:
(1)X.509格式的證書(X.509V3)和證書廢止列表CRL(X.509 V2);
(2)CA/RA操作協定;
(3)CA管理協定;
(4)CA政策制定。
一個典型、完整、有效的PKI套用系統至少應具有以下部分:
(1)CA認證中心CA是PKI的核心,CA負責管理PKI結構下的所有用戶(包括各種應用程式)的證書,把用戶的公鑰和用戶的其它信息捆綁在一起,在網上驗證用戶的身份,CA還要負責用戶證書的黑名單登記和黑名單發布,下面有CA的詳細描述。
(2)X.500目錄伺服器X.500目錄伺服器用於發布用戶的證書和黑名單信息,用戶可通過標準的LDAP協定查詢自己或其他人的證書和下載黑名單信息。
(3)具有高強度密碼算法(SSL)的安全WWW伺服器出口到中國的WWW伺服器,如微軟的IIS、Netscape的WWW服務
(圖5.3)
參加電子商務的各方必須有一個可以被驗證的標識,這就是數字證書。數字證書是各實體(持卡人/個人、商戶/企業、網關/銀行等)在網上信息交流及商務交易活動中的身份證明。該數字證書具有惟一性。它將實體的公開密鑰同實體本身聯繫在一起,為實現這一目的,必須使數字證書符合x509國際標準,同時數字證書的來源必須是可靠的。這就意味著應有一個網上各方都信任的機構,專門負責數字證書的發放和管理,確保網上信息的安全,這個機構就是CA認證機構。各級CA認證機構的存在組成了整個電子商務的信任鏈。如果CA機構不安全或發放的數字證書不具有權威性、公正性和可信賴性,電子商務就根本無從談起。數字證書認證中心(Certificate Authority ,CA)是整個網上電子交易安全的關鍵環節。它主要負責產生、分配並管理所有參與網上交易的實體所需的身份認證數字證書。每一份數字證書都與上一級的數字簽名證書相關聯,最終通過安全鏈追溯到一個已知的並被廣泛認為是安全、權威、足以信賴的機構:根認證中心(根CA)。
電子交易的各方都必須擁有合法的身份,即由數字證書認證中心機構(CA)簽發的數字證書,在交易的各個環節,交易的各方都需檢驗對方數字證書的有效性,從而解決了用戶信任問題。CA涉及到電子交易中各交易方的身份信息、嚴格的加密技術和認證程式。基於其牢固的安全機制,CA套用可擴大到一切有安全要求的網上數據傳輸服務
。數字證書認證解決了網上交易和結算中的安全問題,其中包括建立電子商務各主體之間的信任關係,即建立安全認證體系(CA)選擇安全標準(如SET、SSL)採用高強度的加、解密技術。其中安全認證體系的建立是關鍵,它決定了網上交易和結算能否安全進行,因此,數字證書認證中心機構的建立對電子商務的開展具有非常重要的意義。
認證中心(CA),是電子商務體系中的核心環節,是電子交易中信賴的基礎。它通過自身的註冊審核體系,檢查核實進行證書申請的用戶身份和各項相關信息,使網上交易的用戶屬性客觀真實性與證書的真實性一致。認證中心作為權威的、可信賴的、公正的第三方機構,專門負責發放並管理所有參與網上交易的實體所需的數字證書。
B.CA/RA簡介
開放網路上的電子商務要求為信息安全提供有效的、可靠的保護機制。這些機制必須提供機密性、身份驗證特性(使交易的每一方都可以確認其它各方的身份)、不可否認性(交易的各方不可否認它們的參與)。這就需要依靠一個可靠的第三方機構驗證,而認證中心(CA:Certification Authority)專門提供這種服務。
證書機制是目前被廣泛採用的一種安全機制,使用證書機制的前提是建立CA (Certification Authority:認證中心)以及配套的RA (Registration Authority z註冊審批機構)系統。
CA中心,又稱為數字證書認證中心,作為電子商務交易中受信任的第三方,專門解決公鑰體系中公鑰的合法性問題。CA中心為每個使用公開密鑰的用戶發放一個數字證書,數字證書的作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應。CA中心的數字簽名使得攻擊者不能偽造和篡改數字證書。
在數字證書認證的過程中,證書認證中心(CA)作為權威的、公正的、可信賴的第三方,其作用是至關重要的。認證中心就是一個負責發放和管理數字證書的權威機構。同樣CA允許管理員撤銷發放的數字證書,在證書廢止列表(CRL)中添加新項並周期性地發布這一數字簽名的CRL。
RA (Registration Authority),數字證書註冊審批機構。RA系統是CA的證書發放、管理的延伸。它負責證書申請者的信息錄人、審核以及證書發放等工作;同時,對發放的證書完成相應的管理功能。發放的數字證書可以存放於IC卡、硬碟或軟碟等介質中。RA系統是整個CA中心得以正常運營不可缺少的一部分。
C.認證中心的功能
概括地說,認證中心(CA)的功能有:證書發放、證書更新、證書撤銷和證書驗證。CA的核心功能就是發放和管理數字證書,具體描述如下:①接收驗證最終用戶數字證書的申請;②確定是否接受最終用戶數字證書的申請:證書的審批;③向申請者頒發、拒絕頒發數字證書:證書的發放;④接收、處理最終用戶的數字證書更新請求:證書的更新;⑤接收最終用戶數字證書的查詢、撤銷;⑥產生和發布證書廢止列表(CRLh⑦數字證書的歸檔;⑧密鑰歸檔;⑨歷史數據歸檔。
認證中心為了實現其功能,主要由以下三部分組成:
(1)註冊伺服器:通過Web Server建立的站點,可為客戶提供每日24小時的服務。因此客戶可在自己方便的時候在網上提出證書申請和填寫相應的證書申請表,免去了排隊等候等煩惱。
(2)證書申請受理和審核機構:負責證書的申請和審核。它的主要功能是接受客戶證書申請並進行審核。
(3)認證中心伺服器:是數字證書生成、發放的運行實體,同時提供發放證書的管理、證書廢止列表(CRL)的生成和處理等服務。
6)PKI相關標準
PKI包括很多協定標準,圖5.4表明應用程式與PKI之間的關係以及相應的標準。PKI標準使得多個PKI可以互動,並且使多個應用程式面對的是單一的,固定的接口。