PKI技術(shù)漫談
文章出處:http://m.dipdnbxp.cn 作者:fondcard 人氣: 發(fā)表時(shí)間:2011年09月17日
[文章內(nèi)容簡(jiǎn)介]:隨著電子商務(wù)、電子政務(wù)業(yè)務(wù)需求的不斷深入和進(jìn)展,移動(dòng)銀行、網(wǎng)上支付、網(wǎng)上交易等新型應(yīng)用正在不斷興起。無(wú)論是何種應(yīng)用,為確保參與網(wǎng)上交易雙方身份的合法性、正確性、以及機(jī)密性,并且保證他們?cè)诰W(wǎng)上的交易信息不會(huì)被偷看和篡改以及雙方對(duì)自己的信息不能抵賴。目前最切實(shí)可行的安全體系是CA,實(shí)現(xiàn)客戶端安全的手段是基于PKI體系的智能卡,它正是滿足這種需要應(yīng)運(yùn)而生
隨著電子商務(wù)、電子政務(wù)業(yè)務(wù)需求的不斷深入和進(jìn)展,移動(dòng)銀行、網(wǎng)上支付、網(wǎng)上交易等新型應(yīng)用正在不斷興起。無(wú)論是何種應(yīng)用,為確保參與網(wǎng)上交易雙方身份的合法性、正確性、以及機(jī)密性,并且保證他們?cè)诰W(wǎng)上的交易信息不會(huì)被偷看和篡改以及雙方對(duì)自己的信息不能抵賴。目前最切實(shí)可行的安全體系是CA,實(shí)現(xiàn)客戶端安全的手段是基于PKI體系的智能卡,它正是滿足這種需要應(yīng)運(yùn)而生。
為加深對(duì)PKI相關(guān)技術(shù)的理解,本文將對(duì)PKI的基本部分進(jìn)行進(jìn)一步的介紹。
1 簡(jiǎn) 介
1.1 什么是PKI?
PKI(Public-Key Infrastruc-ture)是一組規(guī)則、過(guò)程、人員、設(shè)施、軟件和硬件的集合,可用來(lái)進(jìn)行公鑰證書的發(fā)放、分發(fā)和管理。從實(shí)踐的角度來(lái)看,通過(guò)管理和控制密鑰和證書的使用,PKI在分布環(huán)境中建立了一個(gè)信任體系。如果沒(méi)有PKI的管理和認(rèn)證服務(wù),那么就無(wú)法使用基于密碼的安全機(jī)制來(lái)支持商業(yè)應(yīng)用。
1.2 PKI如何與電子商務(wù)相關(guān)?
在網(wǎng)絡(luò)世界中,管理員最關(guān)心的是制定規(guī)則的策略和電子商務(wù)的流程。所有的PKI應(yīng)當(dāng)能夠根據(jù)具體的商業(yè)標(biāo)準(zhǔn)而制定的規(guī)則來(lái)進(jìn)行操作和管理。因此,PKI不只是一種技術(shù)、一個(gè)軟件或產(chǎn)品;從本質(zhì)上將,它是一個(gè)規(guī)則,所有的技術(shù)、軟件和產(chǎn)品都按照這種規(guī)則進(jìn)行集成。設(shè)計(jì)優(yōu)秀的PKI產(chǎn)品能夠支持多種商業(yè)應(yīng)用框架。
1.3 PKI技術(shù)如何集成到應(yīng)用當(dāng)中?
大多數(shù)的PKI組件在網(wǎng)絡(luò)中作為服務(wù)程序運(yùn)行。面向開(kāi)發(fā)者的工具組件是個(gè)例外。開(kāi)發(fā)工具幫助程序員處理底層復(fù)雜的加密服務(wù)和協(xié)議。開(kāi)發(fā)工具把實(shí)現(xiàn)安全標(biāo)準(zhǔn)的軟件供應(yīng)商和高層的接口結(jié)合起來(lái),使得任何開(kāi)發(fā)人員都可以方便地將PKI集成到他們的應(yīng)用中。
1.4 主要市場(chǎng)動(dòng)力
* 不斷增長(zhǎng)的在線商業(yè)應(yīng)用構(gòu)成了實(shí)施PKI的基本商業(yè)動(dòng)力:
* 無(wú)線和互聯(lián)網(wǎng)電子商務(wù)
* 通過(guò)公共網(wǎng)絡(luò)進(jìn)行的電子內(nèi)容的發(fā)布
* 在線支付
* 內(nèi)聯(lián)網(wǎng)
對(duì)各種組織機(jī)構(gòu)來(lái)說(shuō),在使用這些新的應(yīng)用獲得巨大利益的同時(shí),也不得不面對(duì)嚴(yán)重的安全風(fēng)險(xiǎn):
* 假冒合法用戶
* 拒絕線上交易
* 竄改數(shù)據(jù)
* 竊聽(tīng)數(shù)據(jù)
* 未經(jīng)授權(quán)的訪問(wèn)
1.5 電子商務(wù)的安全需求
在線的商務(wù)運(yùn)營(yíng)有具體的安全需求。良好設(shè)計(jì)的PKI能夠滿足所有的這些需求。PKI通過(guò)管理實(shí)體之間的關(guān)系、密鑰和證書,使得密碼技術(shù)在商業(yè)應(yīng)用中發(fā)揮作用。
現(xiàn)在,大多數(shù)觀點(diǎn)都認(rèn)為,只有應(yīng)用中集成了PKI技術(shù),才能更好的使用密碼技術(shù)。為了集成PKI,應(yīng)用必須能夠訪問(wèn)PKI資源,例如認(rèn)證中心和證書目錄,同時(shí)也要能夠處理經(jīng)常需要與PKI交換的對(duì)象,比如數(shù)字簽名和公鑰證書。
PKI要滿足以下需求:
* 認(rèn)證。為了防止假冒,在一個(gè)實(shí)體(個(gè)人、設(shè)備、組織和角色)進(jìn)行在線交易和訪問(wèn)資源之前驗(yàn)證它的身份。如果應(yīng)用中集成了PKI,就能夠使用數(shù)字簽名和公鑰證書來(lái)驗(yàn)證參加商業(yè)流程的個(gè)人、服務(wù)器、節(jié)點(diǎn)或其他實(shí)體的身份。
* 授權(quán)。為了防止未經(jīng)授權(quán)的活動(dòng),驗(yàn)證一個(gè)實(shí)體被許可參加某個(gè)活動(dòng)或交易,或者被允許訪問(wèn)資源。如果應(yīng)用中集成了PKI,就能夠在授權(quán)(確認(rèn)或拒絕)一個(gè)實(shí)體參加交易或訪問(wèn)資源之前,通過(guò)一個(gè)優(yōu)先級(jí)列表來(lái)交叉引用某個(gè)被其他實(shí)體認(rèn)證的實(shí)體。
* 非否認(rèn)。證明某個(gè)實(shí)體曾經(jīng)參與過(guò)活動(dòng)或訪問(wèn)了資源。集成了PKI的應(yīng)用可以將參與者和他的活動(dòng)以及活動(dòng)發(fā)生的時(shí)間綁定在一起,因?yàn)閼?yīng)用可以驗(yàn)證數(shù)字簽名、處理公鑰證書并且維護(hù)一份審計(jì)記錄。
* 私密性。防止對(duì)數(shù)據(jù)的竊聽(tīng)和未授權(quán)的訪問(wèn)。集成了PKI的應(yīng)用也具有對(duì)數(shù)據(jù)加密的能力。雖然PKI并不提供加密服務(wù),但是通常提供管理和交換密鑰服務(wù)。
* 完整性。在數(shù)據(jù)的傳輸和存儲(chǔ)過(guò)程中,防止數(shù)據(jù)由于異?;蛉藶榈脑虮桓Z改。數(shù)字簽名是防止數(shù)據(jù)被竄改的好方法。如果數(shù)字簽名通過(guò)驗(yàn)證,那么事務(wù)的完整性就被認(rèn)為得到保證,否則就認(rèn)為事務(wù)的數(shù)據(jù)被改變,這些數(shù)據(jù)應(yīng)該丟棄。集成了PKI的應(yīng)用能夠?qū)κ聞?wù)進(jìn)行數(shù)字簽名,也能夠驗(yàn)證數(shù)字簽名,所以可以檢驗(yàn)事務(wù)的完整性。
2 PKI技術(shù)和結(jié)構(gòu)
良好的PKI結(jié)構(gòu)具有公開(kāi)的文檔,提供了清晰的應(yīng)用接口,并且支持標(biāo)準(zhǔn)。PKI技術(shù)需要實(shí)現(xiàn)下列功能:
* 終端實(shí)體應(yīng)用(End-Entity Application,EE)
* 注冊(cè)中心(Registration Au-thority,RA)
* 證書中心(Certification Au-thority,CA)
* PKI目錄
2.1 基本的PKI結(jié)構(gòu)和數(shù)據(jù)流
PKI的主要技術(shù)組成部分和操作流程如圖1所示。
2.1.1 什么是公鑰證書?
公鑰證書是一個(gè)數(shù)據(jù)對(duì)象,它將公鑰和一組標(biāo)識(shí)密鑰對(duì)的擁有者(一個(gè)實(shí)體,例如人、組織、節(jié)點(diǎn)和網(wǎng)站)的信息綁定在一起。證書中的公鑰是和密鑰對(duì)中的私鑰相關(guān)的。密鑰對(duì)的擁有者稱作證書中的“主體”。安全事務(wù)依賴于準(zhǔn)確的身份(主體)和證書中包含的公鑰。依靠可信的、準(zhǔn)確的身份和公鑰,在執(zhí)行在線事務(wù)之前,一個(gè)參與者能夠認(rèn)證其他的參與者。圖2直觀地展示了證書的內(nèi)容。
2.1.2 什么是數(shù)字簽名?
正如名字所說(shuō),數(shù)字簽名是傳統(tǒng)的手寫簽名的電子等價(jià)形式。但是,數(shù)字簽名并不像傳統(tǒng)的簽名,它并不能直觀地被識(shí)別。集成了PKI的應(yīng)用通過(guò)訪問(wèn)密鑰管理和密碼服務(wù),可以識(shí)別(創(chuàng)建、存儲(chǔ)、傳送和認(rèn)證)數(shù)字簽名。圖3顯示了生成和驗(yàn)證數(shù)字簽名地一般過(guò)程。
數(shù)字簽名和公鑰證書在PKI中提供了兩個(gè)基本的安全服務(wù):數(shù)據(jù)完整性和用戶認(rèn)證。
2.1.2.1 PKI中的數(shù)據(jù)完整性
如上文指出的,為了創(chuàng)建數(shù)字簽名,待簽名的事務(wù)數(shù)據(jù)和用戶的私鑰都要作為簽名過(guò)程的輸入。為了驗(yàn)證數(shù)字簽名,已經(jīng)簽名的數(shù)據(jù)、用戶的公鑰和數(shù)字簽名本身都要作為驗(yàn)證過(guò)程的輸入。由于事務(wù)數(shù)據(jù)本身總是包括在簽名和驗(yàn)證的過(guò)程中,因此如果數(shù)據(jù)在簽名后被改變,那么驗(yàn)證過(guò)程就不會(huì)成功。所以,數(shù)字簽名已經(jīng)成為確保事務(wù)完整性的首選方法。
2.1.2.2 PKI 中的用戶認(rèn)證
公鑰證書確保了用來(lái)驗(yàn)證數(shù)字簽名的公鑰屬于生成簽名的用戶。前文已經(jīng)描述過(guò),證書同時(shí)包含用戶的公鑰和身份。所以,如果簽名驗(yàn)證成功,那么驗(yàn)證者也就知道了簽名者的確切身份,因?yàn)榘l(fā)放公鑰證書的CA保證了用戶的身份。
2.2 PKI的主要技術(shù)組成部分
下面是PKI的主要技術(shù)組成部分: * 終端用戶應(yīng)用(EE)。它的功能包括:
* 生成、存儲(chǔ)和訪問(wèn)用戶的公鑰對(duì)
* 完成、簽署并提交第一次證書申請(qǐng)
* 完成、簽署并提交證書的更新請(qǐng)求
* 完成、簽署并提交證書的作廢請(qǐng)求
* 搜索并取得證書和作廢信息
* 驗(yàn)證證書并取得證書的內(nèi)容
* 生成和驗(yàn)證數(shù)字簽名
* 注冊(cè)中心(RA)。與EE和CA完全兼容并可以互操作,支持同樣的基本功能,包括密鑰生成、存儲(chǔ)、訪問(wèn),以及數(shù)字簽名和證書的處理。在PKI中,RA通常能夠支持多個(gè)EE和CA。他的主要用途是支持RA用戶的特殊任務(wù),比如:
* 用戶注冊(cè)。用戶登記成為一個(gè)PKI的潛在的參與者的過(guò)程。RA在一個(gè)專門的數(shù)據(jù)庫(kù)中創(chuàng)建用戶對(duì)象。根據(jù)具體的注冊(cè)規(guī)則,用戶對(duì)象可以包括任意多個(gè)用戶屬性,比如姓名、職業(yè)和電子郵件地址等。
* 身份調(diào)查。RA通過(guò)這個(gè)過(guò)程來(lái)驗(yàn)證第一次證書申請(qǐng)者(主體)的身份,從而確認(rèn)某個(gè)具體的公鑰(要置于證書中的)屬于申請(qǐng)者。
* 批準(zhǔn)終端用戶的申請(qǐng)。RA將批準(zhǔn)或拒絕終端用戶的請(qǐng)求,比如第一次申請(qǐng)證書的請(qǐng)求或更新已經(jīng)過(guò)期的證書的請(qǐng)求。
* 證書作廢。RA通過(guò)這個(gè)行為命令CA將某個(gè)用戶的證書作廢。根據(jù)PKI的證書作廢規(guī)則,RA可以提供作廢的原因,也可以不提供。
* 證書中心(CA)。CA是一個(gè)高度可信的簽名引擎。根據(jù)預(yù)先定義的條件,CA負(fù)責(zé)簽發(fā)證書、發(fā)出作廢申請(qǐng)以及處理其他事務(wù)。CA在PKI中扮演核心角色。實(shí)際上,CA負(fù)責(zé)以下功能:
* 密鑰認(rèn)證。CA對(duì)主體的公鑰簽名并發(fā)放證書。
* 證書更新。當(dāng)主體當(dāng)前的證書過(guò)期后,發(fā)行新的證書。
* 證書作廢。使得該證書從該時(shí)刻起非法。
* 證書發(fā)布。PKI用戶可以搜索并取得該證書。
* 維護(hù)證書作廢列表。在PKI中保持作廢列表的時(shí)效性。
* 發(fā)布作廢列表。使得PKI用戶可以訪問(wèn)作廢列表。
* PKI目錄。PKI目錄是一個(gè)在線的數(shù)據(jù)庫(kù),所有PKI的參與者都可以在此處搜索并取得證書、作廢信息和策略信息。只有專門的用戶和組件具有改寫和刪除的權(quán)限。一般說(shuō)來(lái),目錄大多基于IETF的LDAP協(xié)議實(shí)現(xiàn)。目錄結(jié)構(gòu)包括兩個(gè)主要部分:LDAP客戶端(一般在EE中實(shí)現(xiàn))和LDAP服務(wù)器——一個(gè)網(wǎng)絡(luò)服務(wù)器,保存目錄信息,并處理搜索、讀寫、刪除和更新等由PKI中授權(quán)用戶發(fā)起的請(qǐng)求。這些過(guò)程見(jiàn)圖4。
2.2.1 PKI工具箱
如果不能與應(yīng)用結(jié)合,PKI在商業(yè)中就沒(méi)有價(jià)值。因此,良好的PKI設(shè)計(jì)應(yīng)該集中在應(yīng)用界面。最好的方法是將應(yīng)用界面和標(biāo)準(zhǔn)設(shè)計(jì)成開(kāi)發(fā)工具箱。工具箱支持與應(yīng)用的無(wú)縫集成,而且對(duì)資源的需求最小。雖然工具箱對(duì)于用戶和管理員是透明的,但是它卻在PKI的實(shí)施和維護(hù)中扮演重要的角色,所以也是PKI中的關(guān)鍵技術(shù)組成部分。
通用PKI工具箱:開(kāi)發(fā)工具箱包括所有的PKI庫(kù)和接口,支持第三方的應(yīng)用使用PKI。理想情況下,PKI中的所有其他組件(EE、RA、CA)也使用相同的工具箱開(kāi)發(fā)。這種結(jié)構(gòu)保證了PKI組件之間的兼容性,而且可以快速地增加和修改新特性。通過(guò)支持標(biāo)準(zhǔn),有可能將來(lái)自不同廠商的PKI組件集成到一起。一般的PKI工具箱設(shè)計(jì)見(jiàn)圖5。
2.3 用在電子商務(wù)中的應(yīng)用協(xié)議
一些應(yīng)用協(xié)議支持電子商務(wù)。這些協(xié)議并不是電子商務(wù)應(yīng)用本身,而是一些通用的協(xié)議,廣泛地應(yīng)用在各種電子商務(wù)中。表1列出了經(jīng)常使用的協(xié)議和它們依賴的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)都需要PKI的支持。
* WTLS(Wireless Transport Layer Security)能夠認(rèn)證參與通信的各方,并在傳輸過(guò)程中加密WML(Wireless Markup Lan-guage)數(shù)據(jù)。
* SSL(Secure Sockets Lay-er)和TLS(Transport Layer Secu-rity)和WTLS的應(yīng)用方式相似,只是用于基于Web的事務(wù)。
* IPSec(Internet Protocol Security)主要用于建立VPN(Virtual Private Networks),來(lái)支持內(nèi)聯(lián)網(wǎng)和外部網(wǎng)絡(luò)。該協(xié)議在IP數(shù)據(jù)包層實(shí)現(xiàn)了加密和完整性檢查,并在通信會(huì)話中認(rèn)證發(fā)送和接收的網(wǎng)絡(luò)設(shè)備。
* S/MIME(Secure/Multi-purpose Internet Mail Extensions)用于加密、發(fā)送/接收電子郵件。
* 還存在許多其他的技術(shù)用來(lái)安全地發(fā)布內(nèi)容。內(nèi)容的種類多種多樣,包括音樂(lè)、圖書、圖片和軟件等等。但是PKI都可以支持這些應(yīng)用,來(lái)安全地發(fā)布并對(duì)使用者地權(quán)限進(jìn)行管理。
應(yīng)用協(xié)議 對(duì)應(yīng)的標(biāo)準(zhǔn)(PKI支持)
WML WTLS?穴WAP-199-
?。祝裕蹋樱玻埃埃埃埃玻保福?雪
HTML SSL和TLS
電子郵件 S/MIME
VPN IPSEC
表1 經(jīng)常使用的應(yīng)用協(xié)議和對(duì)應(yīng)的標(biāo)準(zhǔn)
3 PKI的策略
有兩個(gè)主要的策略決定了PKI的運(yùn)營(yíng)和技術(shù)實(shí)施:CP(Certificate Policy)和CPS(Certification Practice Statement)。
3.1 CPS
CPS定義了用戶能夠在什么程度上信任PKI的證書。前面已經(jīng)提到,控制商業(yè)規(guī)則的策略也是PKI必須支持的策略。這些策略將控制PKI的參與者如何創(chuàng)建、管理、使用和訪問(wèn)密鑰和證書。CPS定義了這些策略。CPS可能涵蓋了用戶和管理員的注冊(cè)過(guò)程、CA的操作規(guī)程和安全控制,以及主體和CA的義務(wù)。CPS必須定義PKI的信息級(jí)別,該級(jí)別至少要和依賴于PKI的商業(yè)事務(wù)的價(jià)值級(jí)別相同。在電子商務(wù)環(huán)境中,信任級(jí)別必須大于等于價(jià)值級(jí)別,CPS是一種定義和驗(yàn)證的方法。
3.2 CP
在線商務(wù)和支持它們的PKI并不是分離的,而且在不停地增加更多地用戶、合作人和雇員。這些新的實(shí)體處于不同的商業(yè)和管理環(huán)境中,并且可能已經(jīng)建立了PKI和集成了PKI的應(yīng)用。因此,定義一個(gè)PKI的策略和接口就十分重要,這些策略和接口就是CP。通過(guò)定義一個(gè)好的CP,不同的PKI之間的互操作就可能比較順利。
4 結(jié)束語(yǔ)
PKI包含了復(fù)雜的技術(shù),與電子商務(wù)應(yīng)用協(xié)同工作。因此,應(yīng)用接口和標(biāo)準(zhǔn)就十分重要。PKI技術(shù)可以支持非常廣泛的在線應(yīng)用。對(duì)PKI支持的需要會(huì)與日俱增。PKI本身不只是技術(shù),而且是技術(shù)、證書和密鑰使用和管理的方式。最終,PKI的使用和管理要符合商業(yè)規(guī)則。
本文關(guān)鍵詞:PKI,PKI技術(shù),電子商務(wù),公鑰證書,,KI,PKI技術(shù),電子商務(wù),公鑰證書,數(shù),I,PKI技術(shù),電子商務(wù),公鑰證書,數(shù)字,,PKI技術(shù),電子商務(wù),公鑰證書,數(shù)字簽,PKI技術(shù),電子商務(wù),公鑰證書,數(shù)字簽名
上一篇:基于數(shù)字簽名和StarKey的網(wǎng)上資金結(jié)算和管理解決方案[ 09-17 ]
下一篇:攀枝花醫(yī)保管理系統(tǒng)IC卡數(shù)據(jù)結(jié)構(gòu)分析[ 09-17 ]