什么是PKI?用途有哪些?,什么是PKI?,可信应用安全架构的作用,简述PKI的目的、组成和功能,PKI的主要理论基础是...
什么是PKI?用途有哪些?
PKI是公钥基础设施的意思,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。 PKI体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务,从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。 建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息,根据风险的级别定义安全控制的级别。 PKI的应用 PKI的应用非常广泛,包括应用在web服务器和浏览器之间的通信、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟私有网(VPN)等。 通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。 公钥体制涉及一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,较好的方案是数字证书机制。
什么是PKI?
PKI全称(Public Key Infrastructure) :公开密钥基础设施,也就是利用公开密钥机制建立起来的基础设施。 PKI指的是证书的制作和分发的一种机制,在这个机制的保障前提下,进行可信赖的网络通信,即安全的网络通信保障机制,pki技术是信息安全技术的核心,也是电子商务的关键和基础技术,它的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等等。 优势 1,采用公开密钥密码技术,能够支持不可篡改的数字签名,在数字签名中包括了验证者的身份信息、验证信息等数据,能够保障数字证书的安全性,同时在验证的过程中,可以追溯验证者的信息,对数据的安全性提供了较高的保护; 2,支持离线验证身份,基于PKI技术的数字证书,支持离线的身份验证,由于数字证书由CA第三方认证中心方法,数字证书中已经存储了用户的身份验证信息以及身份验证的密钥,在身份验证的过程中不需要在线查询,提供了多重身份验证的方式; 3,PKI体系中包含了CA数字证书的撤销服务,使得用户对数字证书应用更为可控,保障了用户在各种环境下身份信息的安全,放置了身份信息的丢失以及被盗后的恶意应用,为CA数字证书提供了可控的安全机制; 4,PKI技术具有良好的网络交互能力,它能够通过网络为正在交互的双方系统提供有效的安全机制,能够为大规模分布式网络以及更为复杂的网络环境提供安全服务,使得网络数据的传输得到了有效保障;
可信应用安全架构的作用
通过可信应用安全架构体系的建设,能够为信息系统带来以下好处: (1)可信身份提供。通过PKI技术解决“你是谁?”的问题。彻底解决原来用户名/口令方式易假冒、易劫持的问题,为用户提供高强度的可信身份。 (2)有效访问授权。通过PMI技术为系统用户提供权威的、防篡改、抗抵赖的、高强度的对象属性、应用操作码等属性权威,以完成“你能做什么?”的可信授权。 (3)抗抵赖。通过数据签名技术,采用用户私钥对行为数据或挑战数据及时间数据进行签名从而达到抗抵赖的目的。结合用户数字证书进行全程数据审计,任何行为或动作皆可定位到人,可以解决“你做了什么?”的问题。 (4)数据完整及保密。通过证书加密、数据签名等方式从信道层到数据层全方位保护数据的完整及保密性。 (5)安全合规。上述认证、授权、抗抵赖及数据防护均建立在基于数字证书、数据签名的安全体系支持之下完成,可充分满足《中华人民共和国电子签名法》等相关制度规范的要求。 (6)单点登录的实现。信息化建设的深入发展,图书馆信息化系统日渐庞杂,用户在使用这些系统时,每次都需要输入密码来完成身份验证,用户必须同时牢记多套用户账号和密码。建立应用可信安全建构,通过用户身份管理和访问控制可以实现只需要登录认证一次,再访问其他受保护的信息资源时,不再需要重新登录验证。 通过上述服务及功能的提供,真正建立起信息系统的可信身份、可信授权、可信数据和可信审计,充分保证信息的保密、完整及可信安全控制下的高可用。 参考文献 段友详,相鹏.2006.基于CA技术的网络信息安全系统设计实践[J].计算机工程与设计,27(6):1015-1016. 贺雪晨.2006.信息对抗与网络安全[M].北京:清华大学出版社:32. 雷万里.2012.信息安全保卫战[M].北京:清华大学出版社:78. 谢冬青.2004.PKI原理与技术[M].北京:清华大学出版社:171. 郑德俊,任妮,熊健,黄水清.2010.我国数字图书馆信息安全管理现状[J].数字图书馆,(z1).
简述PKI的目的、组成和功能
一、目的与机能 公开密钥基础建设的设置使得未联系的电脑用户可以提出认证,并使用公钥证书内的公钥信息加密给对方。解密时,每个用户使用自己的私密密钥解密,该密钥通常被通行码保护。 大致而言,公开密钥基础建设由客户端软件、服务端软件、硬件、法律合约与保证、操作程序等组成。签署者的公钥证书也可能被第三者使用,用来验证由该签署者签署的数字签名。 通常,公开密钥基础建设协助参与者对话以达成机密性、消息完整性、以及用户认证,而不用预先交换任何秘密信息。然而互通连成员间的公开密钥基础建设受制于许多现实问题,例如不确定的证书撤销、证书中心发行证书的条件、司法单位规范与法律的变化、还有信任。 二、组成 PKI的组成要素主要有:用户(使用PKI的人或机构);认证机构(Certification Authority,CA)(颁发证书的人或机构);仓库(保存证书的数据库)。用户和认证机构称之为实体。 用户是使用PKI的人,使用PKI的人又分为两种:一种是向认证机构(CA)注册自己公钥的人,另一种是希望使用已注册公钥的人。 认证机构是对证书进行管理的人或机构。认证机构进行这几种操作:代用户生成密钥对(当然可以由用户自己生成);对注册公钥的用户进行身份验证;生成并颁发证书;作废证书。另外,对公钥注册和用户身份验证可以由注册机构(Registration Authority,RA)来完成。 仓库(repository)是存放证书的数据库。仓库也叫证书目录。 三、用途 大部分企业级的公钥基础建设系统,依赖由更高端级的证书中心发行给低端证书中心的证书,而层层构筑而成的证书链,来创建某个参与者的身份识别证书的合法性。 这产生了不只一个电脑且通常涵盖多个组织的证书层次结构,涉及到多个来源软件间的合作。因此公开的标准对公钥基础建设相当重要。这个领域的标准化多由互联网工程工作小组的PKIX工作群完成。 企业公钥基础建设通常和企业的数据库目录紧密结合,每个员工的公钥内嵌在证书中,和人事资料一起存储。 今日最先进的目录科技是轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)。事实上,最常见的证书格式X.509的前身X.500是用于LDAP的前置处理器的目录略图。 历史 1976年Whitfield Diffie、Martin Hellman|Hellman、Ron Rivest、Adi Shamir和Leonard Adleman等人相继公布了安全密钥交换与非对称密钥算法后,整个通信方式为之改变。 随着高速电子数字通信的发展,用户对安全通信的需求越来越强。 密码协议在这种诉求下逐渐发展,造就新的密码原型。全球互联网发明与扩散后,认证与安全通信的需求也更加严苛。光商务理由便足以解释一切。时在网景工作的Taher ElGamal等人发展出传输安全层协议,包含了密钥创建、服务器认证等。公开密钥基础建设的架构因此浮现。 厂商和企业家察觉了其后的广大市场,开始设立新公司并引导法律认知与保护。美国律师协会项目发行了一份对公开密钥基础建设操作的可预见法律观点的详尽分析,随后,多个美国州政府与其他国家的司法单位开始制定相关法规。消费者团体等则提出对隐私、访问、可靠性的质疑,也被列入司法的考虑中。 被制定的法规实有不同,将公开密钥基础建设的机制转换成商务操作有实际上的问题,远比许多先驱者所想的缓慢。 21世纪的前几年才慢慢发觉,密码工程没那么容易被设计与实践,某些存在的标准某方面甚至是不合宜的。 公开密钥基础建设的厂商发现了一个市场,但并非九零年代中期所预想的那个市场,这个市场发展得缓慢而且以不同的方式前进。 公开密钥基础建设并未解决所期待的问题,某些厂商甚至退出市场。 公开密钥基础建设最成功的地方是在政府部门,目前最大的公开密钥基础建设是美国防卫信息系统局 (Defense Information Systems Agency,DISA)的共同访问卡(Common access Cards)方案。
PKI的主要理论基础是
PKI一般指公钥基础设施,是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。 扩展资料 一个典型的PKI系统包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。 PKI安全策略 建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息,根据风险的级别定义安全控制的级别。 证书机构CA 证书机构CA是PKI的信任基础,它管理公钥的整个生命周期,其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。 注册机构RA 注册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户,是指将要向认证中心(即CA)申请数字证书的客户,可以是个人,也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构(即RA)来承担。它接受用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。因此,RA可以设置在直接面对客户的业务部门,如银行的营业部、机构认识部门等。当然,对于一个规模较小的PKI应用系统来说,可把注册管理的职能由认证中心CA来完成,而不设立独立运行的RA。但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,可以增强应用系统的安全。 证书发布系统 证书发布系统负责证书的发放,如可以通过用户自己,或是通过目录服务器发放。目录服务器可以是一个组织中现存的`,也可以是PKI方案中提供的。 PKI的应用 PKI的应用非常广泛,包括应用在web服务器和浏览器之间的通信、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟私有网等。 通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,较好的方案是数字证书机制。
下一篇:没有了
