您的位置: 网界网 > 周报全文 > 正文

[周报全文]PKI/CA——支撑GTN的基石

2002年07月08日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:PKI/CA——支撑GTN的基石

标签
    为解决电子商务的安全问题,世界各国经过多年研究,初步形成了一套完整的解决方案,即公钥基础设施(Public Key Infrastructure,PKI)。PKI是基于公开密钥理论的安全体系,是提供信息安全服务的基础设施,也是搭建全球可信网络(GTN)的基础平台技术。

PKI/CA——支撑GTN的基石
吴霄鸫

    以CA为核心的PKI体系是搭建GTN的关键技术。PKI作为一种密钥管理平台,能够为各种网络应用透明地提供密钥和证书管理。PKI体系是由认证机构(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统五大部分组成。


    CA认证中心

    CA是证书的签发机构,也是PKI的核心。在介绍CA之前,我们先要了解一下数字证书。

    数字证书是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证,由权威机构颁发。数字证书的格式一般采用X.509国际标准。一个标准的X.509数字证书包含以下内容:证书的版本信息、证书的序列号、证书所使用的签名算法、证书的发行机构名称、证书的有效期、证书所有人的名称、证书所有人的公开密钥、证书发行者对证书的签名。X.509证书格式还预留了扩展,用户可以根据自己的需要进行扩展。

    数字证书通过运用对称和非对称密码体制建立起一套严密的身份认证系统,可以保证:信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖。

    CA就是一个负责发放和管理数字证书的权威机构。在大型应用环境中,认证中心往往采用多层次的分级结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。认证中心负责完成证书的颁发、更新、查询、作废和归档等管理工作。


    证书库

    证书库是证书的集中存放地,它与网上“白页”类似,是网络上的一种公共信息库,用户可以在证书库中获得其他用户的证书和公钥。构造证书库的最佳方法是采用支持LDAP协议的目录系统,用户或相关的应用通过LDAP访问证书库。系统必须确保证书库的完整性,并防止伪造、篡改证书。


    密钥备份及恢复系统

    如果用户丢失了用于脱密数据的密钥,则密文数据将无法被脱密,造成数据丢失。为避免这种情况出现,PKI应该提供备份与恢复脱密密钥的机制。密钥的备份与恢复应该由可信任的机构来完成,CA可以充当这一角色。


    证书作废处理系统

    证书作废处理系统是PKI的一个重要组件。同日常生活中的各种证件一样,证书在CA为其签署的有效期内也可能需要作废,例如,A公司的职员a辞职离开公司(+本站微信networkworldweixin),这就需要终止a证书的生命期。为实现这一点,PKI必须提供作废证书的一系列机制。作废证书有如下三种策略:作废一个或多个主体的证书;作废由某一对密钥签发的所有证书;作废由某CA签发的所有证书。

    作废证书一般通过将证书列入作废证书表(CRL)来完成。通常,在系统中由CA负责创建并维护一张及时更新的CRL,由用户在验证证书时负责检查该证书是否在CRL之列。CRL一般存放在目录系统中。证书的作废处理必须在安全及可验证的情况下进行,系统还必须保证CRL的完整性。


    PKI应用接口系统

    PKI体系的优势在于能够使用户方便使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口,使得各种应用能够以安全、一致、可信地与PKI交互。

    为了向应用系统屏蔽密钥管理细节,PKI应用接口系统需要实现以下功能:完成证书的验证工作;为应用提供统一的密钥备份与恢复支持;确保用户的签名私钥始终只在用户本人的控制之下,阻止备份签名私钥的行为;根据安全策略自动为用户更换密钥;向应用提供历史密钥的安全管理服务;为所有应用访问公用证书库提供支持;为所有应用提供统一的证书作废处理服务;完成交叉证书的验证工作,为所用应用提供统一模式的交叉验证支持;支持多种密钥存放介质,包括IC卡、PC卡、安全文件等。最后需要说明的是,PKI应用接口系统应该是跨平台的。
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]