|
|
 |
※热点文章※ | |
|
| |
|
※推荐文章※ | |
|
| | |
| PKI支撑网络安全 |
| 作者:张雪琳、马跃 文章出处:中国计算机报——赛迪网
发布时间:2005-06-25 点击:
|
由于互联网所具有的广泛性和开放性,使其不可避免地存在着信息安全的隐患。人们迫切需要能够对网上传输的数据提供机密性、完整性、有效性保证。为了防范这种隐患,许多新的安全技术和规范不断涌现,PKI便是其中之一。
PKI(Public Key Infrastructure,公开密钥基础设施)是一种遵循既定标准的密钥管理平台,它可以为各种网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。PKI可以提供会话保密、认证、完整性、访问控制、源不可否认、目的不可否认、安全通信、密钥恢复和安全时间戳九项信息安全所需要的服务。在这个结构中,公开密钥密码算法居于中心地位,称其为PKI。利用PKI,人们方便地建立和维护一个可信的网络计算环境,无需直接见面就能够确认彼此的身份,安全地进行信息交换。
基本组成
完整的PKI系统有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书撤销系统、应用接口(API)等基本构成部分。
权威认证机构?CA
CA是PKI的核心,主要职责是颁发证书、验证用户身份的真实性。一般情况下,证书必须由一个可信任的第三方权威机构——CA认证中心实施数字签名以后才能发布。而获得证书的用户通过对CA的签名进行验证,从而确定了公钥的有效性。
数字证书库
数字证书库是证书集中存贮的地方,用户可以从此处获得其他用户可用的证书和公钥信息。数字证书库一般是基于LDAP或是基于X.500系列的,也可以基于其他平台。
密钥备份及恢复系统
密钥可能会由于一些原因而使密钥的所有者无法访问。密钥的丢失将导致那些被密钥加过密的数据无法恢复。为避免这种情况的出现,就需要PKI提供密钥备份与恢复的机制。
证书撤销处理系统
CA签发证书来把用户的身份和密钥绑定在一起。那么,当用户的身份改变或密钥遭到破坏时,就必须存在一种机制来撤销这种认可。
PKI应用接口系统
一个完整的PKI必须提供良好的应用接口系统,以便各种应用都能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,降低管理和维护的成本。
应用前景
IDC调查显示,2003年世界PKI市场将达到13亿美元。而英国市场调查公司Datamonitor对PKI市场的估计则更为乐观,该公司预计包括产品、集成、专业服务、维护和PKI服务在内的PKI市场到2003年将达到35亿美元。由此可以断言,PKI技术正在日趋成熟,其应用已覆盖了安全电子邮件、虚拟专用网络(VPN)、Web交互安全、电子数据交换、Internet上的信用卡交易等,涉及电子商务、电子政务、电子事务安全等诸多领域。
美国在2000年就有了《全球及全国商业电子签名法》。作为美国历史上第一部联邦级的电子签名法,它意味着网上炒股、网上签约、政府网上采购等大宗交易都可以通过电子签名来完成,而不再需要传统的纸笔签名。德国、日本、新加坡和韩国等国家也已经相继通过电子签名法。随着Internet应用的不断普及和深入,政府部门将利用PKI来支持管理;商业企业内部、企业与企业之间、区域性服务网络、电子商务网站将使用PKI的技术和解决方案。在不久的将来,政府以及大企业将会建立自己的PKI平台,而中小企业以及个人则会需要社会提供的商业性PKI服务,PKI的市场需求是非常巨大的。
许多PKI新技术都在不断地涌现,CA之间的信任模型、使用的加解密算法、密钥管理的方案等也在不断地变化之中。网络,特别是Internet网络的安全应用离不开PKI技术的支持。网络应用中的机密性、真实性、完整性、不可否认性和存取控制等安全需求,只有PKI技术才能满足。作为一个网络发展大国,我国的PKI市场方兴未艾,未来必将大有可为。
| |
| 【返回顶部↑】
【推荐好友】 【查看评论】 |
|
| |
