PKI技術(shù)研究

INTELLICENCEPKI技術(shù)研究保定機械電子技工學(xué)校馬亮亮河北科技學(xué)院韓琳摘要:隨著(zhù)計算機安全技術(shù)的發(fā)展，公鑰基礎設施在國內外已得到廣泛的應用。Web訪(fǎng)問(wèn)、VPN、電子郵件、電子政務(wù)、網(wǎng)上銀行。電子商務(wù)等涉及網(wǎng)絡(luò )安全的的各個(gè)領(lǐng)域都普遍應用了PKI技術(shù)。本文對公鑰基礎設施PKI技術(shù)進(jìn)行了簡(jiǎn)要的介紹及分析.關(guān)鍵詞: PKI CA公鑰私鑰證書(shū)一、PKI 介紹PKI (Public Key Infrastructure) 公鑰基礎設施。它確切無(wú)誤。在需要保密時(shí)，可以利用私鑰的惟- -性， 保證有權限的人才能看到某個(gè)文件或某項批示甚至做某件事，其他是一種遵循標準的利用公鑰加密技術(shù)為網(wǎng)絡(luò )上信息的應用和人不能;交易開(kāi)展提供的一套安全基礎平臺的技術(shù)和規范，是目前應三、PKI技術(shù)的應用用最為廣泛的一種加密體制。這種技術(shù)可以很好的保證信息建立PKI的主要目的是管理密鑰和證書(shū)。通過(guò)PKI對密的機密，同時(shí)還保證了信息具有不可抵賴(lài)性。鑰和證書(shū)的管理，我們就可以建立井維護可信賴(lài)的網(wǎng)絡(luò )環(huán)境。PKI技術(shù)采用證書(shū)進(jìn)行公鑰管理,通過(guò)認證中心(CA)以下是PKI的典型應用:把用戶(hù)的公鑰和其他的標識信息捆綁在-一起， 如用戶(hù)名和電1、身份認證子郵件地址等，以便在網(wǎng)絡(luò )上進(jìn)行用戶(hù)的身份驗證。我們可這是我們用來(lái)鑒別資源訪(fǎng)問(wèn)者的基礎手段，通常的認證以這樣理解PKI，它是人員、硬件、軟件、策略和操作規程方式是用戶(hù)名+密碼，這種方式非常脆弱，存在很大的安全的總和，它們要完成創(chuàng )建、管理、保存、發(fā)放和廢止證書(shū)的隱患。主要體現在密碼容易被無(wú)意中泄漏:應用系統逐步豐功能。PKI利用基于公開(kāi)密鑰加密算法來(lái)保證網(wǎng)絡(luò )通信的安富，用戶(hù)密碼多了容易忘記;黑客和木馬工具層出不窮，密全可靠。所以，PKI 的主要是通過(guò)自動(dòng)管理密鑰和證書(shū)，為碼很容易被竊取:由于密碼長(cháng)度有限，設置密碼時(shí)沒(méi)有進(jìn)行用戶(hù)建立一個(gè)安全的網(wǎng)絡(luò )運行環(huán)境，使用戶(hù)可以在多種應用強密碼限制，導致密碼可能被猜測、窮舉、破譯等等。而且環(huán)境下方便的使用加密技術(shù)和數字簽名技術(shù)，從而保證網(wǎng)上口令破解技術(shù)也在不斷的發(fā)展，窮舉法(蠻力猜測) ;采用.數據的完整性、保密性和有效性。缺省口令直接猜測:利用技術(shù)和管理漏洞獲取;字典法破譯;二、PKI的意義通過(guò)網(wǎng)絡(luò )監聽(tīng)非法得到用戶(hù)口令。而我們數字證書(shū)是非對稱(chēng)效力在信息化發(fā)展過(guò)程中，人們對信息化中數據信息密鑰，雙向認證，安全性非常高，確保了信息的保密性、完.安全越來(lái)越擔憂(yōu)，擔心網(wǎng)站被釣魚(yú)、數據被竊取或更改，整性和不可否認性。更擔心數據提交者對曾經(jīng)提交數據的抵賴(lài)。為保證信息在網(wǎng)2、安全Eimail上安全的傳遞，建立相應的安全機制是必須解決的一-個(gè)極為電子郵件的安全需求也是機密、完整、認證和不可否認。迫切的問(wèn)題。以往的解決方案大部分是采用加密的方式來(lái)實(shí)用戶(hù)可以利用數字證書(shū)和私鑰對他所發(fā)的郵件進(jìn)行數字簽名，現，但是這種單純的加密方式只能保證信息不被泄漏，而不獲得認證。如果證書(shū)是由某-可信第三方認證機構或其所屬能解決上述的其它問(wèn)題。因此，-些重要的數據、文件資料公司頒發(fā)的，收件人就可以完全信任該郵件的來(lái)源。在網(wǎng).上傳輸時(shí)，很難避免被篡改或泄露，甚至會(huì )出現假冒或3、電子政務(wù)抵賴(lài)等欺詐行為。如果出現這種情況，其后果將是災難性數字證書(shū)在線(xiàn)服務(wù)平臺，是一個(gè)面向各證書(shū)應用單位的的。當前，國際通用的方法就是使用基于PKI的數字認證數字證書(shū)管理系統，主要提供在線(xiàn)的證書(shū)業(yè)務(wù)及證書(shū)服務(wù)。CA(Certificate Authority)。 他的出現具有以下幾方面的意如證書(shū)申請、證書(shū)更新、證書(shū)吊銷(xiāo)、USBKey 解鎖、證書(shū)重簽義發(fā)及統計查詢(xún)等。其安全實(shí)現機制是用戶(hù)和應用服務(wù)器需要1、可以構建一-個(gè)可管、可控、安全的互聯(lián)網(wǎng)絡(luò )從公信第三方數字證書(shū)認證中心獲取代表各自身份的數字證使用LAN/Internet進(jìn)行發(fā)送郵件、分發(fā)軟件、發(fā)送敏書(shū);兩端互相驗證各自證書(shū)，來(lái)確認各自身份的真實(shí)性:通感的或私有的數據、進(jìn)行應用系統訪(fǎng)問(wèn)。但我們擔心的是:過(guò)PKI體系下的數字信封技術(shù)和數字簽名技術(shù)，分別保證用如何確認某人的身份:如何知道我連接的是-一個(gè)可信的站點(diǎn):戶(hù)提交數據的安全性和應用服務(wù)器返回信息的機密性，防止怎樣才能保證我的通訊安全;怎樣確定電子信息是否被篡改;信息泄密、篡改及抵賴(lài)。如何證明某人確實(shí)給我發(fā)過(guò)電子郵件。通過(guò)認證機制，建立綜上所述, PKI 就是利用公鑰理論和技術(shù)建立的提供安證書(shū)服務(wù)系統，通過(guò)數字證書(shū)綁定每個(gè)網(wǎng)絡(luò )實(shí)體的公鑰,使全服務(wù)的基礎設施。是- -種遵循既定標準的密鑰管理平臺，每個(gè)網(wǎng)絡(luò )實(shí)體都可以識別，可以有效地解決了網(wǎng)絡(luò )上的這些它能夠為所有網(wǎng)絡(luò )應用提供加密和數字簽名等密碼服務(wù)及所問(wèn)題，把我們擔心的網(wǎng)絡(luò )環(huán)境在- 定的安全域內變成了一個(gè)必需的密鑰和證書(shū)管理體系，保證網(wǎng)絡(luò )信息交換的安全性、可管、可控、安全的互聯(lián)網(wǎng)絡(luò )?？煽啃?、完整性和機密性。是網(wǎng)絡(luò )時(shí)代信息安全支撐的重要2、可以構建一個(gè)統-平臺技術(shù)。PKI遵循了一套完整的國際技術(shù)標準，通過(guò)Java技術(shù)提供了可跨平臺移植的應用系統代碼，通過(guò)XML技術(shù)提供了可參考文獻:跨平臺交換和移植的業(yè)務(wù)數據，可以對物理層、網(wǎng)絡(luò )層和應[1]馮登國譯: CarlisleAdamsSteveLloyd. 公開(kāi)密鑰基用層進(jìn)行系統的安全結構設計，構建統-的安全域。 在這樣礎設施概念、標準和實(shí)施，人民郵電出版社，2001.的一個(gè)平臺上，可以很方便地建立一站式服務(wù) 的軟件中間平[2} 李晏睿、趙政《一種基于PKI/PMI的企業(yè)安全構架》，臺，對多種應用系統的整合十分有利于，從而大大地提高平《計算中國煤化工12)95-102.臺的普適性、安全性和可移植性。與認證機構CA》，電3、可以構建- -個(gè)完整的授權服務(wù)體系子工業(yè)T.HCNMHG在需要公開(kāi)時(shí)，有關(guān)的人員都能用公鑰去驗證某個(gè)文件[4] 董思良:《電子簽章應用中的安全問(wèn)題》，《信息或某項批示是否出自某位領(lǐng)導之手，保證授權的真實(shí)可靠，安全與通信保密》，2004 (8)49