在电子商务使用领域中,我们经常会遇到安装验证证书。那不知道大家对PKI是否听说过呢?PKI具体指的是什么?PKI是由什么组成的呢?PKI的原理又是什么呢?
.jpg)
PKI技术图
PKI的含义
PKI 就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。PKI 是一种新的安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。PKI 是利用公钥技术实现电子商务安全的一种体系,是一种基础设施,网络通讯、网上交易是利用它来保证安全的。
PKI的组成部分
一个典型、完整、有效的PKI应用系统至少应具有以下五个部分;
1)自开发安全应用系统 自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI 包括认证政策的制定(包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等)、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。
2)认证中心CA CA 是PKI 的核心,CA 负责管理PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA 还要负责用户证书的黑名单登记和黑名单发布,后面有CA 的详细描述。
3) Web(安全通信平台) Web 有Web Client 端和Web Server 端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。
4)具有高强度密码算法(SSL)的安全WWW服务器 Secure socket layer(SSL)协议最初由Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
5) X.500 目录服务器 X.500 目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP 协议查询自己或其他人的证书和下载黑名单信息。
.jpg)
PKI技术
PKI 的原理
公钥基础设施PKI 的原理,顾名思义PKI 是基于公钥密码技术的。要想深刻理解PKI的原理,就一定要对PKI 涉及到的密码学知识有比较透彻的理解。下面简单介绍一下密码学知识。对于普通的对称密码学,加密运算与解密运算使用同样的密钥。
通常,使用的加密算法比较简便高效,密钥简短,破译极其困难,由于系统的保密性主要取决于密钥的安全性,所以,在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。正是由于对称密码学中双方都使用相同的密钥,因此无法实现数据签名和不可否认性等功能。而与此不同的非对称密码学,具有两个密钥,一个是公钥一个是私钥,它们具有这种性质:用公钥加密的文件只能用私钥解密,而私钥加密的文件只能用公钥解密。公钥顾名思义是公开的,所有的人都可以得到它;私钥也顾名思义是私有的,不应被其他人得到,具有唯一性。这样就可以满足电子商务中需要的一些安全要求。比如说要证明某个文件是特定人的,该人就可以用他的私钥对文件加密,别人如果能用他的公钥解密此文件,说明此文件就是这个人的,这就可以说是一种认证的实现。还有如果只想让某个人看到一个文件,就可以用此人的公钥加密文件然后传给他,这时只有他自己可以用私钥解密,这可以说是保密性的实现。基于这种原理还可以实现完整性。这就是PKI 所依赖的核心思想,这部分对于深刻把握PKI 是很重要的,而恰恰这部分是最有意思的。
比如在现实生活中,我们想给某个人在网上传送一个机密文件,该文件我们只想让那个人看到,我们设想了很多方法,首先我们想到了用对称密码将文件加密,而在我们把加密后的文件传送给他后,我们又必须得让他知道解密用的密钥,这样就又出现了一个新的问题,就是我们如何保密的传输该密钥,此时我们发现传输对称密钥也不可靠。
后来我们可以改用非对称密码的技术加密,此时发现问题逐渐解决了。然而又有了一个新的问题产生,那就是如何才能确定这个公钥就是某个人的,假如我们得到了一个虚假的公钥,比如说我们想传给A 一个文件,于是开始查找A 的公钥,但是这时B 从中捣乱,他把自己的公钥替换了A 的公钥,让我们错误的认为B 的公钥就是A 的公钥,导致我们最终使用B 的公钥加密文件,结果A 无法打开文件,而B 可以打开文件,这样B 实现了对保密信息的窃取行为。因此就算是采用非对称密码技术,我们仍旧无法保证保密性的实现,那我们如何才能确切的得到我们想要的人的公钥呢?这时我们很自然的想到需要一个仲裁机构,或者说是一个权威的机构,它能为我准确无误的提供我们需要的人的公钥,这就是CA。
这实际上也是应用公钥技术的关键,即如何确认某个人真正拥有公钥(及对应的私钥)。在PKI 中,为了确保用户的身份及他所持有密钥的正确匹配,公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心(Certification Authority,CA),来确认公钥拥有人的真正身份。就象公安局发放的身份证一样,认证中心发放一个叫"数字证书"的身份证明。 这个数字证书包含了用户身份的部分信息及用户所持有的公钥。象公安局对身份证盖章一样,认证中心利用本身的私钥为数字证书加上数字签名。任何想发放自己公钥的用户,可以去认证中心申请自己的证书。认证中心在鉴定该人的真实身份后,颁发包含用户公钥的数字证书。其他用户只要能验证证书是真实的,并且信任颁发证书的认证中心,就可以确认用户的公钥。认证中心是公钥基础设施的核心,有了大家信任的认证中心,用户才能放心方便的使用公钥技术带来的安全服务。
.jpg)
PKI技术
