PKI又叫做公钥基础设施,英文全拼就是Public Key Infrastructure,是一种保障电子商务安全的基础设施,应用广泛,常用来保护电子商务和虚拟专用网络安全。PKI采用的是公开密钥的方式,通过将公开密钥与应用者身份通过证书的方式结合在一起,完成公共密钥的管理。那么PKI技术有什么功能,它的优势在哪,PKI技术又有哪些应用呢?如果连这些都不知道,还怎么学习信息安全。下面小编就为您详细讲解 PKI技术的功能、优势与应用 。
一、PKI技术的功能
PKI就是一种基础设施,其目标就是要充分利用公钥密码学的理论基础,建立起一种普遍适用的基础设施,为各种网络应用提供全面的安全服务。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
PKI主要从四个方面来保障电子商务的安全,即:身份的确认性,数据的保密性,数据的完整性,交易的不可抵赖性。
PKI采用公开密钥的方式来满足电子商务安全的各种要求,通过将公开密钥与应用者身份通过证书的方式结合在一起,完成公共密钥的管理,公开密钥的应用者可通过各种应用平台,利用证书及私有密钥完成电子商务的安全。
PKI体系中,完成数据安全和身份确认的技术主要有四种,即:对称加密算法,非对称加密算法,HASH摘要算法,数字签名,通过各种算法在应用系统的灵活应用,达到安全的目的。
PKI是一个比较复杂的系统,算法只是其中一小部分,真正核心部分由5大部分组成,另外与电子商务安全有关的法律法规及组织,都属PKI范畴内,这5大部分分别为:认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来构建。如下图:
二、PKI技术的优势
1、 采用公开密钥密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保。支持可以公开地进行验证,或者说任意的第三方可验证,能更好地保护弱势个体,完善平等的网络系统间的信息和操作的可追究性。
2、 由于密码技术的采用,保护机密性是PKI最得天独厚的优点。PKI不仅能够为相互认识的实体之间提供机密性服务,同时也可以为陌生的用户之间的通信提供保密支持。
3、 由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。PKI采用数字证书方式进行服务,即通过第三方颁发的数字证书证明末端实体的密钥,而不是在线查询或在线分发。这种密钥管理方式突破了过去安全验证服务必须在线的限制。
4、 PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。撤销机制提供了在意外情况下的补救措施,在各种安全环境下都可以让用户更加放心。另外,因为有撤销技术,不论是永远不变的身份、还是经常变换的角色,都可以得到PKI的服务而不用担心被窃后身份或角色被永远作废或被他人恶意盗用。为用户提供“改正错误”或“后悔”的途径是良好工程设计中必须的一环。
5、 PKI具有极强的互联能力。不论是上下级的领导关系,还是平等的第三方信任关系,PKI都能够按照人类世界的信任方式进行多种形式的互联互通,从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。PKI的互联技术为消除网络世界的信任孤岛提供了充足的技术保障。
三、PKI技术的应用
1、虚拟专用网络(VPN)
通常,企业在架构VPN时都会利用防火墙和访问控制技术来提高VPN的安全性,这只解决了很少一部分问题,而一个现代VPN所需要的安全保障,如认证、机密、完整、不可否认以及易用性等都需要采用更完善的安全技术。就技术而言,除了基于防火墙的VPN之外,还可以有其他的结构方式,如基于黑盒的VPN、基于路由器的VPN、基于远程访问的VPN或者基于软件的VPN。现实中构造的VPN往往并不局限于一种单一的结构,而是趋向于采用混合结构方式,以达到最适合具体环境、最理想的效果。在实现上,VPN的基本思想是采用秘密通信通道,用加密的方法来实现。具体协议一般有三种:PPTP、L2TP和IPSec。
其中,PPTP(Point-to-Point Tunneling Protocol)是点对点的协议,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用Microsoft的点对点加密算法。 而L2TP(Layer 2 Tunneling Protocol)是L2FP(Layer 2 Forwarding Protocol)和PPTP的结合,依赖PPP协议建立拨号连接,加密的方法也类似于PPTP,但这是一个两层的协议,可以支持非IP协议数据包的传输,如ATM或X.25,因此也可以说L2TP是PPTP在实际应用环境中的推广。
无论是PPTP,还是L2TP,它们对现代安全需求的支持都不够完善,应用范围也不够广泛。事实上,缺乏PKI技术所支持的数字证书,VPN也就缺少了最重要的安全特性。简单地说,数字证书可以被认为是用户的护照,使得他(她)有权使用VPN,证书还为用户的活动提供了审计机制。缺乏数字证书的VPN对认证、完整性和不可否认性的支持相对而言要差很多。
基于PKI技术的IPSec协议现在已经成为架构VPN的基础,它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些,但其安全性比其他协议都完善得多。由于IPSec是IP层上的协议,因此很容易在全世界范围内形成一种规范,具有非常好的通用性,而且IPSec本身就支持面向未来的协议——IPv6。总之,IPSec还是一个发展中的协议,随着成熟的公钥密码技术越来越多地嵌入到IPSec中,相信在未来几年内,该协议会在VPN世界里扮演越来越重要的角色。
2、安全电子邮件
作为Internet上最有效的应用,电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。随着Internet的持续增长,商业机构或政府机构都开始用电子邮件交换一些秘密的或是有商业价值的信息,这就引出了一些安全方面的问题,包括:
消息和附件可以在不为通信双方所知的情况下被读取、篡改或截掉;
没有办法可以确定一封电子邮件是否真的来自某人,也就是说,发信者的身份可能被人伪造。
前一个问题是安全,后一个问题是信任,正是由于安全和信任的缺乏使得公司、机构一般都不用电子邮件交换关键的商务信息,虽然电子邮件本身有着如此之多的优点。
其实,电子邮件的安全需求也是机密、完整、认证和不可否认,而这些都可以利用PKI技术来获得。具体来说,利用数字证书和私钥,用户可以对他所发的邮件进行数字签名,这样就可以获得认证、完整性和不可否认性,如果证书是由其所属公司或某一可信第三方颁发的,收到邮件的人就可以信任该邮件的来源,无论他是否认识发邮件的人;另一方面,在政策和法律允许的情况下,用加密的方法就可以保障信息的保密性。
目前发展很快的安全电子邮件协议是S/MIME (The Secure Multipurpose InternetMail Extension),这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。
3、Web安全
浏览Web页面或许是人们最常用的访问Internet的方式。一般的浏览也许并不会让人产生不妥的感觉,可是当您填写表单数据时,您有没有意识到您的私人敏感信息可能被一些居心叵测的人截获,而如果您或您的公司要通过Web进行一些商业交易,您又如何保证交易的安全呢?
一般来讲,Web上的交易可能带来的安全问题有:
诈骗——建立网站是一件很容易也花钱不多的事,有人甚至直接拷贝别人的页面。因此伪装一个商业机构非常简单,然后它就可以让访问者填一份详细的注册资料,还假装保证个人隐私,而实际上就是为了获得访问者的隐私。调查显示,邮件地址和信用卡号的泄漏大多是如此这般。
泄漏——当交易的信息在网上“赤裸裸”的传播时,窃听者可以很容易地截取并提取其中的敏感信息。没有办法可以确定一封电子邮件是否真的来自某人,也就是说,发信者的身份可能被人伪造。
篡改——截取了信息的人还可以做一些更“高明”的工作,他可以替换其中某些域的值,如姓名、信用卡号甚至金额,以达到自己的目的。
攻击——主要是对Web服务器的攻击,例如著名的DDOS(分布式拒绝服务攻击)。攻击的发起者可以是心怀恶意的个人,也可以是同行的竞争者。
为了透明地解决Web的安全问题,最合适的入手点是浏览器。现在,无论是Internet Explorer还是Netscape Navigator,都支持SSL协议(The Secure Sockets Layer)。这是一个在传输层和应用层之间的安全通信层,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全,服务器端和浏览器端分别由可信的第三方颁发数字证书,这样在交易时,双方可以通过数字证书确认对方的身份。需要注意的是,SSL协议本身并不能提供对不可否认性的支持,这部分的工作必须由数字证书完成。
结合SSL协议和数字证书,PKI技术可以保证Web交易多方面的安全需求,使Web上的交易和面对面的交易一样安全。
4、电子商务的应用
PKI技术是解决电子商务安全问题的关键,综合PKI的各种应用,我们可以建立一个可信任和足够安全的网络。在这里,我们有可信的认证中心,典型的如银行、政府或其他第三方。在通信中,利用数字证书可消除匿名带来的风险,利用加密技术可消除开放网络带来的风险,这样,商业交易就可以安全可靠地在网上进行。
网上商业行为只是PKI技术目前比较热门的一种应用,必须看到,PKI还是一门处于发展中的技术。例如,除了对身份认证的需求外,现在又提出了对交易时间戳的认证需求。PKI的应用前景也决不仅限于网上的商业行为,事实上,网络生活中的方方面面都有PKI的应用天地,不只在有线网络,甚至在无线通信中,PKI技术都已经得到了广泛的应用。
以上就是小编为您讲解 PKI技术的功能、优势与应用 的全部内容。简单点说就是PKI是在网络上建立信任通信的基础。它的确切实现可以适应各种用途。虽然Web PKI由于其公共性质,但还有许多其他系统允许网络之间进行安全通信。
