PKI技术及其在信息安全中的应用
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(上接第 1227 页) (4)该 P2P- PKI 网络能够保持 P2P 和分布式网络的众多优点。
例如操作独立性、负载均衡、规模扩充容易, 具有一定容错 性 和 冗 余性。
(来自百度文库)提 高 撤 销 可 靠 性 。通 过 引 入 信 任 因 子 限 制 单 个 节 点 撤 销 操 作力度, 增大了多节点联合撤销的难度。
2 P KI 的组成
PKI 是一种遵循标准的密钥管理系统或安全平台, 它能为所 有的网络应用透明地提供公钥加密和数字签名等密钥服务所必 须的密钥和证书管理, 从而建立一个安全的网络通信环境。
PKI 主要包括五部分: 2.1 认证机构 CA( Certificate Authority) CA 是证书的签发机构, 是 PKI 的核心, 是 PKI 应用中权 威 的、可信任的、公正的第三方机构。从广义上讲, 认证机构 还 应 该 包括证书申请注册机构 RA( Registration Authority) , 它是数字证书 的申请注册、证书签发和管理机构。概括地说, CA 的功能有: 证书 发放、证书 更 新 、证 书 撤 销 、证 书 验 证 、证 书 查 询 和 证 书 归 档 。CA 的核心功能就是发放和管理数字证书。 2.2 证书和证书库 证书是数字证书或 电 子 证 书 的 简 称 , 它 符 合 X.509 标 准 , 是 网上实体身份的证明。证书是由具备权威性、可信任性 和 公 正 性 的第三方机构签发的, 因此, 它是权威性的电子文档。证书库是证
2.4 证书撤销处理系统 证书撤销处理系统是 PKI 的一个重要组成部分。证书由于某 种原因需要作废, 终止使用, 将通过证书撤销列表 CRL 来实现。 2.5 PKI 应用接口系统 PKI 应用接口系统可以为用户提供良好的应用接口, 使得各 种各样的应用能够以安全、一致、可信任的方式与 PKI 交 互 , 确 保 所建立起来的网络环境安全可靠, 并降低管理成本。
(6)撤销信息均取自第一手证据, 避免了同一证据多次作 为 撤 销参数计算而导致的信任不可靠性。
4 总结
随着 P2P 备受关注和 PKI 的广泛使用, 证书撤销问题已成为 PKI 中日益重要的课题。构造快速、高效、开销小的证书撤销方案 具有重要意义。本文是对 P2P- PKI 体系的补充和完善, 文中所提 方案是一个值得考虑的证书撤销方案, 具有一定研究价值和实用 价值。
(College of Information Science and Engineering, Xinjiang University, Urumqi 830046, China) Abs tract:The public key infrastructure (PKI) is the foundation and center of network security architecture now,the basic safeguard in elec- tronical commerce and government. So, studying and developing PKI technology has been the tremendously exciting area in information securi- ty. The paper analyzes and summarize to a degree the PKI technology, consisiting of the composing, foundmantal function, digital signature technology,besides, it makes a short introduction about practical application of PKI. To PKI technology, especially to the development, applica- tion, and popularizing of CA, this paper will make a good promotion. Key words :Public Key Infrastructure; Digital Signature; Public Key; Private Key; Encrypt; Electronical commerce; Certificate Authority
6 P KI 的应用
PKI 技 术 的 广 泛 应 用 能 满 足 人 们 对 网 络 交 易 安 全 保 障 的 需 求。当然, 作为一种基础设施, PKI 的应用范围非常广泛, 并且在不 断发展之中, 下面给出几个应用实例。
6.1 网盾安全邮件系统 安全邮件系统是基于商用密码技术, 对互联网络中传输的邮 件信息利用数字证书的加解密功能实现邮件的密文传送, 从而实 现 邮 件 传 递 过 程 的 安 全 性 。该 软 件 可 提 供 对 邮 件 完 全 透 明 的 自 动
一个典型的、完整的和有效的 PKI 应用系统 至 少 应 具 有 以 下 功 能 : 公 钥 证 书 管 理 、黑 名 单 的 发 布 和 管 理 、密 钥 的 备 份 和 恢 复 、 自 动 更 新 密 码 、自 动 管 理 历 史 密 钥 、支 持 交 叉 认 证 。
PKI 作为网络安全的一种基础设施, 应该具有以下性能: 3.1 透明性和易用性 PKI 必 须 尽 可 能 地 向 上 层 应 用 程 序 屏 蔽 安 全 服 务 实 现 细 节 , 向用户屏蔽复杂的安全解决方案, 使得安全服务 对 用 户 透 明 、简 单 、易 用 。 3.2 可扩展性 证书库和 CRL 必须具有良好的可扩展性。 3.3 互操作性 由 于 不 同 国 家 、不 同 行 业 的 PKI 实 现 可 能 是 不 同 的 , 因 此 要 求 PKI 具有互操作性。要保证 PKI 之间的互操作性必须将 PKI 建 立在国际标准之上, 这些标准包括加密算法、数字签 名 算 法 、Hash 算法、密钥交换和管理、证书格式、目录标准、信封格式 、安 全 会 话 格式以及安全 API 规范等。
1239
网络通讯与安全
3.4 支持多种操作系统 PKI 应该支持目前广泛使用的各种操作系统, 如 Windows, U- nix 操作系统等。 3.5 支持多种应用 PKI 是一种支持多种操作系统的安全基础设施, 要求能够为 文件传输、电子邮件、Web 等应用提供安全服务。
4 数字证书
数字证书亦称 CA 证书, 属于商用密码管理范畴。经国家有关 部门批准的数字证书认证机构所签发的数字证书具有权威性, 可 广泛应用于各类用户进行网上信息交流, 开展电子商务和电子政 务外网活动。数字证书认证运用国际上通用的且非常成熟的 PKI 密 码 技 术 进 行 信 息 加 密 和 解 密 、数 字 签 名 和 身 份 认 证 , 保 证 网 络 中传输信息的保密性、可靠性、完整性和不可抵赖性。通俗 地 讲 , 数字证书相当于网络身份证, 可对网络用户进行真实身份的识别 和验证, 对网上传输的信息进行加密和保护, 并保证网络作业操 作 具 有 不 可 否 认 性 。数 字 证 书 认 证 还 可 以 为 应 用 系 统 提 供 授 权 管 理的可靠基础。
关键词: PKI; 数字签名; 公钥; 私钥; 加密; 电子商务; CA 中图分类号: TP 309 文献标识码: A 文章编号: 1009- 3044(2007)11- 21239- 02
P KI Technology and Appfication in Information S ecurity JIANG Xiu- jiang
3 P KI 的基本功能
PKI 把公钥密码和对称密码结合起来, 在因特网上实现密钥 的自动管理, 保证网络上数据的安全传输。从广义上讲, 所有提供 公钥加密和数字签名服务的系统, 都可以叫做 PKI 系统。PKI 的主 要目的是通过自动管理密钥和证书, 为用户建立起一个安全的网 络运行环境, 使用户可以在多种应用环境下方便地使用加密和数 字签名技术。
PKI 只是一种网络安全基础设施, 更重要的是在此基础上开 展应用业务, PKI 已被大量用于 EDI(电子数据交换)、信用卡交易、 Web 安 全 访 问 、电 子 邮 件 安 全 和 VPN 等 , 而 且 形 成 了 一 系 列 PKI 应用标准, 如 SET、SSL、S/MIME 和 PGP 等。凡是涉及到认证、加密 的场合, 都可考虑使用 PKI 技术。
PKI 是基于公钥理论和技术建立起来的提供信息安全服务的 基础设施, 是信息安全基础设施的一个重要组成部分。它采用证 书管理公钥, 通 过 第 三 方 的 可 信 任 机 构— ——认 证 中 心 CA(Certifi- cate Authority), 把用户的 公 钥 和 用 户 的 其 它 标 识 信 息 ( 如 名 称 、e- mail、身 份 证 号 等 ) 捆 绑 在 一 起 , 在 Internet 网 上 验 证 用 户 的 身 份 。 目 前 , 通 用 的 办 法 是 采 用 建 立 在 PKI 基 础 之 上 的 数 字 证 书 , 通 过 把要传输的数字信息进行加密和签名, 保证信息传输的机密性、 真实性、完整性和不可否认性, 从而保证信息的安全传输。
1 引言
网络和信息系统是现代社会最重要的信息基础设施, 已经渗 透 到 社 会 的 各 个 领 域 。保 障 网 络 和 信 息 系 统 的 安 全 关 系 到 国 家 的 存亡、经济的发展、社会的稳定、优秀民族文化的继承和发 扬 。 公 开 密 钥 基 础 设 施 ( Public Key Infrastructure, PKI) 是 保 障 大 型 开 放 式 网 络 环 境 下 网 络 和 信 息 系 统 安 全 的 最 可 行 、最 有 效 的 措 施 。
收稿日期: 2007- 05- 08
书集中存放的地方, 是网上的一种公共信息库, 提供公众查询。 2.3 密钥备份及恢复系统 为 了 避 免 丢 失 用 于 解 密 的 密 钥 , PKI 提 供 了 备 份 和 恢 复 解 密
密钥的机制, 对用户的解密密钥进行备份, 当丢失时进行恢复, 而 签名密钥不能备份和恢复。
本栏目责任编辑: 冯蕾
网络通讯与安全
PKI技术及其在信息安全中的应用
蒋秀江 ( 新疆大学 信息科学与工程学院, 新疆 乌鲁木齐 830046)
摘要: 公钥基础设施( Public Key Infrastructure, 简称 PKI) 是目前网络安全建设的基础与核心, 是电子商务、电子政务安全实施的基本 保障, 因此, 对 PKI 技术的研究和开发成为目前信息安全领域的热点。本文对 PKI 技术进行了一定的分析和总结, 其中包括 PKI 的组成、 PKI 的基本功能、数字签名技术, 并对 PKI 的具体应用做了简要介绍。本文对 PKI, 特别是 CA 的开发、应用和普及推广具有一定的促进 作用。
5 数字签名
数字签名是公开密钥密码技术的一类应用, 是实现电子交易 安全的核心技术之一, 它在实现身份认证、数据完整性、不 可 抵 赖 性 等 功 能 方 面 都 有 重 要 应 用 。数 字 签 名 是 防 止 网 上 交 易 时 进 行 伪 造 和 欺 骗 的 一 种 有 效 手 段 。发 送 者 在 自 己 要 公 布 或 发 送 的 电 子 文 档上“签名”, 接收者通过验证签名的真实性确认文档是 否 被 篡 改 过。在公布一份电子文档时, 发送者首先对要公布的文档进行哈 希( Hash) 运算得到一个固定位数的发送信息— ——摘要, 然 后 发 送 者就可以用自己的签名私钥对摘要进行加密, 加密后的摘要即称 为签名, 它附在信息明文后一起发送给接收者; 接收者收到签名 文档后, 用发送者的公钥进行解密, 得到解密后的摘要和信息明 文。此时, 接收者只需计算出该明文的 Hash 运算结果并与解密得 到的摘要信息进行比较, 即可知道该文档的真伪。在数字签名应 用中, 发送者的公钥可以很方便地得到, 而他的私钥则需要严格 的保密。
例如操作独立性、负载均衡、规模扩充容易, 具有一定容错 性 和 冗 余性。
(来自百度文库)提 高 撤 销 可 靠 性 。通 过 引 入 信 任 因 子 限 制 单 个 节 点 撤 销 操 作力度, 增大了多节点联合撤销的难度。
2 P KI 的组成
PKI 是一种遵循标准的密钥管理系统或安全平台, 它能为所 有的网络应用透明地提供公钥加密和数字签名等密钥服务所必 须的密钥和证书管理, 从而建立一个安全的网络通信环境。
PKI 主要包括五部分: 2.1 认证机构 CA( Certificate Authority) CA 是证书的签发机构, 是 PKI 的核心, 是 PKI 应用中权 威 的、可信任的、公正的第三方机构。从广义上讲, 认证机构 还 应 该 包括证书申请注册机构 RA( Registration Authority) , 它是数字证书 的申请注册、证书签发和管理机构。概括地说, CA 的功能有: 证书 发放、证书 更 新 、证 书 撤 销 、证 书 验 证 、证 书 查 询 和 证 书 归 档 。CA 的核心功能就是发放和管理数字证书。 2.2 证书和证书库 证书是数字证书或 电 子 证 书 的 简 称 , 它 符 合 X.509 标 准 , 是 网上实体身份的证明。证书是由具备权威性、可信任性 和 公 正 性 的第三方机构签发的, 因此, 它是权威性的电子文档。证书库是证
2.4 证书撤销处理系统 证书撤销处理系统是 PKI 的一个重要组成部分。证书由于某 种原因需要作废, 终止使用, 将通过证书撤销列表 CRL 来实现。 2.5 PKI 应用接口系统 PKI 应用接口系统可以为用户提供良好的应用接口, 使得各 种各样的应用能够以安全、一致、可信任的方式与 PKI 交 互 , 确 保 所建立起来的网络环境安全可靠, 并降低管理成本。
(6)撤销信息均取自第一手证据, 避免了同一证据多次作 为 撤 销参数计算而导致的信任不可靠性。
4 总结
随着 P2P 备受关注和 PKI 的广泛使用, 证书撤销问题已成为 PKI 中日益重要的课题。构造快速、高效、开销小的证书撤销方案 具有重要意义。本文是对 P2P- PKI 体系的补充和完善, 文中所提 方案是一个值得考虑的证书撤销方案, 具有一定研究价值和实用 价值。
(College of Information Science and Engineering, Xinjiang University, Urumqi 830046, China) Abs tract:The public key infrastructure (PKI) is the foundation and center of network security architecture now,the basic safeguard in elec- tronical commerce and government. So, studying and developing PKI technology has been the tremendously exciting area in information securi- ty. The paper analyzes and summarize to a degree the PKI technology, consisiting of the composing, foundmantal function, digital signature technology,besides, it makes a short introduction about practical application of PKI. To PKI technology, especially to the development, applica- tion, and popularizing of CA, this paper will make a good promotion. Key words :Public Key Infrastructure; Digital Signature; Public Key; Private Key; Encrypt; Electronical commerce; Certificate Authority
6 P KI 的应用
PKI 技 术 的 广 泛 应 用 能 满 足 人 们 对 网 络 交 易 安 全 保 障 的 需 求。当然, 作为一种基础设施, PKI 的应用范围非常广泛, 并且在不 断发展之中, 下面给出几个应用实例。
6.1 网盾安全邮件系统 安全邮件系统是基于商用密码技术, 对互联网络中传输的邮 件信息利用数字证书的加解密功能实现邮件的密文传送, 从而实 现 邮 件 传 递 过 程 的 安 全 性 。该 软 件 可 提 供 对 邮 件 完 全 透 明 的 自 动
一个典型的、完整的和有效的 PKI 应用系统 至 少 应 具 有 以 下 功 能 : 公 钥 证 书 管 理 、黑 名 单 的 发 布 和 管 理 、密 钥 的 备 份 和 恢 复 、 自 动 更 新 密 码 、自 动 管 理 历 史 密 钥 、支 持 交 叉 认 证 。
PKI 作为网络安全的一种基础设施, 应该具有以下性能: 3.1 透明性和易用性 PKI 必 须 尽 可 能 地 向 上 层 应 用 程 序 屏 蔽 安 全 服 务 实 现 细 节 , 向用户屏蔽复杂的安全解决方案, 使得安全服务 对 用 户 透 明 、简 单 、易 用 。 3.2 可扩展性 证书库和 CRL 必须具有良好的可扩展性。 3.3 互操作性 由 于 不 同 国 家 、不 同 行 业 的 PKI 实 现 可 能 是 不 同 的 , 因 此 要 求 PKI 具有互操作性。要保证 PKI 之间的互操作性必须将 PKI 建 立在国际标准之上, 这些标准包括加密算法、数字签 名 算 法 、Hash 算法、密钥交换和管理、证书格式、目录标准、信封格式 、安 全 会 话 格式以及安全 API 规范等。
1239
网络通讯与安全
3.4 支持多种操作系统 PKI 应该支持目前广泛使用的各种操作系统, 如 Windows, U- nix 操作系统等。 3.5 支持多种应用 PKI 是一种支持多种操作系统的安全基础设施, 要求能够为 文件传输、电子邮件、Web 等应用提供安全服务。
4 数字证书
数字证书亦称 CA 证书, 属于商用密码管理范畴。经国家有关 部门批准的数字证书认证机构所签发的数字证书具有权威性, 可 广泛应用于各类用户进行网上信息交流, 开展电子商务和电子政 务外网活动。数字证书认证运用国际上通用的且非常成熟的 PKI 密 码 技 术 进 行 信 息 加 密 和 解 密 、数 字 签 名 和 身 份 认 证 , 保 证 网 络 中传输信息的保密性、可靠性、完整性和不可抵赖性。通俗 地 讲 , 数字证书相当于网络身份证, 可对网络用户进行真实身份的识别 和验证, 对网上传输的信息进行加密和保护, 并保证网络作业操 作 具 有 不 可 否 认 性 。数 字 证 书 认 证 还 可 以 为 应 用 系 统 提 供 授 权 管 理的可靠基础。
关键词: PKI; 数字签名; 公钥; 私钥; 加密; 电子商务; CA 中图分类号: TP 309 文献标识码: A 文章编号: 1009- 3044(2007)11- 21239- 02
P KI Technology and Appfication in Information S ecurity JIANG Xiu- jiang
3 P KI 的基本功能
PKI 把公钥密码和对称密码结合起来, 在因特网上实现密钥 的自动管理, 保证网络上数据的安全传输。从广义上讲, 所有提供 公钥加密和数字签名服务的系统, 都可以叫做 PKI 系统。PKI 的主 要目的是通过自动管理密钥和证书, 为用户建立起一个安全的网 络运行环境, 使用户可以在多种应用环境下方便地使用加密和数 字签名技术。
PKI 只是一种网络安全基础设施, 更重要的是在此基础上开 展应用业务, PKI 已被大量用于 EDI(电子数据交换)、信用卡交易、 Web 安 全 访 问 、电 子 邮 件 安 全 和 VPN 等 , 而 且 形 成 了 一 系 列 PKI 应用标准, 如 SET、SSL、S/MIME 和 PGP 等。凡是涉及到认证、加密 的场合, 都可考虑使用 PKI 技术。
PKI 是基于公钥理论和技术建立起来的提供信息安全服务的 基础设施, 是信息安全基础设施的一个重要组成部分。它采用证 书管理公钥, 通 过 第 三 方 的 可 信 任 机 构— ——认 证 中 心 CA(Certifi- cate Authority), 把用户的 公 钥 和 用 户 的 其 它 标 识 信 息 ( 如 名 称 、e- mail、身 份 证 号 等 ) 捆 绑 在 一 起 , 在 Internet 网 上 验 证 用 户 的 身 份 。 目 前 , 通 用 的 办 法 是 采 用 建 立 在 PKI 基 础 之 上 的 数 字 证 书 , 通 过 把要传输的数字信息进行加密和签名, 保证信息传输的机密性、 真实性、完整性和不可否认性, 从而保证信息的安全传输。
1 引言
网络和信息系统是现代社会最重要的信息基础设施, 已经渗 透 到 社 会 的 各 个 领 域 。保 障 网 络 和 信 息 系 统 的 安 全 关 系 到 国 家 的 存亡、经济的发展、社会的稳定、优秀民族文化的继承和发 扬 。 公 开 密 钥 基 础 设 施 ( Public Key Infrastructure, PKI) 是 保 障 大 型 开 放 式 网 络 环 境 下 网 络 和 信 息 系 统 安 全 的 最 可 行 、最 有 效 的 措 施 。
收稿日期: 2007- 05- 08
书集中存放的地方, 是网上的一种公共信息库, 提供公众查询。 2.3 密钥备份及恢复系统 为 了 避 免 丢 失 用 于 解 密 的 密 钥 , PKI 提 供 了 备 份 和 恢 复 解 密
密钥的机制, 对用户的解密密钥进行备份, 当丢失时进行恢复, 而 签名密钥不能备份和恢复。
本栏目责任编辑: 冯蕾
网络通讯与安全
PKI技术及其在信息安全中的应用
蒋秀江 ( 新疆大学 信息科学与工程学院, 新疆 乌鲁木齐 830046)
摘要: 公钥基础设施( Public Key Infrastructure, 简称 PKI) 是目前网络安全建设的基础与核心, 是电子商务、电子政务安全实施的基本 保障, 因此, 对 PKI 技术的研究和开发成为目前信息安全领域的热点。本文对 PKI 技术进行了一定的分析和总结, 其中包括 PKI 的组成、 PKI 的基本功能、数字签名技术, 并对 PKI 的具体应用做了简要介绍。本文对 PKI, 特别是 CA 的开发、应用和普及推广具有一定的促进 作用。
5 数字签名
数字签名是公开密钥密码技术的一类应用, 是实现电子交易 安全的核心技术之一, 它在实现身份认证、数据完整性、不 可 抵 赖 性 等 功 能 方 面 都 有 重 要 应 用 。数 字 签 名 是 防 止 网 上 交 易 时 进 行 伪 造 和 欺 骗 的 一 种 有 效 手 段 。发 送 者 在 自 己 要 公 布 或 发 送 的 电 子 文 档上“签名”, 接收者通过验证签名的真实性确认文档是 否 被 篡 改 过。在公布一份电子文档时, 发送者首先对要公布的文档进行哈 希( Hash) 运算得到一个固定位数的发送信息— ——摘要, 然 后 发 送 者就可以用自己的签名私钥对摘要进行加密, 加密后的摘要即称 为签名, 它附在信息明文后一起发送给接收者; 接收者收到签名 文档后, 用发送者的公钥进行解密, 得到解密后的摘要和信息明 文。此时, 接收者只需计算出该明文的 Hash 运算结果并与解密得 到的摘要信息进行比较, 即可知道该文档的真伪。在数字签名应 用中, 发送者的公钥可以很方便地得到, 而他的私钥则需要严格 的保密。