首页| 公司简介 | 产品概况 | 支持与服务 | 解决方案 | 典型客户 | 技术聚焦 | 市场合作 | 资质证书 | 联系我们
  
技术聚焦
 
什么是公钥基础设施 (PKI) ?
 
 
提高信息安全保障能力促进信息化建设的健康发展
 
 
 
 
 
   
什么是公钥基础设施 (PKI) ?
    
      PKI 是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。例如,某企业可以建立公钥基础设施( PKI )体系来控制对其计算机网络的访问。在将来,企业还可以通过公钥基础设施(PKI)系统来完成对进入企业大门和建筑物的提货系统的访问控制。

     PKI 让个人或企业安全地从事其商业行为。企业员工可以在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方(竞争对手等)截获。企业可以建立其内部 Web 站点,只对其信任的客户发送信息。

    PKI 采用各参与方都信任一个同一 CA (认证中心),由该 CA 来核对和验证各参与方身份的身份这种信任机制。例如,许多个人和企业都 信任合法的驾驶证或护照。这是因为他们都信任颁发这些证件的同一机构 -- 政府,因而他们也就信任这些证件。然而,一个学生的学生证只能被核发此证的学校来进行验证。数字证书也一样。

    通过公钥基础设施( PKI ),交易双方(可能是在线银行与其客户或者是雇主与其雇员)共同信任签发其数字证书的认证中心( CA )。典型的是采用数字证书的应用软件和 CA 信任的机制 。 例如,有相同客户端浏览器中根证书列表中包含了它所信任 CA 的根证书,当浏览器需要验证一个数字证书的合法性(假如说要进行在线安全交易)的时候,此浏览器首先从其根证书列表中查找签发该数字证书的认证中心根证书,如果该认证中心根证书存在于浏览器的根证书列表中并验证通过后,浏览器承认此站点的 具有合法身份并显示此站点的网页。如果该认证中心根证书不在信任 CA 根证书列表中,浏览器会显示警告信息并询问是否要信任这个新的认证中心。通常地,浏览器会弹出提供永久的信任、临时的信任或不相信该认证中心的选项对话框给客户选择,因为作为客户来说,他们有权选择信任哪些认证中心,而信任的处理工作通过应用软件来完成(在这个例子中是通过浏览器完成的)。 " 公开密钥基础设施 "PKI ( Public Key Infrastructure )是国际上目前较为成熟的解决开放式互联网络信息安全需求的一套体系,而且还在发展之中。

    PKI 体系支持:
  • 身份认证
  • 信息传输、存储的完整性
  • 信息传输、存储的机密性
  • 操作的不可否认性

    " 基础设施 " 的目的就是:只要遵循必要的原则,不同的实体就可以方便地使用基础设施提供的服务。

     PKI 公开密钥基础设施就是为整个组织( " 组织 " 适可以被定义的)提供安全的基本框架,可以被组织中任何需要安全的应用和对象使用。 安全设施的 " 接入点 " 是统一的,便于使用(就像是 TCP/IP 栈和墙上的电源插座一样)。

     PKI 这个具有普适性的安全基础设施适用与多种环境的框架。 这个框架避免了零碎
的、点对点的,特别是没有互操作性的解决犯案,引入了可管理的机制以及跨越多个应用和计算平台的一致安全性。 PKI 公开密钥基础设施设施可以实现 " 应用支撑 " 的 功能。对于 " 应用支撑 " 举一个例子来讲,电力系统就是一个应用支撑,它可以让 " 应用 " 如烤炉、电灯正常工作。进一步将,电力基础设施具有通用性和实用性的特点,它能支持新的 " 应用 " (如吹风机),而这些 " 应用 " 在电力基础设施设计的时候还没有出
现。 PKI 公开密钥基础设施具有同样的特性。(与 PKI 安全基础设施对应的应用是指需要安全服务而使用安全基础设施的模块,例如 Web 浏览器、电子邮件客户端程序、 IPSec 支撑的设备等等)
    
     PKI 公开密钥基础设施能够让应用程序增强自己的数据和资源的安全,以及与其他数据和资源交换中的安全 。 使用 PKI 安全基础设施像将电器插入墙上的插座一样简单。

    1 ) 具有易用的、重所周知的界面

    2 ) 基础设施提供的服务是可预测的且一致、有效的。

    3 ) 应用设施无需要了解基础设施是如何提供服务的。

    遵循 PKI 基础设施的方法来获得安全的好处有很多。 单个应用程序随时可以从基础设施得到安全服务,增强并简化了登录过程,对终端用户透明,在整个环境中提供全面的安全。实施 PKI 公开密钥基础设施的商业驱动包括了节省费用、互操作性、简化管理,真正安全的可能性。

    PKI 的核心的技术基础是给予公钥密码学的 " 加密 " 和 " 签名 " 技术。

    通过 " 解密 " 和 " 签名 " 技术的结合试用就可解决网络的如下问题:
    · 身份认证
    · 信息传输、存储的完整性
    · 信息传输、存储的机密性
    · 操作的不可否认性

    下图是 PKI 中加密技术图解:

  
发送者用接收方的公钥加密 接收方用自己的私钥解密
    下图是 PKI 中签名技术图解:
发送者用接收方的公钥加密 接收方用自己的私钥解密
 认证中心( CA )

    公钥加密需要解决一个关键问题:加密信息的发送者需要认定公钥确实是接收者的,如果他用第三者的公钥去加密,他希望的接收者无法解密该信息,而拥有对应私钥的第三者却可以做到。这实际上就涉及到应用公钥技术的关键:如何确认某个人真正拥有公钥(及对应的私钥)。

    在 PKI 中,为了确保用户的身份及他所持有密钥的正确匹配,公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心( Certification Authority , CA ),来确认公钥拥有人的真正身份。就象公安局发放的身份证一样,认证中心发放一个叫 " 数字证书 " 的身份证明。这个数字证书包含了用户身份的部分信息及用户所持有的公钥。象公安局对身份证盖章一样,认证中心利用本身的私钥为数字证书加上数字签名。

    任何想发放自己公钥的用户,可以去认证中心申请自己的证书。认证中心在鉴定该人的真实身份后,颁发包含用户公钥的数字证书。其他用户只要能验证证书是真实的,并且信任颁发证书的认证中心,就可以确认用户的公钥。

    认证中心是公钥基础设施的核心,有了大家信任的认证中心,用户才能放心方便的使用公钥技术带来的安全服务。

    概括起来,进行电子交易的互联网用户所面临的安全问题有:

  • 保密性 如何保证电子商务中涉及的大量保密信息在公开网络的传输过程中不被窃取
  • 完整性 如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易
  • 身份认证与授权 在电子商务的交易过程中,如何对双方进行认证,以保证交易双方身份的正确性
  • 抗抵赖 在电子商务的交易完成后,如何保证交易的任何一方无法否认已发生的交易

    对于这些安全问题,目前最有效的解决方案是建立在公开密钥技术基础上的 PKI/CA (Public Key Infrastructure/Certification Authority) 技术。
 
   
 
 
友情链接 | 下载中心 | 招聘人才 | 联系我们
© 2005版权所有 - 北京安信天元科技发展有限公司 www.bsisoft.com
地址:北京复兴路乙20号汇通商务楼西楼五层 联系电话:010-68280556(7) 传真:010-68280565