|
PKI的内容
一个完整的PKI系统必须具备权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口(API)等基本组成部分。
认证机构(CA):即数字证书的申请及签发机关。颁发的数字证书就相当于网上身份证,而CA就相当于公安局,为居民发放身份证的机构。
数字证书库:是证书的集中存放地,提供公众查询。它像网上的“白页“一样,是网上的一种公共信息库,供广大公众进行开放式查询。
密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,可以通过已备份进行取回,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
证书作废系统:与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。
应用接口(API):是为各种各样的应用提供安全、一致、可信任的方式与PKI交互,确保新建立起来的网络环境安全可靠,并降低管理成本。
其中CA是PKI的核心执行者,为什么这么说呢,比如说我们想传给A 一个文件,于是开始查找A 的公钥,但是这时B 从中捣乱,他把自己的公钥替换了A 的公钥,让我们错误的认为B 的公钥就是A 的公钥,导致我们最终使用B 的公钥加密文件,结果A 无法打开文件,而B 可以打开文件,这样B 实现了对保密信息的窃取行为。因此就算是采用非对称密码技术,我们仍旧无法保证保密性的实现,那我们如何才能确切的得到我们想要的人的公钥呢?这就需要一个安全的权威的机构,为我准确无误的提供我们需要的人的公钥,就是CA。
PKI的优势
1、节省费用。
在一个大型组织中,实施统一的安全解决方案,比实施多个有限的解决方案,费用要节省得多。
2、互操作性。
安全基础设施具有很好的互操作性,因为每个应用程序和设备以相同的方式访问和使用基础设施。解决的互不兼容的问题。
3、开放性。
4、一致的解决方案。
安全基础设施为所有的应用程序和设备提供了可靠的、一致的解决方案。与一系列互不兼容的解决方案相比,这种一致性的解决方案在一个企业内更易于安装、管理和维护。
5、可验证性。
6、可选择性。
这里的可选择性是指基础设施提供者是可供选择的。基础设施的提供者可以是一个企业内部的特设机构,也可以从社会上选择。
PKI能达到的目标
安全要求
1、机密性,确保资讯隐秘
2、真实性,证明资讯没有被篡改
3、验证性,证明个人或者应用程序的标识
4、不可否认性,确保发送的人不能否定信息与其的关系
PKI提供的服务
1、简单识别与强识别
为了启动一个应用系统,简单的做法是本地安全登录(注册)。其典型操作过程是用户输入身份标识符(用户ID)及认证口令(password)信息,这种身份鉴别称为简单识别。这是大家所熟悉的,但带来的问题也是
很明显的。较好的选择是将口令编得足够长且没有规律,但要很好地记住和经常修改,这对用户来说并非易事。安全基础设施却可做到这一点,那就是强鉴别。
2、终端用户的透明性
一般基础设施具有一个很重要的特点,就是对终端用户的操作来说几乎完全是透明的。是一个“黑盒子”级的服务。因此,公钥基础设施必须具有同样的特征:所有的安全操作应当隐没在用户的后面,无需额外的干预,无需用户注意密钥和算法,不会因为用户
对安全造成危害。
3、全面的安全性
作为一个安全基础设施最大的益处可能是在整个应用环境中,使用单一可信的安全技术。它能保证数目不受限制的应用程序、设备和服务器无缝地协调工作,安全地传输、存储和检索数据,安全地进行事务处理,安全地访问服务器等。
|
|
