【网络管理员】PKI基础及应用
一:pki基础
pki(pubic key infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户可利用pki平台提供的服务进行安全通信。
使用基于公钥技术系统的用户建立安全通信信任机制的基础是:网上进行的任何需要安全服务的通信都是建立在公钥的基础之上的,而与公钥成对的私钥只掌握在他们与之通信的另一方。这个信任的基础是通过公钥证书的使用来实现的。公钥证书就是一个用户的身份与他所持有的公钥的结合,在结合之前由一个可信任的权威机构ca来证实用户的身份, 然后由其对该用户身份及对应公钥相结合的证书进行数字签名,以证明其证书的有效性。
pki基础设施采用证书管理公钥,通过第三方的可信任机构——认证中心,把用户的公钥和用户的其他标识信息捆绑在一起,在internet网上验证用户的身份。pki基础设施把公钥密码和对称密码结合起来,在internet网上实现密钥的自动管理,保证网上数据的安全传输。
从广义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做pki系统,pki的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性,数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。一个有效的pki系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解pki是怎样管理证书和密钥的,一个典型、完整、有效的pki应用系统至少应具有以下部分:
公钥密码证书管理。
黑名单的发布和管理。
密钥的备份和恢复。
自动更新密钥。
自动管理历史密钥。
支持交叉认证。
由于pki基础设施是目前比较成熟、完善的internet网络安全解决方案,国外的一些大的网络安全公司纷纷推出一系列的基于pki的网络安全产品,如美国的verisign, ibm ,加拿大的entrust、sun等安全产品供应商为用户提供了一系列的客户端和服务器端的安全产品,为电子商务的发展以及政府办公网、edi等提供了安全保证。简言之,pki(public key infrastructure)公钥基础设施就是提供公钥加密和数字签名服务的系统,目的是为了管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可否认性。