PKI技术与产品在网络信任体系中地位和作用.docVIP

PKI技术与产品在网络信任体系中地位和作用 　　 　　摘要：信息安全技术越来越受到人们的重视，PKI（Public Key Infrastructure）公钥基础设施领域一直是研究的重点。网络信任体系提供的身份认证、授权管理和责任认定三大服务都是信息安全的核心服务，而网络信任体系的构建正是基于PKI技术。 　　关键词：PKI技术；网络信任体系 　　中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2012) 06-0000-02 　　PKI从字面上理解是定位在基础设施的层面，网络信任体系本身也是网络基础设施的重要内容，因此，讨论网络信任体系不能不首先对PKI技术产品和网络信任体系之间的关系进行梳理。 　　一、PKI技术简介 　　PKI的概念最早于上个世纪80年代由美国学者提出来，其基本思想是利用公开密钥理论和技术的融合构建专门提供信息安全服务的基础设施。这一设想主要由通信双方的加密密钥和解密密钥的各不相同来达到信息安全保障的目的。在公开密钥构建的体制中，发送方利用接收方提供的公钥发送加密信息，而在接收方接收加密信息时，需接收方利用自己专门设定的私钥对加密信息进行解密，这种方式的实施保障了通信过程中的信息安全，具有不可抵赖性，保障了通信双方通信信息传递的机密性。 　　PKI作为一种技术体系，其核心服务是为解决网络空间中的信任问题而开展实施的，从技术上为网络应用提供安全保障，保护信息网络空间中各种主体的安全利益，同时，在信息完整性、机密性及信息认证和不可否认性等多方面提供技术保障支持，在网络空间中，确认各种主体（包括各种经济、军事和管理行为主体）的身份信息，对其真实性、合法性和唯一性进行验证，保障网络空间的信息安全。 　　二、PKI产品和PKI实现 　　PKI公钥基础设施体系从技术上为网络应用提供安全保障，主要有五部分组成，包括CA认证机构、RA注册审核机构、密钥管理中心、应用接口系统、证书/CRL发布系统。 　　（一）CA认证机构 　　CA认证机构是PKI公钥基础设施的核心，它的功能主要包括生成/签发证书的完成、生成/签发证书撤销列表（CRL）、发布证书和CRL到目录服务器及维护证书数据库和审计日志库等。 　　（二???RA注册审核机构 　　作为CA认证机构的延伸，RA是数字证书的申请、审核和注册中心。RA和CA在逻辑上是一个整体，它的功能主要包括负责提供证书注册、审核及发证功能。 　　（三）密钥管理中心（KMC） 　　密钥管理中心向CA服务提供如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等相关密钥服务。 　　（四）应用接口系统 　　对于外界使用PKI安全服务，需要应用接口系统为其提供入口进入。应用接口系统一般采用多种形式，包括API、JavaBean、COM等。 　　（五）发布系统 　　发布系统提供多种服务，主要包括LDAP服务、OCSP服务和注册服务。注册服务为用户提供在线注册的功能；LDAP提供证书和CRL的目录浏览服务；OCSP提供证书状态在线查询服务。 　　三、PKI不等于网络信任体系 　　作为基于公开密钥理论和技术建立起来的PKI体系，证书认证中心的建设使得网络用户有了由权威的第三方提供的公私钥对，通过签发数字证书的方式将公私钥对唯一的分配给某个用户，并且由该权威的第三方来证明某个公私钥对确实是分配给了某个人，这种引入第三方的模式使得公钥密码的大规模应用成为了可能。 　　PKI作为提供信息安全服务的具有普适性的安全基础设施为目标的安全体系，为信息安全应用的发展指明了方向，是网络空间中的信任源点。对于需要信息安全保障的单位而言，PKI体系能为其提供可信赖的安全保障，要实现单位应用系统对数字证书的支持，可以通过数字证书认证中心的证书和证书目录服务，同时在服务器端部署密码机，加上各种安全服务器接口的调用实施来实现。而对于身份认证、数据机密性、完整性、不可否认性等信息安全的实现可以通过数字签名、加解密等基本功能获得信息安全保障。 　　然而，PKI体系的建设的不完善、数字证书的发放和使用的不足，都造成信息安全解决方案实施的困境，因而它不是系统化的信息安全解决方案。 　　（一）“证书+应用系统”的模式带来“信任孤岛”问题 　　有了PKI基础设施这一安全保障，数字证书和密码功能可以在每个应用系统中得到集成应用，在业务逻辑实现过程中调用密码接口，实现在应用系统中的信息安全。但是这种信任实现模式从一开始就是个性化的设计、个性化的策略，可以说基于应用系统的证书应用是一道坚固之城，对于无效的数字证书无法进入，而有效的数字证书才是进入坚固之城的钥匙，一旦得以进入，应用系统的安全逻辑可以确保应用系统内的信息安全。 　　因此，传统的“证书+应用系统