壹.公鑰基礎設施概述
企業業務的成功很大程度上取決於企業是否擁有安全可靠的網絡系統。目前,大多數企業的IT經理已經為他們的企業網絡系統采用了某種形式的加密和認證方案。許多企業的網絡管理員正在使用Web為企業提供安全的互聯網商務、虛擬專用網(VPN)和遠程認證服務,以便他們的遠程員工可以訪問企業網絡。然而,目前大多數安全技術(如用戶名和密碼、壹次性密碼和雙向認證)並不適合企業的安全需求,這些傳統技術通常需要不同的維護和管理措施。
目前,越來越多的企業需要使用網絡來連接其遍布世界各地的分支機構和遠程員工,因此需要采取最有效的安全措施來保護企業資源。然而,安全防範措施的加強也導致了更多的額外管理工作。幸運的是,公鑰基礎設施(PKI)可以幫助企業解決這個問題,它可以幫助企業建立壹個安全可靠的網絡管理系統。PKI是壹種易於管理的集中式網絡安全方案。它可以支持各種形式的數字認證:數據加密、數字簽名、不可否認性、身份認證、密鑰管理和交叉認證。PKI可以通過基於身份驗證的框架處理所有數據加密和數字簽名。PKI標準和協議的發展已經有15年的歷史,目前的PKI完全可以為企業網絡提供有效的安全保障。
在運行機制上,15年來統壹了近50個PKI標準,廠商們的不懈努力更好地解決了其後端數據庫的互操作性。PKI由許多組件組成,它們完成兩個主要功能:加密數據和創建數字認證。服務器(後端)產品是這個系統的核心。這些數據庫管理數字認證、公鑰和私鑰(分別用於數據加密和解密)。CA(Certificate Authority)數據庫負責發布、撤銷和修改X.509數字認證信息,其中包含用戶的公鑰、證書有效期和認證功能(如數據加密或數字簽名驗證)。為了防止篡改數據簽名,CA需要在將每個數字簽名發送給請求客戶端之前對其進行身份驗證。壹旦創建了數字認證,它將自動存儲在X.500目錄中,這是壹個樹形結構。LDAP(輕量級目錄訪問協議)協議將響應那些提交存儲的公鑰認證的請求。CA為每個用戶或服務器生成兩對獨立的公鑰和私鑰。壹對用於加密和解密信息,另壹對由客戶端應用程序用於在文檔或信息傳輸中創建數字簽名。
大多數PKI支持證書分發,這是壹個存儲已頒發或擴展證書的過程。這個過程使用公共查詢機制,X.500目錄可以自動完成這個存儲過程。影響企業普遍接受PKI的壹大障礙是不同ca之間的交叉認證。假設有兩家公司,每家都使用來自不同供應商的CA,現在他們希望彼此托管壹段時間。如果他們的備份數據庫支持交叉認證,那麽這兩家企業顯然可以彼此托管他們的ca,因此他們托管的所有用戶都可以由這兩家企業的ca托管。
二、PKI系統的基本組成
PKI是壹個符合標準的密鑰管理平臺,它可以透明地提供所有網絡應用程序采用加密和數字簽名等密碼服務所必需的密鑰和證書管理。PKI必須具備CA、證書庫、密鑰備份恢復系統、證書失效處理系統、客戶端證書處理系統等基礎組件,PKI的建設也將圍繞這五大系統展開。
*證書頒發機構
CA是證書的頒發機構,是PKI的核心。眾所周知,構建密碼服務系統的核心內容是如何實現密鑰管理。公鑰系統涉及壹對密鑰,即壹個私鑰和壹個公鑰。私鑰只由持有者秘密持有,不需要在網上傳輸,而公鑰是公開的,需要在網上傳輸。因此,公鑰系統的密鑰管理主要是壹個公鑰管理問題。目前比較好的解決方案是引入證書機制。
證書是公鑰系統的密鑰管理媒介。它是壹種權威的電子文檔,類似於網絡計算環境中的身份證,用於證明主體(如人、服務器等)的身份。)及其公鑰的合法性。在使用公鑰系統的網絡環境中,需要向公鑰的使用者證明公鑰的真實合法性。因此,在公鑰體制環境下,必須有壹個可信的機構對任何主體的公鑰進行公證,證明主體的身份及其與公鑰的匹配關系。CA就是這樣壹個機構,其職責可以概括如下:
1.核實和識別證書申請人的身份;
2.確保CA用來簽署證書的非對稱密鑰的質量;
3.保證整個簽證過程的安全性和簽名私鑰的安全性;
4.證書信息管理(包括公鑰證書序列號、CA標識等。);
5.確定並檢查證書的有效期;
6.保證證書主體標識的唯壹性,防止重名;
7.發布和維護無效證書表單;
8.記錄整個證書頒發過程;
9.向申請人發送通知。
其中最重要的是對CA自己的壹對密鑰的管理,必須保證其高度保密性,防止他人偽造證書。CA的公鑰在互聯網上公開,必須保證整個網絡系統的完整性。
*證書存儲
證書庫(Certificate repository)是證書的集中存儲場所,類似於互聯網上的“白頁”,是互聯網上的公共信息庫,用戶可以從中獲取其他用戶的證書和公鑰。
構建證書庫的最佳方式是采用支持LDAP協議的目錄系統,用戶或相關應用可以通過LDAP訪問證書庫。該系統必須確保證書存儲庫的完整性,並防止偽造和篡改證書。
*關鍵備份和恢復系統
如果用戶丟失了用於解密數據的密鑰,密文數據將無法被解密,從而導致數據丟失。為了避免這種情況,PKI應該提供壹種備份和恢復解密密鑰的機制。密鑰的備份和恢復應該由可信機構來完成,比如CA可以扮演這個角色。值得強調的是,密鑰備份和恢復只能針對解密密鑰,不能備份簽名私鑰。
*證書失效處理系統
證書失效處理系統是PKI的重要組成部分。和日常生活中的各種證書壹樣,證書可能需要在CA簽署的有效期內失效。例如,A公司的員工A辭職並離開公司,這需要終止證書A的生命周期..為了實現這壹點,PKI必須提供壹系列撤銷證書的機制。有三種撤銷證書的策略:
1.使壹個或多個科目的證書無效;
2.使壹對密鑰頒發的所有證書無效;
3.使CA頒發的所有證書無效。
通常通過在CRL中列出證書來完成證書的撤銷。通常,在系統中,CA負責創建和維護壹個在張及時更新的CRL,用戶在驗證證書時負責檢查證書是否在CRL中。CRL通常存儲在目錄系統中。證書的撤銷必須在安全和可驗證的情況下進行,並且系統還必須確保CRL的完整性。
* PKI應用接口系統
PKI的價值在於使用戶能夠方便地使用加密、數字簽名等安全服務。因此,壹個完整的PKI必須提供壹個良好的應用程序接口系統,使各種應用程序能夠以安全、壹致、可信的方式與PKI進行交互,保證所建立的網絡環境的可信性,降低管理和維護成本。最後,PKI應用接口系統應該是跨平臺的。
第三,總結了PKI的功能。PKI應該為應用程序提供以下安全支持:
*證書和CA,PKI要實現CA、證書庫、CRL等基本的證書管理功能。
*密鑰備份和恢復證書。
*密鑰對的自動替換證書和密鑰具有壹定的壽命。當用戶私鑰泄露時,必須更改密鑰對;此外,隨著計算機速度的提高,密鑰長度必須相應地變長。因此,PKI應該提供完全自動(無需用戶幹預)的密鑰替換和新的分發工作。
*交叉驗證
每個CA只能覆蓋壹定的範圍,即CA的域。比如不同的企業往往都有自己的ca,其頒發的證書只在企業範圍內有效。當屬於不同CA的用戶需要交換信息時,就需要引入交叉證書和交叉認證,這也是PKI必須完成的工作。
*加密密鑰和簽名密鑰的分離
如上所述,加密密鑰和簽名密鑰的密鑰管理需求是矛盾的,因此PKI應該支持加密密鑰和簽名密鑰的分開使用。
*支持數字簽名的不可否認性
任何類型的電子商務都離不開數字簽名,因此PKI必須支持數字簽名的不可否認性,而數字簽名的不可否認性取決於簽名私鑰的唯壹性和保密性。為了確保這壹點,PKI必須確保簽名密鑰和加密密鑰分開使用。
*關鍵歷史的管理
每次更新加密密鑰後,對應的解密密鑰應被存檔,以便將來恢復用舊密鑰加密的數據。每次更新簽名密鑰後,舊的簽名私鑰要適當銷毀,防止其唯壹性被破壞;對應的舊驗證公鑰應該被存檔,用於將來舊簽名的驗證。這些任務應該由PKI自動完成。
第四,PKI系統的發展前景
如上所述,PKI對於企業業務的成功非常重要,它使企業能夠擁有壹個公共安全基礎設施——壹個所有安全應用程序所依賴的基礎設施。企業中的許多安全電子郵件、互聯網商務應用、VPN和單壹簽名功能都將依賴於X.509認證。PKI實現了對數據加密、數字簽名、反否認、數字完整性以及認證所需的密鑰和認證的統壹集中管理。
每個企業都可以從PKI的結構化管理方案中受益。然而遺憾的是,到目前為止,只有少數行業(包括銀行、金融和健康保險)采用了這壹系統。壹些敢於嘗試新事物的企業,如Automotive Network Exchange(由幾家最大的美國汽車制造商組成),已經開始從這項安全技術中受益。
據預測,當企業的業務變得越來越依賴於Web時,越來越多的企業將轉向PKI來確保其對客戶信息的安全處理。然而,到目前為止,很少有企業采用PKI。PKI本身的問題是限制用戶廣泛采用的主要原因。由於缺乏統壹的標準,許多美國企業被排除在PKI計劃之外。事實上,開發PKI產品已經有了相當成熟的標準。缺乏良好的互操作性也是廣泛采用PKI的主要障礙之壹。在PKI供應商能夠支持所有標準之前,許多企業需要在他們的客戶端上使用專利工具包,這也將極大地限制PKI的快速普及。
然而,廣泛采用PKI的主要障礙仍然是其設計和實現的復雜性。但據預測,隨著PKI供應商的逐漸統壹和合並,實現PKI的過程會越來越簡單。如果復雜的實現讓妳望而卻步,可以將企業的系統外包給第三方供應商。
許多權威的認證方案提供商(如VeriSign、Thawte和GTE)目前都在提供外包的PKI。PKI外包的最大問題是用戶必須將企業委托給壹個服務商,也就是放棄對網絡安全的控制權。如果妳不想這樣做,妳可以建立壹個專用的PKI。專用解決方案通常需要將Entrust、Baltimore Technologies和Xcert的各種服務器產品與微軟、網景和高通等主流應用供應商的產品相結合。私有PKI還要求企業在準備基礎設施的過程中投入大量的財力和物力。
對於那些高風險行業(如銀行、金融、保險),PKI對於他們未來10年的長期安全需求至關重要。隨著PKI技術的廣泛普及,PKI的實現會變得更加簡單,成本也會逐漸降低。因為PKI直到最近才成為壹個可行的安全方案,所以這項技術仍然需要進壹步改進。如果妳的企業等不及這項技術的成熟,那麽現在就采用吧,因為它目前的功能足以滿足普通企業的大部分安全需求。