信息技术的发展为我们带来便利的同时,也不可避免的带来一些信息数据安全上的风险。PKI系统是解决这些风险问题的一个很好的基础架构。
PKI系统是解决信息技术中信任、安全、加密等问题的基本解决方案,采用先进安全加密技术,提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。
现代的PKI系统是建立在非对称加密的理论和技术的基础上的,同时国际电联电信委员会还为PKI系统制定了比较严密的技术标准X.509。在我们研究PKI系统之前,先了解一下非对称加密、数字证书、X.509标准等概念。
非对称加密提出一种加密算法,能够安全地让通讯双方交换信息,安全地达成一致的密钥,这就是“非对称加密算法”。
非对称加密算法(asymmetric cryptographic algorithm)又名“公开密钥加密算法”,它有两个密钥:公开密钥(publickey)和私有密钥(privatekey)。私钥和公钥是一对同时生成,并且相互依存的秘钥。例如在用户A和用户B之间使用非对称加密算法传递信息,用户A在加密的时候就不需要将自己的私有密钥告诉用户B,只需要使用用户B的公开密钥进行加密即可。用户B在接收到加密信息后,使用本人私有密钥解密得到信息,即使在传递过程中加密信息被其他人窃取,没有用户B的私有密钥,也不能够进行解密。用户B在反馈用户A的时候,也是使用用户A的公钥进行加密,也只能够是用户A能够得到真实的信息。
数字证书是用来标示和证明身份的数字信息文件,它提供了一种验证用户身份的方式。数字证书中包含公开密钥拥有者信息以及公开密钥,同时还有权威认证机构对该数字证书的签名,别的用户从数字证书确认你的数字证书是否是有效的、可信的,同时还可以得到你的个人信息和公开密钥,个人信息可以作为记录,公开密钥用来加密对你进行传递的数据。
在PKI系统中,数字证书是实现各种安全的一个重要载体。
X.509是由国际电联电信委员会(ITU-T)制定的PKI标准。X.509定义了PKI体系中数字证书、证书吊销清单、属性证书和证书路径验证算法等标准。通过规范PKI标准,能够使得不同的PKI系统相互之间兼容、互信。最新的X.509标准是1996年的第三版。
在PKI系统中,真实性、保密性、完整性以及可追究性等安全服务都是由数字证书这个载体来完成的。数字证书不是凭空出来的,也不能够单独提供这些安全服务,这需要构建一个完整的PKI系统。一个完整的PKI系统主要包括以下五方面的内容:
认证机构,数字证书的权威签发机构,它是PKI的核心,是PKI应用中权威的、可信任的、公正的第三方机构。它验证用户申请信息的可信性,同时验证用户证书的可信性。PKI系统中的认证机构,可以由几个层级来实现。最顶级的是根证书服务,它只对其从属证书服务提供审核和确认,向这些服务颁发证书,以确认其证书服务的合法性、可信性。第二级的证书服务可以是直接面向最终用户,提供基本的证书申请、审核、颁发等服务,也可以像根证书服务那样只面向更低一级证书服务。通常企业可以使用两层的结构就足够。有些情况下,企业中也会有多个PKI系统,在相互之间还要进行交叉信任,这种情况下就需要在顶级的根证书服务之间进行相互的信任认证。在PKI系统中,用户首先应该信任数字证书的认证机构,并且使用本人信息在认证机构进行注册,从认证机构得到一个经过审核确认的用户数字证书来标明自己的身份。在不同的用户之间,数字证书就是自己身份的标示,可以根据对方的数字证书确定对方是否可信和身份。
证书库,数字证书的集中存放的位置。证书库必须能够给公众提供数字证书查询服务,让公众能够确定数字证书的合法性、有效性、可信性。
密钥备份及恢复系统,该系统能够对用户的密钥(主要指公开密钥)进行备份,当丢失时进行恢复。这是PKI系统中一个很重要的内容,对于PKI系统的安全、健壮性、可用性起到重要作用。
证书撤销处理系统,该系统的功能就是提供证书撤销列表CRL。在PKI系统中,证书可能由于某种原因作废,终止使用,该PKI系统范围内的对象不再信任这些已经作废的数字证书,这就需要向系统内的对象提供一个证书撤销列表CRL,证书撤销处理系统就是完成这个功能。
PKI应用接口系统。PKI应用接口系统能够为各种其它应用提供安全、一致、可信任的方式来与PKI进行交互,确保所建立起来的环境安全可靠。
随着企业业务的拓展,各种新的业务需求不断被提出,例如出差途中或者在家中如何安全访问企业内部网络,企业敏感信息如何能够在网络上安全传输,无线网络如何能够安全可信的接入和使用,重要文件如何能够保证其可信性(未被篡改过)等等。这些新的需求随着企业信息化程度的提高而日趋重要。PKI系统就能够很好地满足这些需求。
通过internet访问企业内部网络,可以使用数字证书来确定用户的身份,验证其合法性,在访问过程中对数据进行加密,防止被窃听。相对于传统的用户名和密码的方式,采用数字证书的方式要安全许多,甚至还可以利用PKI系统将数字证书制作在USB设备中,这样比普通的数字证书还要安全许多。现在很多的网络银行,网络支付,网络理财都采用这种安全性更高的方式。
在企业中对于文档、图纸、往来邮件等内容也可以使用数字证书进行签名,以确保文档、图纸、邮件等的不可篡改性。在企业中这也是很有必要的,利用数字证书进行签名可以保证每个员工所提供的文档、图纸、邮件的确定性,为企业后续对这些内容的使用提供保证。
无线网络的普及之后,企业也要对网络的接入进行审核,同样可以使用数字证书来进行确定与审核。
在企业中可以使用微软windows server 2008中的PKI系统。在现代许多企业中,都采用了域的框架结构,在域的范围内建立PKI系统,可以将PKI和域集成起来,建立域的PKI系统,这样可以充分利用域中的员工信息数据,降低工作量,提高审核的准确性。先建立域的数字根证书服务,然后根据需要建立数字证书的颁发机构,建立不同的数字证书模板,对域内发布这些模板,域内的用户进行申请,数字证书的颁发机构可以从域的AD中获取用户的信息以便于进行确认、审核。对于域外的用户,也可以单独建立一套PKI系统,然后和域内的PKI系统进行交叉信任。
企业中的数字证书常用的有用户数字证书,服务器数字证书,加密数字证书,签名数字证书等。用户数字证书可以标明用户的个人身份,同时在进行信息交流的时候,用户数字证书还可以对信息进行加密,信息在网络上传递的时候也不能够被窃密。服务器数字证书可以标明服务器本身的可信性,用户可以和服务器进行安全放心的信息交互。签名数字证书的主要用途就是对各种信息进行数字签名。
本文对PKI系统的基本原理进行了大致的研究,对PKI在企业中的应用和实现进行了初步的探讨,我们相信随着PKI技术的完善,它在安全领域的作用会越来越大。
[1]关振胜.公钥基础设施PKI及其应用[M].电子工业出版社,2008:01.
[2]Andrew Nash,William Duane,Celia Joseph,Derek Brink,张玉清,陈建奇,杨波,薛伟.公钥基础设施(PKI):实现和管理电子安全[M].清华大学出版社,2002,12.
[3]李建新.公钥基础设施(PKI)理论及应用[M].机械工业出版社,2010,4.
[4]谢冬青,冷键.PKI原理与技术[M].清华大学出版社,2004.
[5]Brian Komar,Windows Server 2008 PKI and Certi fi cate Security[M].微软出版社,2008:4.