自从有通信活动以来,安全问题一直受到人们的重视,所以人类发明了封条、签字、密码锁等安全措施和机制来增强通信的安全性。进入互联网时代之后,由于信息在几乎不受保护的情形下在网络间传输,这更加深了使用者对网络的不信任感,相关信息安全技术因此孕育而生。
PKI(Public Key Infrastructure,公匙基础设施)就是广为使用的信息安全技术之一。其原理是通过数学加解密的公式发展而成。利用数学加解密公式可制成两种数字钥匙,其中一种钥匙叫公钥(Public Key)公开发行;另一种钥匙叫私钥(Private Key),是由使用者自己保管。由于Internet的广泛使用催生了电子商务,PKI已经逐渐成为互联网的基本技术之一,PKI以及与之相关的认证中心(CA,Certificate Authority),可以说是目前电子商务所必不可少的安全机制。
企业中的需求
在当今企业信息系统之中,计算机大多数是联网的。文件交换、电子邮件、数据交流,已经在个人、部门乃至企业之间普遍开展。当一个组织越来越依赖互联网,并将互联网作为商务活动工具时,网络安全性的重要性也随之提高。那么,这些信息交流活动是否安全呢?
作为一种技术体系,PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,这是针对信息系统的安全五要素而言的。
安全五要素是指认证、权限、完整、加密、不可否认。 具体而言就是在信息传递过程中,接收数据的人是否是应该得到它的人?接收数据的人是否拥有相应的等级来看这些信息?数据在传输和保存的过程中,是否被他人暗中修改?数据的加密措施是否可靠?某人看到数据之后,如何证明他这样做了?
解决上述问题,虽然PKI不是惟一的,但是可以说是目前最完善的技术,甚至可以说是目前惟一可行的技术。同时,安全级别要求高的应用程序,也都可以说是PKI大展身手的舞台。目前,通常的PKI应用有电子邮件、VPN、在线交易系统、联网OA系统等。
PKI的组成
PKI体系既包括硬件模块,也包括软件模块,还有管理软硬件的安全策略。
每一位使用者拥有一对在认证配置过程中初始化的密码,称为“私匙”和“公匙”。公匙是共享的,可以嵌入在电子证书中,也可以存放在认证中心服务器上,用于分发。“公匙”用于加密数据,私匙则用于解密。其详细的工作原理涉及到密码学的知识,这里则不详细阐述。
除了密码系统,由各种软件功能模块组成的对公匙进行管理、应用的设施也很关键。PKI基础设施的设计,基于如何管理整个密匙对生命过程和使用流程。整个PKI系统包括了如下软件模块:
认证中心(Certificate Authority CA)。它是一个发证中心,可以说是PKI体系的中枢。在CA中心,会存储一些用户的基本信息,包括CA证书的名字、CA证书是否可用、CA证书使用者基本信息(名称、电子邮件地址)以及“公匙”。当加密传输信息的时候,CA会验证证书是否仍然有效。如果证书无效,CA会将其作废。引发证书作废的原因有很多,例如用户离职、忘记密码、认证证书过期、认证证书被破坏等。
在一些较大的组织机构(甚至一些国家),会有多级CA构成多层结构,这涉及到“交叉认证”这一概念。交叉认证是指当一个组织的PKI使用者,需要同另外一个组织的PKI使用者打交道时,他们各自的CA可以通过上一层的某一CA中心来沟通,以确认对方身份。
在多数情况下,CA是与一套用户注册管理系统(Registration Authority,RA)配套使用的。在企业中,CA通常由IT部门管理,而RA则由人事部门管理。RA接受用户认证请求,一旦用户身份被确认则将其转交给CA。根据用户所申请的认证保密程度的不同,RA从技术上可以为其设置不同的流程进行确认。安全级别要求不高的可以采用程序自动处理的方式,例如只要用户所填的各项信息与其在公司HR数据库保存的信息一致即予以通过,或者程序自动验证用户所填写电子邮箱地址有效即可;安全级别高的则可以手工通过,例如当面检验身份证。
认证分发系统(Certificate Distribution System)。它被用来存储CA所发出的证书、公匙以及废止证书名单(CRL)。 根据PKI系统的不同规格,体系也可以使用目录服务器来发放、存储认证证书。目录服务器使用LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议),可以更有效地管理证书用户信息。
安全策略。PKI体系需要在一定的安全策略指导下运行,例如安全证书如何发放、如何作废、如何更新以及如何存储。鉴于PKI的重要性,安全策略的管理最好由包含管理层人士、IT部门、法律部门在内的团队来负责,由他们共同制订一个满足公司要求的安全策略。
PKI的应用
广泛的应用是普及一项技术的保障。PKI支持SSL、IP over VPN、S/MIME等协议,这使得它可以支持加密Web、VPN、安全邮件等应用。值得注意的是,PKI支持不同CA间的交叉认证,并能实现证书、密钥对的自动更换,这扩展了它的应用范畴。
一个完整的PKI产品应具备以下功能:根据X.509标准发放证书,产生密钥对,管理密钥和证书,为用户提供PKI服务,如用户安全登录、增加和删除用户、恢复密钥、检验证书等。其他相关功能还包括交叉认证、支持LDAP协议、支持用于认证的智能卡等。此外,PKI的特性融入各种应用(如防火墙、浏览器、电子邮件、群件、网络操作系统)也正在成为趋势。
基于PKI技术的IPSec协议,现在已经成为架构VPN 的基础。它可以为路由器之间、防火墙之间,或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些,但安全性比其他协议都完善得多。
目前,发展很快的安全电子邮件协议是S/MIME (The Secure Multipurpose Internet Mail Extension),这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。当发E-mail给一位或多位接收人时,发送者可以先将邮件加密、签名。这样,只有指定的接收人才可以在CA中心的服务器上取得公匙并开启邮件。即使该邮件被其他人截获,这些人也会因为得不到公匙而无法阅读邮件。
此外,PKI还允许客户自行认证证书,即一个企业购买了PKI软件后,可以管理本企业内的整个PKI体系,如增加、删除用户、恢复密钥、吊销证书等。一般的PKI系统都带有编程接口API,允许开发人员进行扩充开发,这极大地扩展了PKI应用的灵活性。
