您好,欢迎访问三七文档
中国地质大学本科生课程论文课程名称计算机科学导论教师姓名学生姓名学生学号学生班级所在专业信息安全日期:2012年12月3日浅谈中国PKI实施现状(DiscussiononimplementationsituationofChinaPKI)作者:黄丽萍Author:HuangLiping摘要:随着网络技术的发展,网络安全问题越来越受关注,公开密钥基础设施(PKI)技术为全面解决网络安全问题提供了可行方案。各国政府先后提出了自己的PKI体系结构及其工作原理。探究了(PKI)技术的起源,。分析了(PKI)的应用方面,阐述了国内应用实施现状及其应用前景,并描述了PKI领城存在的问题。Abstract:Withthedevelopmentofnetworktechnology,networksecurityproblemisbecomingmoreandmorepopular,publickeyinfrastructure(PKI)technologyforacomprehensivesolutiontotheissueofnetworksecurityprovidesafeasiblescheme.GovernmentshaveputforwardtheirownPKIsystemstructureandworkingprinciple.ExploringtheoriginofTechnology(PKI),.Analysisofthe(PKI)application,elaboratedthedomesticapplicationstatusandapplicationprospect,anddescribedthePKIfieldproblems关键词:公开密钥基础设施PKICA认证中心Keywords:PublicKeyInfrastructureCACertificationCenter引言:随着Internet的发展,网络已经渗透到了人们生活的各个方面,并改变了人们的生活方式。电子商务作为一种新的营销模式因具有传统商务所不具有的特点被越来越多人们所重视,并得到了迅猛的发展。由于Internet开放性的特点,其安全性一直受到人们的关注,致使很多人不愿在Internet上进行商务活动。为解决电子商务的安全问题,PKI(PublicKeyInfrastructure)技术作为一种有效安全解决方案被引入到了电子商务中来。1.关于PKI1.1.PKI的定义PKI即公钥密码基础设施(PublicKeyInfrastructure),是利用公钥理论和技术建立的提供安全服务的基础设施,是信息安全技术的核心,也是电子商务的关键。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理的接触,因而使得用电子方式验证信任关系变得至关重要。而公钥基础设施技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。PKI的基础技术包括加密、数字签名、数据完整机制、数字信封、双重数字签名等。1.2.PKI的基本组成完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。CA,即认证中心,是PKI的核心机构,它的主要任务是受理数字证书的申请,签发数字证书及对数字证书进行管理。CA对数字证书的签名使得第三者不能伪造和篡改证书。1.3.PKI的起源美国是最早提出PKI概念的国家,并于1996年成立了美国联邦PKI筹委会。与PKI相关的绝大部分标准都由美国制定,其PKI技术在世界上处于领先地位.中国的PKI技术是从1998年开始起步的,PKI技术在中国的商业银行、政府采购以及网上购物中得到广泛应用,,PKI技术在中国有着广泛的应用前景。由于政府和各有关部门近年来对PKI产业的发展给予了高度重视,2001年PKI技术被列为“十五”863计划信息安全主题重大项目,并于同年10月成立了国家863计划信息安全基础设施研究中心。国家计委也在制定新的计划来支持PKI产业的发展,在国家电子政务工程中明确提出了要构建PKI体系。目前,我国已全面推动PKI技术研究与应用。1.4.PKI的应用(1)虚拟专用网络通常,企业在架构VPN时都会利用防火墙和访问控制技术来提高VPN的安全性,这只解决了很少一部分问题,而一个现代VPN所需要的安全保障,如认证、机密、完整、不可否认以及易用性等都需要采用更完善的安全技术。就技术而言,除了基于防火墙的VPN之外,还可以有其他的结构方式,如基于黑盒的VPN、基于路由器的VPN、基于远程访问的VPN或者基于软件的VPN。现实中构造的VPN往往并不局限于一种单一的结构,而是趋向于采用混合结构方式,以达到最适合具体环境、最理想的效果。在实现上,VPN的基本思想是采用秘密通信通道,用加密的方法来实现。具体协议一般分三种:PPTP、L2TP、IPSec.(2)安全电子邮件作为Internet上最有效的应用,电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。随着Internet的持续增长,商业机构或政府机构都开始用电子邮件交换一些秘密的或是有商业价值的信息,这就引出了一些安全方面的问题,包括:●消息和附件可以在不为通信双方所知的情况下被读取、篡改或截掉;●没有办法可以确定一封电子邮件是否真的来自某人,也就是说,发信者的身份可能被人伪造。目前发展很快的安全电子邮件协议是S/MIME(TheSecureMultipurposeInternetMailExtension),这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。(3)Web安全一般来讲,Web上的交易可能带来的安全问题有:●诈骗----建立网站是一件很容易也花钱不多的事,有人甚至直接拷贝别人的页面。因此伪装一个商业机构非常简单,然后它就可以让访问者填一份详细的注册资料,还假装保证个人隐私,而实际上就是为了获得访问者的隐私。调查显示,邮件地址和信用卡号的泄漏大多是如此这般。●泄漏----当交易的信息在网上赤裸裸的传播时,窃听者可以很容易地截取并提取其中的敏感信息。●篡改----截取了信息的人还可以做一些更高明的工作,他可以替换其中某些域的值,如姓名、信用卡号甚至金额,以达到自己的目的。●攻击----主要是对Web服务器的攻击,例如著名的DDOS(分布式拒绝服务攻击)。攻击的发起者可以是心怀恶意的个人,也可以是同行的竞争者。我们可以利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全,服务器端和浏览器端分别由可信的第三方颁发数字证书,这样在交易时,双方可以通过数字证书确认对方的身份。需要注意的是,SSL协议本身并不能提供对不可否认性的支持,这部分的工作必须由数字证书完成。(4)电子商务的应用PKI技术是解决电子商务安全问题的关键,综合PKI的各种应用,我们可以建立一个可信任和足够安全的网络。在这里,我们有可信的认证中心,典型的如银行、政府或其他第三方。在通信中,利用数字证书可消除匿名带来的风险,利用加密技术可消除开放网络带来的风险,这样,商业交易就可以安全可靠地在网上进行。网上商业行为只是PKI技术目前比较热门的一种应用,必须看到,PKI还是一门处于发展中的技术。例如,除了对身份认证的需求外,现在又提出了对交易时间戳的认证需求。PKI的应用前景也决不仅限于网上的商业行为,事实上,网络生活中的方方面面都有PKI的应用天地,不只在有线网络,甚至在无线通信中,PKI技术都已经得到了广泛的应用2.中国的PKI2.1.中国PKI的发展规模及其分类中国CA认证市场犹如雨后春笋,仅仅半年时间,全国各地一下子就冒出了几十家CA认证中心。1998年,国内第一家以实体形式运营的上海CA中心(SHECA)成立,此后,全国先后建成了几十家不同类型的CA认证机构,CA认证的概念也逐步从电子商务渗透至电子政务、金融、科教等各个领域。从CA中心建设的背景来分,当前国内的CA中心大致可以分为三类:大行业或政府部门建立的CA,如中国金融认证中心CFCA、中国电信CTCA等;地方政府授权建立的CA,如上海CA、北京CA等;商业性CA。行业性CA不但是数字认证的服务商,也是其他商品交易的服务商,它们不可避免地要在不同程度上参与交易过程,这与CA中心本身要求的第三方性质不相符合。就应用范围而言,行业性CA更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安CA认证中心在适当完善之后将首先应用于外贸企业的进出口业务。政府(包括地方政府)授权建立的第三方认证系统属于地区性CA,除具有地域优势外,在推广应用和总体协调上也具有明显的优势。不过,地区性CA离不开与银行、邮电等行业的合作。2.2.中国PKI的情况2001年11月,上海CA组织京津沪等地的CA成立了协卡体系,希望在全国纵向合作下的前提下,不仅实现地域CA见的互联互通,还要打通电子商务和电子政务。2003年是PKI技术全面走向规范化和标准化的一年,从国家到地方都明显加快了各种规范的制订。目前国家信息化办公室委托有关单位研究起草的《中华人民共和国电子签章条例(草案)》已完成,正在审议过程中,预计2003年年底颁布。该条例的内容包括电子签章的法律效力和有效要件,有关认证机构的市场准入、管理,以及证书的内容、申请、颁发、认证各方的权力和义务等。在铺天盖地的CA中心建设热潮后,全国建立起了40多家CA中心,但总发证量仅徘徊在50万份左右!进一步,发证量很难突破,似乎陷入了一场僵局。中国PKI论坛秘书长吴亚非先生介绍,几年发展下来,PKI体系结构和技术并没有太大的变化,尤其是在公钥技术方面,但为了适应各类新的应用技术及为了易用性考虑,私钥的形式和内容却在悄悄地发生着演变。虽然各类不同的CA机构都遵循X.509的标准颁发CA证书,但证书的格式和形式都在变化,其中,使用得最多的客户端证书分别派生出了硬件证书(如USB证书、IC卡证书)、软件证书(如安装在电脑中的软件证书)、漫游证书(可从网络上直接下载,方便异地漫游用户)等三类证书,它们的安全性和成本从高到低排列,而易用性则反之,从低向高排列。专门提供PKI技术的北京安软科技公司工程师王胜从技术角度分析了应用与公众PKI体系之间存在的矛盾,他说,很多CA中心的证书为应用软件提供的安全内容并不充分,他们一般在证书中添加自定义的私有扩展项解决这一问题,但带来的麻烦是,这些扩展项可能不被应用软件识别,无法得到有效利用;第二,证书的安装及配置等操作过程可能会过于复杂,难免产生误操作,而企业的安全风险与操作人员对PKI知识的掌握程度及相关的操作直接相关,由此会影响应用开发商基于证书开发应用的热情;第三,证书中的私有扩展项的解析和证书颁发操作的烦琐带来的额外工作可能会增加应用软件开发的成本和负担;第四,应用系统的安全性很大程度上取决于对CA中心的信任,因此,用户存在着双重风险——自身的安全性和所信任的CA中心的安全性。吴亚非说,从PKI技术在全球诞生的初衷来看,是为了在电子商务中建立安全信任机制。但从我国现实情况看,电子商务并没有预期中的高速发展,很多企业对电子商务的理解仅限于一些商业信息的发布,对这些信息,根本没有必要采用昂贵又复杂的PKI技术进行保护。我国电子商务本身发展的迟缓,是制约PKI技术应用和发展的致命“硬伤”!从目前情况看,CA的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够。在CA建设和分布格局上,无论是在建的还是已经启用的,都还存在一些问题:1.我国CA业建设“群雄并立”,各地区、各行业分而治之的局面,不利于CA业的长期有序发展现在国内一哄而上建认证中心,形成这种各自为政又大量重复的建设格局。2.CA认证中心的技术基础差CA的建立与运作需要强大的技术支撑,因为涉及到许多先进的密码技术。3.CA认证中心责任、义务不清当前有的公司在网上发放CA证书。2.3.中国PKI的发
本文标题:浅谈中国PKI
链接地址:https://www.777doc.com/doc-2312843 .html