pki技术理论及实现_pki技术_pki技术的原理与应用(2)

Entrust作为北方电讯（NorthernTelecom）的控股公司，从事PKI的研究与产品开发已经有很多年的历史了，并一直在业界保持领先地位，拥有许多成熟的PKI及配套产品，并提供了有效的密钥管理功能。

另外，一些大的厂商，如Microsoft、 Netscape和Novell等，都开始在自己的网络基础设施产品中增加PKI功能。Netscape已经开始把证书服务器作为了SuiteSpot的 一部分，虽然其证书服务器没有Entrust产品的功能全面和完善，但提供了基本的证书生成和管理功能。即使没有密钥管理功能，但由于Netscape把 证书服务器同SuiteSpot服务器和Communicator客户端产品的集成，依靠广泛的市场基础，也取得的越来越多的市场份额。由SUN和 Netscape联盟组成的iplanet公司（Sun|NetscapeAlliance）也在PKI方面做了很大的努力，凭借其在网络和电子商务方 面的优势，发展了很多性能优越的PKI产品，如LDAP目录服务器和证书管理系统等。

2PKI组成

PKI作为一组在分布式计算系统中利用公钥技术和X.509证书所 提供的安全服务，企业或组织可利用相关产品建立安全域，并在其中发布密钥和证书。在安全域内，PKI管理加密密钥和证书的发布，并提供诸如密钥管理（包括 密钥更新，密钥恢复和密钥委托等）、证书管理（包括证书产生和撤销等）和策略管理等。PKI产品也允许一个组织通过证书级别或直接交叉认证等方式来同其他 安全域建立信任关系。这些服务和信任关系不能局限于独立的网络之内，而应建立在网络之间和Internet之上，为电子商务和网络通信提供安全保障，所以 具有互操作性的结构化和标准化技术成为PKI的核心

PKI在实际应用上是一套软硬件系统和安全策略的集合，它提供了一整套安全机制，使用户在不知道对方身份或分布地很广的情况下，以证书为基础，通过一系列的信任关系进行通讯和电子商务交易。

图 1 PKI组成

一个典型的PKI系统如图1所示，其中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。

1.PKI 安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险 的级别定义安全控制的级别。一般情况下，在PKI中有两种类型的策略：一是证书策略，用于管理证书的使用，比如，可以确认某一CA是在Internet上 的公有CA，还是某一企业内部的私有CA；另外一个就是CPS（CertificatePracticeStatement）。一些由商业证书发放机 构（CCA）或者可信的第三方操作的PKI系统需要CPS。这是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档。它包括CA是如何建立 和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册的，以及密钥是如何存储的，用户是如何得到它的等等。

2.证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表（CRL）确保必要时可以废除证书。后面将会在CA进行详细介绍。

3.注 册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户，是 指将要向认证中心（即CA）申请数字证书的客户，可以是个人，也可以是集团或团体、某机构等。注册管理一般由一个独立的注册机构（即RA）来承担。它 接受用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书，而只是对用户进行资格审查。因此，RA可以 设置在直接面对客户的业务部门，如银行的营业部、机构认识部门等。当然，对于一个规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完 成，而不设立独立运行的RA。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理 的任务，可以增强应用系统的安全。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-22547-2.html