pki技术理论及实现_pki技术_pki技术的原理与应用(8)

在电子商务系统中，证书的持有者可以是个人用户、企事业单位、商家、银行等。无论是电子商务中的哪一方，在使用证书验证数据时，都遵循同样的验证流程。一个完整的验证过程有以下几步：

1.将客户端发来的数据解密(如解开数字信封)。

2.将解密后的数据分解成原始数据，签名数据和客户证书三部分。

3.用CA根证书验证客户证书的签名完整性。

4.检查客户证书是否有效(当前时间在证书结构中的所定义的有效期内)。

5.检查客户证书是否作废(OCSP方式或CRL方式)。

6.验证客户证书结构中的证书用途。

7.客户证书验证原始数据的签名完整性。

如果以上各项均验证通过，则接受该数据。

4PKI应用

---PKI技术的广泛应用能满足人们对网络交易安全保障的需求。当然，作为一种基础设施，PKI的应用范围非常广泛，并且在不断发展之中，下面给出几个应用实例。

1.虚拟专用网络（VPN）

VPN是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（尤其是IPSec）和建立在PKI上的加密与签名技术来获得机密性保护。基于PKI技术的IPSec协议现在已经成为架构VPN的基础，它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些，但其安全性比其他协议都完善得多。

2.安全电子邮件

----作为Internet上最有效的应用，电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。随着Internet的持续增长，商业机构或机构都开始用电子邮件交换一些秘密的或是有商业价值的信息，这就引出了一些安全方面的问题，包括：消息和附件可以在不为通信双方所知的情况下被读取、篡改或截掉；发信人的身份无法确认。电子邮件的安全需求也是机密、完整、认证和不可否认，而这些都可以利用PKI技术来获得。目前发展很快的安全电子邮件协议是S/MIME(TheSecureMultipurposeInternetMailExtension)，这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。

3.Web安全

----浏览Web页面是人们最常用的访问Internet的方式。如果要通过Web进行一些商业交易，该如何保证交易的安全呢？为了透明地解决Web的安全问题，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。-结合SSL协议和数字证书，PKI技术可以保证Web交易多方面的安全需求，使Web上的交易和面对面的交易一样安全。

5应用编程接口API

协议标准是系统具有可交互性的前提和基础，它规范了PKI系统各部分之间相互通信的格式和步骤。而应用编程界面API（Applicationprogramminginteces）则定义了如何使用这些协议，并为上层应用提供PKI服务。当应用需要使用PKI服务，如获取某一用户的公钥、请求证书废除信息或请求证书时将会都会用到API。目前API没有统一的国际标准，大部分都是操作系统或某一公司产品的扩展，并在其产品应用的框架内提供PKI服务。

目前，有很多可以让开发者选择的API类型。IETF建议标准为通用安全服务API：GSS-API（GenericSecurityServiceApplicationProgramIntece），它提供了一种接口与网络机制和网络协议相互独立的实现。

欧洲建立的SESAME（SecureEuropeanSystemforApplicationsinaMulti-VendorEnvironment）定义了一些安全界面，并作为该组织发展的安全技术的一部分，该接口得到了欧洲许多著名厂商的支持，如BullSA、ICL和Seimens等，但没有在美国得到支持，特别是一些大的厂商，如Microsoft和Netscape等。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-22547-8.html