公钥基础设施pki技术_公钥加密的优缺点_公钥基础设施必须解决(2)

PKI通过证书进行认证，认证时对方知道你就是你，但却无法知道你为什么是你。在这里，证书是一个可信的第三方证明，通过它，通信双方可以安全地进行互相认证，而不用担心对方是假冒的。

通过加密证书，通信双方可以协商一个秘密，而这个秘密可以作为通信加密的密钥。在需要通信时，可以在认证的基础上协商一个密钥。在的网络中，特别是在电子政务中，密钥恢复也是密钥管理的一个重要方面，决不希望加密系统被分子窃取使用。当的个别职员背叛或利用加密系统进行活动时，可以通过法定的手续解密其通信内容，保护的合法权益。PKI能够通过良好的密钥恢复能力，提供可信的、可管理的密钥恢复机制。PKI的普及应用能够保证在全社会范围内提供全面的密钥恢复与管理能力，保证网上活动的健康有序发展。

完整性与不可否认是PKI提供的最基本的服务。一般来说，完整性也可以通过双方协商一个秘密来解决，但一方有意抵赖时，这种完整性就无法接受第三方的仲裁。而PKI提供的完整性是可以通过第三方仲裁的，并且这种可以由第三方进行仲裁的完整性是通信双方都不可否认的。例如，小张发送一个合约给老李，老李可以要求小张进行数字签名，签名后的合约不仅老李可以验证其完整性，其他人也可以验证该合约确实是小张签发的。而所有的人，包括老李，都没有模仿小张签署这个合约的能力。“不可否认”就是通过这样的PKI数字签名机制来提供服务的。当法律许可时，该“不可否认性” 可以作为法律依据(美国等一些国家已经颁布数字签名法)。正确使用时，PKI的安全性应该高于目前使用的纸面图章系统。

完善的PKI系统通过非对称算法以及安全的应用设备，基本上解决了网络社会中的绝大部分安全问题(可用性除外)。PKI系统具有这样的能力：

它可以将一个无的网络社会改造成为一个有、有管理和可以追究责任的社会，从而杜绝黑客在网上肆无忌惮的攻击。在一个有限的局域网内，这种改造具有更好的效果。目前，许多网站、电子商务、安全E-mail系统等都已经采用了PKI技术。

1、通过PKI可以构建一个可管、可控、安全的互联网络

众所周知，传统的互联网是一个无中心的、不可控的、没有QoS保证的、“尽力而为” (Best-effort)的网络。但是，由于互联网具有统一的网络层和传输层协议，适合全球互联，且线路利用率高，成本低，安装使用方便等，因此，从它诞生的那一天起，就显示出了强大的生命力，很快地遍布全球。

在传统的互联网中，为了解决安全接入的问题，人们采取了“口令字”等措施，但很容易被猜破，难以对抗有组织的集团性攻击。近年来，伴随宽带互联网技术和集成电路技术的飞速发展，公钥密码技术有了其用武之地，加密、解密的开销已不再是其应用的障碍。因此，国际电信联盟(ITU)、国际标准化组织(ISO)、国际电工委员会(IEC)、互联网任务工作组(IETF)等密切合作，制定了一系列的有关PKI的技术标准，通过认证机制，建立证书服务系统，通过证书绑定每个网络实体的公钥，使网络的每个实体均可识别，从而有效地解决了网络上“你是谁”的问题，把宽带互联网在一定的安全域内变成了一个可控、可管、安全的网络。

2、通过PKI可以在互联网中构建一个完整的授权服务体系

PKI通过对数字证书进行扩展，在公钥证书的基础上，给特定的网络实体签发属性证书，用以表征实体的角色和属性的权力，从而解决了在的网络应用中“你能干什么”的授权问题。这一特点对实施电子政务十分有利。因为电子政务从一定意义上讲，就是把现实的政务模拟到网上来实现。在传统的局域网中，虽然也可以按照不同的级别设置访问权限，但权限最高的往往不是这个部门的主要领导，而是网络的系统管理员，他什么都能看，什么都能改，这和政务现实是相左的，也是过去一些领导不敢用办公自动化系统的原因之一。而利用PKI可以方便地构建授权服务系统，在需要保守秘密时，可以利用私钥的惟一性，保证有权限的人才能做某件事，其他人包括网络系统管理员也不能做未经授权的事；在需要大家都知道时，有关的人都能用公钥去验证某项批示是否确实出自某位领导之手，从而保证真实可靠，确切无误。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-23878-2.html