公钥基础设施pki技术_公钥加密的优缺点_公钥基础设施必须解决(5)

为方便客户操作，解决PKI的应用问题，在客户端装有客户端软件，以实现数字签名、加密传输数据等功能。此外，客户端软件还负责在认证过程中，查询证书和相关证书的撤消信息以及进行证书路径处理、对特定文档提供时间戳请求等。

交叉认证就是多个PKI域之间实现互操作。交叉认证实现的方法有多种：一种方法是桥接CA，即用一个第三方CA作为桥，将多个CA连接起来，成为一个可信任的统一体；另一种方法是多个CA的根CA（RCA）互相签发根证书，这样当不同PKI域中的终端用户沿着不同的认证链检验认证到根时，就能达到互相信任的目的。

通常，企业在架构VPN时都会利用防火墙和访问控制技术来提高VPN的安全性，这只解决了很少一部分问题，而一个现代VPN所需要的安全保障，如认证、机密、完整、不可否认以及易用性等都需要采用更完善的安全技术。就技术而言，除了基于防火墙的VPN之外，还可以有其他的结构方式，如基于黑盒的VPN、基于路由器的VPN、基于远程访问的VPN或者基于软件的VPN。现实中构造的VPN往往并不局限于一种单一的结构，而是趋向于采用混合结构方式，以达到最适合具体环境、最理想的效果。在实现上，VPN的基本思想是采用秘密通信通道，用加密的方法来实现。具体协议一般有三种：PPTP、L2TP和IPSec。

其中，PPTP(Point-to-Point Tunneling Protocol)是点对点的协议，基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用Microsoft的点对点加密算法。 而L2TP(Layer 2 Tunneling Protocol)是L2FP(Layer 2 Forwarding Protocol)和PPTP的结合，依赖PPP协议建立拨号连接，加密的方法也类似于PPTP，但这是一个两层的协议，可以支持非IP协议数据包的传输，如ATM或X.25，因此也可以说L2TP是PPTP在实际应用环境中的推广。公钥基础设施pki技术

无论是PPTP，还是L2TP，它们对现代安全需求的支持都不够完善，应用范围也不够广泛。事实上，缺乏PKI技术所支持的数字证书，VPN也就缺少了最重要的安全特性。简单地说，数字证书可以被认为是用户的护照，使得他(她)有权使用VPN，证书还为用户的活动提供了审计机制。缺乏数字证书的VPN对认证、完整性和不可否认性的支持相对而言要差很多。

基于PKI技术的IPSec协议现在已经成为架构VPN的基础，它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些，但其安全性比其他协议都完善得多。由于IPSec是IP层上的协议，因此很容易在全世界范围内形成一种规范，具有非常好的通用性，而且IPSec本身就支持面向未来的协议——IPv6。总之，IPSec还是一个发展中的协议，随着成熟的公钥密码技术越来越多地嵌入到IPSec中，相信在未来几年内，该协议会在VPN世界里扮演越来越重要的角色。

作为Internet上最有效的应用，电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。随着Internet的持续增长，商业机构或机构都开始用电子邮件交换一些秘密的或是有商业价值的信息，这就引出了一些安全方面的问题，包括：

消息和附件可以在不为通信双方所知的情况下被读取、篡改或截掉；

没有办法可以确定一封电子邮件是否真的来自某人，也就是说，发信者的身份可能被人伪造。

前一个问题是安全，后一个问题是信任，正是由于安全和信任的缺乏使得公司、机构一般都不用电子邮件交换关键的商务信息，虽然电子邮件本身有着如此之多的优点。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-23878-5.html