公钥基础设施pki技术_公钥加密的优缺点_公钥基础设施必须解决(6)

目前发展很快的安全电子邮件协议是S/MIME (The Secure Multipurpose InternetMail Extension)，这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。

浏览Web页面或许是人们最常用的访问Internet的方式。一般的浏览也许并不会让人产生不妥的感觉，可是当您填写表单数据时，您有没有意识到您的私人敏感信息可能被一些居心叵测的人截获，而如果您或您的公司要通过Web进行一些商业交易，您又如何保证交易的安全呢?

一般来讲，Web上的交易可能带来的安全问题有：

诈骗——建立网站是一件很容易也花钱不多的事，有人甚至直接拷贝别人的页面。因此伪装一个商业机构非常简单，然后它就可以让访问者填一份详细的注册资料，还假装保证个人隐私，而实际上就是为了获得访问者的隐私。调查显示，邮件地址和号的泄漏大多是如此这般。

泄漏——当交易的信息在网上“裸”的传播时，者可以很容易地截取并提取其中的敏感信息。没有办法可以确定一封电子邮件是否真的来自某人，也就是说，发信者的身份可能被人伪造。

篡改——截取了信息的人还可以做一些更“高明”的工作，他可以替换其中某些域的值，如姓名、号甚至金额，以达到自己的目的。

攻击——主要是对Web服务器的攻击，例如著名的DDOS(分布式拒绝服务攻击)。攻击的发起者可以是心怀恶意的个人，也可以是同行的竞争者。

为了透明地解决Web的安全问题，最合适的入手点是浏览器。现在，无论是Internet Explorer还是Netscape Navigator，都支持SSL协议(The Secure Sockets Layer)。这是一个在传输层和应用层之间的安全通信层，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全，服务器端和浏览器端分别由可信的第三方颁发数字证书，这样在交易时，双方可以通过数字证书确认对方的身份。需要注意的是，SSL协议本身并不能提供对不可否认性的支持，这部分的工作必须由数字证书完成。

结合SSL协议和数字证书，PKI技术可以保证Web交易多方面的安全需求，使Web上的交易和面对面的交易一样安全。

PKI技术是解决电子商务安全问题的关键，综合PKI的各种应用，我们可以建立一个可信任和足够安全的网络。在这里，我们有可信的认证中心，典型的如银行、或其他第三方。在通信中，利用数字证书可消除匿名带来的风险，利用加密技术可消除开放网络带来的风险，这样，商业交易就可以安全可靠地在网上进行。

网上商业行为只是PKI技术目前比较热门的一种应用，必须看到，PKI还是一门处于发展中的技术。例如，除了对身份认证的需求外，现在又提出了对交易时间戳的认证需求。PKI的应用前景也决不仅限于网上的商业行为，事实上，网络生活中的方方面面都有PKI的应用天地，不只在有线网络，甚至在无线通信中，PKI技术都已经得到了广泛的应用。

随着PKI技术应用的不断深入，PKI技术本身也在不断发展与变化，近年来比较重要的变化有以下方面：

X.509 V4增加了属性证书的概念。提起属性证书就不能不提起授权管理基础设施（PMI，Privilege Management Infrastructure）。PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。

在PKI信任技术中，授权证书非常适合于细粒度的、基于角色的访问控制领域。X.509公钥证书原始的含义非常简单，即为某个人的身份提供不可更改的证据。但是，人们很快发现，在许多应用领域，比如电子政务、电子商务应用中，需要的信息远不止是身份信息，尤其是当交易的双方在以前彼此没有过任何关系的时候。在这种情况下，关于一个人的权限或者属性信息远比其身份信息更为重要。为了使附加信息能够保存在证书中，X.509 v4中引入了公钥证书扩展项，这种证书扩展项可以保存任何类型的附加数据。随后，各个证书系统纷纷引入自己的专有证书扩展项，以满足各自应用的需求。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-23878-6.html