钥体系结构中的几个概念及国际标准
诺方信息技术有限责任公司
基于非对称加密体系,可建立起一套优秀的安全体系结构,称为公钥体系结构(Public Key Infrastructure,简称PKI)。以下介绍公钥体系结构中的一些基本概念与结构组成:密钥对、证书和CA。
1 密钥对
在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个公钥和一个私钥组成。在实际应用中,私钥由拥有者自己保存,而公钥则需要公布于众。为了使基于公钥体系的业务(如电子商务等)能够广泛应用,一个基础性关键的问题就是公钥的分发与管理。
公钥本身并没有什么标记,仅从公钥本身不能判别公钥的主人是谁。在很小的范围内,比如A和B这样的两人小集体,他们之间相互信任,交换公钥,在互联网上通讯,没有什么问题。这个集体再稍大一点,也许彼此信任也不成问题,但从法律角度讲这种信任也是有问题的。如再大一点,信任问题就成了一个大问题。
2 证书
互联网络的用户群决不是几个人互相信任的小集体,在这个用户群中,从法律角度讲用户彼此之间都不能轻易信任。所以公钥加密体系采取了另一个办法,将公钥和公钥的主人名字联系在一起,再请一个大家都信得过有信誉的公正、权威机构确认,并加上这个权威机构的签名。这就形成了证书,如下图。
|
公钥 公钥主人的信息 权威机构的签名 |
由于证书上有权威机构的签字,所以大家都认为证书上的内容是可信任的;又由于证书上有主人的名字等身份信息,别人就很容易地知道公钥的主人是谁。
3 CA(Certificate Authority)
前面提及的权威机构就是电子签证机关(即CA)。CA也拥有一个证书(内含公钥,与上图所示相同),当然,它也有自己的私钥,所以它有签字的能力。网上的公众用户通过验证CA的签字从而信任CA,任何人都应该可以得到CA的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给那个用户(申请者)。
如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证(如前所述,--CA签字实际上是经过CA私钥加密的信息,签字验证的过程还伴随使用CA公钥解密的过程),一旦验证通过,该证书就被认为是有效的。
CA除了签发证书之外,它的另一个重要作用是证书和密钥的管理。由此可见,证书就是用户在网上的电子个人身份证,同日常生活中使用的个人身份证作用一样。CA相当于网上公安局,专门发放、验证身份证。
诺方宏证电子签证机关就是一个基于相关国际标准的网上CA系统。
相关国际标准
1. PKI (Public-Key Infrastructure) 公钥体系基础框架。
对于任何基于公钥体系的安全应用,必须确立其PKI。而电子签证机关(CA)是PKI中的一个关键的组成部分,它主要涉及两方面的内容,即公钥证书的发放和公钥证书的有效性证明。
2. PKIX (Public-Key Infrastructure Using X.509)使用X.509的公钥体系基础框架。
3. X.500 由ISO和ITU提出的用于为大型网络提供目录服务的标准体系。
4. X.509 为X.500提供验证(Authenticating)体系的标准。
5. PKCS(Public Key Cryptography Standards)公钥加密标准,为PKI提供一套完善的标准体系。
X.509最早的版本X.509v1是在1988年提出的,到现在已升级到X.509v3,现将其涉及到的主要内容以及与前版本的比较列于下表。
关闭窗口