公開金鑰基礎(chǔ)建設(shè),又稱公開金鑰基礎(chǔ)設(shè)施、公開金鑰基礎(chǔ)架構(gòu),公鑰基礎(chǔ)架構(gòu)或簡(jiǎn)稱PKI。密碼學(xué)上,公開金鑰基礎(chǔ)建設(shè)借著憑證管理中心(Certificate Authority,CA)將使用者的個(gè)人身份跟公開金鑰鏈結(jié)在一起。
簡(jiǎn)介
公開金鑰基礎(chǔ)建設(shè),又稱公開金鑰基礎(chǔ)設(shè)施、公開金鑰基礎(chǔ)架構(gòu),簡(jiǎn)稱公鑰基礎(chǔ)建設(shè)、公鑰基礎(chǔ)設(shè)施、公鑰基礎(chǔ)架構(gòu)或PKI。密碼學(xué)上,公開金鑰基礎(chǔ)建設(shè)借著憑證管理中心(CA)將使用者的個(gè)人身分跟公開金鑰鏈結(jié)在一起。對(duì)每個(gè)憑證中心使用者的身分必須是唯一的,可能在人為監(jiān)督下,合并使用分散于各地的其他協(xié)同軟件。對(duì)每個(gè)使用者,憑證中心發(fā)行的公開金鑰憑證含有不可偽造的個(gè)人身分、公鑰、有效條件與其他資料等。可信賴的第三者(Trustedthirdparty,TTP)也長(zhǎng)被用來(lái)指憑證中心。PKI有時(shí)被錯(cuò)誤地拿來(lái)代表公開金鑰密碼學(xué)或公開金鑰算法。
目的與機(jī)能
公開金鑰基礎(chǔ)建設(shè)的設(shè)置使得未聯(lián)系的電腦使用者可以提出認(rèn)證,并使用公鑰憑證內(nèi)的公鑰資訊加密給對(duì)方。解密時(shí),每個(gè)使用者使用自己的私密金鑰解密,該金鑰通常被通行碼保護(hù)。大致而言,公開金鑰基礎(chǔ)建設(shè)由用戶端軟件、服務(wù)器端軟件、硬件、法律合約與保證、操作程序等組成。簽署者的公鑰憑證也可能被第三者使用,用來(lái)驗(yàn)證由該簽署者簽署的數(shù)位簽章。
通常,公開金鑰基礎(chǔ)建設(shè)協(xié)助參與者對(duì)話以達(dá)成機(jī)密性、訊息完整性、以及使用者認(rèn)證,而不用預(yù)先交換任何秘密資訊。然而互通連成員間的公開金鑰基礎(chǔ)建設(shè)受制于許多現(xiàn)實(shí)問(wèn)題,例如不確定的憑證撤銷、憑證中心發(fā)行憑證的條件、司法單位規(guī)范與法律的變化、還有信任。
典型的用途
大部分企業(yè)級(jí)的公鑰基礎(chǔ)建設(shè)系統(tǒng),依賴由更高階級(jí)的憑證中心發(fā)行給低階憑證中心的憑證,而層層構(gòu)筑而成的憑證鏈,來(lái)建立某個(gè)參與者的身份識(shí)別憑證的合法性。這產(chǎn)生了不只一個(gè)電腦且通常涵蓋多個(gè)組織的憑證階層,涉及到多個(gè)來(lái)源軟件間的合作。因此公開的標(biāo)準(zhǔn)對(duì)公鑰基礎(chǔ)建設(shè)相當(dāng)重要。這個(gè)領(lǐng)域的標(biāo)準(zhǔn)化多由因特網(wǎng)工程工作小組(IETF)的PKIX工作群完成。
企業(yè)公鑰基礎(chǔ)建設(shè)通常和企業(yè)的數(shù)據(jù)庫(kù)目錄緊密結(jié)合,每個(gè)員工的公鑰內(nèi)嵌在憑證中,和人事資料一起儲(chǔ)存。今日最先進(jìn)的目錄科技是輕量目錄存取協(xié)定(LightweightDirectoryAccessProtocol,LDAP)。事實(shí)上,最常見的憑證格式X.509的前身X.500是用于LDAP的前置處理器的目錄略圖。
其他方案
信網(wǎng)絡(luò)信任網(wǎng)絡(luò)(Weboftrust)是處理公鑰如何跨越時(shí)間、空間提供公眾認(rèn)證的另類的方式,它使用自我簽署的憑證和第三者證詞。論及信任網(wǎng)絡(luò),并非暗指單一信任網(wǎng)絡(luò)或共同信任點(diǎn)的存在,而可能是多個(gè)不同互連的信任網(wǎng)絡(luò)。這類實(shí)作如PGP和GnuPG。因?yàn)?a href="/hebeideji/6146005902272581881.html">PGP和其實(shí)作允許電子郵件數(shù)位簽章使用于自我發(fā)行的公鑰,這相對(duì)更容易實(shí)現(xiàn)個(gè)人的信任網(wǎng)絡(luò)。
信任網(wǎng)絡(luò)的其中一個(gè)優(yōu)點(diǎn)是它可與被某群體完全信賴的公鑰基礎(chǔ)建設(shè)憑證中心協(xié)同。
簡(jiǎn)易公開金鑰基礎(chǔ)建設(shè)
另一個(gè)未處理公鑰認(rèn)證資訊的方案是簡(jiǎn)易公開金鑰基礎(chǔ)建設(shè)(Simplepublickeyinfrastructure,SPKI),它發(fā)展出三個(gè)獨(dú)立的功用以免去X.509和PGP信任網(wǎng)絡(luò)的復(fù)雜。簡(jiǎn)易公開金鑰基礎(chǔ)建設(shè)并不鏈結(jié)個(gè)人與金鑰,正因金鑰才是真正“說(shuō)話”的角色。SPKI未使用任何信任的概念,正如驗(yàn)證方同時(shí)也是發(fā)行者。這被稱為‘授權(quán)環(huán)’(authorizationloop)。
軟件
當(dāng)鋪設(shè)公開金鑰基礎(chǔ)建設(shè)時(shí)需要有合適的憑證中心軟件,市面上有多個(gè)解決方案:
*?微軟:在Windows?2000?Server和Windows?Server?2003包含一個(gè)被整合進(jìn)活動(dòng)目錄(Active?Directory)的憑證中心軟件。這不需要額外的版權(quán)費(fèi),是目前Windows平臺(tái)上最流行的解案。
*?類Unix系統(tǒng):免費(fèi)軟件OpenSSL和OpenCA,還有EJBCA。
*?NEWPKI:產(chǎn)生與控制使用者公開金鑰的免費(fèi)軟件。
*?Novell:提供Novell憑證服務(wù)器,整合進(jìn)eDirectory。但是這個(gè)解案不敷重要的公開金鑰基礎(chǔ)建設(shè)計(jì)劃。反而eDirectory的附加產(chǎn)品cv?act?PKIntegrated(第三廠商制作)更貼近實(shí)際。
*?Entrust:其產(chǎn)品Entrust?Authority是付費(fèi)憑證中心解案中最流行的,被視為市面上強(qiáng)力的產(chǎn)品之一。
*?uPKI:為國(guó)人自行開發(fā),行銷海外。為智能卡加解密及憑證驗(yàn)證解決方案。
*?CyberTrust:這是Entrust最重要的競(jìng)爭(zhēng)者,其產(chǎn)品是TrustedCA。
*?RSA Data Security:其解決方案Keon也很流行。
PKI 應(yīng)用
安全性網(wǎng)絡(luò)服務(wù)面臨的安全性議題有二:一是網(wǎng)絡(luò)與設(shè)備上的安全議題,另一是資訊的安全議題。網(wǎng)絡(luò)服務(wù)可以穿過(guò)傳統(tǒng)的網(wǎng)絡(luò)保護(hù)機(jī)制,同時(shí)網(wǎng)絡(luò)服務(wù)也可以攜帶籌載物(payload),還可以與企業(yè)內(nèi)部應(yīng)用程序溝通,如此等于大開安全之門。因此在網(wǎng)絡(luò)安全問(wèn)題上,可能會(huì)面臨假身份問(wèn)題,以及利用無(wú)效的SQL語(yǔ)法、LDAP或是XPath作攻擊,另外,攻擊者也可以使用XML的阻斷服務(wù)攻擊(DoS)來(lái)癱瘓網(wǎng)絡(luò)連線。另外,在內(nèi)容安全議題上,由于傳遞的是XML明碼,因此極易被有心人給窺視,因此網(wǎng)絡(luò)服務(wù)也需對(duì)其傳遞內(nèi)容進(jìn)行保護(hù),以免泄漏重要資訊。
憑證應(yīng)用風(fēng)險(xiǎn)規(guī)劃 電子憑證主要目的為讓網(wǎng)絡(luò)交易雙方建立信賴關(guān)系,其法律效力在于內(nèi)含之?dāng)?shù)位簽章,而非憑證本身;憑證只在確認(rèn)此數(shù)位簽章的正確性與使用者身份真實(shí)性。電子憑證內(nèi)含密碼學(xué)技術(shù),且由具公信力的CA所核發(fā),其安全性不置可否。然而,若將憑證與其他應(yīng)用一起使用,例如同時(shí)作為企業(yè)內(nèi)部管理的功能,則必須考慮可能造成的風(fēng)險(xiǎn)。
企業(yè)在應(yīng)用電子憑證時(shí),應(yīng)有完整的風(fēng)險(xiǎn)規(guī)劃,例如憑證的選擇、CA的選擇、了解憑證應(yīng)用范圍的限制、了解憑證服務(wù)契約之賠償責(zé)任、利用各項(xiàng)功能或機(jī)制(如黑名單機(jī)制、在線憑證狀態(tài)查詢等)控制交易風(fēng)險(xiǎn)等。如此,才能在不逾越憑證使用范圍的法律效力下,適度做好交易風(fēng)險(xiǎn)控管,達(dá)到憑證最終目的。
工商憑證應(yīng)用服務(wù) 繼自然人憑證后,經(jīng)濟(jì)部刻正推動(dòng)公司行號(hào)之工商憑證服務(wù),亦即簽發(fā)公司行號(hào)憑證IC卡,作為企業(yè)與政府之間的網(wǎng)絡(luò)身份證,提供各項(xiàng)安全的網(wǎng)絡(luò)申辦服務(wù)。現(xiàn)階段應(yīng)用包括工商登記、領(lǐng)投標(biāo)、公司報(bào)稅、勞保加退保等等,后續(xù)將朝向文件(如謄本)申請(qǐng)之電子化目標(biāo)邁進(jìn),一方面減少各項(xiàng)文書使用量,一方面提供公司及政府單位便利的在線作業(yè),簡(jiǎn)化整體申辦流程,為另一項(xiàng)電子化政府服務(wù)。
對(duì)一般電腦使用者的影響 PKI對(duì)我們?nèi)粘I钣泻斡绊懩兀孔钪饕词褂谜邔?duì)資訊安全的需求程度而定;換句話說(shuō),只要對(duì)“資料身份識(shí)別”、“交易資料完整”、“交易不可否認(rèn)”或“保密”等其中之一有所需求,就可以使用PKI。
以社區(qū)管理為例,管理委員會(huì)挨家挨戶向住戶發(fā)送通知單或收取管理費(fèi),相當(dāng)耗費(fèi)時(shí)間與人力;如果以e-mail或在線繳費(fèi)就方便多了。住戶透過(guò)網(wǎng)絡(luò)運(yùn)用電子憑證進(jìn)行繳費(fèi)的動(dòng)作,就是使用?PKI?當(dāng)中的“身份識(shí)別”與“交易不可否認(rèn)”等功能–在整個(gè)過(guò)程中,管理委員會(huì)就能夠依憑證辨識(shí)用戶的身份,而用戶也不能否認(rèn)其繳費(fèi)動(dòng)作。
PKI的應(yīng)用范圍不僅于此,例如目前流行的網(wǎng)絡(luò)銀行或網(wǎng)絡(luò)下單等服務(wù),都必須仰賴PKI機(jī)制并配合使用電子簽章所給予之法律地位,以確保交易雙方交易記錄的存在(“交易資料完整”與“交易不可否認(rèn)”)與身份確認(rèn),使業(yè)者與消費(fèi)者的權(quán)益都受到保障、以及利用網(wǎng)絡(luò)達(dá)到安全傳遞資訊的目的。
日常生活中會(huì)接觸到的PKI應(yīng)用還包括網(wǎng)絡(luò)報(bào)稅、高速公路收費(fèi)自動(dòng)化智能卡、電子郵件加密簽名、上網(wǎng)購(gòu)物、與大樓門禁系統(tǒng)等。
參考資料 >