2.1 公钥基础设施
公钥基础设施, 是一个利用用公开密钥概念和技术提供安全服务的具有普适性的安全基础设施。基于公钥基础设施的公钥基础设施技术技术是一种新的安全技术,它由公开密钥加密技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。PKI 是利用公钥技术实现通信安全的一种体系,用来保证网络通讯、网上交易安全的。从某种意义上讲,PKI 包含了安全认证系统,即安全认证系统-CA 系统是PKI 不可缺的组成部分。
公钥基础设施(PKI - Public Key Infrastructure)是一个系统或平台,它搭建起一个密钥管理和数字证书管理的服务,提供密钥加解密和数字签名等功能。我们可以通过搭建公钥基础设施的应用系统管理密钥和数字证书,来建立一个安全的网络环境,这个应用系统应该包含以下几个部分:
1) 认证中心CA
CA是公钥基础设施的核心,CA 负责管理此系统中的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的身份信息绑定在一起,在网上传输并验证用户的身份,CA 还要负责用户证书的注销和证书注销列表的发布。在本课题中,使用Windows Server中提供的证书服务来构建CA中心,主要完成证书申请、颁发、注销和注销列表的发布等功能。
2) 安全的通信协议
现在网络上大部分都是通过HTTP协议进行网络传输的,这种网络协议有很多优点,但是它不能保障网络通信的安全性、保密性,发送的数据包容易被窃听、截获和篡改。要想实现安全通信,就必须使用安全的通信协议,HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,而SSL协议建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
3) 安全通信平台
安全的通信协议需要架构在一个安全的平台上,这个平台通过分别实现客户端和服务器端程序,在通信过程中使用安全的通信协议,来保证客户端和服务器端数据的机密性、完整性和身份验证。本系统中,使用Tomcat中间件来作为服务器端的程序,客户端通过支持HTTPS访问的浏览器来进行安全通信。整个通信过程中,使用HTTPS通信协议进行通信,一方面对通信数据进行加密,另外一个方面也通过数字证书进行身份认证。论文网
4) 安全应用系统
自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI 包括认证政策的制定(包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等)、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。
2.2 数字证书
如同我们的身份证是由公安机关颁发的,并加有很多防伪技术,不能伪造(或者说很难)。数字证书也有专门的发证机关(Certificate Authority,简称CA)。比较常见的发证机关是 VeriSign。数字证书的发证机关会对自己发放的证书加上自己的数字签名,以保证证书不能被伪造。那数字证书到底包含了些什么呢?
数字证书,其实就是网络上的“身份证”,它代表了用户通信过程中的电子身份。因为数字证书由第三方机构颁发,第三方机构对颁发的证书进行签名,可以保证证书的有效性,进而保证用户电子身份的有效性,这个过程特别想现实中的居民身份证。