2009-01-06 14:21:49 iteye_13086 阅读数 63
  • Windows Server 2012 R2 服务器应用与架站(中级全套...

    全套视频共分为9种企业常见应用服务器构建与管理,每一章节从初级讲起,做到全方位技术提高,内容包括DHCP 服务器搭建与管理、DNS服务器搭建与管理、IIS服务器的搭建与管理、PKI与SSL网站搭建与管理、FTP服务器的搭建与管理、打印服务器的设置与管理、WSUS服务器部署与更新程序、故障转移群集服务器的搭建与管理、网络负载平衡群集(NLBC)服务器的搭建与管理。

    10576 人正在学习 去看看 深博
PKI/PMI与电子商务安全

摘要: 随着网络的飞速发展,网络与信息系统的安全与保密问题越来越重要,电子商务安全问题引起了人们的密切关注。本文对电子商务安全的需求及PKI/PMI技术进行了探讨。
关键字: PKI/PMI 电子商务 安全
一、电子商务及其安全需求
近年来,随着网络技术和电子商务的迅猛发展,人们以各种方式使用着Internet从事电子商务活动。电子商务已经成为人们进行商务活动的新模式。电子商务有比传统商务方式更巨大的方便性和灵活性。
然而,网络面临的安全问题也随之而来,例如内部窃密和破坏,截收,非法访问,破坏信息的完整性,破坏系统的可用性等等诸多问题。于是需要构建一个安全的信息基础设施平台,为电子商务提供良好的应用环境。解决网络与系统安全的技术与设备有防火墙、入侵检测、漏洞扫描、网络隔离等。这些信息安全技术对防外来攻击、防非法入侵等发挥着较大的作用。但是,这些技术并不能全面地满足电子商务的安全需要,电子商务的发展对信息安全提出的不仅仅是信息的机密性,还包括信息的完整性和不可否认性。PKI技术能很好地满足这一需求。由于通过网络进行的电子商务活动缺少物理的接触,因而使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适用于电子商务的密码技术,它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。
二、PKI/PMI技术
1.公钥基础设施PKI www.lunwenwang.com 论文网在线
PKI(Public Key Infrastructure)即公开密钥体系,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说,PKI就是利用公钥理论的技术建立的提供安全服务的基础设施。PKI技术是一种新的网络安全技术,是一个集硬件、软件、人力资源、相关政策和操作规范为一体的综合系统,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。严格地讲,一个完善的PKI必须具有认证机构CA、证书库、密钥备份及恢复系统、证书作废处理系统、PKI应用接口系统等组成部分。其中,认证机构CA是整个系统的核心。用户使用由证书授权认证中心(Certificate Authority,CA)签发的数字证书,结合加密技术,可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性,并进行用户身份的识别。PKI的基础是加密技术,核心是证书服务。
2.授权管理基础设施PMI
PKI能够实现ISO7498-2定义的五大安全服务(身份认证、访问控制、数据保密性、数据完整性、不可否认性)中的大部分功能,但在访问控制上存在一些不足,这主要是因为作为PKI基础的CA证书只是绑定了用户的身份。在有些情况下,单独的身份认证技术不能完全满足系统要求,如基于角色的访问控制。电子商务系统不仅要求用户提供合法的身份证书用于身份认证,而且要求提供相应的授权管理机制,用于控制用户在系统中的行为和动作。授权管理基础设施(Privilege Management Infrastructure,简称PMI)是在PKI发展过程中被提出并逐渐从PKI中分离出来的一个新的概念。PMI提出了一个新的信息保护基础设施,能够系统地建立起对认可用户的授权,它是由属性证书(Attribute Certificate AC)、属性权威、属性证书库等部件的集合体,用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能。属性证书是经过签名的结构,将用户的一组属性和其它信息通过认证机构的私钥进行数字签名,使其不能伪造。其签名和颁发的机构是属性管理机构(Attribute Authority , AA)。赋予属性证书的签名不是用于证明公钥/私钥和身份之间的关系,而是用于证明证书所有者拥有的特权。PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一进行处理,即由资源的所有者来进行访问控制。基于PMI的集中授权系统采用基于属性证书的授权模式,向应用提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能。
PMI作为一个基础设施能够系统地建立起对认可用户的授权。通过结合授权管理系统和身份认证系统补充了PKI的弱点。PMI权限管理和授权服务基础平台应该满足下面的需求:作为权限管理和授权服务的基础设施,可以为不同类型的应用提供授权管理和访问控制的平台支持。
3.PKI/PMI的比较
PMI和PKI有很多相似的概念。如属性证书(Attribute Certificate, AC) 与公钥证书(PKC) ,属性权威(Attribute Authority, AA )与认证权威(CA)。公钥证书是对用户名称和他/她的公钥进行绑定,而属性证书是将用户名称与一个或更多的权限属性进行绑定。数字签名公钥证书的实体被称为CA,签名属性证书的实体被称为AA。PKI和PMI之间的主要区别在于:PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”;PKI主要进行身份鉴别,证明用户身份,即“你是谁”。将PKI和PMI技术结合,实现可信的身份认证和可信授权管理是目前较为完善的安全保障措施。
三、小结
PKI和PMI是目前较为完善的Internet解决方案,其目的是为用户建立起一个安全的网络运行环境,为电子商务提供身份认证、访问控制、数据保密性、数据完整性以及不可否认性等服务。通过PKI/PMI系统,能够为电子商务提供强大的系统安全保障,使用户可以在多种应用环境下进行安全的电子交易,PKI/PMI技术在电子商务系统中发挥着重要作用。
丽水学院计算机与信息工程学院 罗江英 323000
PKI
2020-04-02 15:40:00 hofmann 阅读数 5
  • Windows Server 2012 R2 服务器应用与架站(中级全套...

    全套视频共分为9种企业常见应用服务器构建与管理,每一章节从初级讲起,做到全方位技术提高,内容包括DHCP 服务器搭建与管理、DNS服务器搭建与管理、IIS服务器的搭建与管理、PKI与SSL网站搭建与管理、FTP服务器的搭建与管理、打印服务器的设置与管理、WSUS服务器部署与更新程序、故障转移群集服务器的搭建与管理、网络负载平衡群集(NLBC)服务器的搭建与管理。

    10576 人正在学习 去看看 深博

  公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因 此,对PKI技术的研究和开发成为目前信息安全领域的热点。本文对PKI技术进行了全面的分析和总结,其中包括PKI组成、证书认证机构CA、PKI应 用、应用编程接口和PKI标准等,并对CA的开发做了简要分析。本文对PKI,特别是CA的开发、应用和普及具有一定的促进作用。

  PKI作为一组在分布式计算系统中利用公钥技术和X.509证书所 提供的安全服务,企业或组织可利用相关产品建立安全域,并在其中发布密钥和证书。在安全域内,PKI管理加密密钥和证书的发布,并提供诸如密钥管理(包括 密钥更新,密钥恢复和密钥委托等)、证书管理(包括证书产生和撤销等)和策略管理等。PKI产品也允许一个组织通过证书级别或直接交叉认证等方式来同其他 安全域建立信任关系。这些服务和信任关系不能局限于独立的网络之内,而应建立在网络之间和Internet之上,为电子商务和网络通信提供安全保障,所以 具有互操作性的结构化和标准化技术成为PKI的核心

PKI在实际应用上是一套软硬件系统和安全策略的集合,它提供了一整套安全机制,使用户在不知道对方身份或分布地很广的情况下,以证书为基础,通过一系列的信任关系进行通讯和电子商务交易。

 

https://blog.csdn.net/carolzhang8406/article/details/79458206

 

2017-02-05 22:34:33 scuyxi 阅读数 683
  • Windows Server 2012 R2 服务器应用与架站(中级全套...

    全套视频共分为9种企业常见应用服务器构建与管理,每一章节从初级讲起,做到全方位技术提高,内容包括DHCP 服务器搭建与管理、DNS服务器搭建与管理、IIS服务器的搭建与管理、PKI与SSL网站搭建与管理、FTP服务器的搭建与管理、打印服务器的设置与管理、WSUS服务器部署与更新程序、故障转移群集服务器的搭建与管理、网络负载平衡群集(NLBC)服务器的搭建与管理。

    10576 人正在学习 去看看 深博

PKI概念

PKI(Public Key Infrastructure)即”公钥基础设施”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系.
PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。

PKI组成

1. 认证中心CA(证书签发)

CA是PKI的”核心”,即数字证书的申请及签发机关。
CA的核心功能就是”发放”和”管理”数字证书
CA必须具备权威性的特征,它负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份。
CA还要负责用户证书的黑名单登记和黑名单发布

2. X.500目录服务器(证书保存)

X.500目录服务器用于”发布”用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。

3. 具有高强度密码算法(SSL)的安全WWW服务器(即配置了HTTPS的apache)

Secure socket layer(SSL)协议最初由Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

4. Web(安全通信平台)

Web有Web Client端和Web Server端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。

5. 自开发安全应用系统

自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI包括:
1) 认证政策的制定,包括
1.1) 遵循的技术标准
1.2) 各CA 之间的上下级或同级关系
1.3) 安全策略
1.4) 安全程度
1.5) 服务对象
1.6) 管理原则和框架等
2) 认证规则
3) 运作制度的制定
4) 所涉及的各方法律关系内容
5) 技术的实现等

2017-10-17 08:53:24 wwt18811707971 阅读数 1514
  • Windows Server 2012 R2 服务器应用与架站(中级全套...

    全套视频共分为9种企业常见应用服务器构建与管理,每一章节从初级讲起,做到全方位技术提高,内容包括DHCP 服务器搭建与管理、DNS服务器搭建与管理、IIS服务器的搭建与管理、PKI与SSL网站搭建与管理、FTP服务器的搭建与管理、打印服务器的设置与管理、WSUS服务器部署与更新程序、故障转移群集服务器的搭建与管理、网络负载平衡群集(NLBC)服务器的搭建与管理。

    10576 人正在学习 去看看 深博

1.定义

(1)PKI:

公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因 此,对PKI技术的研究和开发成为目前信息安全领域的热点。

PKI是以不对称加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵抗性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其安全基础之一是证书中的用户信息与真实用户一一对应。而密钥管理机制的不完善成为制约PKI系统发展的最大因素。常见的解决方法是将智能卡和PIN 认证技术相结合,利用PIN 码来保护私钥安全。

PKI 既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为 PKI。

(2)公钥加密技术:

加密是保护数据的科学方法。加密算法在数学上结合了输入的文本数据和一个加密密钥,产生加密的数据(密文)。通过一个好的加密算法,通过密文进行反向加密过程,产生原文就不是那么容易了,需要一个解密密钥来执行相应的转换。密码技术按照加解密所使用的密钥相同与否,分为对称密码学和非对称密码学,前者加解密所使用的密钥是相同的,而后者加解密所使用的密钥是不相同的,即一个秘密的加密密钥(签字密钥)和一个公开的解密密钥(验证密钥)。在传统密码体制中,用于加密的密钥和用于解密的密钥完全相同,通过这两个密钥来共享信息。这种体制所使用的加密算法比较简单,但高效快速,密钥简短,破译困难。然而密钥的传送和保管是一个问题。例如,通讯双方要用同一个密钥加密与解密,首先,将密钥分发出去是一个难题,在不安全的网络上分发密钥显然是不合适的;另外,任何一方将密钥泄露,那么双方都要重新启用新的密钥。

(3)加密算法:

加密可以分为对称加密和非对称加密。两者的主要区别就是是否使用同一个秘钥,对称加密需要用同一个秘钥。非对称加密不需要用同一个秘钥,而是需要两个秘钥:公开密钥(publickey)和私有密钥(privatekey),并且加密密钥和解密密钥是成对出现的。

对称加密:

对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。对称加密有很多种算法,由于它效率很高,所以被广泛使用在很多加密协议的核心当中。不足之处是,交易双方都使用同样钥匙,安全性得不到保证。常见的对称加密有 DES、AES 等。

非对称加密:

非对称加密使用一对“私钥-公钥”,用私钥加密的内容只有对应公钥才能解开,反之亦然。非对称加密有以下特性:
对于一个公钥,有且只有一个对应的私钥;
公钥是公开的,并且不能通过公钥反推出私钥;
通过私钥加密的密文只能通过公钥能解密,通过公钥加密的密文也只能通过私钥能解密。

非对称加密不需要共享同一份秘钥,安全性要比对称加密高,但由于算法强度比对称加密复杂,加解密的速度比对称加解密的速度要慢。常见的非对称加密有 RSA、ESA、ECC 等。

(4)数字签名:

数字签名是基于非对称加密方法来实现的。数字签名就是用摘要算法提取出源文件的摘要并用私钥进行加密后的内容。如:在发送文件时再附带上源文件的数字签名。如果被黑客截取到加密后的文件和数字签名,黑客即使使用公钥解出了文件摘要,由于摘要算法的特性黑客也无法还原出原始内容。但接收者可以解密出文件内容再用同样的摘要算法提取出摘要来和数字签名里的摘要进行比对,摘要一致则说明文件没有被篡改过

数字签名必须保证以下几点:
 
接收者能够核实发送者对报文的签名;发送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。

(5)数字证书:

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

数字证书里一般会包含公钥、公钥拥有者名称、CA 的数字签名、有效期、授权中心名称、证书序列号等信息。

数字证书如何确保列出的用户就是公钥的拥有者呢?关键点是 CA 的数字签名,CA会用自己的私钥将证书内容的摘要进行加密。因为 CA 的公钥是公开的,任何人都可以用公钥解密出 CA 的数字签名的摘要,再用同样的摘要算法提取出证书的摘要和解密 CA 数字签名后的摘要比对,一致则说明这个证书没有被篡改过,可以信任。

利用数字证书,配合相应的安全代理软件,可以在网上信息交易过程中检验对方的身份真伪,实现信息交易双方的身份真伪,为保证交易信息的真实性、完整性、机密性和不可否认性。数字证书提供了PKI的基础。

2.PKI组成

PKI是一个标准,它包括一些基本的组件,不同的组件提供不同的服务,主要由一下几个组件组成:

认证中心 CA(证书签发): CA 机构,又称为证书授证 (Certificate Authority) 中心,是 PKI 的”核心”,即数字证书的申请及签发机关,CA 必须具备权威性的特征,它负责管理 PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA 还要负责用户证书的黑名单登记和黑名单发布。

CA 是PKI的核心。它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供密钥管理和证书在线查询等服务。

X.500目录服务器(证书保存): X.500目录服务器用于”发布”用户的证书和黑名单信息,用户可通过标准的 LDAP 协议查询自己或其他人的证书和下载黑名单信息。

具有高强度密码算法(SSL)的安全 WWW 服务器(即配置了 HTTPS 的apache): Secure socket layer(SSL)协议最初由 Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

Web(安全通信平台): Web 有 Web Client 端和 Web Server 端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的 SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。

自开发安全应用系统:自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。

这里写图片描述

一个典型的PKI系统如上图所示。当中包含PKI策略、软硬件系统、证书机构CA、注冊机构RA、证书公布系统和PKI应用等。

3.生物识别与PKI技术

随着软件、硬件以及生物统计学的发展,生物识别技术逐渐普及到我们的生活中。指纹识别是运用最多的技术之一,在支付行业中如ApplePay、Huawei Pay、Sumsang Pay等均是使用指纹识别技术。现实生活中,办公打卡、门禁也广泛使用到指纹识别技术。除此之外,人脸识别技术也得到了广泛的使用。由此可见,生物识别技术已经从遥不可及变为触手可及。我们可以通过生物识别的各类技术,去避免比如到有些酒店刷门禁卡刷几遍仍不通过的尴尬情景;在智能家居领域,也可以通过人脸识别+步态分析以及指纹验证等技术手段体验到智能居家的安全便捷。

生物识别技术结合PKI数字证书技术,可以形成多证据链、多因子的安全认证过程。这是我们和主流生物识别厂商在金融领域合作的一个典型的方案,在信用卡网申过程中,利用生物识别技术和网络身份认证服务,能够核验用户身份,通过活体检测能保证人证合一,根据使用场景,系统采用场景证书对采集的资料进行签名、加密,整个过程简单易用,不仅安全可靠,同时又符合监管要求。

参考:

1.PKI技术原理(收集 整理 归纳)

2.PKI系统深入介绍

3.互联网安全之数字签名、数字证书与PKI系统

4.PKI Public Key Infrastructure公钥基础设施

5.生物识别与PKI技术在支付应用安全中的探讨

2008-06-30 23:49:00 tidus2005 阅读数 1396
  • Windows Server 2012 R2 服务器应用与架站(中级全套...

    全套视频共分为9种企业常见应用服务器构建与管理,每一章节从初级讲起,做到全方位技术提高,内容包括DHCP 服务器搭建与管理、DNS服务器搭建与管理、IIS服务器的搭建与管理、PKI与SSL网站搭建与管理、FTP服务器的搭建与管理、打印服务器的设置与管理、WSUS服务器部署与更新程序、故障转移群集服务器的搭建与管理、网络负载平衡群集(NLBC)服务器的搭建与管理。

    10576 人正在学习 去看看 深博

PKI(Public Key Infrastructure 的缩写)即"公开密钥体系",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。

原有的单密钥加密技术采用特定加密密钥加密数据,而解密时用于解密的密钥与加密密钥相同,这称之为对称型加密算法。采用此加密技术的理论基础的加密方法如果用于网络传输数据加密,则不可避免地出现安全漏洞。因为在发送加密数据的同时,也需要将密钥通过网络传输通知接收者,第三方在截获加密数据的同时,只需再截取相应密钥即可将数据解密使用或进行非法篡改。

区别于原有的单密钥加密技术,PKI采用非对称的加密算法,即由原文加密成密文的密钥不同于由密文解密为原文的密钥,以避免第三方获取密钥后将密文解密。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。

PKI的概念与服务

阅读数 2396

没有更多推荐了,返回首页