发信人: rhine (有雨无风), 信区: E_Commerce
标 题: [转载] PKI奠定身份认证基础
发信站: 哈工大紫丁香 (Sun Aug 27 17:25:55 2000), 转信
发信人: kea (多多), 信区: E_commerce
发信站: BBS 水木清华站 (Wed Dec 15 23:44:54 1999)
PKI奠定身份认证基础
郝宇红
在网络环境下开展电子商务,身份认证是一个很重要的问题。PKI(公共密钥基础设
施)的设计目标是提供一个在线、可靠的身份认证环境。CA(Certificate Authority)
是PKI赖以工作的主要环节。如果准备进行电子商务或者希望加强系统的安全,PKI则是一
块法宝。
要想充分利用PKI的功能,就必须有一个全方位的安全策略。该策略应包括电子安全
手段(包括防火墙、入侵探测设备)和用于密钥存储及恢复的加密硬件。应从物理上限制
对运行该软件的控制台的访问,应保持24小时不间断的运行。
从本质上讲PKI实际是一个安全的贮藏室,用来以数字证明的方式存储用户信息和设
备的信息。数字证明由可靠的第三方签发,因此一个证明能够标识出该证明的呈送者,这
就是PKI的意义所在。PKI的价值体现在ERP应用、VPN、客户端SSL及其他一些应用中。例
如通过给一个证明附加属
性后,VPN设备就能使用该证明来指定加密算法及密钥生存期。电子商务可以通过使用证
明的属性来指定一个用户的购买限制,从而进行金融风险管理。
构筑PKI基础设施
PKI厂家一直在谈论在何处将电子身份标志和证明捆绑在一起,一个用户可以通过智
能界面无缝管理一个或多个证明。各厂家的成功与否取决于互操作性。
同时为了支持PKI,各CA厂家纷纷给出了用于应用开发的工具包和API,但是支持PKI
的应用经常只能和特定的CA协同工作。由于现存的标准不断变化,新的标准不断出现,CA
厂家、API开发商、应用程序厂家及服务提供商将在PKI的各个层次上不断合作,从而提供
无缝集成。证明管理协
议、客户端证明支持及令牌支持等,许多关键问题仍悬而未决。PKI产业的焦点已由基本
的协议互操作转向如何使用PKI解决复杂的商业模型。
CA/PKI组织结构
PKI不只是CA和数字证明相关应用的集合。PKI将两个或多个CA与组织内或与外部合作
伙伴具有某种关系的组织结合在一起。PKI使得电子信任成为可能,但无法强制执行这种
信任。建立这些关系模型需要一个结构,幸运的是这种结构已从平面拓扑转向等级拓扑结
构,从而能更好地塑造
企业组织模型。
理想上,所有PKI都至少有两个CA,这样即使遗失一个CA,密钥也不会使整个等级结
构全部失效。主CA持有该树的根密钥,它只用来签发子CA。子CA再为其他的子CA和终端用
户签发证明。RA(Registration
Authority)使得用户和分布式的管理员产生证明请求,一旦请求完成,终端用户就从CA
处得到签发的证明。
有两种方式可将若干CA纳入到PKI中:等级方式和对等方式。等级方式的模型适用于
复杂的PKI,它可提供一个构造良好的、模块化的、组织上易于扩展的结构。但这种模型
的根密钥很脆弱,一旦该密钥被瓦解,所有的证明都会失效,而其他分支的密钥被攻破后
,其危害要小得多。对等
方式的模型是在两个CA之间创建了一个直接的信任通道,它适用于CA较少的情况,不易扩
展。除非客户端强制执行某种限制,否则所有交叉认证的CA都是可信任的。但随着CA的增
多,管理负担迅速增长。
客户端的问题
客户端的一些高级特性,如令牌支持、共享证明存储,仍是一个难以解决的问题。
Windows
2000也许会带来转机,它支持PKI的功能,这对于厂家和用户来说都是一件好事。将复杂
性放在PKI中可减轻因用户采用证明而所需的手续。当然将PKI功能嵌入操作系统中也简化
了集成、管理和可用性的问题。
一些基本功能是不可能跨应用的。大多数基于Web管理的产品都需要一种特殊的浏览
器,因此管理者需要两个浏览器和两个密钥存储。当其他支持PKI的应用移到桌面时,还
需要另外的证明存储。
令牌卡包含安全证明存储和加密引擎。它解决了证明共享的问题,但它比较昂贵,而
且应用需要支持每个厂家的令牌卡。
今年下半年Netscape有望宣布它的Netscape Personal Security Manager,该应用可
自动产生终端用户PKI管理,并可无缝地嵌入Communicator Suite之中。
在何处保存证明的属性
证明不仅将身份标志提供给用户和应用,它还承载信息(在PKI会话中叫做属性),
这些信息告知证明自身的目的和其呈送者的信息。
这些由应用程序处理的属性包括身份标志、访问控制和环境设置。一个在线商店可发
布一个详述用户信息属性的证明,并将其和由独立CA发布的数字ID绑在一起。数字证明的
属性越多,其寿命就越短。当属性变化时,必须收回并重新签发。
那么怎样存放这些属性信息呢?一种方法是存放在目录下,需要时产生属性证明。这
样任何用户属性的变化都会立即反映在目录和属性证明中,证明的签发会增加服务器的负
载,增加属性需要管理员开放该目录的写权限。
另一种存储属信息的办法是把数字ID集中地存在一起或分布式地存在属性目录中。例
如,人才部给新员工签发了一个数字ID,当该员工上班时,网络管理员就会签发一个详述
该员工访问权限和其它部门信息的属性证明。这时只需将属性信息和人才部签发的该用户
的公共证明关连起来就
可以了。
当属性变更或证明需要回收时,长期的属性证明就增加了管理的负担,因为这时只要
变动签发的证明就会使其无效,因此简单的做法是使属性证明成为短期并经常重发。有效
期的长短取决于属性证明的用途及证明重发所需的费用和证明到期前被收回的可能性之间
的权衡,关键是将废弃
减低到最少并仍能及时反映属性的变化。
风险管理
如果PKI广泛地用于构建外部网,它就需要塑造和支持现存的商业关系。今日PKI还处
于实验性质或者小范围应用,但要真正实现电子商务,PKI必须在现实世界中实现同样类
型的法律合同,包括角色、责任、担保及追索权。这里的技术问题很容易,但要创造一个
低风险、低操作费用的P
KI是十分复杂的。机器之间可以相互信任,而人却做不到。你怎么保证你的商业伙伴是在
根据证明规范和证明操作的声明在运作CA呢?如果出现问题,PKI没有被有效地管理怎么
办?这些都是PKI无法解决的,但PKI仍有希望。
像Identrus这样的组织应允把金融机构确立的四方信任模型带给PKI应用。I
dentrus将风险管理、进程控制、法律权威和金融支持拿到国际委员会仲裁,各成员机构
必须执行统一的一套CA操作规则,并接受Identeus的审计。其他厂家建立PKI组织时,会
将不同组集中在一个CA之下,但
缺少风险管理和金融机构享有的现存关系。
究竟那种模式占上风尚不得而知,但有一点是明确的,那就是无缝的全球范围的PKI
不是垂手可得的。是应该把PKI放在外面呢,还是控制在手中呢?这取决于你的企业文化
、现存的安全策略及你要支持的商业需求。现在和未来的合作伙伴或许难以接受放在外面
的PKI,因为根证明不在
你的直接控制之下。但无论如何将PKI放在外面也有其优势,它解脱了运行安全PKI的负担
。
--
使 生 如 夏 花 之 绚 烂,死 如 秋 叶 之 静 美。
--
☆ 来源:.哈工大紫丁香 bbs.hit.edu.cn.[FROM: rhine.bbs@smth.org]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:12.043毫秒