pki技術(shù)及其發(fā)展現(xiàn)狀_第1頁
已閱讀1頁,還剩7頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、PKIPKI技術(shù)及其發(fā)展現(xiàn)狀技術(shù)及其發(fā)展現(xiàn)狀一、安全基礎(chǔ)設(shè)施普業(yè)適性基礎(chǔ)就是一個大環(huán)境例如公司組織的基目本框架,一個基礎(chǔ)設(shè)施可視作一個普適性基礎(chǔ)。電力供應(yīng)基礎(chǔ)設(shè)施就是我們熟悉的一個例子。電源插座可以讓各種電力設(shè)備獲得運行所需要的電壓和電流?;A(chǔ)設(shè)施所遵循的原理是:只要遵循需要的原則,不同的實體就可以方便地使用基礎(chǔ)設(shè)施所提供的服務(wù)。用于安全的基礎(chǔ)設(shè)施必須遵循同樣的原理,同樣是要提供基礎(chǔ)服務(wù)。安全基礎(chǔ)設(shè)施就是為整個組織(“組織”是可以被定義

2、的)提供安全的基本框架,可以被組織中任何需要安全的應(yīng)用和對象使用。安全基礎(chǔ)設(shè)施的“接入點”必須是統(tǒng)一的,便于使用(就象墻上的電源插座一樣)。只有這樣,那些需要使用這種基礎(chǔ)設(shè)施的對象在使用安全服務(wù)時,才不會遇到太多的麻煩。安全基礎(chǔ)設(shè)施的主要目標(biāo)就是實現(xiàn)“應(yīng)用支撐”的功能。從某種意義上說,電力系統(tǒng)就是一個應(yīng)用支撐,它可以讓“應(yīng)用”,如烤面包機、電燈正常地工作。進(jìn)一步地講,由于電力基礎(chǔ)設(shè)施具有通用性和實用性的特點,使它能支撐新的“應(yīng)用”(如吹

3、風(fēng)機),而這些“應(yīng)用”在電力基礎(chǔ)設(shè)施設(shè)計的時候,還沒有出現(xiàn)。安全基礎(chǔ)設(shè)施能夠讓應(yīng)用程序增強自己的數(shù)據(jù)和資源的安全以及與其它數(shù)據(jù)和資源交換中的安全。怎樣使增加安全功能變得簡單、易于實現(xiàn)是最有用的。甚至可以說,使用安全基礎(chǔ)設(shè)施應(yīng)當(dāng)象將電器設(shè)備插入墻上的插座一樣簡單:(1)具有易于使用、眾所周知的界面;(2)基礎(chǔ)設(shè)施提供的服務(wù)可預(yù)測且有效;證書來捆綁日的身份和公鑰,但除非A能容易地找到證書,否貝lJ和沒有創(chuàng)建證書一樣。必須存在某種魯棒的、規(guī)模

4、可擴(kuò)充的在線資料庫系統(tǒng),以便A能找到安全通信需要的證書。所以證書私鑰丟失,這些文件將無法恢復(fù),可能會對這次業(yè)務(wù)造成嚴(yán)重傷害甚至停止。一個解決方案是為多個接收者加密所有數(shù)據(jù),但對于高度敏感數(shù)據(jù),這k個方法是不可行的。一個更尸可行和通用的可接受的方法是備份并能恢復(fù)私鑰。(4)自動密鑰更新。一個證書的有效期是有限的,這既可能是理論上的原因,諸如關(guān)于當(dāng)前非和密鑰長度進(jìn)行分析的知識現(xiàn)狀,也可能是基于實際估計的因素(“我們頻繁地變換密鑰,以保證每個

5、密鑰只保護(hù)x兆字節(jié)的數(shù)據(jù)”)??墒菬o論是什么原因,在很多戶K)環(huán)境中,一個已頒發(fā)的證書需要“過期”,以便更換新的證書,這個過程被稱為“密鑰更新或證書更新”。絕大多數(shù)PKI用戶發(fā)現(xiàn)用手工操作的方式定期更新自己的證書是一件令人頭痛的事情。用戶常常忘記自己證書過期的時間,他們往往是在認(rèn)證失敗時才發(fā)現(xiàn)問題,屆時顯得太晚了。除非用戶完成了密鑰更新過程,否則他們無法獲得PKI的相關(guān)服務(wù)。進(jìn)一步地講,當(dāng)用戶處于這種狀態(tài),更新過程更為復(fù)雜,要求與CA帶

6、外交換數(shù)據(jù)(類似于初始化過程)。解決方法是由PKI本身自動完成密鑰或證書的更新,完全無須用戶的干預(yù)。無論是用戶的證書用于何種目的,都會檢查有效期,當(dāng)失效日期到來時,啟動更新過程,生成一個新證書來代替舊證書,但用戶請求的事物處理繼續(xù)進(jìn)行。(5)密鑰歷史檔案。密鑰更新(無論是人為還是自動)的概念,意味著經(jīng)過一段時間,每個用戶都會擁有多個“舊”證書和至少一個“當(dāng)前”的證書。這一系列證書和相應(yīng)的私鑰組成用戶的密鑰歷史檔案(可能應(yīng)當(dāng)更正確地稱為密

7、鑰和證書歷史)。記錄整個密鑰歷史是十分重要的。因為A自己五年前加密的數(shù)據(jù)(或其他人為A加密的數(shù)據(jù))無法用現(xiàn)在的私鑰解密。A需要從他的密鑰歷史檔案中找到正確的解密密鑰來解密數(shù)據(jù)。類似地,需要從密鑰歷史檔案中找到合適的證書驗證A五年前的簽名。類似于密鑰更新,管理密鑰歷史檔案也應(yīng)當(dāng)由PKI自動完成。在任何系統(tǒng)中,需要用戶自己查找正確的私鑰或用每個密鑰去嘗試解密數(shù)據(jù),這對用戶來說是無法容忍的。PKI必須保存所有密鑰,以便正確的備份和恢復(fù)密鑰,查

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論