登錄
注冊
PKI技術專題:5、產品與技術
作者: 徐佳 荊繼武
來源:RFID世界網
日期:2005-08-01 10:18:28
摘要:PKI技術專題:5、產品與技術
網絡世界與現實世界的區別有很重要的兩點:開放性和匿名性。這兩個特點使得網絡世界如此的迷人,但也正是這兩點給網絡世界帶來了巨大的安全風險,而PKI技術正是解決此問題的一把鑰匙。
隨著Internet的迅猛發展與普及,每天都有不少公司和個人都在利用Internet進行在線交易;雇員們通過電子郵件和計算機網絡共享文件和信息;人們在自己家里的計算機上更新銀行戶頭。但所有的應用都必須有安全保障。
PKI技術的廣泛應用就正好能滿足人們對網絡交易安全保障的需求。當然,作為一種基礎設施,PKI的應用范圍非常廣泛,并且在不斷發展之中,這里主要介紹當前技術領域里PKI技術的幾個比較典型的應用實例。
一、 虛擬專用網絡(VPN)—— PKI with IPSec
在過去幾年中,VPN越來越為企業所青睞。它是一種架構在公用通信基礎設施上的專用數據通信網絡,利用網絡層安全協議(尤其是IPSec)和建立在PKI上的加密與簽名技術來獲得私有性。同租用線路等方法相比,VPN既節省開銷又易于安裝和使用,已經成為企業架構Intranet和Extranet的首選。
通常,企業在架構VPN時都會利用防火墻和訪問控制技術來提高VPN的安全性,這只解決了很少一部分問題,而一個現代VPN所需要的安全保障,如認證、機密、完整、不可否認以及易用性等都需要采用更完善的安全技術。具體來說,口令用來防止未授權的個人直接訪問敏感數據,而防火墻用來防止公司以外的未授權個人訪問公司內部信息,然而這種安全技術也存在很多漏洞。首先,它對來自內部的攻擊根本束手無策,而且在公司內部,口令又是如此的脆弱。(統計結果表明,世界范圍內的安全損失絕大部分來自內部攻擊。)其次,訪問控制并不能保證傳輸數據的安全性,數據在網絡上傳播時,無論是內部網還是外部網,任何一個人都可以進行截取或篡改,甚至通信的雙方對這種截取或篡改可能根本一無所知。另外,如果要進行網上交易,必然會遇到更多的安全問題,如不可否認性,這類問題也不是防火墻和口令所能解決的。
幸運的是,在過去的十幾年中,公鑰密碼學的發展使得以上安全要求可以被很好地滿足。從廣義上講,這就是PKI技術,它幫助企業在開放網絡上實現現實世界里的安全機制,甚至可以極大地改進其安全特性。信封和專門的信使被成熟的數據加密技術所替代,這可以保證其內容只有接受方能讀取;手寫簽名和印章被數字簽名所替代,這不僅能保證信息是來自于某個實體,而且能保證信息在傳遞過程中沒有被修改過;身份證明,如護照、身份證、執照等可以被數字證書所替代,這也就是所謂的數字ID;最后,各種用于集中化控制、審計和授權的機制,如由政策機構、行業協會或會計師事務所提供的審計和授權,都可以被數字世界里負責管理加密、簽名和數字ID的基礎設施所替代。
就技術而言,除了基于防火墻的VPN之外,還可以有其他的結構方式,如基于黑盒的VPN、基于路由器的VPN、基于遠程訪問的VPN或者基于軟件的VPN。現實中構造的VPN往往并不局限于一種單一的結構,而是趨向于采用混合結構方式,以達到最適合具體環境、最理想的效果。在實現上,VPN的基本思想是采用秘密通信通道,用加密的方法來實現。具體協議一般有三種:PPTP、L2TP和IPSec。
其中,PPTP(Point-to-Point Tunneling Protocol)是點對點的協議,基于撥號使用的PPP協議使用PAP或CHAP之類的加密算法,或者使用Microsoft的點對點加密算法MPPE。 而L2TP(Layer 2 Tunneling Protocol)是L2FP(Layer 2 Forwarding Protocol)和PPTP的結合,依賴PPP協議建立撥號連接,加密的方法也類似于PPTP,但這是一個兩層的協議,可以支持非IP協議數據包的傳輸,如ATM或X.25,因此也可以說L2TP是PPTP在實際應用環境中的推廣。
無論是PPTP,還是L2TP,它們對現代安全需求的支持都不夠完善,應用范圍也不夠廣泛。事實上,缺乏PKI技術所支持的數字證書,VPN也就缺少了最重要的安全特性。簡單地說,數字證書可以被認為是用戶的護照,使得他(她)有權使用VPN,證書還為用戶的活動提供了審計機制。缺乏數字證書的VPN對認證、完整性和不可否認性的支持相對而言要差很多。
基于PKI技術的IPSec協議現在已經成為架構VPN的基礎,它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經過加密和認證的通信。雖然它的實現會復雜一些,但其安全性比其他協議都完善得多。由于IPSec是IP層上的協議,因此很容易在全世界范圍內形成一種規范,具有非常好的通用性,而且IPSec本身就支持面向未來的協議——IPv6。總之,IPSec還是一個發展中的協議,隨著成熟的公鑰密碼技術越來越多地嵌入到IPSec中,相信在未來幾年內,該協議會在VPN世界里扮演越來越重要的角色。
二、 安全電子郵件—— PKI with S/MIME
作為Internet上最有效的應用,電子郵件憑借其易用、低成本和高效已經成為現代商業中的一種標準信息交換工具。隨著Internet的持續增長,商業機構或政府機構都開始用電子郵件交換一些秘密的或是有商業價值的信息,這就引出了一些安全方面的問題,包括
* 消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或截掉;
* 沒有辦法可以確定一封電子郵件是否真的來自某人,也就是說,發信者的身份可能被人偽造。
前一個問題是安全,后一個問題是信任,正是由于安全和信任的缺乏使得公司、機構一般都不用電子郵件交換關鍵的商務信息,雖然電子郵件本身有著如此之多的優點。
其實,電子郵件的安全需求也是機密、完整、認證和不可否認,而這些都可以利用PKI技術來獲得。具體來說,利用數字證書和私鑰,用戶可以對他所發的郵件進行數字簽名,這樣就可以獲得認證、完整性和不可否認性,如果證書是由其所屬公司或某一可信第三方頒發的,收到郵件的人就可以信任該郵件的來源,無論他是否認識發郵件的人;另一方面,在政策和法律允許的情況下,用加密的方法就可以保障信息的保密性。
現實中,PGP加密已經在電子郵件通信中得到了一定范圍內的應用,這也是一種公鑰加密體制,但所使用的范圍比較狹窄,需要通信雙方事先溝通。而基于PKI的安全電子郵件則具有普遍意義,因為PKI的用戶群可以是開放的。
目前發展很快的安全電子郵件協議是S/MIME (The Secure Multipurpose InternetMail Extension),這是一個允許發送加密和有簽名郵件的協議。該協議的實現需要依賴于PKI技術。
三、 Web安全——PKI with SSL
瀏覽Web頁面或許是人們最常用的訪問Internet的方式。一般的瀏覽也許并不會讓人產生不妥的感覺,可是當您填寫表單數據時,您有沒有意識到您的私人敏感信息可能被一些居心叵測的人截獲,而如果您或您的公司要通過Web進行一些商業交易,您又如何保證交易的安全呢?
一般來講,Web上的交易可能帶來的安全問題有:
* 詐騙:建立網站是一件很容易也花錢不多的事,有人甚至直接拷貝別人的頁面。因此偽裝一個商業機構非常簡單,然后它就可以讓訪問者填一份詳細的注冊資料,還假裝保證個人隱私,而實際上就是為了獲得訪問者的隱私。調查顯示,郵件地址和信用卡號的泄漏大多是如此這般。
* 泄漏:當交易的信息在網上赤裸裸的傳播時,竊聽者可以很容易地截取并提取其中的敏感信息。
* 篡改:截取了信息的人還可以做一些更高明的工作,他可以替換其中某些域的值,如姓名、信用卡號甚至金額,以達到自己的目的。
* 攻擊:主要是對Web服務器的攻擊,例如著名的DDOS(分布式拒絕服務攻擊)。攻擊的發起者可以是心懷惡意的個人,也可以是同行的競爭者。
為了透明地解決Web的安全問題,最合適的入手點是瀏覽器。現在,無論是Internet Explorer還是Netscape Navigator,都支持SSL協議(The Secure Sockets Layer)。這是一個在傳輸層和應用層之間的安全通信層,在兩個實體進行通信之前,先要建立SSL連接,以此實現對應用層透明的安全通信。利用PKI技術,SSL協議允許在瀏覽器和服務器之間進行加密通信。此外還可以利用數字證書保證通信安全,服務器端和瀏覽器端分別由可信的第三方頒發數字證書,這樣在交易時,雙方可以通過數字證書確認對方的身份。需要注意的是,SSL協議本身并不能提供對不可否認性的支持,這部分的工作必須由數字證書完成。
結合SSL協議和數字證書,PKI技術可以保證Web交易多方面的安全需求,使Web上的交易和面對面的交易一樣安全。
四、 更廣泛的應用
電子商務這個詞對我們來說早已不再陌生,然而它的發展有哪些技術上的障礙呢?硬件、軟件或者帶寬?其實,電子商務的核心問題是安全問題,雖然它有潛在的巨大市場和廉價的成本,但出于對風險的考慮,一個謹慎的商家也不會在一個開放和匿名的環境里進行有一定規模和效益的商業行為。
PKI技術正是解決電子商務安全問題的關鍵,綜合PKI的各種應用,我們可以建立一個可信任和足夠安全的網絡。在這里,我們有可信的認證中心,典型的如銀行、政府或其他第三方。在通信中,利用數字證書可消除匿名帶來的風險,利用加密技術可消除開放網絡帶來的風險,這樣,商業交易就可以安全可靠地在網上進行。
網上商業行為只是PKI技術目前比較熱門的一種應用,必須看到,PKI還是一門處于發展中的技術。例如,除了對身份認證的需求外,現在又提出了對交易時間戳的認證需求。PKI的應用前景也決不僅限于網上的商業行為,事實上,網絡生活中的方方面面都有PKI的應用天地,不只在有線網絡,甚至在無線通信中,PKI技術都已經得到了廣泛的應用。
隨著Internet的迅猛發展與普及,每天都有不少公司和個人都在利用Internet進行在線交易;雇員們通過電子郵件和計算機網絡共享文件和信息;人們在自己家里的計算機上更新銀行戶頭。但所有的應用都必須有安全保障。
PKI技術的廣泛應用就正好能滿足人們對網絡交易安全保障的需求。當然,作為一種基礎設施,PKI的應用范圍非常廣泛,并且在不斷發展之中,這里主要介紹當前技術領域里PKI技術的幾個比較典型的應用實例。
一、 虛擬專用網絡(VPN)—— PKI with IPSec
在過去幾年中,VPN越來越為企業所青睞。它是一種架構在公用通信基礎設施上的專用數據通信網絡,利用網絡層安全協議(尤其是IPSec)和建立在PKI上的加密與簽名技術來獲得私有性。同租用線路等方法相比,VPN既節省開銷又易于安裝和使用,已經成為企業架構Intranet和Extranet的首選。
通常,企業在架構VPN時都會利用防火墻和訪問控制技術來提高VPN的安全性,這只解決了很少一部分問題,而一個現代VPN所需要的安全保障,如認證、機密、完整、不可否認以及易用性等都需要采用更完善的安全技術。具體來說,口令用來防止未授權的個人直接訪問敏感數據,而防火墻用來防止公司以外的未授權個人訪問公司內部信息,然而這種安全技術也存在很多漏洞。首先,它對來自內部的攻擊根本束手無策,而且在公司內部,口令又是如此的脆弱。(統計結果表明,世界范圍內的安全損失絕大部分來自內部攻擊。)其次,訪問控制并不能保證傳輸數據的安全性,數據在網絡上傳播時,無論是內部網還是外部網,任何一個人都可以進行截取或篡改,甚至通信的雙方對這種截取或篡改可能根本一無所知。另外,如果要進行網上交易,必然會遇到更多的安全問題,如不可否認性,這類問題也不是防火墻和口令所能解決的。
幸運的是,在過去的十幾年中,公鑰密碼學的發展使得以上安全要求可以被很好地滿足。從廣義上講,這就是PKI技術,它幫助企業在開放網絡上實現現實世界里的安全機制,甚至可以極大地改進其安全特性。信封和專門的信使被成熟的數據加密技術所替代,這可以保證其內容只有接受方能讀取;手寫簽名和印章被數字簽名所替代,這不僅能保證信息是來自于某個實體,而且能保證信息在傳遞過程中沒有被修改過;身份證明,如護照、身份證、執照等可以被數字證書所替代,這也就是所謂的數字ID;最后,各種用于集中化控制、審計和授權的機制,如由政策機構、行業協會或會計師事務所提供的審計和授權,都可以被數字世界里負責管理加密、簽名和數字ID的基礎設施所替代。
就技術而言,除了基于防火墻的VPN之外,還可以有其他的結構方式,如基于黑盒的VPN、基于路由器的VPN、基于遠程訪問的VPN或者基于軟件的VPN。現實中構造的VPN往往并不局限于一種單一的結構,而是趨向于采用混合結構方式,以達到最適合具體環境、最理想的效果。在實現上,VPN的基本思想是采用秘密通信通道,用加密的方法來實現。具體協議一般有三種:PPTP、L2TP和IPSec。
其中,PPTP(Point-to-Point Tunneling Protocol)是點對點的協議,基于撥號使用的PPP協議使用PAP或CHAP之類的加密算法,或者使用Microsoft的點對點加密算法MPPE。 而L2TP(Layer 2 Tunneling Protocol)是L2FP(Layer 2 Forwarding Protocol)和PPTP的結合,依賴PPP協議建立撥號連接,加密的方法也類似于PPTP,但這是一個兩層的協議,可以支持非IP協議數據包的傳輸,如ATM或X.25,因此也可以說L2TP是PPTP在實際應用環境中的推廣。
無論是PPTP,還是L2TP,它們對現代安全需求的支持都不夠完善,應用范圍也不夠廣泛。事實上,缺乏PKI技術所支持的數字證書,VPN也就缺少了最重要的安全特性。簡單地說,數字證書可以被認為是用戶的護照,使得他(她)有權使用VPN,證書還為用戶的活動提供了審計機制。缺乏數字證書的VPN對認證、完整性和不可否認性的支持相對而言要差很多。
基于PKI技術的IPSec協議現在已經成為架構VPN的基礎,它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經過加密和認證的通信。雖然它的實現會復雜一些,但其安全性比其他協議都完善得多。由于IPSec是IP層上的協議,因此很容易在全世界范圍內形成一種規范,具有非常好的通用性,而且IPSec本身就支持面向未來的協議——IPv6。總之,IPSec還是一個發展中的協議,隨著成熟的公鑰密碼技術越來越多地嵌入到IPSec中,相信在未來幾年內,該協議會在VPN世界里扮演越來越重要的角色。
二、 安全電子郵件—— PKI with S/MIME
作為Internet上最有效的應用,電子郵件憑借其易用、低成本和高效已經成為現代商業中的一種標準信息交換工具。隨著Internet的持續增長,商業機構或政府機構都開始用電子郵件交換一些秘密的或是有商業價值的信息,這就引出了一些安全方面的問題,包括
* 消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或截掉;
* 沒有辦法可以確定一封電子郵件是否真的來自某人,也就是說,發信者的身份可能被人偽造。
前一個問題是安全,后一個問題是信任,正是由于安全和信任的缺乏使得公司、機構一般都不用電子郵件交換關鍵的商務信息,雖然電子郵件本身有著如此之多的優點。
其實,電子郵件的安全需求也是機密、完整、認證和不可否認,而這些都可以利用PKI技術來獲得。具體來說,利用數字證書和私鑰,用戶可以對他所發的郵件進行數字簽名,這樣就可以獲得認證、完整性和不可否認性,如果證書是由其所屬公司或某一可信第三方頒發的,收到郵件的人就可以信任該郵件的來源,無論他是否認識發郵件的人;另一方面,在政策和法律允許的情況下,用加密的方法就可以保障信息的保密性。
現實中,PGP加密已經在電子郵件通信中得到了一定范圍內的應用,這也是一種公鑰加密體制,但所使用的范圍比較狹窄,需要通信雙方事先溝通。而基于PKI的安全電子郵件則具有普遍意義,因為PKI的用戶群可以是開放的。
目前發展很快的安全電子郵件協議是S/MIME (The Secure Multipurpose InternetMail Extension),這是一個允許發送加密和有簽名郵件的協議。該協議的實現需要依賴于PKI技術。
三、 Web安全——PKI with SSL
瀏覽Web頁面或許是人們最常用的訪問Internet的方式。一般的瀏覽也許并不會讓人產生不妥的感覺,可是當您填寫表單數據時,您有沒有意識到您的私人敏感信息可能被一些居心叵測的人截獲,而如果您或您的公司要通過Web進行一些商業交易,您又如何保證交易的安全呢?
一般來講,Web上的交易可能帶來的安全問題有:
* 詐騙:建立網站是一件很容易也花錢不多的事,有人甚至直接拷貝別人的頁面。因此偽裝一個商業機構非常簡單,然后它就可以讓訪問者填一份詳細的注冊資料,還假裝保證個人隱私,而實際上就是為了獲得訪問者的隱私。調查顯示,郵件地址和信用卡號的泄漏大多是如此這般。
* 泄漏:當交易的信息在網上赤裸裸的傳播時,竊聽者可以很容易地截取并提取其中的敏感信息。
* 篡改:截取了信息的人還可以做一些更高明的工作,他可以替換其中某些域的值,如姓名、信用卡號甚至金額,以達到自己的目的。
* 攻擊:主要是對Web服務器的攻擊,例如著名的DDOS(分布式拒絕服務攻擊)。攻擊的發起者可以是心懷惡意的個人,也可以是同行的競爭者。
為了透明地解決Web的安全問題,最合適的入手點是瀏覽器。現在,無論是Internet Explorer還是Netscape Navigator,都支持SSL協議(The Secure Sockets Layer)。這是一個在傳輸層和應用層之間的安全通信層,在兩個實體進行通信之前,先要建立SSL連接,以此實現對應用層透明的安全通信。利用PKI技術,SSL協議允許在瀏覽器和服務器之間進行加密通信。此外還可以利用數字證書保證通信安全,服務器端和瀏覽器端分別由可信的第三方頒發數字證書,這樣在交易時,雙方可以通過數字證書確認對方的身份。需要注意的是,SSL協議本身并不能提供對不可否認性的支持,這部分的工作必須由數字證書完成。
結合SSL協議和數字證書,PKI技術可以保證Web交易多方面的安全需求,使Web上的交易和面對面的交易一樣安全。
四、 更廣泛的應用
電子商務這個詞對我們來說早已不再陌生,然而它的發展有哪些技術上的障礙呢?硬件、軟件或者帶寬?其實,電子商務的核心問題是安全問題,雖然它有潛在的巨大市場和廉價的成本,但出于對風險的考慮,一個謹慎的商家也不會在一個開放和匿名的環境里進行有一定規模和效益的商業行為。
PKI技術正是解決電子商務安全問題的關鍵,綜合PKI的各種應用,我們可以建立一個可信任和足夠安全的網絡。在這里,我們有可信的認證中心,典型的如銀行、政府或其他第三方。在通信中,利用數字證書可消除匿名帶來的風險,利用加密技術可消除開放網絡帶來的風險,這樣,商業交易就可以安全可靠地在網上進行。
網上商業行為只是PKI技術目前比較熱門的一種應用,必須看到,PKI還是一門處于發展中的技術。例如,除了對身份認證的需求外,現在又提出了對交易時間戳的認證需求。PKI的應用前景也決不僅限于網上的商業行為,事實上,網絡生活中的方方面面都有PKI的應用天地,不只在有線網絡,甚至在無線通信中,PKI技術都已經得到了廣泛的應用。
