網(wǎng)絡(luò)世界與現(xiàn)實(shí)世界的區(qū)別有很重要的兩點(diǎn):開放性和匿名性。這兩個(gè)特點(diǎn)使得網(wǎng)絡(luò)世界如此的迷人,但也正是這兩點(diǎn)給網(wǎng)絡(luò)世界帶來(lái)了巨大的安全風(fēng)險(xiǎn),而PKI技術(shù)正是解決此問(wèn)題的一把鑰匙。
　　隨著Internet的迅猛發(fā)展與普及,每天都有不少公司和個(gè)人都在利用Internet進(jìn)行在線交易;雇員們通過(guò)電子郵件和計(jì)算機(jī)網(wǎng)絡(luò)共享文件和信息;人們?cè)谧约杭依锏挠?jì)算機(jī)上更新銀行戶頭。但所有的應(yīng)用都必須有安全保障。
　　PKI技術(shù)的廣泛應(yīng)用就正好能滿足人們對(duì)網(wǎng)絡(luò)交易安全保障的需求。當(dāng)然,作為一種基礎(chǔ)設(shè)施,PKI的應(yīng)用范圍非常廣泛,并且在不斷發(fā)展之中,這里主要介紹當(dāng)前技術(shù)領(lǐng)域里PKI技術(shù)的幾個(gè)比較典型的應(yīng)用實(shí)例。
　　一、 虛擬專用網(wǎng)絡(luò)(VPN)—— PKI with IPSec
　　在過(guò)去幾年中,VPN越來(lái)越為企業(yè)所青睞。它是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專用數(shù)據(jù)通信網(wǎng)絡(luò),利用網(wǎng)絡(luò)層安全協(xié)議(尤其是IPSec)和建立在PKI上的加密與簽名技術(shù)來(lái)獲得私有性。同租用線路等方法相比,VPN既節(jié)省開銷又易于安裝和使用,已經(jīng)成為企業(yè)架構(gòu)Intranet和Extranet的首選。
　　通常,企業(yè)在架構(gòu)VPN時(shí)都會(huì)利用防火墻和訪問(wèn)控制技術(shù)來(lái)提高VPN的安全性,這只解決了很少一部分問(wèn)題,而一個(gè)現(xiàn)代VPN所需要的安全保障,如認(rèn)證、機(jī)密、完整、不可否認(rèn)以及易用性等都需要采用更完善的安全技術(shù)。具體來(lái)說(shuō),口令用來(lái)防止未授權(quán)的個(gè)人直接訪問(wèn)敏感數(shù)據(jù),而防火墻用來(lái)防止公司以外的未授權(quán)個(gè)人訪問(wèn)公司內(nèi)部信息,然而這種安全技術(shù)也存在很多漏洞。首先,它對(duì)來(lái)自內(nèi)部的攻擊根本束手無(wú)策,而且在公司內(nèi)部,口令又是如此的脆弱。(統(tǒng)計(jì)結(jié)果表明,世界范圍內(nèi)的安全損失絕大部分來(lái)自內(nèi)部攻擊。)其次,訪問(wèn)控制并不能保證傳輸數(shù)據(jù)的安全性,數(shù)據(jù)在網(wǎng)絡(luò)上傳播時(shí),無(wú)論是內(nèi)部網(wǎng)還是外部網(wǎng),任何一個(gè)人都可以進(jìn)行截取或篡改,甚至通信的雙方對(duì)這種截取或篡改可能根本一無(wú)所知。另外,如果要進(jìn)行網(wǎng)上交易,必然會(huì)遇到更多的安全問(wèn)題,如不可否認(rèn)性,這類問(wèn)題也不是防火墻和口令所能解決的。
　　幸運(yùn)的是,在過(guò)去的十幾年中,公鑰密碼學(xué)的發(fā)展使得以上安全要求可以被很好地滿足。從廣義上講,這就是PKI技術(shù),它幫助企業(yè)在開放網(wǎng)絡(luò)上實(shí)現(xiàn)現(xiàn)實(shí)世界里的安全機(jī)制,甚至可以極大地改進(jìn)其安全特性。信封和專門的信使被成熟的數(shù)據(jù)加密技術(shù)所替代,這可以保證其內(nèi)容只有接受方能讀取;手寫簽名和印章被數(shù)字簽名所替代,這不僅能保證信息是來(lái)自于某個(gè)實(shí)體,而且能保證信息在傳遞過(guò)程中沒(méi)有被修改過(guò);身份證明,如護(hù)照、身份證、執(zhí)照等可以被數(shù)字證書所替代,這也就是所謂的數(shù)字ID;最后,各種用于集中化控制、審計(jì)和授權(quán)的機(jī)制,如由政策機(jī)構(gòu)、行業(yè)協(xié)會(huì)或會(huì)計(jì)師事務(wù)所提供的審計(jì)和授權(quán),都可以被數(shù)字世界里負(fù)責(zé)管理加密、簽名和數(shù)字ID的基礎(chǔ)設(shè)施所替代。
　　就技術(shù)而言,除了基于防火墻的VPN之外,還可以有其他的結(jié)構(gòu)方式,如基于黑盒的VPN、基于路由器的VPN、基于遠(yuǎn)程訪問(wèn)的VPN或者基于軟件的VPN。現(xiàn)實(shí)中構(gòu)造的VPN往往并不局限于一種單一的結(jié)構(gòu),而是趨向于采用混合結(jié)構(gòu)方式,以達(dá)到最適合具體環(huán)境、最理想的效果。在實(shí)現(xiàn)上,VPN的基本思想是采用秘密通信通道,用加密的方法來(lái)實(shí)現(xiàn)。具體協(xié)議一般有三種:PPTP、L2TP和IPSec。
　　其中,PPTP(Point-to-Point Tunneling Protocol)是點(diǎn)對(duì)點(diǎn)的協(xié)議,基于撥號(hào)使用的PPP協(xié)議使用PAP或CHAP之類的加密算法,或者使用Microsoft的點(diǎn)對(duì)點(diǎn)加密算法MPPE。 而L2TP(Layer 2 Tunneling Protocol)是L2FP(Layer 2 Forwarding Protocol)和PPTP的結(jié)合,依賴PPP協(xié)議建立撥號(hào)連接,加密的方法也類似于PPTP,但這是一個(gè)兩層的協(xié)議,可以支持非IP協(xié)議數(shù)據(jù)包的傳輸,如ATM或X.25,因此也可以說(shuō)L2TP是PPTP在實(shí)際應(yīng)用環(huán)境中的推廣。
　　無(wú)論是PPTP,還是L2TP,它們對(duì)現(xiàn)代安全需求的支持都不夠完善,應(yīng)用范圍也不夠廣泛。事實(shí)上,缺乏PKI技術(shù)所支持的數(shù)字證書,VPN也就缺少了最重要的安全特性。簡(jiǎn)單地說(shuō),數(shù)字證書可以被認(rèn)為是用戶的護(hù)照,使得他(她)有權(quán)使用VPN,證書還為用戶的活動(dòng)提供了審計(jì)機(jī)制。缺乏數(shù)字證書的VPN對(duì)認(rèn)證、完整性和不可否認(rèn)性的支持相對(duì)而言要差很多。
　　基于PKI技術(shù)的IPSec協(xié)議現(xiàn)在已經(jīng)成為架構(gòu)VPN的基礎(chǔ),它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經(jīng)過(guò)加密和認(rèn)證的通信。雖然它的實(shí)現(xiàn)會(huì)復(fù)雜一些,但其安全性比其他協(xié)議都完善得多。由于IPSec是IP層上的協(xié)議,因此很容易在全世界范圍內(nèi)形成一種規(guī)范,具有非常好的通用性,而且IPSec本身就支持面向未來(lái)的協(xié)議——IPv6?？傊?IPSec還是一個(gè)發(fā)展中的協(xié)議,隨著成熟的公鑰密碼技術(shù)越來(lái)越多地嵌入到IPSec中,相信在未來(lái)幾年內(nèi),該協(xié)議會(huì)在VPN世界里扮演越來(lái)越重要的角色。
　　二、 安全電子郵件—— PKI with S/MIME
　　作為Internet上最有效的應(yīng)用,電子郵件憑借其易用、低成本和高效已經(jīng)成為現(xiàn)代商業(yè)中的一種標(biāo)準(zhǔn)信息交換工具。隨著Internet的持續(xù)增長(zhǎng),商業(yè)機(jī)構(gòu)或政府機(jī)構(gòu)都開始用電子郵件交換一些秘密的或是有商業(yè)價(jià)值的信息,這就引出了一些安全方面的問(wèn)題,包括
　　* 消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或截掉;
　　* 沒(méi)有辦法可以確定一封電子郵件是否真的來(lái)自某人,也就是說(shuō),發(fā)信者的身份可能被人偽造。
　　前一個(gè)問(wèn)題是安全,后一個(gè)問(wèn)題是信任,正是由于安全和信任的缺乏使得公司、機(jī)構(gòu)一般都不用電子郵件交換關(guān)鍵的商務(wù)信息,雖然電子郵件本身有著如此之多的優(yōu)點(diǎn)。
　　其實(shí),電子郵件的安全需求也是機(jī)密、完整、認(rèn)證和不可否認(rèn),而這些都可以利用PKI技術(shù)來(lái)獲得。具體來(lái)說(shuō),利用數(shù)字證書和私鑰,用戶可以對(duì)他所發(fā)的郵件進(jìn)行數(shù)字簽名,這樣就可以獲得認(rèn)證、完整性和不可否認(rèn)性,如果證書是由其所屬公司或某一可信第三方頒發(fā)的,收到郵件的人就可以信任該郵件的來(lái)源,無(wú)論他是否認(rèn)識(shí)發(fā)郵件的人;另一方面,在政策和法律允許的情況下,用加密的方法就可以保障信息的保密性。
　　現(xiàn)實(shí)中,PGP加密已經(jīng)在電子郵件通信中得到了一定范圍內(nèi)的應(yīng)用,這也是一種公鑰加密體制,但所使用的范圍比較狹窄,需要通信雙方事先溝通。而基于PKI的安全電子郵件則具有普遍意義,因?yàn)镻KI的用戶群可以是開放的。
　　目前發(fā)展很快的安全電子郵件協(xié)議是S/MIME (The Secure Multipurpose InternetMail Extension),這是一個(gè)允許發(fā)送加密和有簽名郵件的協(xié)議。該協(xié)議的實(shí)現(xiàn)需要依賴于PKI技術(shù)。
　　三、 Web安全——PKI with SSL
　　瀏覽Web頁(yè)面或許是人們最常用的訪問(wèn)Internet的方式。一般的瀏覽也許并不會(huì)讓人產(chǎn)生不妥的感覺(jué),可是當(dāng)您填寫表單數(shù)據(jù)時(shí),您有沒(méi)有意識(shí)到您的私人敏感信息可能被一些居心叵測(cè)的人截獲,而如果您或您的公司要通過(guò)Web進(jìn)行一些商業(yè)交易,您又如何保證交易的安全呢?
　　一般來(lái)講,Web上的交易可能帶來(lái)的安全問(wèn)題有:
　　* 詐騙:建立網(wǎng)站是一件很容易也花錢不多的事,有人甚至直接拷貝別人的頁(yè)面。因此偽裝一個(gè)商業(yè)機(jī)構(gòu)非常簡(jiǎn)單,然后它就可以讓訪問(wèn)者填一份詳細(xì)的注冊(cè)資料,還假裝保證個(gè)人隱私,而實(shí)際上就是為了獲得訪問(wèn)者的隱私。調(diào)查顯示,郵件地址和信用卡號(hào)的泄漏大多是如此這般。
　　* 泄漏:當(dāng)交易的信息在網(wǎng)上赤裸裸的傳播時(shí),竊聽者可以很容易地截取并提取其中的敏感信息。
　　* 篡改:截取了信息的人還可以做一些更高明的工作,他可以替換其中某些域的值,如姓名、信用卡號(hào)甚至金額,以達(dá)到自己的目的。
　　* 攻擊:主要是對(duì)Web服務(wù)器的攻擊,例如著名的DDOS(分布式拒絕服務(wù)攻擊)。攻擊的發(fā)起者可以是心懷惡意的個(gè)人,也可以是同行的競(jìng)爭(zhēng)者。
　　為了透明地解決Web的安全問(wèn)題,最合適的入手點(diǎn)是瀏覽器?，F(xiàn)在,無(wú)論是Internet Explorer還是Netscape Navigator,都支持SSL協(xié)議(The Secure Sockets Layer)。這是一個(gè)在傳輸層和應(yīng)用層之間的安全通信層,在兩個(gè)實(shí)體進(jìn)行通信之前,先要建立SSL連接,以此實(shí)現(xiàn)對(duì)應(yīng)用層透明的安全通信。利用PKI技術(shù),SSL協(xié)議允許在瀏覽器和服務(wù)器之間進(jìn)行加密通信。此外還可以利用數(shù)字證書保證通信安全,服務(wù)器端和瀏覽器端分別由可信的第三方頒發(fā)數(shù)字證書,這樣在交易時(shí),雙方可以通過(guò)數(shù)字證書確認(rèn)對(duì)方的身份。需要注意的是,SSL協(xié)議本身并不能提供對(duì)不可否認(rèn)性的支持,這部分的工作必須由數(shù)字證書完成。
　　結(jié)合SSL協(xié)議和數(shù)字證書,PKI技術(shù)可以保證Web交易多方面的安全需求,使Web上的交易和面對(duì)面的交易一樣安全。
　　四、 更廣泛的應(yīng)用
　　電子商務(wù)這個(gè)詞對(duì)我們來(lái)說(shuō)早已不再陌生,然而它的發(fā)展有哪些技術(shù)上的障礙呢?硬件、軟件或者帶寬?其實(shí),電子商務(wù)的核心問(wèn)題是安全問(wèn)題,雖然它有潛在的巨大市場(chǎng)和廉價(jià)的成本,但出于對(duì)風(fēng)險(xiǎn)的考慮,一個(gè)謹(jǐn)慎的商家也不會(huì)在一個(gè)開放和匿名的環(huán)境里進(jìn)行有一定規(guī)模和效益的商業(yè)行為。
　　PKI技術(shù)正是解決電子商務(wù)安全問(wèn)題的關(guān)鍵,綜合PKI的各種應(yīng)用,我們可以建立一個(gè)可信任和足夠安全的網(wǎng)絡(luò)。在這里,我們有可信的認(rèn)證中心,典型的如銀行、政府或其他第三方。在通信中,利用數(shù)字證書可消除匿名帶來(lái)的風(fēng)險(xiǎn),利用加密技術(shù)可消除開放網(wǎng)絡(luò)帶來(lái)的風(fēng)險(xiǎn),這樣,商業(yè)交易就可以安全可靠地在網(wǎng)上進(jìn)行。
　　網(wǎng)上商業(yè)行為只是PKI技術(shù)目前比較熱門的一種應(yīng)用,必須看到,PKI還是一門處于發(fā)展中的技術(shù)。例如,除了對(duì)身份認(rèn)證的需求外,現(xiàn)在又提出了對(duì)交易時(shí)間戳的認(rèn)證需求。PKI的應(yīng)用前景也決不僅限于網(wǎng)上的商業(yè)行為,事實(shí)上,網(wǎng)絡(luò)生活中的方方面面都有PKI的應(yīng)用天地,不只在有線網(wǎng)絡(luò),甚至在無(wú)線通信中,PKI技術(shù)都已經(jīng)得到了廣泛的應(yīng)用?！?/div>