当前位置:文档之家 › PKI技术在电子邮件加密中的应用研究

PKI技术在电子邮件加密中的应用研究

  • 格式:pdf
  • 大小:132.17 KB
  • 文档页数:1

下载文档原格式

  / 1

合集下载

第14章 PKI原理与应用_y

第14章 PKI原理与应用_y


PKI概念 认证机构CA 数字证书 PKI的应用 PKI的发展
版权所有,盗版必纠
14.1 PKI概念
• PKI利用数字证书标识密钥持有人的身份,通过对 密钥的规范化管理,为组织机构建立和维护一个可 信赖的系统环境,透明地为应用系统提供身份认证、 数据保密性和完整性、抗抵赖等各种必要的安全保 障,满足各种应用系统的安全需求。
• (4) 一个典型的全国性CA如图14.5所示。
版权所有,盗版必纠
14.1.3 PKI的组成
• PKI公钥基础设施体系主要由密钥管理中心、 CA认证机构、RA注册审核机构、证书/CRL发 布系统和应用接口系统五部分组成,其功能结构 如下所示:
版权所有,盗版必纠
14.1.3 PKI的组成
• 1.密钥管理中心(KMC):密钥管理中心向CA服务 提供相关密钥服务,如密钥生成、密钥存储、密钥备份、 密钥托管与恢复等。 • 2.CA认证机构(Certification Authority) :CA认证 机构是PKI公钥基础设施的核心,它主要完成生成/签 发证书、生成/签发证书撤销列表(CRL)、发布证书 和CRL到目录服务器、维护证书数据库和审计日志库 等功能。 • 3.RA注册审核机构(Registration Authority):RA 是数字证书的申请、审核和注册中心。它是CA认证机 构的延伸。在逻辑上RA和CA是一个整体,主要负责提 供证书注册、审核以及发证功能。
• 5.应用接口系统:应用接口系统为外界提供使用PKI安 全服务的入口。应用接口系统一般采用API、 JavaBean、COM等多种形式。
版权所有,盗版必纠
14.1.3 PKI的组成
• 一个典型、完整、有效的PKI应用系统至少应具有以下 部分:

PKI/CA技术在电厂信息化中的应用

PKI/CA技术在电厂信息化中的应用
N 0R A 1 E H OL Y 信 息化建 设 F M T0N T C N OG
1 3 1
P l A技术在 电厂信息化 中的应 用 K/ C
于 国 际
( 中国南方电网有 限责任公 司调峰调频发 电公 司 广 东广 州 5 0 3 1 6 0)
摘要 : P Ic 公 钥基 础设 施 / 证 中心) 为一种 建 立在 密码 技 术基 础 上的 信 息安 全技 术和 安全 体 系架构 ,是 目前 K / A( 认 作 唯 一 能够 同 时解 决 身份 认证 、访 问控 制 、信 息保 密和 抗抵 赖 的安 全技 术 ,是 保证 企 业相 关核 心 业务 的权 威性 、可信任 性 的关键技 术 ,因此 ,对P I 技 术 的研 究和 开发 成为 目前 信 息化安 全领 域 的热 点 。在 分析 了当前 电厂信 息化 中安 全 面 临 K/ cA 的威胁后 ,利用P IC 的理论 给 出了解决 方案 。 K/ A 关 键 词 :公钥基 础 设施 ;认证 中心 并且 没 有 其他 人 截 获 这一 数 据 。利 用 发 送 者 的私 有 密钥 加 密 可 以验 证 发送 者 的身份 ,而 用 接 收者 的私 有 密钥 解 密 可 以同 时保 证 传 输 数据 的机 密 性 。这 就 解 决 了接 收 方 可能 对 数据 进 行 改动 的问题 ,也避免 了发送 方逃避 责任 的 可能性 。
32用 户 身份 的识 别 。 .
◆ 终 端用 户 实体 :P I 书 的使用 者 、证 书的主 体用 户或者 K证 应 用 系统 ( 即证书 的持 有者 ); ◆ C 认证 中 心 :证 书认 证 中心 ,P I A 系 的核 心部 件 , A K/ 体 C 完 成 对 证书 和 C L R 的相 关管 理 。C 认 证 中心 之 间可 以通 过 交叉 A 认 证 的方式 级联 拓展 信任 域 ; ◆ R 注 册 中心 :证书 注册 中 心 ,该 实体 是 一个可 选 实体 , A 是 C 认 证 中心对 外服 务 的一 个 窗 口,它 实际 上是 将C 认 证 中心 A A 的相 关 服务 更 方 便 的提 供 给 使用 者 。 为 方便 证 书 申请 、 制作 等 跨 物理 地 域 管理 需 要 ,有 时候 在 R A注册 中心下 挂 多个 L A本地 R 注 册受 理点 。 L A R 在功 能 上更 是一 个 R 的延 伸 部 分实现 R 注 册 A A 中心的 功能 。 ◆ C L 布 中 心 :证 书注 销 列表 C L R发 R 的集 中发布 中心 ,该 实 体也 是 一 个可 选 实体 ,它 实际 上是 代 理C 认 证 中 心完成 C L A R 的发布 。 ◆ 证 书和 C L R 响应库 :是 一 个存 储 证 书和 C L R 的分 布式 系

第3章 PKI认证技术及应用

第3章 PKI认证技术及应用
AU
③ EPKB[ IDA| |N1] A ⑥ EPKA [ N1 | | N2] ⑦ B
EPKB[ N2 ]
公钥管理机构分配公钥
PKI认证技术及应用 第三章 PKI认证技术及应用 步骤如下: 步骤如下: 用户A向公钥管理机构发送一个带有时戳的消息,消息中有获取用户B (1)用户A向公钥管理机构发送一个带有时戳的消息,消息中有获取用户B 当前公钥的请求。 当前公钥的请求。 Request | |Time1 公钥管理机构对A的请求作出应答,该消息由管理机构的秘钥 秘钥SK (2)公钥管理机构对A的请求作出应答,该消息由管理机构的秘钥SKAU来 加密,因此A能用管理机构的公开钥解密,并使A相信这个消息来自于公钥 加密,因此A能用管理机构的公开钥解密,并使A 管理机构。该消息由以下几部分组成: 管理机构。该消息由以下几部分组成: 可以用之将发往B的消息加密。 B的公钥PKB,A可以用之将发往B的消息加密。 的公钥PK 的请求,验证A A的请求,验证A的请求在发往管理机构使没有更改 最初的时戳,使A确信管理机构发来的不是旧消息。 最初的时戳, 确信管理机构发来的不是旧消息。 的公开钥将消息加密后发向B 这个消息中有两个数据项, (3)A用B的公开钥将消息加密后发向B,这个消息中有两个数据项,一个 的身份IDA 另一个是一次性随机数N1 用来唯一的标识本次通信。 IDA, N1, 是A的身份IDA,另一个是一次性随机数N1,用来唯一的标识本次通信。 E PKB [ ID A | |N1 ] )(5 以相同的方式从公钥管理机构获得A的公开钥。至此, (4)(5)B以相同的方式从公钥管理机构获得A的公开钥。至此,A和B都 已经得到了对方的公开钥,可以安全保密的通信。 已经得到了对方的公开钥,可以安全保密的通信。
PKI认证技术及应用 第三章 PKI认证技术及应用

PKI的相关技术

PKI的相关技术

公钥基础结构PKI技术PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

用户可利用PKI平台提供的服务进行安全通信。

PKI的理论基础是基于密码学,它所使用的基础技术包括加密(非对称和对称)、数字签名、数据完整性机制、数字信封、双重数字签名等。

PKI技术主要是基于非对称密钥密码技术,即公开密钥密码技术,同时也交叉使用对称密钥密码技术,两者取长补短,相辅相成,使PKI能够成为方便、灵活的安全服务的安全基础设施。

使用基于公钥技术系统的用户建立安全通信信任机制的基础是:网上进行的任何需要安全服务的通信都是建立在公钥的基础之上的,而与公钥成对的私钥只掌握在他们与之通信的另一方。

这个信任的基础是通过公钥证书的使用来实现的。

公钥证书就是一个用户的身份与他所持有的公钥的结合,在结合之前由一个可信任的权威机构CA来证实用户的身份,然后由其对该用户身份及对应公钥相结合的证书进行数字签名,以证明其证书的有效性。

认证机构(Certificate Authority,CA)是PKI的核心组成部分,一般简称为CA,在业界通常称为认证中心。

它是数字证书的签发机构。

证书是公开密钥体制的一种密钥管理媒介。

它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份及其公开密钥的合法性。

在使用公钥体制的网络环境中,必须向公钥的使用者证明公钥的真实合法性。

因此,在公钥体制环境下,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及它与公钥的匹配关系。

CA正是这样的机构。

PKI必须具有权威认证机构CA在公钥加密技术基础上对证书的产生、管理、存档、发放以及作废进行管理的功能,包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序,以及为PKI体系中的各成员提供全部的安全服务,如实现通信中各实体的身份认证,保证数据的完整,抗否认性和信息保密等。

公钥基础设施PKI介绍

公钥基础设施PKI介绍
22
IDEA ( International Data Encryption Algorithm) 它是一种使用128bit密钥以64bit分组 为单位加密数据的分组密码。IDEA的分 组长度足够的长,可以阻止统计分析;另 外,它的密钥长度足够长,可以防止穷 举式密钥搜索;再者它有更好的扰乱性和 扩散性。
19
优点:效率高、算法简单、计算开销小,适 合加密大量数据。
缺点:密钥分配问题 eg: A与B两人之间的密钥必须不同于A和C 两人之间的密钥,在有1000个用户的团体中, A需要保持至少999个密钥(更确切的说是 1000个,如果她需要留一个密钥给他自己加 密数据)。对于该团体中的其它用户,此种 倩况同样存在。所以N个用户的团体需要 N2/2个不同的密钥。
30
单向函数散列算法
单向散列函数算法也称为报文摘要函数 算法,它是使用单向的散列(Hash)函数,它 是从明文到密文的不可逆函数,也就是说只 能加密不能还原。单向散列函数H作用于任 意长度的信息M,返回一个固定长度128-256 的大数散列值(也称摘要信息)h =H(M) 。
31
特征
计算的单向性:给定M和H,求h =H(M)容易, 但反过来给定h和H,求M=H-1(h)在计算上是不可 行的。
在应用层上对信息进行加密的算法或对消息 来源进行鉴别的协议已有多年的研究。但在传 统的基于对称密钥的加密技术中,密钥的分发 的问题一直没有得到很好的解决。并对电子商 务、安全电子邮件、电子政务等新的安全应用, 传统技术基于共享密钥的鉴别协议对通信主体 的身份认证也没有很好的解决。
12
针对上述问题,世界各国经过多年的研究, 初步形成一套完整的Internet安全解决方案,即目 前被广泛采用的PKI技术。PKI技术采用证书管理 公 钥 , 通 过 第 三 方 的 可 信 任 机 构 — 认 证 中 心 CA

PKI体系

PKI体系

PKI体系公钥基础设施PKI技术与应用发展公钥基础设施PKI技术与应用发展一、概述PKI是“Public Key Infrastructure”的缩写,意为“公钥基础设施”。

简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。

公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。

这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。

目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。

PKI似乎可以解决绝大多数网络安全问题,并初步形成了一套完整的解决方案,它是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务的具有普适性的安全基础设施。

该体系在统一的安全认证标准和规范基础上提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。

作为一种技术体系,PKI 可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。

但PKI绝不仅仅涉及到技术层面的问题,还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。

PKI作为国家信息化的基础设施,是相关技术、应用、组织、规范和法律法规的总和,是一个宏观体系,其本身就体现了强大的国家实力。

PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。

公钥基础设施(PKI)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。

PKI是20世纪80年代由美国学者提出来了的概念,实际上,授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。

S-MIME介绍

S/MIME介绍S/MIME(Secure/Multipurpose Internet Mail Extensions)是一种用于保护电子邮件通信安全的标准。

它基于公钥基础设施(PKI)技术,使用数字证书和加密算法来实现电子邮件的加密、数字签名和身份验证。

S/MIME能确保邮件在传输过程中的机密性、完整性和真实性。

S/MIME的主要功能:加密:S/MIME使用非对称加密技术对邮件内容进行加密,确保只有预期的收件人能够解密并阅读邮件。

这有助于保护邮件在传输过程中的机密性,防止未经授权的访问和窃听。

数字签名:S/MIME允许发送者对邮件进行数字签名,验证邮件的完整性和发送者的身份。

数字签名能确保邮件在传输过程中没有被篡改,并提供一种确认发送者身份的方法。

身份验证:S/MIME使用数字证书来验证发送者和接收者的身份。

数字证书是由受信任的证书颁发机构(CA)颁发的,包含公钥和证书持有人的身份信息。

这有助于防止欺诈和伪造邮件。

举例说明:假设Alice 和Bob 都有S/MIME 数字证书,他们想要通过电子邮件安全地交换信息。

以下是S/MIME 的应用示例:加密:Alice 使用Bob 的公钥加密邮件内容,然后将加密后的邮件发送给Bob。

Bob 收到邮件后,使用自己的私钥解密邮件内容。

在这个过程中,只有拥有私钥的Bob 能够解密邮件,保证了邮件的机密性。

数字签名:Alice 使用自己的私钥对邮件进行数字签名。

Bob 收到邮件后,使用Alice 的公钥验证数字签名。

通过验证数字签名,Bob 可以确认邮件的完整性和Alice 的身份。

身份验证:通过数字证书,Alice 和Bob 都能确认对方的身份。

证书颁发机构(CA)为证书提供信任背书,确保公钥和身份信息的真实性。

总之,S/MIME 通过加密、数字签名和身份验证技术,确保电子邮件在传输过程中的安全性。

用户需要从受信任的证书颁发机构(CA)获取数字证书,并在邮件客户端中配置S/MIME 设置,以使用这些安全功能。

数据加密技术中密钥管理的实现方式研究

数据加密技术中密钥管理的实现方式研究【摘要】数据加密技术是现在为了保护数据安全最常用的基本技术,在给数据加密过程中会产生相应的密钥,用于对数据进行加密和解密,随着网上传输的信息量越来越大,相应产生了很多密钥,为防止非法攻击者窃取和攻击密钥,要对密钥进行安全管理,密钥的管理主要包括从密钥产生到吊销这一生产周期的管理,以及对密钥管理的几种方法,主要包括秘密共享、密钥托管和公钥基础设施pki,其中pki是现在比较成熟和应用最广的密钥管理框架。

【关键词】密钥管理;pki;rsa;aes一、绪论1.1研究背景网络在当今世界无处不在,所以网络的安全问题越来越重要,尤其是网络传输过程的信息安全性,近些年来有很多政府网站,商业网站等被黑客攻击,造成了很大的经济等损失,所以我们应该加强网络的安全性。

1.2课题研究的意义密钥管理是一门综合性的技术,它包括理论因素、人为因素、技术因素等方面。

但是一个好的密钥管理系统应当尽量不依赖于人的因素。

密钥管理的目标是使得密钥具有机密性、真实性和使用的合法性。

最终目的是为了提高系统的安全性。

二、关于数据加密算法的描述2.1 rsa算法简述(非对称密码体制)2.1.1 密钥生成算法①选取两个大素数p和q,计算n=pq和欧拉函数∮(n)=(p-1)(q-1);②随即选取整数e,1<e<∮(n),满足gcd(e,∮(n))=1,计算d=e-1mod∮(n);③公钥为 (n,e),可以公开。

私钥为(p,q,,d),需要保密。

约定rsa算法的明文空间和秘闻空间均为zn={0,1,…,n-1}。

2.1.2 加密算法为了给用户a发送明文m,b进行如下操作:①首先获得a的公钥(n;e);②计算明文c=me mod n③将密文c发送给a。

2.1.3 解密算法为了恢复明文m,接受者a利用其私钥d计算m=cd mod n2.2 aes算法描述(对称密码体制)aes算法基于排列和置换运算。

排列是对数据重新进行安排,置换是将一个数据单元替换为另一个。

pki


注册认证机构RA

RA是PKI的一个扩展部分,充当了CA和最 终用户之间的桥梁,分担了用户的认证与 注册任务
证书库

证书库是公开的信息库,用于证书的集中 存放,供用户查询其他用户的证书和公钥。
密钥备份及恢复系统

密钥备份及恢复系统提供密钥的备份和恢 复的机制。
证书作废处理系统

由于各种原因,证书需要被注销
PKI的应用举例——安全电子邮件
数字证书的申请
先申请根证书并安装,然后申请个人证书
CA的职责
验证并标识证书申请者的身份;
确保CA用于签名证书的非对称密钥的质量;
确保整个签证过程和签名私钥的安全性; 证书材料信息(如公钥证书序列号、CA等)的
管理; 确定并检查证书的有效期限; 确保证书主人的标识的惟一性,防止重名; 发布并维护作废的证书表; 对整个证书签发过程做日志记录; 向申请人发通知。
分布式结构
分布式信任结构把信任分散到两个或 更多个CA上。采用严格层次结构的PKI系 统往往在一个企业或部门实施,为了将这 些PKI系统互联起来,可以采用下列两种方 式建立分布式信任结构:
(1)中心辐射配置:在这种配置中,有一个中心
地位的CA,每个根CA都与这个中心CA进行交 叉认证; (2)网状配置:在所有根CA之间进行交叉认证。
签名密钥对由签名私钥和验证公钥组 成。为了保证签名私钥的唯一性,签名私 钥不能备份和存档,遗失后只需要重新生 成新的签名密钥对,旧的签名可由旧验证 公钥的备份来验证。验证公钥需要存档, 以便验证旧的数字签名。
加密密钥对由加密公钥和解密私钥组 成。为了防止密钥丢失时丢失数据以及在 任何时候都能解密历史密文数据,解密私 钥应该进行备份和存档。加密公钥不用备 份和存档。当加密公钥丢失时,只需重新 产生加密密钥对。

基于PKI的CA认证系统的研究


个 完 整 的 P I 统 主要 由认 证机 构 C K系 A、注册 机 构 RA、 证
体方法进行明确定义 ; 管理事物则负责服务的通知及消息交
换 的描 述 , 以 支持 P I 关 的事 务 及 操作 处 理 。 用 K相
书管 理 系 统 、K 策 略管 理 以 及 P I 用 接 口所 构成 , PI K应 其体 系
T c n g n t d ・技 术探 讨 e h o y a d S u y l o
基于 P I C K 的 A认证系统的研究
赵 琛
( 利 部 水 利 信 息 中心 北 京  ̄ o o ) 水 o oo
【摘要 】 随着网络应用的不断发展 ,K 技术逐渐成为解决 网络安全 问题的核心技术之一。本文首先阐述了 P I PI K 及相关技术 其
fr e s u s d h tr ru m n ai f A c r i t ns s m. ut r i s e ei e- o p h dc t n g o c mu i t no t c i t c o C ei o y e f a
【Ky od at nctnyt ;ulKynatc r i rao cn ew r s】u et i s m pbc e fsute n m tneu ̄ h i os e a i i r u ;f i s r o
系统主要负责证书的发布、 撤销等 , 是借助于 L A D P目录服务
完 成 证 书 库 的管 理 ;策 略管 理 也 是 P I 统 中 核心 的 部 分 , K系 主 要 是 定 义 安全 的 指 导 方针 , 对 密 码 系 统 的处 理 原 则 及 具 并
施 ” K 是通过公钥及密码技术 的结合来提供安全服务的。 。P I
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。


安 全 电 子 邮件 开 发
电子邮件加密技术保护在 E M I 通信中隐私, - AL 敏感和有价值 的 数据。电子 邮件加密可 以使用 E MA L加密软件完成, — I 保护 E MA L服 — I 务器后或者 We m iC nes b al etr。 使用电子邮件加密解决方案的邮件软件有 M c sf u ok i o t t o 和 — r o l O t o s o i 。它也越来越多地 用于移动通信包括黑莓等手提设备 。 u N t / mn s eD o
电 子 邮件 加密 得 益 于 : ( ) 明 , 易使 用 , 证 E MA L安 垒 。 1透 容 保 — I () 2 自动加密与利用数字签名保证邮件安全等 。 二 、 用非 对 称 密 钥 体 系 ( KI A) 密 电子 邮件 采 P / 加 G
户用 自己的私有密钥进行解密 。 数字证 书是 由认证 中心颁发 的 , 该证 书是认证 中心 与用户建立信 任关系的基础。在用 户使用数字证书之前必须首先下载和安装。 认证中心是一 家能向用 户签发数字证 书以确认用 户身份 的管理机 构。为 了防止数 字凭证 的伪造 , 认证中心的公钥必须是可靠的。认证 中 心必须公布其公钥或 由更高级别 的认证 中心提供 一个 电子凭证来证明 其公钥的有效性。后一种方法导致了多级别认证 中心 的出现。 数字证书颁发过程如下 : 户产 生了 自己的密钥 对 , 用 并将公钥 以及 部分个人身份信息传送给认证中心。认证中心在核实身份后 , 将执行一 些必要的步骤 , 以确信请求确实 由用户发送而来 。然后 , 认证 中心将发
证 书 的 格 式包 含 X5 9数 字 证 书 包 含 以 下一 些 内容 : .0 证 书 的版 本 号 。 证书的序列号。每个证书对于特定 的 C A来说 都有一个唯一 的证 书序列号。 证 书 的 发 行机 构 名 称 , 名 规 则 一 般 采用 X. 0格 式 。 命 5 0 证 书 的有 效 期 。 证书所有 人的名称 。 证 书所 有 人 的公 开 密 钥 。 证 书 发 行 者对 证 书 的签 名 。 数字证 书采用公钥体制 , 即利用一对互相 匹配 的密钥进行加密 、 解 密 。每个 用户 自己设 定 一 把 特 定 的 仅 为本 人 所 知 的私 有 密 钥 ( 钥 )用 私 , 它进行解密和签名 ; 同时设定一把公共密钥 ( 公钥 ) 由本人公 开 , 并 为一 组用户所共享, 于加密和验证签名 。当发送一份保 密文件 时 , 用 发送 方 使用接收方 的公钥对数据加密 , 而接收方则使用 自己的私钥解密 , 这样 信息就可以安全无误地到达 目的地 了。通过数字 的手段保证加 密过 程 是一个不可逆过程 , 即只有用私有密钥才能解 密。 在公开密钥密码体制
科技信息
计 算机 与 网络
P I 术 在 电 子 邮 件加 密 巾响 应用 研 究 K技
苏州高博软件 职 业技 术 学 院 张 娴
[ 摘 要】 l 的含义是公 钥基础设施 ,KI P( J P 是保证不安全的公共网络用户安全可靠的利用公钥 和私钥来交换数据的信息技 术模式。
这种技 术模式 可以从信任 中心来获得 。公钥和私钥是一个整体, K 加密是利用公钥 来加 密信 息, PI 并且只有相 比配的私钥才可 以解 密 信 息 。本 文 以 Oulo 20 t k0 7为例 , 介 绍 如 何 配 置和 收 发 安 全 电子 邮 件 。 o 来 ( 关键 词] K 电子邮件 数 字证 书 OUT OOK20 PI L 07
当前电子邮件加密技术最为热 门的就是 P I K 技术 , K (ul e P IP bc y iK I r t c r 指 的是公钥 基础设施, A C r ctA t ry 的是认证 na r te fsu u ) C ( t a u o t指 ei e h i) i f 中心。P I K 解决 了安全 电子邮件的技术问题 ;K P I的核心就是 C 它像 A, 有公安局发放 身份证 明一样来解 决了网络信任 问题 。 由此 , 人们 统称 为 “ K /A 。 P I ” 从总体 构架来看 , K/A主要 由最终用户 、 C PI C 认证中心和注册 机构来组成 。 P F A的工作 原理 就是通过发放 和维 护数字证书来建 KC 立一套信任 网络 ,在 同一信任 网络 中的用户通过 申请到 的数字证书来 完成身份认证 和安全处理 。 注册中心负责审核证书 申请者的真实身份 , 在审核通过后 , 负责将用户信息通过 网络上传到认证 中心 , 由认证 中心 负责最后的制证处理 。 证书的 吊销 、 更新 也需要 由注册机构来提交给认 证中心做处理 。总 的来说 , 认证 中心是 面向各注册 中心 的, 而注册 中心 是面向最终用 户的, 注册机构是用户与认证 中心 的中间渠道。 公钥证 书 的管理是个复杂的系统 。一个典型 、 完整 、 有效 的 C A系统至少应具有 以下部分 : 钥密码证书管理 ; 公 黑名单的发布 和管理 ; 密钥的备份 和恢 复; 自动更新密钥 ; 历史密钥管理 ; 支持交叉认证等 。P I A认证体 系 K/ C 相对成熟但应用于 电子邮件加密 系统时也存在着 密匙管理复杂 ,需要 先交换密匙才能进行加解密操作等 , 著名 的电子邮件加密 系统 P P G 就 是采用这套 加密流程进行加密。 这种加密方法只适用于企业 、 单位和一 些高端用户 , 由于 C A证 书获 得麻烦 , 交换繁琐 , 因此这种 电子邮件加 密模式一直很难普及 。
性时 , 就可以提供 该数字证书 。
四 、 K -配 置 OU L P I T OO1 0 7 ( 0 2
密和解密 、 数字签名 和签名验证 , 确保 网上传递 信息 的机密性 、 整 完 性。 使用 了数字证 书, 即使您发送的信息 在网上被他人截获 , 甚至您丢 失了个人的账 户、 密码等信息 , 仍可以保证您 的账户 、 资金安全。 数字证 书遵循 1 T 5 9国际标准。 TU X. 0
三 、 字证 书和 颁 布 数 数字证书是一种权威性的 电子文档, 由权威公 正的第三方机构 , 即 C A中 心 签 发 的证 书 。 它以数 字证书为核心 的加密技术可 以对 网络上传输 的信息进行加
送给用户一个数字证 书。 该证书内附有用户和他的钥等信息 , 还附有 对认证 中心公钥加 以确认 的数字证 书。当用户想 要证 明其公钥 的合法