有关公开密钥设施(PKI)的实施研究
- 作者:admin 来源:网络 日期:2009-1-12 1:29:47
④“高级选项”设置(可选)
可选择用来生成密钥对的加密服务提供程序(CSP);同时选择相应散列算法等。
⑤填写CA标识信息
包括:CA名称、电子邮件、CA描述、有效期限等信息。注意:在CA设置完成后这些信息都不能改变。
⑥确定数据储存位置
指定证书数据库、证书数据库日志和共享文件夹的存储位置。
⑦配置组件
2、管理CA
(1)企业根CA设置
可以选择“管理工具/证书颁发机构/策略设置”命令。
添加所需的证书模板,如经过验证的会话、代码签名和注册代理等。
选择“管理工具/ActiveDirectory站点和服务”选项,通过菜单中“查看/显示服务节点”,拓展“服务”选项,查看“公钥服务”容器,可看到“证书模板”选项。可以指定某一模板为某个用户专用,也可以控制某一模板的用户和其安全控制权限。
在“管理工具/域安全策略”选项中,选择“公钥策略/自动证书申请设置”进行设置,可以选择“计算机可以自动申请的证书类型”等项目,从而使证书管理自动化。
(2)独立根CA设置
可以选择“在收到证书申请时确定证书颁发机构”的默认动作,
通过打开“证书颁发机构”,点击CA名称,选择“属性/策略模块/配置”,选择“证书申请设为待定,系统管理员必须专门颁发证书”,这样管理者可以直接控制证书的发放。
对于相关的申请,在“证书颁发机构/待定申请”中选择相应的申请证书,可以选择“颁发”或“拒绝”选项。
(3)二者共性
无论企业根CA还是独立根CA都可以在“已颁发证书”选项中选择相应证书,单击右键进行“吊销证书”的操作。
3、证书服务的Web页安全管理
Windows2000的证书服务提供了通过Web页来申请证书的功能,可以设置Web服务器的安全性功能。方法如下:
①以管理员身份登录到系统。
②打开“Internet服务管理器”。
③在控制台树中,用右键单击“CertSrv”,再单击“属性”。
④在“目录安全性”选项卡的“匿名访问和身份验证控制”下,单击“编辑”。
⑤清除“集成的Windows身份验证”之外的其他所有复选框。也可通过“管理Web站点/属性”来进行相应设置。
图2
还可以选择“申请安全通道(SSL)”选项,再选择“接收客户证书”选项。客户端的用户通过证书服务Web登记页申请证书,为确保安全,也可在非CA服务器上安装Web登记页链接到CA服务器上。详见图3:
图3
4、使用Web页的证书服务
Windows2000证书服务有一个位于http://ServerName/certsrv的Web页,其中ServerName是一个Windows2000服务器的名字。
在得到申请批准的消息后可在相应页面中,选择“检索CA证书目录或CA吊销列表”选项,之后点击“安装此CA证书路径”选项进行证书的安装。
证书安装成功后,打开IE浏览器,选择“工具/lnternet选项”,在“高级”选项中加上PCT、SSL、TLS协议支持的选项,以增加安全性。
四、PKI安全性分析
首先,PKI也会受到强行攻击;另一种形式的攻击是找到某种根据公钥计算私钥的方法。
另外,私钥保存丢失,会导致PKI的整个验证过程没有意义。同时,PKI系统的安全很大程度上依赖于运行CA的安全,如果骇客(Cracker;非黑客:Hacker)非法侵入一个不安全的CA服务器,就可能危害整个PKI系统。因此,从私钥的保存到PKI系统本身的安全方面还要加强防范。
因此,一定不能忽视PKI系统本身的安全,在这个前提下,PKI才不失为一个保证通信安全的一个合理和有效的解决方案。代写论文网
五、PKI实施应该注意的问题
尽管PKI的研究与应用取得了一些进展,但是在设计和实施完全应用PKI技术的系统还面临着一个严峻的挑战。在PKI技术广泛和有效的应用之前,还有一些重大的问题必须解决。这些问题包括:
Ø标准化的完善
Ø通用性
Ø经济压力
Ø对性能的影响
Ø数字化隐私保护
Ø人员素质
六、结束语
目前PKI已广泛用于保障电子商务和电子政务的安全。并且从长远来看,PKI将逐渐集成到更多的操作系统和应用中去,并实现对用户透明。而利用PKI作电子商务的安全基础平台,使用PKI发布的数字证书实现在线交易所必须的认证和加密功能,必将是实现安全电子商务的主要发展方向。并且实践中基于PKI的安全电子商务应用日益普遍。
虽然PKI建立了大规模网络环境中的信任和安全的公钥分发的理论基础,但实际中PKI的成功实施将更多地取决于社会、管理、法律、商业、心理等方方面面的强大支持,另外,安全与速度是一对矛盾,必须统筹兼顾,才能真正发挥PKI在电子商务安全方面的作用。据说到今年年底,《数字签名法》有可能正式颁布,我国的信息安全管理和监督机制将更加健全,对于PKI的实施无疑是一个福音。
参考文献:
1、《操作系统――内核与设计原理》,[美]WilliaStallings著,电子工业出版社,2001
2、《中文版Windows2000Server网络使用指南》,梁晋等编著,机械工业出版社,2000
3、《密码编码学与网络安全:原理与实践(第二版),[美]WilliamStallings著,杨明等译,电子工业出版社
代写论文联系方式
联系QQ:904272800
联系信箱:904272800@qq.com
代写论文导航
客户、写手申请单
最新论文
热点论文
