云南龙网

  1. 首页 > 生活百科 > >

Windows 2000 公钥基础结构及在电子商务中应用

生活百科

【Windows 2000 公钥基础结构及在电子商务中应用】
Windows 2000公钥基础结构及在电子商务中应用

1 概述
Windwos 2000为电子商务提供了一个理想的平台, 其安全性(包括证书管理、 CA服务、 公用密钥基本体系), 保证了电子商务的开展 。结合Windows 2000的IIS 5.0服务, 可以快速创建一个网上电子商务的平台 。

Windows 2000中有两种验证协议, 即Kerberos和公钥基础结构(Public Key Infrastructure, PKI), 这两者的不同之处在于: Kerberos是对称密钥, 而PKI是非对称密钥 。在Internet环境中, 需要使用非对称密钥加密 。即每个参与者都有一对密钥, 可以分别指定为公钥(PK)和私钥(SK), 一个密钥加密的消息只有另一个密钥才能解密, 而从一个密钥推断不出另一个密钥 。公钥可以用来加密和验证签名; 私钥可以用来解密和数字签名 。每个人都可以公开自己的公钥, 以供他人向自己传输信息时加密之用 。只有拥有私钥的本人才能解密, 保证了传输过程中的保密性 。关键是需要每个人保管好自己的私钥 。同时, 为了保证信息的完整性, 还可以采用数字签名的方法 。接下来的问题是, 如何获得通讯对方的公钥并且相信此公钥是由某个身份确定的人拥有的, 这就要用到电子证书 。电子证书是由大家共同信任的第三方--认证中心(Certificate Authority, CA)颁发的, 证书包含某人的身份信息、 公钥和CA的数字签名 。任何一个信任CA的通讯一方, 都可以通过验证对方电子证书上的CA数字签名来建立起和对方的信任, 并且获得对方的公钥以备使用 。

Windows 2000的PKI是基于X.509协议的,X.509标准用于在大型计算机网络提供目录服务,X.509提供了一种用于认证X.509服务的PKI结构,两者都属于ISO和ITU提出的X系列国际标准,目前,有许多公司发展了基于X.509的产品,例如Visa、MasterCard 、Netscape,而且基于该标准的Internet和Intranet产品越来越多 。X.509是目前唯一的已经实施的PKI系统 。X.509 V3是目前的最新版本,在原有版本的基础上扩充了许多功能,目前电子商务的安全电子交易(SET)协议也采用基于X.509 V3 。

2 Windows 2000的公钥基础结构
如何在数字化通信中建立起信任关系, 是电子商务发展的重中之重 。因此, 建立认证中心(CA)是关键的一步 。Windows 2000可以作为建立CA的技术方案, 其内置了一整套颁发证书和管理证书的基础功能 。Windows 2000 Server中有一个部件是证书服务器(Certificate Server), 是原来Windows NT 4.0的选项包中Certificate Server 1.0的升级产品 。
通过认证服务器, 企业可以为用户颁发各种电子证书, 比如用于网上购物的安全通道协议(SSL)使用的证书, 用于加密本地文件(EFS)的证书等等 。认证服务器还管理证书的失效, 发布失效证书列表等 。每个用户或计算机都有自己的一个证书管理器, 其中既放置着自己从CA申请获得的证书, 也有自己所信任的CA的根证书 。

Windows 2000中的电子证书都是基于X.509协议的, 保证了与其他系统的互操作性 。国际标准组织CCITT建议以X.509作为X.500目录检索的一个组成部分, 提供安全目录检索服务 。X.500是CCITT建议的, 用于分布网络中存储用户信息的数据库的目录检索服务的协议标准 。X.509是采用公钥基础结构实施的认证协议, 对通信双方按所用密码体制规定了几种认证识别方法, 它发表于1988年, 经多次修改, 1993年又公布了新的版本 。X.509对所用具体加密、 数字签名、 公用密钥以及Hash算法未作限制, 将会有广泛的应用,已纳入PEM(Privacy Enhanced Mail)系统中 。

就网上购物的过程来说, 目前常用的是SSL(安全通道协议)的方式, 即设置IIS就某些特定的文件或文件目录需要访问者提供客户端证书; 除非拥有电子证书及相应的私钥, 一个访问者的浏览器无法获得这些文件和文件目录 。SSL的方式体现在浏览器的访问栏上, 应该是Https而不是普通的Http 。通过网站验证后的访问者, 可以被映射为活动目录中的用户或者用户组, 实现合作伙伴之间外部网(Extranet)的应用 。

推荐阅读


上一篇:ipad能玩赛尔号吗

下一篇:华为手机设置锁屏签名的方法步骤