freebuf公钥基础设施(Public Key Infrastructure,简称PKI)是采用非对称密码算法和技术,来实现和提供安全服务,并具有通用性的安全基础设施,是一种遵循既定标准的密钥管理平台。它能够透明地为所有网络应用提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI体系实际上就是计算机软硬件、权威机构及应用系统的结合。
本篇主要探讨零信任的身份认证。
关键词:PKI 零信任
01 前言
公钥基础设施(Public Key Infrastructure,简称PKI)是采用非对称密码算法和技术,来实现和提供安全服务,并具有通用性的安全基础设施,是一种遵循既定标准的密钥管理平台。它能够透明地为所有网络应用提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI体系实际上就是计算机软硬件、权威机构及应用系统的结合。
零信任最早于2010年由时任Forrester研究公司的首席分析师约翰·金德维格(John Kindervag)提出来的。零信任是一种安全理念,并不是单指某一技术或产品,其核心思想是默认不信任任何身份、设备和应用,需要对任何请求进行鉴权认证、访问控制和持续的信任管理。
零信任架构的本质是以身份为基石的动态访问控制,通过强身份验证技术保护数据安全,这种模式要求对所有用户、设备和系统都进行身份验证,因此,数字身份就形成了新的边界。
02 PKI的基本组件
一个典型的PKI系统包括软硬件系统、证书机构(CA)、注册机构(RA)、证书资料库、密钥管理系统(KMC)等。
03 PKI的功能
PKI的应用非常广泛,其为网上金融、网上银行、网上证券、电子商务、电子政务等网络中的数据交换提供了完备的安全服务功能。PKI作为安全基础设施,能够提供身份认证、数据完整性、数据保密性、不可抵赖性和时间戳五种安全服务。
身份认证:身份认证的实质就是证实被认证对象是否真实和是否有效的过程,确保用户身份。
数据完整性:数据的完整性就是防止非法篡改信息,如修改、复制、插入、删除等。确保交易双方接收到的数据与原数据完全一致。
数据保密性:数据的保密性就是对需要保护的数据进行加密,从而保证信息在传输和存储过程中不被未授权人获取。
不可抵赖性:不可抵赖性是指在传输数据时必须携带含有自身特质、别人无法复制的信息,防止交易发生后对行为的否认。
时间戳服务:是一个可信的时间权威,使用一段可以认证的数据来表示。
04 PKI与零信任的关系
PKI作为一种强实体鉴别技术,能够在开放网络和应用系统中提供身份认证与鉴别,保障信息的真实性、完整性、机密性和不可否认性,对于实现零信任架构是至关重要的。一方面,PKI为每个人员签发一张可信身份的证书(实名),只有符合安全规则的身份才能通过验证,才能访问相应的资源,简单高效地解决了信任问题。另一方面,PKI中的密码技术可以用来加密需要保护的数据,从根本上有效的保护了数据资产。
公共PKI系统可以在安全的通信中为非受控的端点系统提供信任保证,证书颁发机构为通信双方签发证书以建立安全的通信。端点系统接收到经过签名的证书后,将它的签名信息和系统中已经预置的可信证书颁发机构列表进行比对,就可以验证该证书是否有效。通过在系统中预置可信证书颁发机构列表的方式,端点系统就可以和之前从来没有通信过的未知系统建立安全信道。
总而言之,PKI是零信任架构中身份认证的核心,也是解决人员信任问题最有效和最高效的技术。基于PKI技术的身份管理方案能有效解决零信任安全体系中“以身份为中心”的核心理念,可以简化身份管理和增强数据安全,更好地为企业实现零信任化转型提供有力地支持。
转载请注明来自网盾网络安全培训,本文标题:《通过PKI实现零信任的身份认证》
标签:零信任
