VoIP安全性:PKI vs Zfone你站那一邊
2007/06/15
有關VoIP安全性的討論越來越多�����,主要焦點是這種安全性應該依靠公鑰基礎架構(PKI)還是得尋找另一種加密和審核的方法����。Phil Zimmermann因其創(chuàng)造了用于保護電子郵件消息和數據文件的良好隱私(PGP)加密方案而享有聲譽�,最近他又開發(fā)了一款對VoIP進行加密的產品�����,叫做Zfone�,它基于新的ZRTP協(xié)議。
Zimmermann夸耀說�����,Zfone的一大優(yōu)勢是在于它不需要PKI�。到底哪一個在VoIP的安全性方面更勝一籌呢����?讓我們就它們各自的優(yōu)勢與不足進行一下對比���。
PKI如何工作
PKI是提供對VoIP用戶和設備進行審核�,并對VoIP傳輸進行加密的最安全方法之一�����。所謂審核���,是通過網絡對用戶和設備進行校驗的過程���。
PKI使用X.509數字證書和數學關聯(lián)的公私密鑰對,它們由作為受信任第三方的核證機關(CA)頒發(fā)����。因為所有者是唯一知道私鑰的人,而公鑰則向任何人公開�,這給所有者證實其身份提供了一條途徑。
下面是它的工作原理:
- 公私鑰對的所有人使用私鑰對消息進行加密����,并通過加密消息hash的方式計算給出數字簽名����。
- 所發(fā)送的消息同樣包含該加密數值���。
- 接收方獲得發(fā)送方的公共密鑰����。(該消息可能把它作為證書的一部分包含在內�����。)
- 通過使用公共密鑰���,接收方可以檢查計算得到的消息Hash是否和使用關聯(lián)私鑰創(chuàng)建的原始消息Hash一致。
PKI包含一個或多個頒發(fā)證書的核證機關���,終端用戶發(fā)布那些證書����,也可選擇性的發(fā)布處理PKI管理任務的注冊機關�,和/或證書撤銷列表(CRL)發(fā)布方的信息。進行證書撤銷需要CRL�。例如��,假設關聯(lián)的私鑰出了問題���,或者用戶已經離開企業(yè),那你就有需要撤銷證書����。同時還需要的是存放證書和CRL的一個存儲組或數據庫。
基于PKI的安全性的一個明顯缺點是它需要核證機關參與�����。那意味著你要么實行內部核證機關策略�,要么必須向公共核證機關購買證書。PKI所提供的安全性取決于CA密鑰的保護強度���。
ZDnet
(www.zdnet.com.cn)
相關鏈接: