VoIP安全性:PKI vs Zfone你站那一邊
2007/06/15
有關(guān)VoIP安全性的討論越來(lái)越多�����,主要焦點(diǎn)是這種安全性應(yīng)該依靠公鑰基礎(chǔ)架構(gòu)(PKI)還是得尋找另一種加密和審核的方法���。Phil Zimmermann因其創(chuàng)造了用于保護(hù)電子郵件消息和數(shù)據(jù)文件的良好隱私(PGP)加密方案而享有聲譽(yù),最近他又開發(fā)了一款對(duì)VoIP進(jìn)行加密的產(chǎn)品�����,叫做Zfone,它基于新的ZRTP協(xié)議��。
Zimmermann夸耀說(shuō)�����,Zfone的一大優(yōu)勢(shì)是在于它不需要PKI�����。到底哪一個(gè)在VoIP的安全性方面更勝一籌呢�����?讓我們就它們各自的優(yōu)勢(shì)與不足進(jìn)行一下對(duì)比��。
PKI如何工作
PKI是提供對(duì)VoIP用戶和設(shè)備進(jìn)行審核���,并對(duì)VoIP傳輸進(jìn)行加密的最安全方法之一�。所謂審核�,是通過(guò)網(wǎng)絡(luò)對(duì)用戶和設(shè)備進(jìn)行校驗(yàn)的過(guò)程。
PKI使用X.509數(shù)字證書和數(shù)學(xué)關(guān)聯(lián)的公私密鑰對(duì)����,它們由作為受信任第三方的核證機(jī)關(guān)(CA)頒發(fā)。因?yàn)樗姓呤俏ㄒ恢浪借的人����,而公鑰則向任何人公開,這給所有者證實(shí)其身份提供了一條途徑�。
下面是它的工作原理:
- 公私鑰對(duì)的所有人使用私鑰對(duì)消息進(jìn)行加密,并通過(guò)加密消息hash的方式計(jì)算給出數(shù)字簽名�。
- 所發(fā)送的消息同樣包含該加密數(shù)值。
- 接收方獲得發(fā)送方的公共密鑰�。(該消息可能把它作為證書的一部分包含在內(nèi)。)
- 通過(guò)使用公共密鑰�����,接收方可以檢查計(jì)算得到的消息Hash是否和使用關(guān)聯(lián)私鑰創(chuàng)建的原始消息Hash一致���。
PKI包含一個(gè)或多個(gè)頒發(fā)證書的核證機(jī)關(guān)�����,終端用戶發(fā)布那些證書��,也可選擇性的發(fā)布處理PKI管理任務(wù)的注冊(cè)機(jī)關(guān)����,和/或證書撤銷列表(CRL)發(fā)布方的信息。進(jìn)行證書撤銷需要CRL����。例如,假設(shè)關(guān)聯(lián)的私鑰出了問(wèn)題���,或者用戶已經(jīng)離開企業(yè)��,那你就有需要撤銷證書����。同時(shí)還需要的是存放證書和CRL的一個(gè)存儲(chǔ)組或數(shù)據(jù)庫(kù)��。
基于PKI的安全性的一個(gè)明顯缺點(diǎn)是它需要核證機(jī)關(guān)參與��。那意味著你要么實(shí)行內(nèi)部核證機(jī)關(guān)策略���,要么必須向公共核證機(jī)關(guān)購(gòu)買證書��。PKI所提供的安全性取決于CA密鑰的保護(hù)強(qiáng)度���。
ZDnet
(www.zdnet.com.cn)
相關(guān)鏈接: