VoIP安全性：PKI vs Zfone你站那一邊

　　PKI是提供對(duì)VoIP用戶(hù)和設(shè)備進(jìn)行審核，并對(duì)VoIP傳輸進(jìn)行加密的最安全方法之一。所謂審核，是通過(guò)網(wǎng)絡(luò)對(duì)用戶(hù)和設(shè)備進(jìn)行校驗(yàn)的過(guò)程。

　　PKI使用X.509數(shù)字證書(shū)和數(shù)學(xué)關(guān)聯(lián)的公私密鑰對(duì)，它們由作為受信任第三方的核證機(jī)關(guān)（CA）頒發(fā)。因?yàn)樗�有者是唯一知道私鑰的人，而公鑰則向任何人公開(kāi)，這給所有者證實(shí)其身份提供了一條途徑。

　　下面是它的工作原理：

1. 公私鑰對(duì)的所有人使用私鑰對(duì)消息進(jìn)行加密，并通過(guò)加密消息hash的方式計(jì)算給出數(shù)字簽名。



2. 所發(fā)送的消息同樣包含該加密數(shù)值。



3. 接收方獲得發(fā)送方的公共密鑰。（該消息可能把它作為證書(shū)的一部分包含在內(nèi)。）



4. 通過(guò)使用公共密鑰，接收方可以檢查計(jì)算得到的消息Hash是否和使用關(guān)聯(lián)私鑰創(chuàng)建的原始消息Hash一致。

　　PKI包含一個(gè)或多個(gè)頒發(fā)證書(shū)的核證機(jī)關(guān)，終端用戶(hù)發(fā)布那些證書(shū)，也可選擇性的發(fā)布處理PKI管理任務(wù)的注冊(cè)機(jī)關(guān)，和/或證書(shū)撤銷(xiāo)列表（CRL）發(fā)布方的信息。進(jìn)行證書(shū)撤銷(xiāo)需要CRL。例如，假設(shè)關(guān)聯(lián)的私鑰出了問(wèn)題，或者用戶(hù)已經(jīng)離開(kāi)企業(yè)，那你就有需要撤銷(xiāo)證書(shū)。同時(shí)還需要的是存放證書(shū)和CRL的一個(gè)存儲(chǔ)組或數(shù)據(jù)庫(kù)。

　　基于PKI的安全性的一個(gè)明顯缺點(diǎn)是它需要核證機(jī)關(guān)參與。那意味著你要么實(shí)行內(nèi)部核證機(jī)關(guān)策略，要么必須向公共核證機(jī)關(guān)購(gòu)買(mǎi)證書(shū)。PKI所提供的安全性取決于CA密鑰的保護(hù)強(qiáng)度。

ZDnet (www.zdnet.com.cn)