VoIP安全性：PKI vs Zfone你站那一边

　　PKI是提供对VoIP用户和设备进行审核，并对VoIP传输进行加密的最安全方法之一。所谓审核，是通过网络对用户和设备进行校验的过程。

　　PKI使用X.509数字证书和数学关联的公私密钥对，它们由作为受信任第三方的核证机关（CA）颁发。因为所有者是唯一知道私钥的人，而公钥则向任何人公开，这给所有者证实其身份提供了一条途径。

　　下面是它的工作原理：

1. 公私钥对的所有人使用私钥对消息进行加密，并通过加密消息hash的方式计算给出数字签名。



2. 所发送的消息同样包含该加密数值。



3. 接收方获得发送方的公共密钥。（该消息可能把它作为证书的一部分包含在内。）



4. 通过使用公共密钥，接收方可以检查计算得到的消息Hash是否和使用关联私钥创建的原始消息Hash一致。

　　PKI包含一个或多个颁发证书的核证机关，终端用户发布那些证书，也可选择性的发布处理PKI管理任务的注册机关，和/或证书撤销列表（CRL）发布方的信息。进行证书撤销需要CRL。例如，假设关联的私钥出了问题，或者用户已经离开企业，那你就有需要撤销证书。同时还需要的是存放证书和CRL的一个存储组或数据库。

　　基于PKI的安全性的一个明显缺点是它需要核证机关参与。那意味着你要么实行内部核证机关策略，要么必须向公共核证机关购买证书。PKI所提供的安全性取决于CA密钥的保护强度。

ZDnet (www.zdnet.com.cn)