摘要：PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。本文對(duì)PKI技術(shù)進(jìn)行詳細(xì)的闡述了，并對(duì)PKI技術(shù)在網(wǎng)絡(luò)安全的應(yīng)用做了研究。

關(guān)鍵詞：PK；公鑰基礎(chǔ)設(shè)施；網(wǎng)絡(luò)安全；信息安全

中圖分類號(hào)：TP399 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 17-0000-02

1 引言

PKI（Public Key Infrastructure）即\"公鑰基礎(chǔ)設(shè)施\"，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。由于通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸，因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)，它能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問(wèn)題[1]。

2 PKI系統(tǒng)的構(gòu)成

一個(gè)典型的PKI系統(tǒng)如圖1所示，包括PKI策略、軟硬件系統(tǒng)、證書(shū)機(jī)構(gòu)（CA）、注冊(cè)機(jī)構(gòu)（RA）、證書(shū)發(fā)布系統(tǒng)和PKI應(yīng)用等[2]。

2.1 PKI策略

在PKI系統(tǒng)中，制定并實(shí)現(xiàn)科學(xué)的安全策略管理是非常重要的這些安全策略必須適應(yīng)不同的需求，并且能通過(guò)CA和RA技術(shù)融入到CA和RA的系統(tǒng)實(shí)現(xiàn)中。同時(shí)，這些策略應(yīng)該符合密碼學(xué)和系統(tǒng)安全的要求，科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論，并且具有良好的擴(kuò)展性和互用性。

2.2 軟硬件系統(tǒng)

PKI系統(tǒng)運(yùn)行所需的所有軟件、硬件的集合，主要包括認(rèn)證服務(wù)器、目錄服務(wù)器、PKI平臺(tái)等。

2.3 證書(shū)機(jī)構(gòu)（CA）

CA（Certification Authority）是一個(gè)確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)證書(shū)、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書(shū)，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書(shū)被偽造或篡改。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市場(chǎng)認(rèn)同的一個(gè)關(guān)鍵，它不需支持各種通用的國(guó)際標(biāo)準(zhǔn)，能夠很好地和其他廠家的CA產(chǎn)品兼容。

2.4 注冊(cè)機(jī)構(gòu)（RA）

RA（Registration Authority）是用戶和CA的接口，它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書(shū)的基礎(chǔ)。RA不僅要支持面對(duì)面的登記，也必須支持遠(yuǎn)程登記。要確保整個(gè)PKI系統(tǒng)的安全、靈活，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

2.5 證書(shū)發(fā)布系統(tǒng)

負(fù)責(zé)證書(shū)的發(fā)放，如可以通過(guò)用戶自己，或是通過(guò)目錄服務(wù)。目錄服務(wù)器可以是一個(gè)組織中現(xiàn)存的，也可以是PKI方案中提供的。

3 PKI的應(yīng)用

3.1 安全電子郵件

作為Internet上最有效的應(yīng)用，電子郵件憑借其易用、低成本和高效已經(jīng)成為現(xiàn)代商業(yè)中的一種標(biāo)準(zhǔn)信息交換工具。隨著Internet的持續(xù)增長(zhǎng)，商業(yè)機(jī)構(gòu)或政府機(jī)構(gòu)都開(kāi)始用電子郵件交換一些秘密的或是有商業(yè)價(jià)值的信息，這就引出了一些安全方面的問(wèn)題，包括：消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或截掉；發(fā)信人的身份無(wú)法確認(rèn)。電子郵件的安全需求也是機(jī)密、完整、認(rèn)證和不可否認(rèn)，而這些都可以利用PKI技術(shù)來(lái)獲得。目前發(fā)展很快的安全電子郵件協(xié)議是S/MIME（The Secure Multipurpose Internet Mail Extension），這是一個(gè)允許發(fā)送加密和有簽名郵件的協(xié)議，該協(xié)議的實(shí)現(xiàn)需要依賴于PKI技術(shù)。

3.2 Web安全

為了透明地解決Web的安全問(wèn)題，最合適的入手點(diǎn)是瀏覽器。而瀏覽器都支持SSL協(xié)議（The Secure Sockets Layer），這是一個(gè)在傳輸層和應(yīng)用層之間的安全通信層。在兩個(gè)實(shí)體進(jìn)行通信之前，先要建立SSL連接，以此實(shí)現(xiàn)對(duì)應(yīng)用層透明的安全通信。利用PKI技術(shù)，SSL協(xié)議允許在瀏覽器和服務(wù)器之間進(jìn)行加密通信。此外還可以利用數(shù)字證書(shū)保證通信安全，服務(wù)器端和瀏覽器端分別由可信的第三方頒發(fā)數(shù)字證書(shū)，這樣在交易時(shí)，雙方可以通過(guò)數(shù)字證書(shū)確認(rèn)對(duì)方的身份。需要注意的是，SSL協(xié)議本身并不能提供對(duì)不可否認(rèn)性的支持，這部分的工作必須由數(shù)字證書(shū)完成。

結(jié)合SSL協(xié)議和數(shù)字證書(shū)，PKI技術(shù)可以保證Web交易多方面的安全需求，使Web上的交易和面對(duì)面的交易一樣安全。

3.3 虛擬專用網(wǎng)

VPN是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專用數(shù)據(jù)通信網(wǎng)絡(luò)，利用網(wǎng)絡(luò)層安全協(xié)議（尤其是IPSec）和建立在PKI上的加密與簽名技術(shù)來(lái)獲得機(jī)密性保護(hù)?；赑KI技術(shù)的IPSec協(xié)議現(xiàn)在已經(jīng)成為架構(gòu)VPN的基礎(chǔ)，它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經(jīng)過(guò)加密和認(rèn)證的通信[3]。雖然它的實(shí)現(xiàn)會(huì)復(fù)雜一些，但其安全性比其他協(xié)議都完善得多。

3.4 電子商務(wù)

電子商務(wù)的建設(shè)最重要的就是解決電子商務(wù)應(yīng)用的安全問(wèn)題。就是要解決信息存儲(chǔ)、傳輸?shù)陌踩?；提高防護(hù)、檢測(cè)、響應(yīng)恢復(fù)和抗攻擊能力；保證保密性、鑒別性、完整性、可用性和可控性[4]。其核心是保證系統(tǒng)數(shù)據(jù)的安全和系統(tǒng)的可用性。PKI的核心環(huán)節(jié)CA就是電子交易中信賴的基礎(chǔ)。主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實(shí)體所需的身份認(rèn)證數(shù)字證書(shū)，使網(wǎng)上交易用戶屬性的客觀真實(shí)性與證書(shū)的真實(shí)性一致。為網(wǎng)上交易各方的信息安全提供有效的、可靠的保護(hù)機(jī)制。這些機(jī)制提供機(jī)密性、身份驗(yàn)證特性（使交易的每一方都可以確認(rèn)其它各方的身份）、不可否認(rèn)性（交易的各方不可否認(rèn)它們的參與）。它的建立對(duì)開(kāi)放網(wǎng)絡(luò)上的電子商務(wù)的開(kāi)展具有非常重要的意義。

4 結(jié)語(yǔ)

隨著互聯(lián)網(wǎng)的發(fā)展，基于網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)加密/簽名的應(yīng)用將越來(lái)越廣泛，PKI作為技術(shù)基礎(chǔ)可以很好地實(shí)現(xiàn)通行于網(wǎng)絡(luò)的統(tǒng)一標(biāo)準(zhǔn)的身份認(rèn)證，其中既包含有線網(wǎng)絡(luò)，也涵蓋了無(wú)線通信領(lǐng)域。因此我們可以預(yù)見(jiàn)，PKI的應(yīng)用前景將無(wú)比廣闊。

參考文獻(xiàn)：

[1]陳曉紀(jì)，李大明，柴旭光.PKI技術(shù)在安全電子商務(wù)系統(tǒng)中的應(yīng)用研究[J].邢臺(tái)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010，3.

[2]竇軍偉.PKI技術(shù)發(fā)展與應(yīng)用初探[J].電腦知識(shí)與技術(shù)，2010，10.

[3]張蓉，楊磊，程慧.PKI技術(shù)及其發(fā)展應(yīng)用[J].大眾科技，2010，2.

[4]田文強(qiáng)，穆瑞輝.電子商務(wù)系統(tǒng)中基于PKI技術(shù)的角色訪問(wèn)控制模型[J].新鄉(xiāng)教育學(xué)院學(xué)報(bào)，2009，4.

[作者簡(jiǎn)介]李遠(yuǎn)英（1980-），女，貴州凱里人，貴州電子信息職業(yè)技術(shù)學(xué)院，講師，研究方向：計(jì)算機(jī)硬件技術(shù)和數(shù)據(jù)庫(kù)技術(shù)。