摘 要 信息安全技術(shù)越來越受到人們的重視。PKI技術(shù)是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)和核心。本文對PKI技術(shù)的概念，基本組成等做了簡單分析，并對PKI具體應(yīng)用做了簡要介紹。

關(guān)鍵詞 PKI技術(shù) 網(wǎng)絡(luò)安全 數(shù)字證書

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A

隨著電子郵件、電子商務(wù)、網(wǎng)上銀行及資源發(fā)布等Internet和Intranet應(yīng)用的發(fā)展，經(jīng)常需要在開放網(wǎng)絡(luò)中的不明身份實體之間進(jìn)行通信，其中包括一些敏感數(shù)據(jù)。互聯(lián)網(wǎng)在給我們帶來便利和利益的同時也帶來了安全隱患，這些安全問題也阻礙著行業(yè)的發(fā)展。

1 PKI的概念

PKI即公鑰基礎(chǔ)設(shè)施①（Public Key Infrastructure）它是在公鑰密碼理論和技術(shù)基礎(chǔ)上建立起來的一種綜合安全平臺，通過第三方可信任機(jī)構(gòu)——認(rèn)證機(jī)構(gòu)（Certificate Authority，CA），把用戶的公鑰和用戶的其它標(biāo)識信息（如姓名、E-mail、身份證號等）綁定在一起，為網(wǎng)絡(luò)用戶、設(shè)備提供信息安全服務(wù)的，具有普適性的信息安全基礎(chǔ)設(shè)施。PKI技術(shù)保證了網(wǎng)上傳遞信息的保密性、完整性、真實性、不可否認(rèn)性和存取控制的目的。

2 PKI構(gòu)成和PKI實現(xiàn)

完整的PKI系統(tǒng)包括認(rèn)證機(jī)構(gòu)（CA）、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書撤銷處理系統(tǒng)和PKI應(yīng)用接口系統(tǒng)，一般構(gòu)建PKI也是圍繞這五個系統(tǒng)進(jìn)行的。②

2.1 認(rèn)證機(jī)構(gòu)

認(rèn)證機(jī)構(gòu)是整個PKI的核心，它主要的功能有證書發(fā)放、證書更新、證書撤銷和證書驗證。具體描述如下：接收驗證最終用戶數(shù)字證書的申請；確定是否接受最終用戶數(shù)字證書的申請——證書的審批；向申請者頒發(fā)或拒絕頒發(fā)數(shù)字證書——證書的發(fā)放；接受、處理最終用戶的數(shù)字證書更新請求——證書的更新；接受最終用戶數(shù)字證書的查詢、撤銷；產(chǎn)生和發(fā)布證書注銷列表（CRL）。

2.2 數(shù)字證書庫

證書庫是CA頒發(fā)證書和撤銷證書的存放地，用戶可以從此處獲得其他用戶的證書和公鑰。構(gòu)造證書庫的最佳方法是采用支持LDAP協(xié)議的目錄系統(tǒng)，用戶或者相關(guān)的應(yīng)用通過LDAP來訪問證書庫。

2.3 密鑰備份和恢復(fù)系統(tǒng)

因為某種原因用戶可能丟失了解密數(shù)據(jù)的密鑰，密鑰的丟失將導(dǎo)致那些被密鑰加密過的數(shù)據(jù)無法恢復(fù)而造成數(shù)據(jù)的丟失。為了避免這種情況的發(fā)生，PKI提供了密鑰備份與解密密鑰的恢復(fù)機(jī)制，這就是密鑰備份與恢復(fù)系統(tǒng)。

2.4 證書撤銷處理

證書注銷列表（Certificate Revocation List. CRL）中記錄尚未過期但己聲明作廢的用戶證書序列號，證書撤銷是PKI中非常重要的一個組件，作廢證書通過將證書列入CRL來完成，供證書使用者在認(rèn)證對方證書時查詢使用。通常，系統(tǒng)中由CA負(fù)責(zé)創(chuàng)建、更新及維護(hù)CRL 。

2.5 PKI應(yīng)用接口系統(tǒng)

一個完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，以便各種應(yīng)用都能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網(wǎng)絡(luò)環(huán)境的可信性。

它的主要功能是為所有應(yīng)用對證書的合法性、密鑰備份與恢復(fù)、證書作廢處理、交叉證書驗證，提供可信、透明、統(tǒng)一的支持。

3 PKI的應(yīng)用

PKI/CA已經(jīng)廣泛應(yīng)用在金融、電子政務(wù)等領(lǐng)域，如網(wǎng)上銀行使用數(shù)字證書確定使用者身份、企事業(yè)單位信息系統(tǒng)使用基于硬件的USBKEY或IC卡進(jìn)行身份鑒別及其他信息保護(hù)等。下面給出幾個應(yīng)用實例。

3.1 安全電子郵件

電子郵件憑借其易用、低成本和高效已經(jīng)成為現(xiàn)代商業(yè)中的一種標(biāo)準(zhǔn)信息交換工具。目前發(fā)展很快的安全電子郵件協(xié)議是S/MIME（The Secure Multipurpose Internet Mail Extension），這是一個允許發(fā)送加密和有簽名郵件的協(xié)議，該協(xié)議的實現(xiàn)需要依賴于PKI技術(shù)。

3.2 web安全應(yīng)用（SSL/TLS）

Web安全問題最適合的入手點是瀏覽器，而瀏覽器都支持SSL協(xié)議（The Secure Sockets Layer），這是一個在傳輸層和應(yīng)用層之間的安全通信層。利用PKI技術(shù)，SSL協(xié)議允許在瀏覽器和服務(wù)器之間進(jìn)行加密通信。此外還可以利用數(shù)字證書保證通信安全。

3.3 VPN/IPsec

VPN是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專用數(shù)據(jù)通信網(wǎng)絡(luò)，利用網(wǎng)絡(luò)層安全協(xié)議（尤其是IPSec）和建立在PKI上的加密與簽名技術(shù)來獲得機(jī)密性保護(hù)?；赑KI技術(shù)的IPSec協(xié)議現(xiàn)在郵件成為架構(gòu)VPN的基礎(chǔ)，它可以為路由器之間，防火墻之間提供加密盒認(rèn)證的通信。③

3.4 電子商務(wù)的應(yīng)用

電子商務(wù)的參與方一般包括買方、賣方、銀行和作為中介的電子交易市場。首先買方通過瀏覽器登錄到電子交易市場的Web服務(wù)器并尋找賣方。當(dāng)買方登錄服務(wù)器時，買賣雙方都要在網(wǎng)上驗證對方的電子身份證，這被稱為雙向認(rèn)證。整個交易過程都是在PKI所提供的安全服務(wù)之下進(jìn)行，實現(xiàn)了真實性、完整性、機(jī)密性和不可否認(rèn)性。

4 結(jié)束語

隨著互聯(lián)網(wǎng)的發(fā)展，基于網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)加密/簽名的應(yīng)用將越來越廣泛，PKI技術(shù)能很好的實現(xiàn)網(wǎng)絡(luò)統(tǒng)一標(biāo)準(zhǔn)的身份認(rèn)證。PKI的技術(shù)也在不斷發(fā)展中，CA信任模型，加解密算法，密鑰管理方案也在不斷變化中。由此可見，PKI的應(yīng)用前景將無比廣闊。