一、前言

信息技術的發(fā)展為我們帶來便利的同時，也不可避免的帶來一些信息數據安全上的風險。PKI系統(tǒng)是解決這些風險問題的一個很好的基礎架構。

PKI系統(tǒng)是解決信息技術中信任、安全、加密等問題的基本解決方案，采用先進安全加密技術，提供真實性、保密性、完整性以及可追究性安全服務的具有普適性的安全基礎設施。

現代的PKI系統(tǒng)是建立在非對稱加密的理論和技術的基礎上的，同時國際電聯電信委員會還為PKI系統(tǒng)制定了比較嚴密的技術標準X.509。在我們研究PKI系統(tǒng)之前，先了解一下非對稱加密、數字證書、X.509標準等概念。

二、非對稱加密

非對稱加密提出一種加密算法，能夠安全地讓通訊雙方交換信息，安全地達成一致的密鑰，這就是“非對稱加密算法”。

非對稱加密算法(asymmetric cryptographic algorithm)又名“公開密鑰加密算法”，它有兩個密鑰：公開密鑰(publickey)和私有密鑰(privatekey)。私鑰和公鑰是一對同時生成，并且相互依存的秘鑰。例如在用戶A和用戶B之間使用非對稱加密算法傳遞信息，用戶A在加密的時候就不需要將自己的私有密鑰告訴用戶B，只需要使用用戶B的公開密鑰進行加密即可。用戶B在接收到加密信息后，使用本人私有密鑰解密得到信息，即使在傳遞過程中加密信息被其他人竊取，沒有用戶B的私有密鑰，也不能夠進行解密。用戶B在反饋用戶A的時候，也是使用用戶A的公鑰進行加密，也只能夠是用戶A能夠得到真實的信息。

三、數字證書

數字證書是用來標示和證明身份的數字信息文件，它提供了一種驗證用戶身份的方式。數字證書中包含公開密鑰擁有者信息以及公開密鑰，同時還有權威認證機構對該數字證書的簽名，別的用戶從數字證書確認你的數字證書是否是有效的、可信的，同時還可以得到你的個人信息和公開密鑰，個人信息可以作為記錄，公開密鑰用來加密對你進行傳遞的數據。

在PKI系統(tǒng)中，數字證書是實現各種安全的一個重要載體。

四、X.509標準

X.509是由國際電聯電信委員會(ITU-T)制定的PKI標準。X.509定義了PKI體系中數字證書、證書吊銷清單、屬性證書和證書路徑驗證算法等標準。通過規(guī)范PKI標準，能夠使得不同的PKI系統(tǒng)相互之間兼容、互信。最新的X.509標準是1996年的第三版。

五、PKI系統(tǒng)

在PKI系統(tǒng)中，真實性、保密性、完整性以及可追究性等安全服務都是由數字證書這個載體來完成的。數字證書不是憑空出來的，也不能夠單獨提供這些安全服務，這需要構建一個完整的PKI系統(tǒng)。一個完整的PKI系統(tǒng)主要包括以下五方面的內容：

認證機構，數字證書的權威簽發(fā)機構，它是PKI的核心，是PKI應用中權威的、可信任的、公正的第三方機構。它驗證用戶申請信息的可信性，同時驗證用戶證書的可信性。PKI系統(tǒng)中的認證機構，可以由幾個層級來實現。最頂級的是根證書服務，它只對其從屬證書服務提供審核和確認，向這些服務頒發(fā)證書，以確認其證書服務的合法性、可信性。第二級的證書服務可以是直接面向最終用戶，提供基本的證書申請、審核、頒發(fā)等服務，也可以像根證書服務那樣只面向更低一級證書服務。通常企業(yè)可以使用兩層的結構就足夠。有些情況下，企業(yè)中也會有多個PKI系統(tǒng)，在相互之間還要進行交叉信任，這種情況下就需要在頂級的根證書服務之間進行相互的信任認證。在PKI系統(tǒng)中，用戶首先應該信任數字證書的認證機構，并且使用本人信息在認證機構進行注冊，從認證機構得到一個經過審核確認的用戶數字證書來標明自己的身份。在不同的用戶之間，數字證書就是自己身份的標示，可以根據對方的數字證書確定對方是否可信和身份。

證書庫，數字證書的集中存放的位置。證書庫必須能夠給公眾提供數字證書查詢服務，讓公眾能夠確定數字證書的合法性、有效性、可信性。

密鑰備份及恢復系統(tǒng)，該系統(tǒng)能夠對用戶的密鑰(主要指公開密鑰)進行備份，當丟失時進行恢復。這是PKI系統(tǒng)中一個很重要的內容，對于PKI系統(tǒng)的安全、健壯性、可用性起到重要作用。

證書撤銷處理系統(tǒng)，該系統(tǒng)的功能就是提供證書撤銷列表CRL。在PKI系統(tǒng)中，證書可能由于某種原因作廢，終止使用，該PKI系統(tǒng)范圍內的對象不再信任這些已經作廢的數字證書，這就需要向系統(tǒng)內的對象提供一個證書撤銷列表CRL，證書撤銷處理系統(tǒng)就是完成這個功能。

PKI應用接口系統(tǒng)。PKI應用接口系統(tǒng)能夠為各種其它應用提供安全、一致、可信任的方式來與PKI進行交互，確保所建立起來的環(huán)境安全可靠。

六、PKI在企業(yè)中的應用和實現

隨著企業(yè)業(yè)務的拓展，各種新的業(yè)務需求不斷被提出，例如出差途中或者在家中如何安全訪問企業(yè)內部網絡，企業(yè)敏感信息如何能夠在網絡上安全傳輸，無線網絡如何能夠安全可信的接入和使用，重要文件如何能夠保證其可信性（未被篡改過）等等。這些新的需求隨著企業(yè)信息化程度的提高而日趨重要。PKI系統(tǒng)就能夠很好地滿足這些需求。

通過internet訪問企業(yè)內部網絡，可以使用數字證書來確定用戶的身份，驗證其合法性，在訪問過程中對數據進行加密，防止被竊聽。相對于傳統(tǒng)的用戶名和密碼的方式，采用數字證書的方式要安全許多，甚至還可以利用PKI系統(tǒng)將數字證書制作在USB設備中，這樣比普通的數字證書還要安全許多?，F在很多的網絡銀行，網絡支付，網絡理財都采用這種安全性更高的方式。

在企業(yè)中對于文檔、圖紙、往來郵件等內容也可以使用數字證書進行簽名，以確保文檔、圖紙、郵件等的不可篡改性。在企業(yè)中這也是很有必要的，利用數字證書進行簽名可以保證每個員工所提供的文檔、圖紙、郵件的確定性，為企業(yè)后續(xù)對這些內容的使用提供保證。

無線網絡的普及之后，企業(yè)也要對網絡的接入進行審核，同樣可以使用數字證書來進行確定與審核。

在企業(yè)中可以使用微軟windows server 2008中的PKI系統(tǒng)。在現代許多企業(yè)中，都采用了域的框架結構，在域的范圍內建立PKI系統(tǒng)，可以將PKI和域集成起來，建立域的PKI系統(tǒng)，這樣可以充分利用域中的員工信息數據，降低工作量，提高審核的準確性。先建立域的數字根證書服務，然后根據需要建立數字證書的頒發(fā)機構，建立不同的數字證書模板，對域內發(fā)布這些模板，域內的用戶進行申請，數字證書的頒發(fā)機構可以從域的AD中獲取用戶的信息以便于進行確認、審核。對于域外的用戶，也可以單獨建立一套PKI系統(tǒng)，然后和域內的PKI系統(tǒng)進行交叉信任。

企業(yè)中的數字證書常用的有用戶數字證書，服務器數字證書，加密數字證書，簽名數字證書等。用戶數字證書可以標明用戶的個人身份，同時在進行信息交流的時候，用戶數字證書還可以對信息進行加密，信息在網絡上傳遞的時候也不能夠被竊密。服務器數字證書可以標明服務器本身的可信性，用戶可以和服務器進行安全放心的信息交互。簽名數字證書的主要用途就是對各種信息進行數字簽名。

七、結束語

本文對PKI系統(tǒng)的基本原理進行了大致的研究，對PKI在企業(yè)中的應用和實現進行了初步的探討，我們相信隨著PKI技術的完善，它在安全領域的作用會越來越大。

[1]關振勝.公鑰基礎設施PKI及其應用[M].電子工業(yè)出版社,2008:01.

[2]Andrew Nash,William Duane,Celia Joseph,Derek Brink,張玉清,陳建奇,楊波,薛偉.公鑰基礎設施(PKI):實現和管理電子安全[M].清華大學出版社,2002,12.

[3]李建新.公鑰基礎設施(PKI)理論及應用[M].機械工業(yè)出版社,2010,4.

[4]謝冬青,冷鍵.PKI原理與技術[M].清華大學出版社,2004.

[5]Brian Komar,Windows Server 2008 PKI and Certi fi cate Security[M].微軟出版社,2008:4.