胡運(yùn)江

摘要：公鑰基礎(chǔ)設(shè)施是網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)設(shè)施，是電子商務(wù)安全最基本的保障， PKI技術(shù)的發(fā)展和研究是信息安全領(lǐng)域的重點(diǎn)。本文對PKI技術(shù)進(jìn)行介紹、闡述、分析和總結(jié)。其中包括PKI的概念、產(chǎn)生、原理和PKI應(yīng)用等。希望通過本文對PKI的探究，對CA的開發(fā)、應(yīng)用和普及具有一定的作用。

關(guān)鍵詞：公鑰基礎(chǔ)設(shè)施;PKI;電子商務(wù);CA

一、PKI的概念

PKI，也叫公鑰基礎(chǔ)設(shè)施，它是一組包括軟硬件、機(jī)構(gòu)和應(yīng)用系統(tǒng)等的集合，通過該集合實(shí)現(xiàn)公鑰密碼體制的密鑰和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能。它為電子商務(wù)提供了基本的安全信任服務(wù)，讓用戶身份明確。

二、PKI的產(chǎn)生

密碼學(xué)上，公開密鑰基礎(chǔ)建設(shè)借著數(shù)字證書認(rèn)證機(jī)構(gòu)（CA）將用戶的個(gè)人身份跟公開密鑰鏈接在一起。1976年Whitfield Diffie、Martin Hellman|Hellman、Ron Rivest、Adi Shamir和Leonard Adleman等人相繼公布了安全密鑰交換與非對稱密鑰算法后，用戶對安全通信的需求越來越強(qiáng)。在密碼學(xué)的發(fā)展進(jìn)程中，美國律師協(xié)會(huì)、企事業(yè)組織對隱私、訪問、可靠性的質(zhì)疑，密碼學(xué)的發(fā)展進(jìn)程很緩慢。隨著電子商務(wù)的高速發(fā)展，人們對安全交易的迫切需要，PKI的安全機(jī)制快速發(fā)展起來。

三、PKI機(jī)制的原理

（一）PKI的基本原理

公開密鑰基礎(chǔ)設(shè)施，就是用戶可以提出認(rèn)證，并使用公鑰證書內(nèi)的公鑰信息加密給對方。解密時(shí)，每個(gè)用戶使用自己的私密密鑰解密，該密鑰通常被通行碼保護(hù)。

（二） PKI的組成

一個(gè)完整PKI包括如下幾個(gè)部分：

1.安全服務(wù)器：安全服務(wù)器提供證書申請、瀏覽、證書撤銷列表、證書下載等安全服務(wù)。

2.注冊機(jī)構(gòu)RA：一方面向CA轉(zhuǎn)發(fā)安全服務(wù)器傳輸過來的證書申請請求，另一方面向LDAP服務(wù)器和安全服務(wù)器轉(zhuǎn)發(fā)CA頒發(fā)的數(shù)字證書和證書撤銷列表（CRL）。

3.LDAP服務(wù)器：提供目錄瀏覽服務(wù)，負(fù)責(zé)將注冊機(jī)構(gòu)服務(wù)器RA傳輸過來的用戶信息以及數(shù)字證書加入到服務(wù)器上。用戶通過訪問LDAP服務(wù)器就能夠得到其他用戶的數(shù)字證書。

4.CA服務(wù)器：整個(gè)證書機(jī)構(gòu)的核心，負(fù)責(zé)證書的簽發(fā)。

5.數(shù)據(jù)庫服務(wù)器：CA中的核心部分，用于CA中數(shù)據(jù)、日志、統(tǒng)計(jì)信息的存儲(chǔ)和管理。

（三）PKI的功能

1 .證書的申請：用戶獲取CA的數(shù)字證書（根證書），與安全服務(wù)器建立連接;生成自己的公鑰和私鑰，將公鑰和自己的身份信息提交給安全服務(wù)器，安全服務(wù)器將用戶的申請信息傳送給RA服務(wù)器。然后RA審核，合格CA發(fā)行證書，最后用戶獲得證書。

2.證書的撤銷：用戶申請撤銷證書，然后RA審核，CA更新CRL，RA轉(zhuǎn)發(fā)CRL，注冊中心收到CRL，以多種方式將CRL公布，最后用戶告知。

3.證書的管理：認(rèn)證中心CA負(fù)責(zé)維護(hù)和發(fā)布證書廢除列表CRL。

四、PKI的應(yīng)用

PKI的應(yīng)用非常廣泛，其為網(wǎng)上金融、電子商務(wù)、電子政務(wù)等網(wǎng)絡(luò)中的數(shù)據(jù)交換提供了完備的安全服務(wù)功能。PKI作為安全基礎(chǔ)設(shè)施，能夠提供身份認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)公正性、不可抵賴性等多方面的安全服務(wù)。

（一）提供用戶身份認(rèn)證

用戶身份認(rèn)證，就是給授權(quán)用戶安全登錄方式在PKI體系中，認(rèn)證中心CA為系統(tǒng)內(nèi)每個(gè)合法用戶辦一個(gè)網(wǎng)上身份認(rèn)證，即身份證。另外還有移動(dòng)認(rèn)證幫助我們移動(dòng)管理身份認(rèn)證，設(shè)備認(rèn)證管理我們的身份認(rèn)證。

（二）確保數(shù)據(jù)的完整性

PKI數(shù)據(jù)的完整性就是防止非法篡改信息，如修改、復(fù)制、插入、刪除等。在交易過程中，要確保交易雙方接收到的數(shù)據(jù)與原數(shù)據(jù)完全一致，否則交易將存在安全問題。一般使用散列函數(shù)的方法來保證通信時(shí)數(shù)據(jù)的完整性。

（三）確保數(shù)據(jù)的保密性

數(shù)據(jù)的保密性就是對需要保護(hù)的數(shù)據(jù)進(jìn)行加密，從而保證信息在傳輸和存儲(chǔ)過程中不被未授權(quán)人獲取。通過對稱加密和非對稱加密來實(shí)現(xiàn)。

（四）確保數(shù)據(jù)的不可抵賴性

在PKI系統(tǒng)中，不可抵賴性來源于數(shù)字簽名。通過數(shù)字簽名可以實(shí)現(xiàn)數(shù)據(jù)的不可抵賴。

（五）基于云的應(yīng)用程序及服務(wù)

基于云的應(yīng)用程序及服務(wù)就是通過云平臺(tái)托管PKI，管理證書。

（六）電子郵件安全

電子郵件的安全是基于標(biāo)準(zhǔn)的電子郵件加密能力，確保電子郵件的安全需求比如機(jī)密、完整、認(rèn)證和不可否認(rèn)等，通過PKI技術(shù)實(shí)現(xiàn)，比如S/MIME郵件協(xié)議。

（七）Web安全

Web的安全問題也可以通過PKI技術(shù)實(shí)現(xiàn)，比如在兩個(gè)實(shí)體進(jìn)行通信前，先要建立SSL連接，然后利用PKI技術(shù)，SSL協(xié)議允許在瀏覽器和服務(wù)器之間進(jìn)行加密通信，確保web通信安全。

五、小結(jié)

PKI最初產(chǎn)生于美國， 歐洲在PKI基礎(chǔ)建設(shè)方面也成績顯著，比如頒布了93/1999EC法規(guī)成立了歐洲橋CA指導(dǎo)委員會(huì)，我國的PKI技術(shù)從1998年開始起步，政府和各有關(guān)部門對PKI產(chǎn)業(yè)的發(fā)展給予了高度重視。2001年P(guān)KI技術(shù)被列為“十五”863計(jì)劃信息安全主題重大項(xiàng)目，并于同年10月成立了國家863計(jì)劃信息安全基礎(chǔ)設(shè)施研究中心。國家電子政務(wù)工程中明確提出了要構(gòu)建PKI體系。我國已全面推動(dòng)PKI技術(shù)研究與應(yīng)用。先后通過電子簽名法，規(guī)定電子簽名與手寫簽名或者蓋章具有同等的法律效力。它的誕生極大地推動(dòng)了我國的PKI發(fā)展。

PKI是一種安全技術(shù)，PKI具有強(qiáng)大的生命力和無與倫比的技術(shù)優(yōu)勢，它來源于公鑰密碼技術(shù)，同時(shí)，數(shù)字證書破殼而出，并成為PKI中最為核心的元素。盡管PKI技術(shù)的應(yīng)用很多，但是沒有一個(gè)特色招牌應(yīng)用，也沒有人們想象中那么迅速的發(fā)展。但是它作為一項(xiàng)當(dāng)前比較流行的安全技術(shù)，PKI正逐步得到更加廣泛的應(yīng)用。

參考文獻(xiàn)：

[1] 張?zhí)旆?對電子信息安全技術(shù)PKI的認(rèn)識(shí)及研究[J].中國新通信，2018，v.20（10）：186..

[2] 王瓊霄，王聰麗，林璟鏘，宋利.PKI證書服務(wù)的安全增強(qiáng)技術(shù)[J].信息安全研究，2019，5（01）：52-60.

[3] 謝躍偉.淺談PKI數(shù)字證書在WEB系統(tǒng)中的安全應(yīng)用[J].中國新通信，2017（7）