淺析ＰＫＩ與網絡信息安全

李玥婷

[摘要]利用公鑰密碼技術為安全通信提供服務的基礎平臺的技術和規范提供基于非對稱密鑰密碼技術的一系列安全服務，包括通信對象身份認證和密碼管理、機密性、完整性、不可否認性和數字簽名等務進行安全的信息交互，在線交易和互聯網上的各種活動。

[關鍵詞]公共密鑰基礎設施（PKI） 網絡信息安全 證書 密鑰

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0520053－01

一、網絡信息安全

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證。信息網絡涉及到國家的政府、軍事、文教等諸多領域，存儲、傳輸和處理的許多信息是政府宏觀調控決策、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要的信息。其中有很多是敏感信息，甚至是國家機密。在數字世界里信息的交互是以信息流的形式存在，但由于這種交互是建立在網絡基礎上的，保證交互的順利進行卻不是一件容易的事。

二、PKI與網絡信息安全

PKI，即“公共密鑰基礎設施”。是一套利用公鑰密碼技術為安全通信提供服務的基礎平臺的技術和規范，PKI規定了該安全基礎平臺應遵循的標準。PKI公鑰基礎設施的主要任務是在開放環境中為開放性業務提供基于非對稱密鑰密碼技術的一系列安全服務，包括通信對象身份認證和密碼管理、機密性、不可否認性和數字簽名等。PKI技術是信息安全技術的核心，用戶可利用PKI平臺提供的服務進行安全的信息交互，在線交易和互聯網上的各種活動。

PKI的提出和研究經過了很長一段時間才形成一套初步完整的安全解決方案，即目前被廣泛采用的PKI體系結構。PKI體系結構采用證書管理公鑰，通過第三方的可信認證中心，把用戶的公鑰和用戶的其他標識（如姓名、E-mail、身份證號等）捆綁在一起，以方便網絡通信對象之間驗證彼此的身份。

1．PKI的組成。一個典型、完整、有效的PKI應用系統至少應具有以下部分：

（1）權威認證機構CA：CA是PKI的核心組件，它必須具備權威性、公正性的特征。CA負責簽發證書、驗證證書、管理已頒發證書，以及制定政策和具體步驟來驗證、識別用戶身份。

（2）數字證書庫：證書庫必須使用某種穩定可靠的、規模可擴充的在線資料庫，以便用戶能找到安全通信需要的證書信息或證書撤消信息。

（3）密鑰備份及恢復系統：如果用戶丟失了用于解密數據的密鑰，則數據將無法被解密，這將造成合法數據丟失。為避免這種情況的發生，PKI提供備份與恢復密鑰的機制。

（4）證書作廢系統：證書撤銷處理系統是PKI的一個必備的組件。與日常生活中的各種身份證件一樣，證書有效期以內也可能需要作廢，原因可能是密鑰介質丟失或用戶身份變更等

（5）應用接口（API）：PKI的價值在于使用戶能方便的使用加密、數字簽名等安全服務，因此必須提供良好的應用接口。

（6）客戶端軟件：為方便客戶操作，解決PKI的應用問題，在客戶裝有客戶端軟件，以實現數字簽名、加密傳輸數據等功能。此外，客戶端軟件還負責在認證過程中，查詢證書和相關證書的撤消信息以及進行證書路徑處理、對特定文檔提供時間戳請求等。

2．PKI的功能。建設PKI體系是為信息交互，在線交易和互聯網上的各種活動提供完備的安全服務功能，是公鑰基礎設施最基本、最核心的功能。作為基礎設施要做到：遵循必要的原則，不同的實體可以方便地使用PKI安全基礎設施提供的服務

PKI提供的服務功能包括：

（1）自動查詢證書“黑名單”（CRL），實現雙向身份認證。當客戶需要在網上傳輸信息時，客戶端軟件會自動對信息傳輸雙方的身份進行驗證，包括：對方是否也擁有CA的證書?證書是否在有效期內?證書是否因為某種原因被撤銷，即證書是否被列入“黑名單”（CRL）。

這種驗證是雙向的而且是由客戶端自動完成的。如果驗證通過，客戶端就會自動建立起雙方的信息安全通道，確保信息的安全傳遞；如果驗證未通過，客戶端會自動終止聯系，防止客戶的重要信息泄露。

（2）對傳輸信息自動加/解密，保證信息的私密性。客戶端自動對其發出的信息進行加密，并對收到的信息解密，通信雙方無須對這一過程進行任何干預。加密機制采取對稱加密和非對稱加密相結合的方式，前者使用國際通行的128位加密強度的對稱算法，后者使用高強度的非對稱的1024位RSA算法。

對傳輸信息自動進行數字簽名和驗證，支持交易的不可否認性。客戶端可以自動對客戶發出的交易信息進行數字簽名，其作用等同于現實中客戶的手寫簽名或公章，并對接收到的帶有對方簽名的信息進行自動驗證，保證對方簽名的真實性。

（3）證書恢復功能，解除客戶遺忘口令的后顧之憂。一般，客戶需要先啟動客戶端軟件輸入用戶名和口令，然后才能使用證書進行網上交易。口令是保證客戶證書不被他人非法盜用的重要依據，但口令遺忘或者丟失又是現實中經常會發生的事情。這時，客戶可以利用客戶端軟件，通過CA提供的“證書恢復”功能來重新設置自己的口令，保證證書的可用性。

（4）實現證書生命周期的自動管理。一般，CA采用加密密鑰和簽名密鑰的雙密鑰機制，通過客戶端安全代理軟件或安全應用控鍵實現證書的自動管理。客戶不用考慮證書是否過期，由客戶端軟件自動、透明地在證書到期前完成證書更新。

（5）多種證書存放方式，給客戶最大的便利。根據客戶的不同需求，客戶端軟件支持證書的多種存放方式：客戶既可以將證書存放在硬盤上，也可以存放在軟盤上，但這種做法是不安全的；更為普遍的一種安全方式是，客戶直接將證書存放在IC卡中。

3．PKI加密/簽名原理

（1）PKI加密密鑰對的使用原理。發送方欲將加密數據發送給接收方，首先要獲取接收方的公開的公鑰，并用此公鑰加密要發送的數據，即可發送；接收方在收到數據后，只需使用自己的私鑰即可將數據解密。假如發送的數據被非法截獲，由于私鑰并未上網傳輸，非法用戶將無法將數據解密，更無法對文件做任何修改，從而確保了文件的機密性和完整性。

（2）PKI簽名密鑰對的使用原理。此過程與加密過程相對應。接收方收到數據后，使用私鑰對其簽名并通過網絡傳輸給發送方，發送方用公鑰解開簽名，由于私鑰具有唯一性，可證實此簽名信息確實為由接收方發出。此過程中，任何人都沒有私鑰，因此無法偽造接收方的簽名或對其作任何形式的篡改，從而達到數據真實性和不可抵賴性的要求。

三、基于PKI的網絡信息安全

在網絡信息交互過程中需要一套強大的基于PKI技術的安全認證機制：通過發放數字證書實現網上信息傳遞的私密性、真實性、完整性和不可否認性。根據客戶不同層次的安全需求，CA提供企業（個人）高級證書、企業（個人）普通證書、Web站點證書、STK手機證書、VPN設備證書

等。對于擁有高級證書的客戶，可以通過安全代理軟件來實現證書的多種功能。客戶只需輸入口令，代理軟件就會自動為客戶完成身份識別、信息加密、數字簽名及證書自動更新等一系列工作。通過代理軟件，客戶無須過多地理解證書和密鑰處理的機制就可以輕松實現網上信息的安全傳遞。它能夠自動地執行CA提供的一整套完整的安全機制，整個過程對客戶都是透明的，為客戶提供可靠、便捷的網上安全服務。

參考文獻：

[1]寧宇鵬、陳昕等，PKI技術，北京：機械工業出版，2004.

[2]章學拯、裘奮華等，網絡安全與電子商務，北京：科學工業出版，2006.

[3]關振勝，公鑰基礎設施PKI及其應用，電子工業出版社，2008.