PKI的應用研究

摘 要 信息安全技術越來越受到人們的重視。PKI技術是目前網絡安全建設的基礎和核心。本文對PKI技術的概念，基本組成等做了簡單分析，并對PKI具體應用做了簡要介紹。

關鍵詞 PKI技術 網絡安全 數字證書

中圖分類號：TP393.08 文獻標識碼：A

隨著電子郵件、電子商務、網上銀行及資源發布等Internet和Intranet應用的發展，經常需要在開放網絡中的不明身份實體之間進行通信，其中包括一些敏感數據?；ヂ摼W在給我們帶來便利和利益的同時也帶來了安全隱患，這些安全問題也阻礙著行業的發展。

1 PKI的概念

PKI即公鑰基礎設施①（Public Key Infrastructure）它是在公鑰密碼理論和技術基礎上建立起來的一種綜合安全平臺，通過第三方可信任機構——認證機構（Certificate Authority，CA），把用戶的公鑰和用戶的其它標識信息（如姓名、E-mail、身份證號等）綁定在一起，為網絡用戶、設備提供信息安全服務的，具有普適性的信息安全基礎設施。PKI技術保證了網上傳遞信息的保密性、完整性、真實性、不可否認性和存取控制的目的。

2 PKI構成和PKI實現

完整的PKI系統包括認證機構（CA）、數字證書庫、密鑰備份及恢復系統、證書撤銷處理系統和PKI應用接口系統，一般構建PKI也是圍繞這五個系統進行的。②

2.1 認證機構

認證機構是整個PKI的核心，它主要的功能有證書發放、證書更新、證書撤銷和證書驗證。具體描述如下：接收驗證最終用戶數字證書的申請；確定是否接受最終用戶數字證書的申請——證書的審批；向申請者頒發或拒絕頒發數字證書——證書的發放；接受、處理最終用戶的數字證書更新請求——證書的更新；接受最終用戶數字證書的查詢、撤銷；產生和發布證書注銷列表（CRL）。

2.2 數字證書庫

證書庫是CA頒發證書和撤銷證書的存放地，用戶可以從此處獲得其他用戶的證書和公鑰。構造證書庫的最佳方法是采用支持LDAP協議的目錄系統，用戶或者相關的應用通過LDAP來訪問證書庫。

2.3 密鑰備份和恢復系統

因為某種原因用戶可能丟失了解密數據的密鑰，密鑰的丟失將導致那些被密鑰加密過的數據無法恢復而造成數據的丟失。為了避免這種情況的發生，PKI提供了密鑰備份與解密密鑰的恢復機制，這就是密鑰備份與恢復系統。

2.4 證書撤銷處理

證書注銷列表（Certificate Revocation List. CRL）中記錄尚未過期但己聲明作廢的用戶證書序列號，證書撤銷是PKI中非常重要的一個組件，作廢證書通過將證書列入CRL來完成，供證書使用者在認證對方證書時查詢使用。通常，系統中由CA負責創建、更新及維護CRL 。

2.5 PKI應用接口系統

一個完整的PKI必須提供良好的應用接口系統，以便各種應用都能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網絡環境的可信性。

它的主要功能是為所有應用對證書的合法性、密鑰備份與恢復、證書作廢處理、交叉證書驗證，提供可信、透明、統一的支持。

3 PKI的應用

PKI/CA已經廣泛應用在金融、電子政務等領域，如網上銀行使用數字證書確定使用者身份、企事業單位信息系統使用基于硬件的USBKEY或IC卡進行身份鑒別及其他信息保護等。下面給出幾個應用實例。

3.1 安全電子郵件

電子郵件憑借其易用、低成本和高效已經成為現代商業中的一種標準信息交換工具。目前發展很快的安全電子郵件協議是S/MIME（The Secure Multipurpose Internet Mail Extension），這是一個允許發送加密和有簽名郵件的協議，該協議的實現需要依賴于PKI技術。

3.2 web安全應用（SSL/TLS）

Web安全問題最適合的入手點是瀏覽器，而瀏覽器都支持SSL協議（The Secure Sockets Layer），這是一個在傳輸層和應用層之間的安全通信層。利用PKI技術，SSL協議允許在瀏覽器和服務器之間進行加密通信。此外還可以利用數字證書保證通信安全。

3.3 VPN/IPsec

VPN是一種架構在公用通信基礎設施上的專用數據通信網絡，利用網絡層安全協議（尤其是IPSec）和建立在PKI上的加密與簽名技術來獲得機密性保護。基于PKI技術的IPSec協議現在郵件成為架構VPN的基礎，它可以為路由器之間，防火墻之間提供加密盒認證的通信。③

3.4 電子商務的應用

電子商務的參與方一般包括買方、賣方、銀行和作為中介的電子交易市場。首先買方通過瀏覽器登錄到電子交易市場的Web服務器并尋找賣方。當買方登錄服務器時，買賣雙方都要在網上驗證對方的電子身份證，這被稱為雙向認證。整個交易過程都是在PKI所提供的安全服務之下進行，實現了真實性、完整性、機密性和不可否認性。

4 結束語

隨著互聯網的發展，基于網絡環境下數據加密/簽名的應用將越來越廣泛，PKI技術能很好的實現網絡統一標準的身份認證。PKI的技術也在不斷發展中，CA信任模型，加解密算法，密鑰管理方案也在不斷變化中。由此可見，PKI的應用前景將無比廣闊。