1、PAGE PAGE 52009年全國(guó)技工教育和職業(yè)培訓(xùn) 優(yōu)秀教研成果評(píng)選活動(dòng)參評(píng)論文淺談公開(kāi)密鑰基礎(chǔ)設(shè)施PKI的服務(wù)與技術(shù)淺談公開(kāi)密鑰基礎(chǔ)設(shè)施PKI的服務(wù)與技術(shù)摘要:本文主要闡述公開(kāi)密鑰基礎(chǔ)設(shè)施PKI的服務(wù)與技術(shù)。其中包括PKI的概念與服務(wù)，PKI技術(shù)與研究的意義。關(guān)鍵詞：PKI 證書 公開(kāi)密鑰前言一、PKI的概念PKI是Public Key Infrastructure（公開(kāi)密鑰基礎(chǔ)設(shè)施）的縮寫，是利用公鑰的概念與技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。二、PKI的服務(wù)PKI需要保證四個(gè)方面的安全：身份標(biāo)識(shí)和認(rèn)證、保密或隱私、數(shù)據(jù)完整性與不可否認(rèn)。它所提供的服務(wù)主要包括以下幾

2、方面：(1)發(fā)放證書，并證實(shí)證書的合法性 PKI的核心是證書，所有操作都主要通過(guò)證書來(lái)實(shí)現(xiàn)。證書是一種權(quán)威性的電子文件，用于向使用者證明某一主體（如人、服務(wù)器等）的身份以及其公開(kāi)密鑰的真實(shí)合法性。從而需要建立CA（CertifiCAtion Authority -認(rèn)證中心）以及配套的RA（Regist-ration Authority -注冊(cè)審批機(jī)構(gòu)）系統(tǒng)。CA中心，又稱為數(shù)字證書認(rèn)證中心，作為權(quán)威的、公正的、可信賴的第三方，負(fù)責(zé)發(fā)放和管理數(shù)字證書的機(jī)構(gòu)，解決公鑰的合法性問(wèn)題。CA把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（如名稱、e-mail、身份證號(hào)等）捆綁在一起，為每個(gè)使用公鑰的用戶發(fā)放一個(gè)數(shù)字證

3、書，證明證書中列出的用戶名稱與證書中列出的公鑰相對(duì)應(yīng)，驗(yàn)證用戶的身份。RA系統(tǒng)是CA的證書發(fā)放、管理的延伸。它負(fù)責(zé)證書申請(qǐng)者的信息錄入、審核以及證書發(fā)放等工作； (2)存放證書的數(shù)據(jù)庫(kù)，即證書庫(kù)證書庫(kù)是證書的集中存放地，是網(wǎng)上的一種公共信息庫(kù)，用戶可以從此處獲得其他用戶的證書和公鑰。 (3)無(wú)效的證書，即證書作廢處理系統(tǒng)同日常生活中的各種證件一樣，證書在有效期以內(nèi)也可能需要作廢,這就需要終止證書的生命期。(4)支持密鑰管理，備份證書的私人密鑰。如果丟失私鑰，相應(yīng)的密文數(shù)據(jù)（包括歷史密文數(shù)據(jù)）將無(wú)法被脫密，造成數(shù)據(jù)丟失。為避免這種情況的出現(xiàn)，PKI提供備份與恢復(fù)脫密密鑰的機(jī)制，但是簽名私鑰不能作

4、備份。(5)完整性與不可否認(rèn)完整性與不可否認(rèn)是PKI提供的最基本的服務(wù)。完整性由第三方進(jìn)行仲裁，是通信雙方都不可否認(rèn)的。例如，張三發(fā)送一個(gè)合約給李四，李四要求張三進(jìn)行數(shù)字簽名，簽名后的合約不僅李四可以驗(yàn)證其完整性，其他人也可以驗(yàn)證該合約確實(shí)是張三簽發(fā)的。而所有的人，包括李四，都沒(méi)有模仿張三簽署這個(gè)合約的能力。不可否認(rèn)就是通過(guò)數(shù)字簽名機(jī)制提供服務(wù)。(6)提供安全、一致、可信的接口系統(tǒng)PKI是一種基礎(chǔ)設(shè)施，因此必須提供良好的應(yīng)用接口系統(tǒng)，確保各種應(yīng)用能夠以安全、一致、可信的方式與PKI交互，同時(shí)降低管理維護(hù)成本。PKI的系統(tǒng)結(jié)構(gòu)如下圖所示：用戶證書申請(qǐng)RA注用戶證書申請(qǐng)RA注冊(cè)機(jī)構(gòu)用戶身份信息CA

5、認(rèn)證管理策略模塊用戶證書證書庫(kù)撤銷系統(tǒng)證書管理其他用戶獲取證書證書查詢等操作安全策略證書撤銷證書操作證書撤銷申請(qǐng)三、PKI技術(shù)PKI（Public Key Infrastructure）技術(shù)是一種以不對(duì)稱加密技術(shù)為核心。通常是采用建立在PKI基礎(chǔ)之上的數(shù)字證書，通過(guò)把要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名，保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性，從而保證信息的安全傳輸。例如：當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密并利用自己的私鑰進(jìn)行簽名，而接收方則使用自己的私鑰解密利用發(fā)送方的公鑰進(jìn)行驗(yàn)證。以下為兩個(gè)用戶A、B之間的信息加解密過(guò)程：信息明文信息明文B的公鑰加密A的私鑰簽名信息

6、明文B的私鑰解密A的公鑰驗(yàn)證簽名信息密文A用戶：B用戶：不對(duì)稱加密算法使用兩把完全不同但又是完全匹配的一對(duì)鑰匙公鑰和私鑰。在使用不對(duì)稱加密算法加密文件時(shí)，只有使用匹配的一對(duì)公鑰和私鑰，才能完成對(duì)明文的加密和解密過(guò)程。加密明文時(shí)采用公鑰加密，解密密文時(shí)使用私鑰才能完成，而且發(fā)信方（加密者）知道收信方的公鑰，只有收信方（解密者）才是唯一知道自己私鑰的人。不對(duì)稱加密算法的基本原理是，發(fā)信方必須首先知道收信方的公鑰，然后利用收信方的公鑰來(lái)加密原文；收信方收到加密密文后，使用自己的私鑰才能解密密文。顯然，采用不對(duì)稱加密算法，收發(fā)信雙方在通信之前，收信方必須將自己的公鑰送給發(fā)信方，而自己保留私鑰。加密技術(shù)

7、的發(fā)展趨勢(shì)。加密技術(shù)的要點(diǎn)是加密算法，加密算法可以分為對(duì)稱加密、不對(duì)稱加密和不可逆加密三類算法。對(duì)稱加密算法的特點(diǎn)是算法公開(kāi)、計(jì)算量小、加密速度快、加密效率高，不足之處是，加密解密的交易雙方都使用同樣密鑰，即單鑰密碼體制。不對(duì)稱加密算法使用匹配的一對(duì)公鑰和私鑰，完成對(duì)明文的加密和解密過(guò)程，即雙鑰密碼體制，雖然比較安全可靠，但加密效率低，只是單鑰體制的1/100，甚至是 1/1000。正是由于不同體制的加密算法各有所長(zhǎng)，所以很多加密技術(shù)包括PKI都采用了不同加密算法相結(jié)合。四、PKI研究的意義PKI正成為安全體系結(jié)構(gòu)的核心部分，它讓許多標(biāo)準(zhǔn)的安全應(yīng)用都可以實(shí)現(xiàn)：安全電子郵件Web訪問(wèn)與服務(wù)；虛擬專用網(wǎng)（VPN）；安全路由器；登錄用戶認(rèn)證系統(tǒng)；安全傳輸層協(xié)議SSL、TLS；安全電子交易協(xié)議SET；安全目錄訪問(wèn)協(xié)議與服務(wù)。參考文獻(xiàn)：1雷信生,萬(wàn)兆澤,劉玲等.電子商務(wù)安全技術(shù). 國(guó)防工作出版社,200