浅谈PKI技术与使用

浅谈PKI技术与使用 海警学院电子技术 系 陈君波 [摘本 保障。 因此 ，对PK I技 术的研 究和开发成 为 目前信 息安全行业 的板块。本文对 PK I技 术的定义 、 基本 组成等做 了简单分析pki技术 pf， 最后 对 PK I 的详细使用做 了详细介 绍。 [关键 词] 公钥基础设施认证 中心 网络安全 要] 公钥基础 设施 (Pub1 ic K ey Infrastructure， 简称 PK I)是 目前 网络安 全建设 的基础与核 心 ， 是 电子商务 、 电子政务安 全 实施 的基 1． 引言 Internet／ ]ntranet的飞速 发展 ， 极 大地 推动 了整 个社 会信 息化 的进 程 。随着 网络技术 的发展 ， 计算机 网络 的安全 问题也 随之成 为一 个 日 益 严重 的现实 问题 。 电子 商务 、 电子政务 的飞速发展 迫切需要 一个完 整的安全结构。要实现图片资料传输的安全性， 就必须满足数据的保 密 性 、 安全 传输 、 完整性 、 不可否 认性的要 求。作 为提 供资料 安全服务 的公共基础设施 ， 公开密钥基础设施(Publie K ey Infrastructure， PKI) 目 前 是公认的保障图片资料安全的绝佳体系， 利用证书的系统， 为图片资料 提供了一种基于信任和加密基础上的构架 ， 为用户构建起了一个安全 的图片运行环境 ， 有效 地解决 了此类对安全性要求 的四大难点。

2． PK I的定义 PK I(Public Key Infrastructure)R[1公钥基础设施 ， 是借助公钥私钥 理 论和技术构建起来的、 提供图片资料安全服务的普适性基础设施。它 由公开密钥密码技术 、 数字证书、 证书发放机构CA 和关于公开密码的 安全策 略等 基本成份共 同组成 ， 包括加密 、 数 字签名 、 数据完整性 机制 、 数字 信封 、 多重 数字 签名等 基础技 术 。PKI主要 基于公 钥密码 技术 ， 同时结合了对称密钥技术， 通过标准的插口为网上资料交流提供必需 的认证 、 保密和不可抵赖服务， 是 目 前最成熟 、 完善 、 应用最广的Internet 网络安全的解决方案。 3． P KI 的组成 公钥基础设施 PKI 主要由密钥管理 中心 KM、 根证书认证中心 、 证 书认证 中心 CA 、 注册 审核中心 RA 、 证书／ CRL 发布功能 和使用 接 口功能 等五部 分组 成 ， 其功 能结 构如下图所示 。 证书 注册 管理 中心 证书 获取 根证书 中心 证书 签发 证书认证 中心 CA 证书发布 证书／ CR L 发布系 应用 接口功能 根密码管 理 中心 K M 密钥管理 中 心 K M PKI 的组成 根证书认证中心 ： 它是信任体系的最高管理机构和信赖源点， 管理 整个信 任体系 的业务 证书的签发 ， 主 要负责 ： 根 CA根证 书的产生 、 一级 CA注册 、 一级 CA根证 书的产生等 。

密钥管理中心K M： 密钥管理中心向证书认证中心 CA提供相关密 钥服务， 包括密码生成、 密钥存储 、 密钥备份 、 密钥恢复、 密钥托管和密 钥运算等。其主要管理对象是CA 密钥和用户私钥。 证 书认证 中心 CA ： 证 书认证 中心 CA是 公钥基础设 施 PK I的体系 ， 它 主要完成证 书签发和证 书撤 销列表(CR L)的签 发 、 发布证书 和 CR L到 目录服务器 、 维护 和管 理证书和审计 日志库 等功 能。 证书注册管理 中心 RA： RA是数字证书的申请、 审核和注册中心。 它是认证中心的延展。在观点上RA 和CA是一个整体 ， 主要负责 提供证书注册、 审核以及发证功能； 证书／ CRL 发布功能 ： 发布功能主要 提供 LDAP 和 OCSP 服 务 ， LDAP提 供证 书和 CRL 的下载 服务 ， OCSP 提 供证 书状态查 询服务 。 应用接 口功能 是构建 在证 书制度基础 上的应 用安全支撑 产品 ， 它 们为外 界提 供使用 PK I安 全服 务的入 口。如 网关 系统 、 数字 签名验证 系统等等， 这些使用安全支撑品牌借助CA 的和CRL发布功能对应 用功能 中实体所 持有 的进 行验证 ， 从 而确保应 用功能 中各实体 身 份的合法性 ， 并使用证书中的密钥和用户所持有的密码实现数据的加， --——22 8 ·-— — 解密 、 数 字签名／ 验证等系统 。

4． PKI的应 用 PKI技术的广泛使用能满足人们对图片交易安全保障的需求。当 然 ， 作 为一种基 础设 施 ， PKI的应 用范 围相当广 泛 ， 并 且在不 断发 展之 中 ， 下面给出几个应用事例 。 4． 1 虚拟专用网络(V PN)。 VPN是一种架构在PKI上的特制数据通信网络， 利用图片层安全 协议(IPSec)和构建在PKI上的加密与签名技术来获得机密性保护 。基 于 PK I技术 的 IPSec协议 现在已然变成架构 VPN 的基础 ， 它 可以为路 由 器之 间 、 防火墙之 间如果路 由器和 防火 墙之 间提供经过 加密和认 证的 通信。由于IPSee是IP 层上的条款， 因此很容易在全世界范围内产生一 种规范 ， 具有非常好的通用性， 而且 IPSec本身就支持面向将来的条款 IPv6。总之， IPSec还是一个发展中的条款， 随着成熟的公钥密码技 术越来越多地嵌入到IPSec中， 相信在将来几年内， 该条款会在VPN世 界里出演越来越重要 的反派。 4． 2安全 电子 邮件 。 作 为 Internet上最 有效 的使用 ， 电子 邮件凭借其 易用 、 低成 本和高 效 已经作为 现代商业 中的一 种标准 信息交 换工具 。

随着 Internet的持 续增长， 商业机构或政府机构都直到用电子邮件交换一些秘密的或是 有商业价值的资料， 这就引出了一些安全方面的难题 ， 包括 ： 削息和附 件可以在不为通信双方所知的现象下被调用、 篡改或截掉； 发信人的身 份无法确定。电子邮件的安全需求应该机密、 完整 、 认证和不可否认 ， 而它们都可以借助PKI技术来获得。目 前发展很快的安全电子邮件协 议 是 S／ MIME (The Secure Multipurpose Intemet Mail Extension)， 这 是一 个 允许发送 加密和有 签名邮件 的条款 。该条款 的实 现需要依赖 于 PKI技 术 。 4． 3 W eb安全 。 SSL(Secure Socket Layer， 安 全套 接层)协议 是 由网景公 司研 究制 定 的基 于 Web应用 的安全 协议 。该 协议 向基于 TCWIP 的签单／ 服务器 应 用流程提供了客户端和服务器的身份辨识 、 数据机密性和数据完整性 保护。通过在应用程序进行数据交换前交换初始握手信息来实现有关 的安全特 性 ， 以此实现对 应用层 透 明的安全通 信 。

结 合 SSL 协议 和数 字证 书 ， PK I技 术可 以确保 Web交 易多方面 的安 全需求 ， 使 Web 上的交 易 和面对 面的交易一样安全 。 4． 4 电子商务的使用 。 SET(Secure Electronic Transactions)协议是 PK I技术解决 电子商务安 全 问题 的关 键 ， 它 是 由V isa和 Master机构共 同制定 的一个 能确保 通过 开 放 网络进 行安全 电子缴纳 的技术标准 。在通信 中 ，利 用数字证 书可 消除匿名带来 的风 险pki技术 pf， 利用加密技术可 消除开放 网络带给 的风险 ， 同时 保证 消息 的不可否认性， 这样商业交易 就可以安全可信地在 网上进 行。 5． 结束 语 PKI技术 正在 不断发展 中， 许 多新技术 正在不断涌现 ， CA 之间的信 任模 型 、 使用 的加解 密硬件 、 密钥管理 的方 案等也在不 断变化之 中。随 着 因特 网应用 的不断普 及和推 广 ， 不仅 政府 部门 的管理才能 PK I技术 支持， 而且商业行业外部、 企业与行业之间、 网站 、 电子商务网站 都需要PKI技术支持。

作为一个网络发展大国， 我国迫切需要研究和 开发拥 有 自主 知识产权 的 PKI系统 ， 以保证 我 国电子商务 、 电子政务 、 电子事务以及 国家资料基础设施 的安全。 一参考文献 [1] ( 美) Andrew Nash等著 公钥基础设施(PK I) 实现和管理电子安 全靖 华 大学出版社 ． [2]William Stanings 密码编码学与图片安全： 原理与实践． 第二版． 杨 明等译 北京 ： 电子工业 出版社 ， 2001 130— 160． [3] 关振 胜． 公钥基础 设施 PK I与认证机 构 CA 北 京： 电子_r- , A k 出版 社 ． 2002． 1—197．

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-119618-1.html