公钥基础设施pki技术_pki的基本组成_公钥证书

公钥基础设施（以下简称PKI）是一套通过公钥密码算法原理与技术提供安全服务的具有通用性的安全基础设施，是能够为电子商务提供一套安全基础平台的技术规范。它通过数字证书管理公钥，通过CA把用户的公钥与其他标识信息捆绑在一起，实现互联网上的用户身份验证。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

PKI弥补了SSL协议缺少数字签名、授权、存取控制和不支持不可抵赖性等功能的缺陷。目前，它已初步形成一整套的Intemet安全解决方案，成为信息安全技术的核心和电子商务的安全基础。

PKI是新的安全技术和安全规范，它必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分，构建PKI也将围绕着这五大系统来进行。

1)认证中心。CA是数字证书的申请及签发机构。它的职责如下：

(1)验证并标识证书申请者的身份；

(2)确保CA用于签名证书的非对称密钥的质量；

(3)确保整个签证过程的安全性，确保签名私钥的安全性；

(4)证书材料信息(包括公钥证书序列号、CA标识等)的管理；

(5)确定并检查证书的有效期限；

(6)确保证书主体标识的唯一性，防止重名；

(7)发布并维护作废证书表；

(8)对整个证书签发过程做日志记录；

(9)向申请人发通知。

2)证书库。证书库是证书的集中存放地，它与网上“白页”类似，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。构造证书库的最佳方法是采用支持LDAP协议的目录系统，用户或相关的应用通过LDAP来访问证书库。系统必须确保证书库的完整性，防止伪造、篡改证书。

3)密钥备份及恢复系统。如果用户丢失了用于脱密数据的密钥，则密文数据将无法被脱密，造成数据丢失。公钥基础设施pki技术为避免这种情况的出现，PKI应该提供备份与恢复脱密密钥的机制。密钥的备份与恢复应该由可信的机构来完成，例如，CA可以充当这一角色。值得强调的是，密钥备份与恢复只能针对脱密密钥，签名私钥不能够作备份。

4)证书作废处理系统(X．509 Version 3，CRL Version2)。证书作废处理系统是PKI的一个重要组件。公钥基础设施pki技术同日常生活中的各种一样，证书在CA为其签署的有效期以内也可能需要作废。例如，A公司的职员a辞职离开公司，这就需要终止a证书的生命期。为实现这一点，PKI必须提供作废证书的一系列机制。作废证书有如下三种策略：

(1)作废一个或多个主体的证书；

(2)作废由某一对密钥签发的所有证书；

(3)作废由某CA签发的所有证书。

作废证书一般通过将证书列入作废证书表(CRL)来完成。通常，系统中由CA负责创建并维护一张及时更新的CRL，而由用户在验证证书时负责检查该证书是否在CRL之列。CRL一般存放在目录系统中。证书的作废处理必须在安全及可验证的情况下进行，系统还必须保证CRL的完整性。

通过PKI能够营造可管、可控、安全可靠的互联网环境，构建完整的授权范围体系，建立普适性好、安全性高的统台，为电子金融的不断发展奠定良好的基础。

1976年，Whitefield Diffie和Martin Hellmam发表了论文“New directions in cryptography”这篇文章奠定了公钥密码系统的基础。公钥密码系统的概念在密码学的发展史上具有划时代的意义。公钥密码算法又称为非对称密钥算法、双钥密码算法。

目前有两种类型的公钥系统是安全实用的，即基于大整数困难分解问题的密码体制和基于离散对数困难的密码体制。

基于大整数困难分解问题的公钥密码体制有RSA、Rabin体制、LUC体制及其推广、二次剩余体制等。基于离散对数困难的密码体制主要包括基于有限域的乘法群上的离散对数问题的E1Gamal体制和基于椭圆曲线离散对数的椭圆曲线密码体制(ECC)，以及近年来Lenstra等人提出的XTR群的离散对数问题的XTR公钥体制。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-23870-1.html