PKI／CA技术的起源现状和前景综述.pdfVIP

维普资讯 第 18卷 第4期 西 南 科 技 大 学 学 报 Vo1．18No．4 2003年12月 JOURNALOFSOUTHWESTUNIVERSITYOFSCI蔓 堡垒 !兰 竺： 文章编 号 ：1671—8755(2003)04—0075—04 PKI／CA技术 的起源 、现状和前景综述 江为 强 陈 波 (西南科技大学计算机科学与技术 学院 四川绵阳 621010) 摘要 ：随着网络技术的发展 ，网络安全 问题越来越 受关注 ，公开密钥基础设施 (PKI)技术为全面解决 网络安全 问题提供 了可行方案 。各 国政府先后提 出了 自己的 PKI体 系统结构及其工作 原理 。回顾 了PK1／CA技术的起源，分析 了PK1／CA 的基本 原理 ，阐述 了PKI／CA 的国内外应用现状及其应用 前景 ，并描述 了PKI领域存在 的问题 。 关键词 ：公开密钥基础设施 PKI 认 证机构 CA X，509协议 注册机 构 RA 证 书 LDAP 证 书 撤 消列表 CRL 中图分类号 ：TP393．08 文献标识码 ：A 公钥基础设施 PKI(PublicKeyInfrastructure，简称 PKI)是利用公钥理论和技术建立 的提供安全服务 的基础设施 ，是信息安全 的核心，也是电子商务安全 的关键所在 。PKI技术采用证书管理公钥 ，通过第三方 的可信任机构——认证 中心 CA(CertificateAuthority)，把用户的公钥和用户的其他标识信息 (如名称、E— mail、身份证号等)捆绑在一起 ，在 Internet上验证用户的身份 (其 中认证机构 CA是 PKI系统 的核心部分)。 目前 ，通用的办法是采用建立在 PKI基础之上的数字证书 ，通过把要传输 的数字信息进行加密和签名 ，保证 信息传输 的机密性、真实性 、完整性和不可否认性，从而保证信息的安全传输 。 1 PKI／CA 的基本原理及相关标准 一 个典型、完整 、有效 的PKI应用系统主要包括安全 Web服务器 、注册机构 RA、CA服务器 、LDAP 目 录服务器和数据库服务器等 。各实体 间的关系如图 1所示 。 RA 作 员 CA操 作 员 图 1 PKI／CA 系统框架模型 收稿 日期 ：2003—05— 06 《缩小数字鸿沟一 西部行 动》国家 863项 目基金论 文 (项 目编号 ：2003AA1~8206) 维普资讯 76 西 南 科 技 大 学 学 报 2003 在建立 CA系统前必须根据安全需求制定证书策略，包括用户注册手续、保护机制、密钥管理过程、证书 的管理和验证过程以及审计等 。证书策略的制定尤其重要 ，它将指导 CA 系统建立和管理维护整个过程 。 CA 系统 的主要功能有 证书管理 、证书撤消列表 的发布和管理 、密钥 的备份和恢复、自动更新密钥 、自动管 理密钥 、支持交叉认证 。 在 PKI技术框架 中，许多方面都经过严格 的定义 ，如用户 的注册流程 、数字证书 的格式、CRL的格式、证 书的申请格式 以及数字签名格式等 。 国际电信联盟 ITUX．509协议 ，是 PKI技术体系 中应用最为广泛 、也是最为基础 的一个国际标准 。它 的主要 目的在于定义一个规范 的数字证书的格式 ，以便 为基于 X．500协议 的 目录服务提供一种强认证手 段 。但该标准并非要定义一个完整的、可互操作的 PKI认证体系 。 PKCS是 由美 国RSA数据安全公司及其合作伙伴制定 的一组公钥密码学标准 ，其 中包括证书 申请 、证 书更新 、CRL发布 、扩展证书 内容 以及数字签名 、数字信封 的格式等方面的一系列相关协议