Internet公开密钥基础设施PKI的理论和实现技术研究.pdfVIP

Internet公开密钥基础设施(PKI)的理论和实现技术 张莺 武莉莉 杜春燕 ying@ wull@ duchy@ 华北计算技术研究所 摘要:本文讨论一种分布式的 Internet公开密钥管理技术一公开密钥基础 设施(PKI)。文章阐述了PKI系统的重要性，描述了PKI系统的体系结构模 型，深入讨论了PKI系统的理论和实现技术。 关键字:Internet 、PKI的重要性 安箫tyj(4开密钥基础设施‘_S一-l- 目前，改善 S/MIME,TLS,IPSec等一类的安全协议。而所有这些安全协议都依赖千基 于对称密码学体制和非对称密码学体制实现的诸如鉴别、数据保密性、数 据完整性和不可抵赖等一类安全服务。因此 密码体制是实现Internet安 全性的基础。密码体制包括密码算法和密钥两个5分，其中密码算法是公 开的，密钥是秘密的和实际上决定密码体制加密强度的唯一因素。因而密 钥的安全管理是实现 Internet安全性关键。对称密码体制加/解密数据速 度快，其密钥分发必须通过某种安全通道传送:!卜对称密码体制数据加密 和解密分别使用一对不同但相关(私有和公开)的密钥，井且公开密钥加密 的数据可由私有密钥解密，私有密钥加密的数据叮由公开密钥解密，其优 点是密钥的管理较容易，因为私有密钥是只有其持有者知道的秘密而公开 密钥可以路人皆知，这样只需将公开密钥存放于别‘可人都可以访问得到的 地方即可，但数据加/解密数据速度慢。在密码体制实现中。可以取一种密 码体制之长补另一种密码体制之短，即利用对称}C-码体制实现数据加密， 利用非实现对称密码体制的密钥分发和数字签名 换言乙，当实现加密功 能时，在发送端，以接收者和发送者共享的秘密};钥作为数据加/解密一密 钥加密数据，再以接收者的公开密钥作为密钥交决一密钥加密数据加密一密 钥:在接收端，以接收者的私有密钥作为密钥加沂一密钥交换密钥解密井且 得到由接收者和发送者共享的数据加/解密一密钥 Irz后使用数据加解“密- 密钥解密数据。当实现数字签名功能时，签名者1M其私有密钥加密数据， 验证者通过使用签名者的公开密钥解密签名数据万验证数字签名。在上述 过程中，数据加解密一密钥是利用公开密钥对加 ,W,.}分发的，私有密钥是 始终掌握庄持有昔手中的，只有公开密钥需要以一Ch;h川户易于访问、能够 确保所获取密钥的真实性、保证密钥更新一致性 七‘有QI伸缩性的分布式 方式分发。本文讨论的公开密钥基础设施(PKn心日响就在于提供这种支持 公开密钥和证Ir,的创建、存储、分发、获取和撤 肖勺公开密钥安全管理的 155事 ‘ 一* ~ ‘ Z.PKI摸型 PKI系统提供的功能土要包括:密钥对的生成、存储、更新和恢复， 公开密钥证书的创建、签发、存储、获取、撤消和交叉证明，证书撤消列 表(CRL)的创建、更新等。PKI系统包含五类功能实体:adPA机构(CA)，注 册机构(RA)，土体，用户，存储库 PK{系统定义了二种土要协议:操作 协议，管理协议，政策大纲等。PKI功能实体通过执行PKI协议中定义的 交互和PKI报文交换来实现PKI系统的功能。如