PKI系统原理及企业应用探讨.docVIP

PKI系统原理及企业应用探讨 　　【摘要】PKI即“公钥基础设施”，是Public Key Infrastructure的缩写，是指用非对称加密的理论、技术来实施并且提供安全服务的具有普适性的安全基础设施，是一种遵循X.509标准的密钥管理平台，它能够为信息技术的安全应用提供加密、数字签名等服务及所必需的密钥和证书管理体系，概括而言，PKI就是利用非对称加密理论和技术建立的提供安全服务的基础设施。 　　【关键词】PKI；非对称加密；X.509；数字证书 　　一、前言 　　信息技术的发展为我们带来便利的同时，也不可避免的带来一些信息数据安全上的风险。PKI系统是解决这些风险问题的一个很好的基础架构。 　　PKI系统是解决信息技术中信任、安全、加密等问题的基本解决方案，采用先进安全加密技术，提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。 　　现代的PKI系统是建立在非对称加密的理论和技术的基础上的，同时国际电联电信委员会还为PKI系统制定了比较严密的技术标准X.509。在我们研究PKI系统之前，先了解一下非对称加密、数字证书、X.509标准等概念。 　　二、非对称加密 　　非对称加密提出一种加密算法，能够安全地让通讯双方交换信息，安全地达成一致的密钥，这就是“非对称加密算法”。 　　非对称加密算法（asymmetric cryp-tographic algorithm）又名“公开密钥加密算法”，它有两个密钥：公开密钥（publickey）和私有密钥（privatekey）。私钥和公钥是一对同时生成，并且相互依存的秘钥。例如在用户A和用户B之间使用非对称加密算法传递信息，用户A在加密的时候就不需要将自己的私有密钥告诉用户B，只需要使用用户B的公开密钥进行加密即可。用户B在接收到加密信息后，使用本人私有密钥解密得到信息，即使在传递过程中加密信息被其他人窃取，没有用户B的私有密钥，也不能够进行解密。用户B在反馈用户A的时候，也是使用用户A的公钥进行加密，也只能够是用户A能够得到真实的信息。 　　三、数字证书 　　数字证书是用来标示和证明身份的数字信息文件，它提供了一种验证用户身份的方式。数字证书中包含公开密钥拥有者信息以及公开密钥，同时还有权威认证机构对该数字证书的签名，别的用户从数字证书确认你的数字证书是否是有效的、可信的，同时还可以得到你的个人信息和公开密钥，个人信息可以作为记录，公开密钥用来加密对你进行传递的数据。 　　在PKI系统中，数字证书是实现各种安全的一个重要载体。 　　四、X.509标准 　　X.509是由国际电联电信委员会（ITU-T）制定的PKI标准。X.509定义了PKI体系中数字证书、证书吊销清单、属性证书和证书路径验证算法等标准。通过规范PKI标准，能够使得不同的PKI系统相互之间兼容、互信。最新的X.509标准是1996年的第三版。 　　五、PKI系统 　　在PKI系统中，真实性、保密性、完整性以及可追究性等安全服务都是由数字证书这个载体来完成的。数字证书不是凭空出来的，也不能够单独提供这些安全服务，这需要构建一个完整的PKI系统。一个完整的PKI系统主要包括以下五方面的内容： 　　认证机构，数字证书的权威签发机构，它是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。它验证用户申请信息的可信性，同时验证用户证书的可信性。PKI系统中的认证机构，可以由几个层级来实现。最顶级的是根证书服务，它只对其从属证书服务提供审核和确认，向这些服务颁发证书，以确认其证书服务的合法性、可信性。第二级的证书服务可以是直接面向最终用户，提供基本的证书申请、审核、颁发等服务，也可以像根证书服务那样只面向更低一级证书服务。通常企业可以使用两层的结构就足够。有些情况下，企业中也会有多个PKI系统，在相互之间还要进行交叉信任，这种情况下就需要在顶级的根证书服务之间进行相互的信任认证。在PKI系统中，用户首先应该信任数字证书的认证机构，并且使用本人信息在认证机构进行注册，从认证机构得到一个经过审核确认的用户数字证书来标明自己的身份。在不同的用户之间，数字证书就是自己身份的标示，可以根据对方的数字证书确定对方是否可信和身份。 　　证书库，数字证书的集中存放的位置。证书库必须能够给公众提供数字证书查询服务，让公众能够确定数字证书的合法性、有效性、可信性。 　　密钥备份及恢复系统，该系统能够对用户的密钥（主要指公开密钥）进行备份，当丢失时进行恢复。这是PKI系统中一个很重要的内容，对于PKI系统的安全、健壮性、可用性起到重要作用。 　　证书撤销处理系统，该系统的功能就是提供证书撤销列表CRL。在PKI系统中，证书可能由于某种原因作废，终止使用，该PKI系统范围内