基于PKI电子证件认证系统.pdfVIP

基于PKI 的电子证件认证系统 雷学义 北京邮电大学通信网络综合技术研究所，北京 ( 100876) E-mail：leixueyi1980@ 摘 要：电子证件近年来得到了越来越广泛的使用，而电子证件应用系统的核心在于它必须 保证电子证件所含信息的真实性,提供防伪造、防篡改的能力。鉴于PKI 技术已经日趋成熟， 并在电子商务、电子政务等诸多领域得到了应用，本文提出了一个基于 PKI （Public Key Infrastructure ，公钥基础设施）技术的电子证件认证系统。文章首先介绍了密码学基础和PKI 的基本概念，然后介绍了该认证系统，最后简要讨论了该系统的现实意义。 关键词：电子证件，公钥基础设施，认证系统 中图分类号：TP309.2 1. 引言 电子证件因其相对于传统的纸质证件具有的易用性、防伪造、效率高等各方面的优越性 而得到了日益广泛的应用，如电子身份证、电子护照、电子机票等等。而使用电子证件的关 键在于电子证件系统的安全性和电子证件所含信息的真实性。 随着计算机网络技术和智能卡应用技术的迅速发展，由于计算机应用所面临的安全问题 日益复杂，如何保证系统使用，保存和传输的数据是完整的、可靠的和安全的已经成为当今 大型智能卡应用系统的核心问题。 2. 信息安全技术基础与PKI介绍 密码技术是信息安全中的核心技术，是实现安全体系中各层次安全机制的重要基础。密 码技术可分为对称加密技术（又称为单密钥加密技术）和非对称加密技术（又称为双密钥加 密技术或公钥加密技术）。 在对称加密技术中，对信息的加密和解密都使用相同的密钥。对称加密算法运算速度快， 适用于加密大块数据。但密钥难以管理，无法完成密钥的安全交换、 签名和认证等功能。 常用的对称加密算法有DES 、3-DES、 IDEA 、AES 和国产算法SSF33、SCB2 等。 非对称加密算法有两个密钥：公钥和私钥。公钥与私钥是一对，用公钥加密的数据只有 用对应的私钥才能解密，公钥和私钥可以互换。非对称加密算法可以用于解决加密/解密、 数字签名、认证、密钥交换等问题,密钥易管理，公钥可以公开分布式存放。但运算度慢， 不适合加密大块数据。常用的非对称加密算法有RSA 、ECC、 DH 、DSA 等。 Hash 算法（也称作散列算法、杂凑算法或摘要算法）是密码学算法中重要的一个分支， 它将任意长度数据转化为固定长度的字符序列，称为数字摘要或数字指纹。在信息安全领域， 它是实现数字签名和认证的重要工具。常用的HASH 算法有： SHA-1 ，MD5 等。 数字签名是指发送者用自己的私钥对原始数据的数字摘要（即Hash 值）进行加密所得 的数据。数字签名类似现实中的签名和印章，签名者使用自己的私钥通过非对称密码算法， 对待签名数据的数字摘要进行加密，得到的输出结果就称为数字签名，这段信息被附在原始 数据后面一起传送给接收方。信息接收者使用信息发送者的公钥对附在原始信息后的数字签 名进行解密后获得摘要，并通过与自己用收到的原始数据产生的摘要进行对比，便可确信原 始信息是否被篡改和是否是真正的发送者发来的数据。这样就保证了数据传输的完整性、真 实性和不可否认性。 - 1 - PKI 是一个用公钥的概念与技术来实现，提供安全服务的具有普遍适用性的安全基础设 施，是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签 名等密码服务所必需的密钥和证书管理。PKI 在实际应用上是一套软硬件系统和安全策略的 集合，它提供了一整套安全机制，使用户在不知道对方身份或分布地很广的情况下，以证书 为基础，通过一系列的信任关系进行安全的通信[1] 。 PKI 技术采用数字证书管理公钥，通过第三方可信任机构——认证中心（Certificate Authority ，CA)，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆 绑在