关键词 pki技术 网络安全 数字证书 

　　中图分类号：tp393.08 文献标识码：a 

　　随着电子邮件、电子商务、网上银行及资源发布等internet和intranet应用的发展，经常需要在开放网络中的不明身份实体之间进行通信，其中包括一些敏感数据。互联网在给我们带来便利和利益的同时也带来了安全隐患，这些安全问题也阻碍着行业的发展。 

　　1 pki的概念 

　　pki即公钥基础设施①（public key infrastructure）它是在公钥密码理论和技术基础上建立起来的一种综合安全平台，通过第三方可信任机构——认证机构（certificate authority，ca），把用户的公钥和用户的其它标识信息（如姓名、e-mail、身份证号等）绑定在一起，为网络用户、设备提供信息安全服务的，具有普适性的信息安全基础设施。pki技术保证了网上传递信息的保密性、完整性、真实性、不可否认性和存取控制的目的。 

　　2 pki构成和pki实现 

　　完整的pki系统包括认证机构（ca）、数字证书库、密钥备份及恢复系统、证书撤销处理系统和pki应用接口系统，一般构建pki也是围绕这五个系统进行的。② 

　　2.1 认证机构 

　　认证机构是整个pki的核心，它主要的功能有证书发放、证书更新、证书撤销和证书验证。具体描述如下：接收验证最终用户数字证书的申请；确定是否接受最终用户数字证书的申请——证书的审批；向申请者颁发或拒绝颁发数字证书——证书的发放；接受、处理最终用户的数字证书更新请求——证书的更新；接受最终用户数字证书的查询、撤销；产生和发布证书注销列表（crl）。 

　　2.2 数字证书库 

　　证书库是ca颁发证书和撤销证书的存放地，用户可以从此处获得其他用户的证书和公钥。构造证书库的最佳方法是采用支持ldap协议的目录系统，用户或者相关的应用通过ldap来访问证书库。 

　　2.3 密钥备份和恢复系统 

　　因为某种原因用户可能丢失了解密数据的密钥，密钥的丢失将导致那些被密钥加密过的数据无法恢复而造成数据的丢失。为了避免这种情况的发生，pki提供了密钥备份与解密密钥的恢复机制，这就是密钥备份与恢复系统。 

　　2.4 证书撤销处理 

　　证书注销列表（certificate revocation list. crl）中记录尚未过期但己声明作废的用户证书序列号，证书撤销是pki中非常重要的一个组件，作废证书通过将证书列入crl来完成，供证书使用者在认证对方证书时查询使用。通常，系统中由ca负责创建、更新及维护crl 。 

　　2.5 pki应用接口系统 

　　一个完整的pki必须提供良好的应用接口系统，以便各种应用都能够以安全、一致、可信的方式与pki交互，确保所建立起来的网络环境的可信性。 

　　它的主要功能是为所有应用对证书的合法性、密钥备份与恢复、证书作废处理、交叉证书验证，提供可信、透明、统一的支持。 

　　3 pki的应用 

　　pki/ca已经广泛应用在金融、电子政务等领域，如网上银行使用数字证书确定使用者身份、企事业单位信息系统使用基于硬件的usbkey或ic卡进行身份鉴别及其他信息保护等。下面给出几个应用实例。 

　　3.1 安全电子邮件 

　　电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。目前发展很快的安全电子邮件协议是s/mime（the secure multipurpose internet mail extension），这是一个允许发送加密和有签名邮件的协议，该协议的实现需要依赖于pki技术。 

　　3.3 /ipsec 

　　是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（尤其是ipsec）和建立在pki上的加密与签名技术来获得机密性保护。基于pki技术的ipsec协议现在邮件成为架构的基础，它可以为路由器之间，防火墙之间提供加密盒认证的通信。③ 

　　3.4 电子商务的应用 

　　4 结束语 

　　随着互联网的发展，基于网络环境下数据加密/签名的应用将越来越广泛，pki技术能很好的实现网络统一标准的身份认证。pki的技术也在不断发展中，ca信任模型，加解密算法，密钥管理方案也在不断变化中。由此可见，pki的应用前景将无比广阔。下载本文