PKI基础理论

PKI（Public Key Infrastructure）含义为“公钥基础设施”，PKI技术是利用公钥理论和技术建立的提供信息安全服务的基础设施，PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI基础设施采用证书管理公钥，通过第三方的可信任机构--认证中心，把用户的公钥和用户的其他标识信息捆绑在一起，在Internet网上验证用户的身份。PKI基础设施把公钥密码和对称密码结合起来，在Internet网上实现密钥的自动管理，保证网上数据的安全传输。

从广义上讲，所有提供公钥加密和数字签名服务的系统，都可归结为PKI

系统的一部分，PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。

一、PKI原理

PKI公共密钥体系是利用公共密钥算法的特点，建立一套证书发放、管理和使用的体系，来支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性。PKI 体系可以有多种不同的体系结构、实现方法和通信协议。

公共（非对称）密钥算法使用加密算法和一对密钥：一个公共密钥（公钥，public key）和一个私有密钥（私钥，private key）。其基本原理是：由一个密钥进行加密的信息内容，只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，私钥则需要十分安全地存放起来。使用中，甲方可以用乙方的公钥对数据进行加密并传送给乙方，乙方可以使用自己的私钥完成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起，由权威机构（CA, Certificate Authority）认证、发放和管理。把证书交给对方时就把自己的公钥传送给了对方。证书也可以存放在一个公开的地方，让别人能够方便地找到和下载。

公共密钥方法还提供了进行数字签名的办法：签字方对要发送的数据提取摘要并用自己的私钥对其进行加密；接收方验证签字方证书的有效性和身份，用签字方公钥进行解密和验证，确认被签字的信息的完整性和抗抵赖性。公共密钥方法通常结合使用对称密钥（单密钥）方法，由计算效率高的对称密钥方法对文件和数据进行加密。目前在 Internet 上主要使用 RSA 公共密钥方法，密钥长度512 或 1024 位，是广泛使用的 SSL/TLS 和S/MIME 等安全通信协议的基础。

二、PKI的应用模式

PKI作为安全基础设施，能为不同的用户按不同安全需求提供多种安全服务。这些服务主要包括认证、数据完整性、数据保密性、不可否认性、公正服务等。PKI提供的这些安全服务恰好能满足电子商务、电子政务、网上银行、网上证券等金融业交易的安全需求，是确保这些活动顺利进行必备的安全措施。

模式1：电子商务应用

电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。买方通过自己的浏览器上网，登录到电子交易市场的Web服务器并寻找卖方。当买方登录服务器时，互相之间需要验证对方的证书以确认其身份，这被称为双向认证。

在双方身份被互相确认以后，建立起安全通道，并进行讨价还价，之后向商场提交订单。订单里有两种信息：一部分是订货信息，包括商品名称和价格；另一部分是提交银行的支付信息，包括金额和支付账号。买方对这两种信息进行“双重数字签名”，分别用商场和银行的证书公钥加密上述信息。当商场收到这些交易信息后，留下订货单信息，而将支付信息转发给银行。商场只能用自己专有的私钥解开订货单信息并验证签名。同理，银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后，通知起中介作用的电子交易市场、物流中心和买方，并进行商品配送。整个交易过程都是在PKI所提供的安全服务之下进行，实现了安全、可靠、保密和不可否认性。

模式2：网上银行

网上银行是指银行借助于互联网技术向客户提供信息服务和金融交易服务。银行通过互联网向客户提供信息查询、对账、网上支付、资金划转、信贷业务、投资理财等金融服务。网上银行的应用模式有B2C个人业务和B2B对公业务两种。

网上银行的交易方式是点对点的，即客户对银行。客户浏览器端装有客户证书，银行服务器端装有服务器证书。当客户上网访问银行服务器时，银行端首先要验证客户端证书，检查客户的真实身份，确认是否为银行的真实客户；同时服务器还要到CA的目录服务器，通过LDAP协议查询该客户证书的有效期和是否进入“黑名单”；认证通过后，客户端还要验证银行服务器端的证书。双向认证通过以后，建立起安全通道，客户端提交交易信息，经过客户的数字签名并加密后传送到银行服务器，由银行后台信息系统进行划账，并将结果进行数字签名返回给客户端。这样就做到了支付信息的保密和完整以及交易双方的不可否认性。

模式3：网上证券

网上证券广义地讲是证券业的电子商务，它包括网上证券信息服务、网上股票交易和网上银证转账等。一般来说，在网上证券应用中，股民为客户端，装有个人证书；券商服务器端装有Web证书。在线交易时，券商服务器只需要认证股民证书，验证是否为合法股民，是单向认证过程，认证通过后，建立起安全通道。股民在网上的交易提交同样要进行数字签名，网上信息要加密传输；券商服务器收到交易请求并解密，进行资金划账并做数字签名，将结果返回给客户端

三、PKI在企业网络安全中应用

近几年，我国在推动中国PKI技术发展与应用方面取得巨大的进展，在PKI 自主技术开发方面也取得了一定的成绩。但是，PKI作为信息安全的核心技术，在我国网络信任体系建设、数字签名法、信息安全重点基础建设方面尚未得到广泛的推广应用。2005年亚洲PKI论坛第五届国际研讨会中，以电子政务与电子

商务的应用为切入点，推动中国PKI技术的应用与发展。下面是我们经常遇到的几种常见应用。

①虚拟专用网络(VPN)

通常，企业在架构VPN时都会利用防火墙和访问控制技术来提高VPN的安全性，这只解决了很少一部分问题，而一个现代VPN所需要的安全保障，如认证、机密、完整、不可否认以及易用性等都需要采用更完善的安全技术。在实现上，VPN的基本思想是采用秘密通信通道，用加密的方法来实现。具体协议一般有三种：PPTP、L2TP和IPSec。

基于PKI技术的IPSec协议现在已经成为架构VPN的基础，它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些，但其安全性比其他协议都完善得多。由于IPSec是IP层上的协议，因此很容易在全世界范围内形成一种规范，具有非常好的通用性，而且IPSec本身就支持面向未来的IPv6协议。总之，IPSec还是一个发展中的协议，随着成熟的公钥密码技术越来越多地嵌入到IPSec中，相信在未来几年内，该协议会在VPN世界里扮演越来越重要的角色。

②安全电子邮件

电子邮件的安全需求也是机密、完整、认证和不可否认，而这些都可以利用PKI技术来获得。具体来说，利用数字证书和私钥，用户可以对他所发的邮件进行数字签名，这样就可以获得认证、完整性和不可否认性，如果证书是由其所属公司或某一可信第三方颁发的，收到邮件的人就可以信任该邮件的来源，无论他是否认识发邮件的人；另一方面，在政策和法律允许的情况下，用加密的方法就可以保障信息的保密性。目前发展很快的安全电子邮件协议是S/MIME，这是一个允许发送加密和有签名邮件的协议，该协议的实现需要依赖于PKI技术。

③ Web安全

为了透明地解决Web的安全问题，最合适的入手点是浏览器。现在，无论是Internet Explorer还是Netscape Navigator，都支持SSL协议。这是一个在传输层和应用层之间的安全通信层，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全，服务器端和浏览器端分别由可信的第三方颁发数字证书，这样在交易时，双方可以通过数字证书确认对方的身份。需要注意的是，SSL协议本身并不能提供对不可否认性的支持，这部分的工作必须由数字证书完成。结合SSL协议和数字证书，PKI技术可以保证Web交易多方面的安全需求，使Web上的交易和面对面的交易一样安全。

④电子商务的应用

PKI技术是解决电子商务安全问题的关键，综合PKI的各种应用，我们可以建立一个可信任和足够安全的网络。在这里，我们有可信的认证中心，典型的如

银行、政府或其他第三方。在通信中，利用数字证书可消除匿名带来的风险，利用加密技术可消除开放网络带来的风险，这样，商业交易就可以安全可靠地在网上进行。

网上商业行为只是PKI技术目前比较热门的一种应用，必须看到，PKI还是一门处于发展中的技术。例如，除了对身份认证的需求外，现在又提出了对交易时间戳的认证需求。PKI的应用前景也决不仅限于网上的商业行为，事实上，网络生活中的方方面面都有PKI的应用天地，不只在有线网络，甚至在无线通信中，PKI技术都已经得到了广泛的应用。

四、PKI 的应用发展前景

PKI似乎可以解决绝大多数网络安全问题，并初步形成了一套完整的解决方案，它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。

公钥基础设施(PKI)是信息安全基础设施的一个重要组成部分，是一种普遍适用的网络安全基础设施。数字证书认证中心CA、审核注册中心RA、密钥管理中心KM都是组成PKI的关键组件。作为提供信息安全服务的公共基础设施，PKI 是目前公认的保障网络社会安全的最佳体系。在我国，PKI建设在几年前就已开始启动，截至目前，金融、政府、电信等部门已经建立了30多家CA认证中心。如何推广PKI应用，加强系统之间、部门之间、国家之间PKI体系的互通互联，已经成为目前PKI建设亟待解决的重要问题。

由于 PKI 体系结构是目前比较成熟、完善的 Internet 网络安全解决方案，国外的一些大的网络安全公司纷纷推出一系列的基于PKI 的网络安全产品，如美国的 Verisign， IBM，Entrust 等安全产品供应商为用户提供了一系列的客户端和服务器端的安全产品，为电子商务的发展提供了安全保证。为电子商务、政府办公网、EDI 等提供了完整的网络安全解决方案。

随着 Internet 应用的不断普及和深入，政府部门需要 PKI 支持管理；商业企业内部、企业与企业之间、区域性服务网络、电子商务网站都需要 PKI 的技术和解决方案；大企业需要建立自己的 PKI 平台；小企业需要社会提供的商业性 PKI 服务。从发展趋势来看， PKI 的市场需求非常巨大，基于 PKI 的应用包括了许多内容，如 WWW 服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、 Internet 上的信用卡交易以及 VPN 等。因此， PKI 具有非常广阔的市场应用前景。