PKI的應用研究

網絡技術

作者：盛偉

摘 要 信息安全技術越來越受到人們的重視。PKI技術是目前網絡安全建設的基礎和核心。本文對PKI技術的概念，基本組成等做了簡單分析，並對PKI具體應用做了簡要介紹。

關鍵詞 PKI技術 網絡安全 數字證書

中圖分類號：TP393.08 文獻標識碼：A

隨著電子郵件、電子商務、網上銀行及資源發布等Internet和Intranet應用的發展，經常需要在開放網絡中的不明身份實體之間進行通信，其中包括一些敏感數據。互聯網在給我們帶來便利和利益的同時也帶來了安全隱患，這些安全問題也阻礙著行業的發展。

1 PKI的概念

PKI即公鑰基礎設施①（Public Key Infrastructure）它是在公鑰密碼理論和技術基礎上建立起來的一種綜合安全平台，通過第三方可信任機構——認證機構（Certificate Authority，CA），把用戶的公鑰和用戶的其它標識信息（如姓名、E-mail、身份證號等）綁定在一起，為網絡用戶、設備提供信息安全服務的，具有普適性的信息安全基礎設施。PKI技術保證了網上傳遞信息的保密性、完整性、真實性、不可否認性和存取控製的目的。

2 PKI構成和PKI實現

完整的PKI係統包括認證機構（CA）、數字證書庫、密鑰備份及恢複係統、證書撤銷處理係統和PKI應用接口係統，一般構建PKI也是圍繞這五個係統進行的。②

2.1 認證機構

認證機構是整個PKI的核心，它主要的功能有證書發放、證書更新、證書撤銷和證書驗證。具體描述如下：接收驗證最終用戶數字證書的申請；確定是否接受最終用戶數字證書的申請——證書的審批；向申請者頒發或拒絕頒發數字證書——證書的發放；接受、處理最終用戶的數字證書更新請求——證書的更新；接受最終用戶數字證書的查詢、撤銷；產生和發布證書注銷列表（CRL）。

2.2 數字證書庫

證書庫是CA頒發證書和撤銷證書的存放地，用戶可以從此處獲得其他用戶的證書和公鑰。構造證書庫的最佳方法是采用支持LDAP協議的目錄係統，用戶或者相關的應用通過LDAP來訪問證書庫。

2.3 密鑰備份和恢複係統

因為某種原因用戶可能丟失了解密數據的密鑰，密鑰的丟失將導致那些被密鑰加密過的數據無法恢複而造成數據的丟失。為了避免這種情況的發生，PKI提供了密鑰備份與解密密鑰的恢複機製，這就是密鑰備份與恢複係統。

2.4 證書撤銷處理

證書注銷列表（Certificate Revocation List. CRL）中記錄尚未過期但己聲明作廢的用戶證書序列號，證書撤銷是PKI中非常重要的一個組件，作廢證書通過將證書列入CRL來完成，供證書使用者在認證對方證書時查詢使用。通常，係統中由CA負責創建、更新及維護CRL 。