羅萱

摘要：PKI是一個(gè)用公開密鑰原理和技術(shù)來(lái)實(shí)現(xiàn)并提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施。該文主要介紹PKI的基本原理和常規(guī)應(yīng)用，包括PKI在電子商務(wù)的應(yīng)用、PKI在電子政務(wù)的應(yīng)用及PKI在電子郵件中的應(yīng)用。

關(guān)鍵詞：PKI；電子商務(wù)安全；電子政務(wù)安全；電子郵件安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）24-5772-02

Basic Principle and Normal Regulations of PKI Technique Apply

LUO Xuan

（Chongqing Youth Vocational & Technical College， Chongqing 400712， China）

Abstract： PKI is a carry out with publicly airtight key principle and technique and provide safety service of have the safe infrastructure of in general use.This text mainly introduces a PKI basic principle and normal regulations application and include PKI's application in the electronic commerce and PKI's application in electronics governmental affairs and PKI's application in e-mail.

Key words： PKI； electronic commerce safety； electronics governmental affairs safety； e-mail safety

PKI（Public Key Infrastructure）即公鑰基礎(chǔ)設(shè)施，就是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)。 PKI是一組服務(wù)和政策，提供綁定一個(gè)公共密鑰和一個(gè)唯一的用戶身份，以及如何實(shí)現(xiàn)和維護(hù)的綁定相關(guān)信息的框架機(jī)制，保證數(shù)字信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。

其主要功能是通過(guò)發(fā)行PKI的數(shù)字證書來(lái)綁定證書持有者的身份和相關(guān)的公開密鑰，這樣，用戶就可以獲得證書，訪問(wèn)證書和取消證書，使用數(shù)字證書和相關(guān)服務(wù)（頒發(fā)證書黑名單發(fā)布等）實(shí)現(xiàn)通信過(guò)程的認(rèn)證機(jī)構(gòu)，以確保完整性和不可抵賴性的通信數(shù)據(jù)。

1 PKI的組成

一個(gè)典型完整的PKI系統(tǒng)至少應(yīng)該包括以下幾部分：

1）認(rèn)證中心CA（Certificate Authority）：認(rèn)證中心CA是PKI系統(tǒng)中的核心組成部分。它是值得信賴的第三方機(jī)構(gòu)，用于產(chǎn)生、保存和管理數(shù)字證書，正因?yàn)镃A是值得信賴的，所以它頒發(fā)的數(shù)字證書也是值得信賴的，而擁有數(shù)字證書的雙方的身份也就是值得信賴的。

2）注冊(cè)機(jī)構(gòu)RA（Registration Authority）：當(dāng)用戶需要從數(shù)字證書庫(kù)CA獲取數(shù)字證書時(shí)，要向注冊(cè)機(jī)構(gòu)RA發(fā)起申請(qǐng)，RA對(duì)用戶資格進(jìn)行審查，如果審查通過(guò)，CA就對(duì)該用戶頒發(fā)數(shù)字證書，注意，一般來(lái)說(shuō)，注冊(cè)機(jī)構(gòu)RA是一個(gè)獨(dú)立的機(jī)構(gòu)，它只審查資格，并不負(fù)責(zé)頒發(fā)證書。

3）密鑰備份及恢復(fù)系統(tǒng)：當(dāng)接收方收到加密的文件后，要利用手中的密鑰進(jìn)行解密，才能看到文件內(nèi)容，但用戶丟失密鑰的危險(xiǎn)是存在的，因此建立密鑰備份及恢復(fù)系統(tǒng)密鑰備份和恢復(fù)機(jī)制來(lái)防止這種情況的發(fā)生。

4）證書廢止系統(tǒng)：有時(shí)會(huì)因?yàn)樾彰母淖?、私鑰丟失或泄漏、用戶與所屬企業(yè)關(guān)系變更等，需要廢除并終止使用該證書，這時(shí)候就要用到證書廢止系統(tǒng)。

隨著網(wǎng)絡(luò)規(guī)模的不斷增長(zhǎng)和網(wǎng)絡(luò)用戶人數(shù)的不斷增加，網(wǎng)絡(luò)的脆弱性和安全問(wèn)題越來(lái)越受到關(guān)注，人們對(duì)網(wǎng)絡(luò)交易安全保障的需求日益增長(zhǎng)。而PKI可用于保證網(wǎng)絡(luò)通信和網(wǎng)上交易的安全性，它的的應(yīng)用涉及到很多方面，并在持續(xù)發(fā)展中，下面就給出幾個(gè)應(yīng)用實(shí)例。

2 PKI的常規(guī)應(yīng)用

2.1 PKI在電子商務(wù)安全方面的應(yīng)用

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)已經(jīng)滲透到人們生活的方方面面，改變了人們的生活方式。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，傳統(tǒng)企業(yè)越來(lái)越不能滿足人們的需求，因此電子商務(wù)[1-2]作為一種新的營(yíng)銷模式，得到了快速發(fā)展。由于互聯(lián)網(wǎng)的開放性的特點(diǎn)，其安全性一直備受關(guān)注，導(dǎo)致很多人不愿在互聯(lián)網(wǎng)上進(jìn)行商務(wù)活動(dòng)。要解決電子商務(wù)的安全問(wèn)題，將PKI（Public Key Infrastructure）技術(shù)引入到電子商務(wù)中來(lái)，是一種有效安全的解決方案。

1） 數(shù)據(jù)傳輸?shù)谋Ｃ苄?。PKI的一個(gè)主要功能就是保證數(shù)據(jù)傳輸?shù)谋Ｃ苄裕簲?shù)據(jù)傳輸過(guò)程中，未經(jīng)授權(quán)的人員無(wú)法偷看。PKI是采用的公鑰理論來(lái)保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?，公鑰理論中，加密密鑰和解密密鑰是不同的，加密密鑰是公開的，誰(shuí)都可以使用，又稱為公鑰，而解密密鑰只有接收方才有，又稱為私鑰。發(fā)送方利用公鑰對(duì)信息加密，將密文傳送給接收方，接收方再利用私鑰解密，因?yàn)樗借€只為接收方擁有，即時(shí)密文在傳輸過(guò)程中被截獲，也無(wú)法破解出原文，這樣就保證了傳輸數(shù)據(jù)只為獲得授權(quán)的用戶查看。

2） 識(shí)別用戶的身份。PKI另一個(gè)主要的功能就是利用數(shù)字證書在電子交易中對(duì)用戶身份進(jìn)行認(rèn)證，數(shù)字證書是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，其作用類似于生活中的身份證，用戶向CA申請(qǐng)獲得，用來(lái)在網(wǎng)絡(luò)中識(shí)別身份。

3） 建立信任關(guān)系。在互聯(lián)網(wǎng)電子商務(wù)交易建立信任是最重要也是最具挑戰(zhàn)性的任務(wù)。在PKI中利用CA來(lái)建立信任關(guān)系，CA是第三方，對(duì)申請(qǐng)用戶的身份進(jìn)行審核和驗(yàn)證，這樣CA頒發(fā)的數(shù)字證書就可以證明用戶身份的真實(shí)性，從而通過(guò)應(yīng)用各自的證書的頒發(fā)者的信任關(guān)系來(lái)傳遞信任，從而最終確定是否值得信任。

2.2 PKI在電子政務(wù)安全方面的應(yīng)用

傳統(tǒng)政務(wù)存在業(yè)務(wù)流程復(fù)雜、信息溝通不暢和工作效率低下等問(wèn)題，電子政務(wù)[3]（E-government）是政府為適應(yīng)社會(huì)快速發(fā)展、有效提高政府的行政績(jī)效，從而利用現(xiàn)代信息技術(shù)和通信技術(shù)代替、加強(qiáng)、延伸和優(yōu)化政府依法行政過(guò)程中的部分事務(wù)的一種新型政府工作方法。

電子政務(wù)系統(tǒng)[4]是一個(gè)涉及到數(shù)千個(gè)政府機(jī)關(guān)及相關(guān)單位的系統(tǒng)，許多服務(wù)涉及將敏感的個(gè)人信息通過(guò)網(wǎng)絡(luò)進(jìn)行電子交換，當(dāng)目前互聯(lián)網(wǎng)系統(tǒng)很脆弱，容易受到攻擊，系統(tǒng)運(yùn)行過(guò)程中容易發(fā)生重要文件、敏感信息的失密、偽造、篡改。

要保證安全性，電子政務(wù)需要技術(shù)來(lái)保證身份認(rèn)證安全、訪問(wèn)控制與審計(jì)、信息傳輸安全、不可否認(rèn)性等問(wèn)題，而PKI系統(tǒng)就是一種理想的安全解決方案。

PKI用CA建立信任體系，利用數(shù)字證書進(jìn)行身份認(rèn)證，確保訪問(wèn)者身份的安全性，利用數(shù)字簽名保證訪問(wèn)者權(quán)限和不可否認(rèn)性，利用公鑰算法保證傳輸數(shù)據(jù)的安全性，PKI基本上能夠滿足電子政務(wù)的要求。

2.3 PKI在電子郵件中的應(yīng)用

由于電子郵件[5]具有使用方便、成本低廉和效率高的特點(diǎn)，成為現(xiàn)代商業(yè)中的一種極其常用的信息交換工具。隨著互聯(lián)網(wǎng)規(guī)模的持續(xù)增長(zhǎng)，從普通用戶到金融機(jī)構(gòu)，甚至政府機(jī)構(gòu)都開始使用電子郵件，出現(xiàn)了郵件被截獲、篡改、冒名等很多安全問(wèn)題。

網(wǎng)絡(luò)中的安全電子郵件傳輸需要達(dá)到以下要求：

1） 身份鑒別

雙方發(fā)送電子郵件之前，要先確認(rèn)雙方的身份的真實(shí)性，避免出現(xiàn)假冒的情況。

2） 數(shù)據(jù)的機(jī)密性

重要的郵件在發(fā)送前先進(jìn)行加密處理，這樣即使在傳輸過(guò)程中被截獲，如果不能正確為解密，內(nèi)容顯示的將是亂碼。

3） 數(shù)據(jù)的完整性

要求接收方對(duì)收到的郵件進(jìn)行完整性檢查，確認(rèn)郵件是不是源數(shù)據(jù)，在傳輸過(guò)程中是否被篡改過(guò)。

4） 抗抵賴性

郵件一旦發(fā)送完成，發(fā)送方和接收方都不能否認(rèn)自己對(duì)郵件的發(fā)送和接收行為。

目前大多數(shù)優(yōu)秀的郵件系統(tǒng)都是采用的PKI體系，其中使用最廣泛的安全電子郵件協(xié)議S/MIME也是如此。用戶對(duì)CA資格申請(qǐng)通過(guò)后獲得一對(duì)公鑰和私鑰，利用公鑰私鑰對(duì)發(fā)送郵件進(jìn)行加密和簽名，在傳輸過(guò)程中，郵件就不會(huì)被查看、篡改和冒充身份，接收方收到郵件后，先檢查數(shù)字簽名驗(yàn)證身份，再利用私鑰進(jìn)行解密，查看郵件內(nèi)容，這樣PKI體系就可以保障電子郵件的安全性。

隨著Internet規(guī)模的不斷擴(kuò)大和信息安全需求的增長(zhǎng)，基于PKI的應(yīng)用也越來(lái)越廣泛，例如WWW服務(wù)器和瀏覽器之間的通信、安全的電子郵件、電子數(shù)據(jù)交換、Internet上的信用卡交易以及VPN等。因此，PKI具有非常廣闊的市場(chǎng)應(yīng)用前景。

參考文獻(xiàn)：

[1] 謝冬青，冷健.PKI原理與技術(shù)[M].北京：清華大學(xué)出版社，2004.

[2] 陳志芳.基于KPI的電子商務(wù)中身份認(rèn)證的研究[D].武漢理工大學(xué)，2006.

[3] 何玲.電子政務(wù)環(huán)境下政府電子文件管理新探索[D].成都：四川大學(xué)碩士學(xué)位論文，2008.

[4] 電子政務(wù)：安全防護(hù)體系構(gòu)建策略[EB/OL].http：//www.enet.com.cn，2009.

[5] 陳建奇，張玉清，等.安全電子郵件的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2002，28（6）：122.