馬少衛(wèi)

PKI主要是由公開(kāi)密鑰密碼技術(shù)，數(shù)字證書(shū)以及其他方面的內(nèi)容共同構(gòu)成。而數(shù)字證書(shū)則是不同實(shí)體在網(wǎng)絡(luò)上進(jìn)行交流溝通的身份證明。本文從PKI機(jī)制以及數(shù)字證書(shū)的內(nèi)涵入手分析，具體介紹數(shù)字證書(shū)在PKI工程改造中的應(yīng)用。

【關(guān)鍵詞】PKI 數(shù)字證書(shū) 應(yīng)用

PKI機(jī)制使用數(shù)字證書(shū)管理公鑰，利用第三方的可信機(jī)構(gòu)，將用戶(hù)公鑰和用戶(hù)其他相關(guān)的信息情況進(jìn)行綁定，然后在網(wǎng)絡(luò)上檢驗(yàn)用戶(hù)的身份。PKI機(jī)制主要是將公鑰密碼同對(duì)稱(chēng)密碼進(jìn)行融合，保障網(wǎng)絡(luò)上信息的保密性以及整體性。

1 數(shù)字證書(shū)

數(shù)字證書(shū)是不同用戶(hù)（包括個(gè)人用戶(hù)和機(jī)構(gòu)用戶(hù)）在網(wǎng)絡(luò)上進(jìn)行信息溝通和交流的身份證明。數(shù)字證書(shū)是經(jīng)過(guò)證書(shū)認(rèn)證中心數(shù)字簽名，涵蓋了一些證書(shū)依賴(lài)人員的綜合信息以及相關(guān)聯(lián)的非對(duì)稱(chēng)密鑰對(duì)的文件。數(shù)字證書(shū)可以分成簽名和加密證書(shū)。簽名證書(shū)，一般使用在用戶(hù)信息簽名方面，而加密證書(shū)則主要使用在用戶(hù)信息加密方面。擁有數(shù)字證書(shū)的人員甲向擁有數(shù)字證書(shū)的人員乙輸送某些數(shù)字信息的情況下，為了能夠保障整個(gè)信息輸送過(guò)程的安全性以及可靠性，必須對(duì)輸送的信息進(jìn)行數(shù)字加密和數(shù)字簽名，這樣才能夠更好的確保信息輸送過(guò)程的安全性。

2 PKI機(jī)制

PKI主要是通過(guò)公用密鑰技術(shù)構(gòu)成電子商務(wù)安全的機(jī)制，PKI技術(shù)可以為非對(duì)稱(chēng)加密以及數(shù)字簽名打下基礎(chǔ)，可以進(jìn)行證書(shū)和密鑰的管理。使用PKI機(jī)制中的管理密鑰和數(shù)字證書(shū)能夠良好的搭建可靠的網(wǎng)絡(luò)。其具體的內(nèi)容如下：首先是認(rèn)證中心，其主要負(fù)責(zé)管理PKI框架下所有的證書(shū)，將用戶(hù)的公開(kāi)密鑰以及其他方面的內(nèi)容進(jìn)行綁定，在網(wǎng)絡(luò)上檢驗(yàn)其用戶(hù)的具體身份；其次是證書(shū)庫(kù)，用戶(hù)可以利用標(biāo)準(zhǔn)的LDAP協(xié)議進(jìn)行訪(fǎng)問(wèn)；再其次是密鑰備份系統(tǒng)。為了防止用戶(hù)由于自身或者是外部原因?qū)⒚荑€遺失， PKI必須建立一套完備的密鑰備份系統(tǒng)，確保用戶(hù)可以及時(shí)的找回相應(yīng)的信息；最后是PKI應(yīng)用接口系統(tǒng)，PKI必須建立一個(gè)良好的應(yīng)用接口，這樣可以以一種安全可靠的形式同PKI進(jìn)行有效的融合，保障網(wǎng)絡(luò)條件的可靠性，另外還能夠減少管理維護(hù)費(fèi)用。

3 數(shù)字證書(shū)應(yīng)用的法律依據(jù)

從我國(guó)目前的數(shù)字證書(shū)應(yīng)用情況來(lái)看，在我國(guó)擁有較多的法律規(guī)章制度進(jìn)行規(guī)范。數(shù)字證書(shū)的應(yīng)用在我國(guó)是符合法律規(guī)定要求的，具有明確的行業(yè)規(guī)范以及行業(yè)準(zhǔn)入要求。具體來(lái)看：首先數(shù)字證書(shū)具有嚴(yán)格的法律規(guī)章制度作為保障，譬如《電子簽名法》《電子認(rèn)證服務(wù)管理辦法》等，《電子簽名法》的頒布實(shí)施以及數(shù)字加密和數(shù)字簽名技術(shù)所具有的保密性、完整性、真實(shí)性、不可否認(rèn)性等特點(diǎn)，使得CA數(shù)字證書(shū)身份認(rèn)證被廣泛采用。這些法律規(guī)章制度在一定程度上都嚴(yán)格的規(guī)范了數(shù)字證書(shū)的應(yīng)用范圍以及應(yīng)用條件，為數(shù)字證書(shū)的科學(xué)合理化應(yīng)用打下了堅(jiān)實(shí)的基礎(chǔ)；其次數(shù)字證書(shū)的應(yīng)用具有嚴(yán)格具體的執(zhí)行標(biāo)準(zhǔn)，譬如《GB 20518-2006 信息安全技術(shù)公鑰基礎(chǔ)設(shè)施 數(shù)字證書(shū)格式》等等，這些執(zhí)行標(biāo)準(zhǔn)為數(shù)字證書(shū)的實(shí)踐應(yīng)用鋪平了道路，進(jìn)而在法律規(guī)章以及嚴(yán)格的執(zhí)行標(biāo)準(zhǔn)下，數(shù)字證書(shū)才能夠得以全面充分的應(yīng)用和推廣。

4 數(shù)字證書(shū)在PKI工程改造中的應(yīng)用

本文主要以公安數(shù)字證書(shū)在民警的個(gè)人數(shù)字身份認(rèn)證作為范例，具體分析數(shù)字證書(shū)在PKI中的具體應(yīng)用?？梢杂糜诠矘I(yè)務(wù)系統(tǒng)的身份認(rèn)證以及確保公安業(yè)務(wù)數(shù)據(jù)傳輸?shù)陌踩?。所以，?duì)于使用B/S架構(gòu)的業(yè)務(wù)系統(tǒng)，一般情況下使用安

全性更高的超文本傳輸協(xié)議。因?yàn)槌浞值目紤]到Tomcat服務(wù)器具有安全性高，開(kāi)源和跨平臺(tái)的屬性，再次分析Tomcat服務(wù)器證書(shū)的生成方法和部署過(guò)程。從SSL握手過(guò)程就可以了解到，需要兩個(gè)證書(shū)：服務(wù)器證書(shū)和客戶(hù)證書(shū)，因?yàn)榉?wù)器對(duì)證書(shū)格式同客戶(hù)端證書(shū)格式要求不太相同，所以基本上兩個(gè)證書(shū)的制作有些差異性。

（1）首先是服務(wù)器證書(shū)的制作，在Tomcat服務(wù)器上部署數(shù)字證書(shū)，需要一種JKS格式的服務(wù)器證書(shū)文件，在這個(gè)文件中，保存著服務(wù)器私鑰、服務(wù)器證書(shū)和服務(wù)器根證書(shū)鏈。一般情況下要制作這類(lèi)證書(shū)，可以使用JDK提供的一個(gè)工具Keytool，以及使用Java圖形界面的密鑰庫(kù)管理工具KeytoolGUI。具體的步驟可以是產(chǎn)生信任列表，導(dǎo)入信任根證書(shū)，然后產(chǎn)生密鑰對(duì)，生成服務(wù)器證書(shū)請(qǐng)求，接著在CA服務(wù)器上實(shí)現(xiàn)簽證，最后是導(dǎo)入CA簽發(fā)的服務(wù)器cer證書(shū)。

（2）其次是配置SSL，在生成的服務(wù)器證書(shū)文件中找到keyStore.jks后，把其復(fù)制進(jìn)服務(wù)器端中，主要用來(lái)檢驗(yàn)客戶(hù)端證書(shū)的有關(guān)詳細(xì)信息。找到相關(guān)的文件信息后，重新啟動(dòng)服務(wù)器，選擇使用SSL方式登陸系統(tǒng)；再其次是使用數(shù)字證書(shū)進(jìn)行登陸認(rèn)證，在全面的完成上述的步驟之后，接下來(lái)的問(wèn)題是在系統(tǒng)中該怎樣使用數(shù)字證書(shū)登錄認(rèn)證。按照實(shí)際應(yīng)用，有以下三種應(yīng)用情況：對(duì)于只需數(shù)字證書(shū)作為登錄系統(tǒng)認(rèn)證的簡(jiǎn)單應(yīng)用，完成上述設(shè)置后，把系統(tǒng)登錄地址改為https：//xxx.xxx.：8443就行；對(duì)于需要分層級(jí)和區(qū)域進(jìn)行控制的系統(tǒng)，就可以通過(guò)獲取個(gè)人數(shù)字證書(shū)中的層級(jí)及區(qū)域等基本信息后，接著控制其訪(fǎng)問(wèn)權(quán)限；對(duì)于一些相對(duì)較為復(fù)雜的應(yīng)用，可以通過(guò)構(gòu)建用戶(hù)表+權(quán)限表+數(shù)字證書(shū)的方式，建立用戶(hù)表、權(quán)限表與數(shù)字證書(shū)的對(duì)應(yīng)關(guān)系。譬如武漢市某預(yù)警平臺(tái)項(xiàng)目中就使用了這種模式，在用戶(hù)表中增加了一個(gè)字段pki_code，可以用來(lái)保存身份證號(hào)碼，對(duì)應(yīng)于個(gè)人數(shù)字證書(shū)中的身份證信息。

（3）最后是系統(tǒng)檢驗(yàn)，第一要查看服務(wù)器證書(shū)，系統(tǒng)登錄界面點(diǎn)擊“數(shù)字證書(shū)登錄”按鈕后，選擇“查看證書(shū)”，就可以看到目前應(yīng)用服務(wù)器的證書(shū)具體情況；第二是混合身份認(rèn)證登陸，為了增加兼容性，系統(tǒng)使用了“數(shù)字證書(shū)登錄”和“用戶(hù)名+口令”兩種方式。

5 結(jié)語(yǔ)

綜上所述，本文從PKI機(jī)制以及數(shù)字證書(shū)的內(nèi)涵入手分析，具體介紹數(shù)字證書(shū)在PKI工程改造中的應(yīng)用。因?yàn)榫哂辛己玫姆梢?guī)章以及嚴(yán)格的執(zhí)行標(biāo)準(zhǔn)的保駕護(hù)航，從長(zhǎng)遠(yuǎn)來(lái)看，具有良好的發(fā)展前景。

參考文獻(xiàn)

[1]尹育新，戎宏娜.淺談一種全新的網(wǎng)絡(luò)技術(shù)—物聯(lián)網(wǎng)[J].信息系統(tǒng)工程，2010（02）：105-106.

[2]胡清，詹宜巨，黃小虎.基于RFID企業(yè)物聯(lián)網(wǎng)及中間件技術(shù)研究[J].微計(jì)算機(jī)信息，2009（25）：158-160.

作者單位

天津市電子認(rèn)證中心 天津市 300074endprint