最近幾年，許多新的安全規(guī)范以及安全技術(shù)涌現(xiàn)出來，PKI（公開密鑰基礎(chǔ)設(shè)施）就是這時候被提出來的。它在大規(guī)模網(wǎng)絡(luò)中通信的安全問題是通過實現(xiàn)公鑰分配而解決的。PKI（公開密鑰基礎(chǔ)設(shè)施）是在一個現(xiàn)代密碼學(xué)理論與技術(shù)的基礎(chǔ)上，創(chuàng)建，管理，分發(fā)和以公鑰證書為基礎(chǔ)的公鑰密碼體制，包含硬件，軟件，策略和過程。它的目的是實現(xiàn)信息安全風(fēng)險控制，提供安全控制機(jī)制，并針對網(wǎng)絡(luò)用戶的安全需求，提供諸如信息的完整性、信息的保密性、身份認(rèn)證等各種不同的安全服務(wù)。PKI已經(jīng)成為網(wǎng)絡(luò)安全體系結(jié)構(gòu)的核心部分。安全電子郵件，Web訪問，VPN和簡單的用戶登錄認(rèn)證系統(tǒng)的標(biāo)準(zhǔn)協(xié)議大部分都利用公鑰證書。

　　摘要：對PKI的一些原理、內(nèi)容和功能、CA以及在PKI開發(fā)中需要了解的關(guān)鍵問題等進(jìn)行分析。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全論文發(fā)表,PKI,CA,密鑰,證書

　　1PKI簡介

　　在現(xiàn)實世界中，人們通過網(wǎng)絡(luò)進(jìn)行通信和消費，于是安全機(jī)制問題就出現(xiàn)了，如何識別信息傳輸?shù)倪^程中信息是否是完整的，如何識別信息傳輸過程中信息是否是真實的，如何保證信息傳輸過程中重要信息不被其他人竊取，為了解決這些接踵而來的問題，我們需要建立一種網(wǎng)絡(luò)的安全體系。主要有以下幾個方面。

　　1）簡單的識別。

　　2）最終用戶的完全暴露。

　　3）整體的安全保障。

　　2PKI的原理

　　在傳統(tǒng)的單密鑰加密技術(shù)中，加密和解密密鑰是一致的，所以在與合作伙伴進(jìn)行信息交流時，首先要保證必須交換的加密或解密密鑰是非常安全的。單鑰密碼體制是安全的數(shù)據(jù)傳輸?shù)囊粋�很好的解決方案，但是它有其致命弱點，就是密鑰互換問題。單鑰密碼體制中密鑰的管理和分配是無法完美解決的。因此我們知道單鑰體制不能保證信息的不可抵賴性。而從技術(shù)上解決了這個問題的理論就是公鑰理論。公開密鑰體制的加密和解密的密鑰是不相同的，并且很難從一個推斷出另外一個。這是公共密鑰加密技術(shù)的最基本的特征。它使用加密密鑰將明文轉(zhuǎn)變成密文，這一過程是單向的，加密和解密過程相互獨立；解密時我們將需要使用一個解密密鑰將密文解密成明文，加密密鑰和加密密鑰是互不相同的。因此，在公共密鑰加密技術(shù)中，每個用戶分別擁有一對由公鑰和私鑰組成的密鑰組。公鑰被對外公開，所以當(dāng)你收到別人發(fā)送的用你的公鑰加密過的信息，只是用你的私鑰解密就可以看到具體內(nèi)容。同樣的，當(dāng)你把用你自己的私人密鑰加密的數(shù)據(jù)發(fā)送給他人，他就可以用你的公鑰來驗證數(shù)據(jù)是否正確來自于你，這就是數(shù)據(jù)簽名。

　　3PKI系統(tǒng)的具體內(nèi)容和功能

　　PKI系統(tǒng)一般由五個部分構(gòu)成。第一部分是CA，主要功能是頒發(fā)和吊銷證書；第二部分是RA，主要功能是身份信息審核并綁定身份信息和公開密鑰；第三部分是持有證書者，是指獲得并使用證書的機(jī)器、軟件和人；第四部分是程序，主要功能是通過使用最終用戶的密鑰和證書來提供簽名以及加密等服務(wù)；第五部分是存儲，主要功能是保存證書和證書吊銷列表。

　　PKI系統(tǒng)能夠?qū)崿F(xiàn)以下的功能。

　　1）注冊功能：如果用戶想要申請證書，那么他需要將自己的用戶信息提交給CA，CA證書的操作規(guī)程制定了需要提交的信息內(nèi)容。

　　2）認(rèn)證功能。認(rèn)證功能需要給用戶頒發(fā)含有用戶公鑰的證書，并且將這個含有公鑰的證書發(fā)布到相應(yīng)的證書庫。

　　3）對密鑰進(jìn)行恢復(fù)，用戶密鑰在某些PKI系統(tǒng)中需要進(jìn)行安全備份，因為最終用戶的密鑰如果丟失，CA的系統(tǒng)就可以應(yīng)用備份的用戶密鑰對其進(jìn)行恢復(fù)進(jìn)而對已加密的數(shù)據(jù)進(jìn)行解密。恢復(fù)功能如果是必須的，那么所有最終用戶解密私鑰都是需要被備份的。

　　4）密鑰生成，有兩種方式：一是由負(fù)責(zé)該用戶的密鑰的CA生成，然后對其進(jìn)行加密后發(fā)送給最終用戶，文件可以被存儲在一個物理介質(zhì)上給最終用戶；二是生成一對本地計算機(jī)環(huán)境中的最終用戶的密鑰，然后發(fā)送到CA，并且簽發(fā)證書。

　　5）更新密鑰，與它相關(guān)的所有密鑰和證書應(yīng)定期更新。更新密鑰和證書一般有以下兩方面原因，一是現(xiàn)有證書已過期；二是用戶的私有密鑰被其他原因破壞。

　　6）交叉認(rèn)證功能，該功能是使受信任的域用戶CA證書可以通過另一個不同信任域信任的CA發(fā)放的證書，在這個過程中，需要包括當(dāng)前CA簽發(fā)的的另一個CA的證書（交叉驗證），該證書包含了另一個CA的簽名證書的公鑰。

　　7）證書吊銷功能，證書將持續(xù)有效直至其有效期。但是，總會有意外發(fā)生，那么，該證書就可能需要被取消，比如用戶的名字進(jìn)行了更改，或者相應(yīng)的工作人員已經(jīng)被調(diào)離，或者用戶私鑰被泄露。根據(jù)X.509標(biāo)準(zhǔn)，我們是使用一個CRL（證書撤銷列表）對證書吊銷。CRL的發(fā)布需要選擇最適當(dāng)?shù)臅r間間隔。當(dāng)證書已被撤銷，如果不及時進(jìn)行新的CRL發(fā)布或CRL立即釋放，但最終用戶沒有看到，我們?nèi)匀徊荒鼙ＷC安全。

　　4認(rèn)證中心（CA）

　　認(rèn)證中心（CA）是PKI的核心實施者。認(rèn)證中心（CA）對主體的公共密鑰和主體的其他屬性做簽名形成公鑰證書，其將主體的其他屬性和公鑰與主體的身份進(jìn)行綁定，幾個主體之間的信任也是基于屬性和公鑰的信任。通常在實際網(wǎng)絡(luò)環(huán)境中有多個認(rèn)證中心（CA），所以我們總結(jié)出兩種傳統(tǒng)的PKI信任模型，它們是網(wǎng)狀模型和層次模型。在網(wǎng)狀模型中，每兩個CA彼此認(rèn)證，形成了一個等同的信任關(guān)系。用戶通過從附近的CA認(rèn)證路徑找到被驗證證書的認(rèn)證路徑，就可以實現(xiàn)驗證此證書。在層次模型中，每個用戶都知道根CA的公鑰證書。并且只有一個根CA，于是只要找到一個路徑從根CA到此證書，就可以實現(xiàn)驗證此證書。

　　實際上，PKI的CA具有它的安全限制性。

　　1）PKICA沒有用戶身份認(rèn)證。我們通過對CA證書認(rèn)證機(jī)制進(jìn)行分析，發(fā)現(xiàn)身份認(rèn)證只是驗證CA證書的合法性和有效性，而不是對一個用戶進(jìn)行身份判斷，只可以控制用戶是否有權(quán)限進(jìn)入一個系統(tǒng)，而不是更多的訪問控制。

　　2）僅僅依靠CA證書認(rèn)證機(jī)制不能確定是否該用戶是合法持有證書的用戶。因為數(shù)字證書頒發(fā)的CA是開放的，數(shù)字證書在傳輸過程中通過網(wǎng)絡(luò)發(fā)送給對方，因此其他人可以通過直接在CA服務(wù)器下載、網(wǎng)絡(luò)監(jiān)聽獲得證書，對商業(yè)系統(tǒng)進(jìn)行未經(jīng)授權(quán)的訪問。因此，非信息主管人員必須對PKICA的功能有一個清醒的認(rèn)知。

　　5在PKI開發(fā)中需要了解的關(guān)鍵問題

　　為了實現(xiàn)PKI系統(tǒng)，我們就必須要實現(xiàn)加密，證書管理，可靠的服務(wù)，目錄管理四個部分。

　　1）加密服務(wù)：包括執(zhí)行加密和摘要算法。該算法需要MD5，SHA1的支持，簽名算法需要支持RSA，DSA，密鑰交換算法需要支持DH。使用它們之間的不同組合來實現(xiàn)數(shù)字簽名。

　　2）證書管理：我們把它分為底層證書數(shù)據(jù)處理和高層證書的業(yè)務(wù)流程兩個方面。

　　3）可靠的傳輸服務(wù)，我們通過使用SSL實現(xiàn)PKI操作和管理信息傳輸?shù)目煽啃浴２⑶铱梢灾苯邮褂肔inuxOpenSSL軟件包提供的API。

　　4）目錄服務(wù)，我們可以通過LDAP服務(wù)器軟件進(jìn)行證書的實現(xiàn)和發(fā)布以及獲取CRL。

　　參考文獻(xiàn)

　　[1]梅穎.PKI信任模型比較分析[J].湖北師范學(xué)院學(xué)報，2010（01）.

　　[2]高放.基于PKI的CA系統(tǒng)的設(shè)計與實現(xiàn)[D].東北大學(xué)，2009.

　　[3]胡軍，等.基于PKI的CA認(rèn)證系統(tǒng)信任模型的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（03）