PKI技术发展与应用初探.doc

PKI技术发展与应用初探 　　摘要:PKI技术是目前使用最广泛的网络安全技术,是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。该文阐述了PKI的基础-公钥加密技术,分析了PKI的各个组成部分,最后介绍了PKI在信息安全的应用。 　　关键词:PKI 技术;密钥;CA;公钥加密技术;数字证书 　　中图分类号:TP309文献标识码:A文章编号:1009-3044(2010)10-2343-02 　　Technical Application and Improvement of PKI 　　DOU Jun-wei 　　(Hunan University of Technology, Zhuzhou 412008, China) 　　Abstract: PKI is the most widely used network security technology nowadays and is an system that insure the security of system information and is responsibility for validating the station of the holders who hold the digital certificate. This paper illustrates the foundation of PKI-public key cryptography, analyze the every portion of PKI and in the last, introduce the application in the information security of PKI. 　　Key words:PKI technical; key; CA; public key cryptography; digital certificate 　　计算机和网络技术的应用已经成为现代社会必不可缺的一部分,人们已经开始习惯于通过各种先进的通信手段传递重要的数据、图像和话音等信息进行各种交流,网络给人们的工作和生活带来了诸多的便利。然而,由于互联网所具有的广泛性,开放性和匿名性,决定了单纯的互联网不可避免地存在信息安全隐患,因此,信息的安全问题成为人们关注的焦点。为了解决Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即公钥基础设施(Public Key Infrastructure,简称PKI)技术。PKI的概念是20世纪80年代提出的,是一种普遍适用的网络安全体系,是一种用非对称密码算法原理和技术实现并提供安全服务的具有通用性的网络安全基础设施[1]。 　　1 公钥加密技术 　　1976年,美国的密码学专家Diffie和Hellman为解决上述密钥管理的难题,提出一种密钥交换协议,允许在不安全的媒体上双方交换信息,安全地获取相同的用于对称加密的密钥。在此新思想的基础上,很快出现了非对称密钥密码体制,即公钥密码体制。公共密钥算法的基本特性是一个公共密钥被用来加密数据,而另一个私人密钥被用来解密数据。这两个密钥在数字上相关,要想从公共密钥中逆算出对应的私人密钥是不可能的。使用者向与其联系的人发送公共密钥的拷贝,之后他人就能向最初的使用者发送用公共密钥加密成密码的信息,仅有最初使用者才能够解码那些信息。公钥和私钥配合使用可以保证数据传输的机密性,其基本原理如图1所示。目前常用的公开密钥算法有RSA算法和Diffie-Hellman算法等[2]。 　　2 PKI的组成 　　一个完整的PKI系统必须具备权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口(API)等基本组成部分,其系统结构图如图2。 　　2.1 权威认证机构(Certificate Authority) 　　权威认证机构简称CA,是PKI的核心组成部分,也称作认证中心。它是数字证书的签发机构。CA是PKI的核心,是PKI应用中权威的、可信任的、公正的第三方机构。广义上讲,认证中心还包括证书申请注册机构RA(Registration Authority),它是数字证书的申请注册、证书签发的管理机构。CA的主要职责包括: 　　1)验证并标识证书申请者的身份; 　　2)确保CA 用于签名证书的非对称密钥的质量; 　　3)确保整个签证过程的安全性; 　　4)确保私钥的安全性; 　　5)管理证书材料信息(包括公钥证书序列号、CA 标识等); 　　6)确定并检查证书的有效期限; 　　7)确保证书主体标识的惟一性,防止重名; 　　8)发布并维护作废证书表