PKI技术的基本原理及常规应用

罗萱

摘要：PKI是一个用公开密钥原理和技术来实现并提供安全服务的具有通用性的安全基础设施。该文主要介绍PKI的基本原理和常规应用，包括PKI在电子商务的应用、PKI在电子政务的应用及PKI在电子邮件中的应用。

关键词：PKI；电子商务安全；电子政务安全；电子邮件安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）24-5772-02

Basic Principle and Normal Regulations of PKI Technique Apply

LUO Xuan

（Chongqing Youth Vocational & Technical College， Chongqing 400712， China）

Abstract： PKI is a carry out with publicly airtight key principle and technique and provide safety service of have the safe infrastructure of in general use.This text mainly introduces a PKI basic principle and normal regulations application and include PKI's application in the electronic commerce and PKI's application in electronics governmental affairs and PKI's application in e-mail.

Key words： PKI； electronic commerce safety； electronics governmental affairs safety； e-mail safety

PKI（Public Key Infrastructure）即公钥基础设施，就是提供公钥加密和数字签名服务的系统。 PKI是一组服务和政策，提供绑定一个公共密钥和一个唯一的用户身份，以及如何实现和维护的绑定相关信息的框架机制，保证数字信息传输的机密性、真实性、完整性和不可否认性。

其主要功能是通过发行PKI的数字证书来绑定证书持有者的身份和相关的公开密钥，这样，用户就可以获得证书，访问证书和取消证书，使用数字证书和相关服务（颁发证书黑名单发布等）实现通信过程的认证机构，以确保完整性和不可抵赖性的通信数据。

1 PKI的组成

一个典型完整的PKI系统至少应该包括以下几部分：

1）认证中心CA（Certificate Authority）：认证中心CA是PKI系统中的核心组成部分。它是值得信赖的第三方机构，用于产生、保存和管理数字证书，正因为CA是值得信赖的，所以它颁发的数字证书也是值得信赖的，而拥有数字证书的双方的身份也就是值得信赖的。

2）注册机构RA（Registration Authority）：当用户需要从数字证书库CA获取数字证书时，要向注册机构RA发起申请，RA对用户资格进行审查，如果审查通过，CA就对该用户颁发数字证书，注意，一般来说，注册机构RA是一个独立的机构，它只审查资格，并不负责颁发证书。

3）密钥备份及恢复系统：当接收方收到加密的文件后，要利用手中的密钥进行解密，才能看到文件内容，但用户丢失密钥的危险是存在的，因此建立密钥备份及恢复系统密钥备份和恢复机制来防止这种情况的发生。

4）证书废止系统：有时会因为姓名的改变、私钥丢失或泄漏、用户与所属企业关系变更等，需要废除并终止使用该证书，这时候就要用到证书废止系统。

随着网络规模的不断增长和网络用户人数的不断增加，网络的脆弱性和安全问题越来越受到关注，人们对网络交易安全保障的需求日益增长。而PKI可用于保证网络通信和网上交易的安全性，它的的应用涉及到很多方面，并在持续发展中，下面就给出几个应用实例。

2 PKI的常规应用

2.1 PKI在电子商务安全方面的应用

随着互联网的发展，网络已经渗透到人们生活的方方面面，改变了人们的生活方式。随着网络技术的发展，传统企业越来越不能满足人们的需求，因此电子商务[1-2]作为一种新的营销模式，得到了快速发展。由于互联网的开放性的特点，其安全性一直备受关注，导致很多人不愿在互联网上进行商务活动。要解决电子商务的安全问题，将PKI（Public Key Infrastructure）技术引入到电子商务中来，是一种有效安全的解决方案。

1） 数据传输的保密性。PKI的一个主要功能就是保证数据传输的保密性：数据传输过程中，未经授权的人员无法偷看。PKI是采用的公钥理论来保证数据传输的保密性，公钥理论中，加密密钥和解密密钥是不同的，加密密钥是公开的，谁都可以使用，又称为公钥，而解密密钥只有接收方才有，又称为私钥。发送方利用公钥对信息加密，将密文传送给接收方，接收方再利用私钥解密，因为私钥只为接收方拥有，即时密文在传输过程中被截获，也无法破解出原文，这样就保证了传输数据只为获得授权的用户查看。

2） 识别用户的身份。PKI另一个主要的功能就是利用数字证书在电子交易中对用户身份进行认证，数字证书是网络通信中标志通信各方身份信息的一系列数据，其作用类似于生活中的身份证，用户向CA申请获得，用来在网络中识别身份。

3） 建立信任关系。在互联网电子商务交易建立信任是最重要也是最具挑战性的任务。在PKI中利用CA来建立信任关系，CA是第三方，对申请用户的身份进行审核和验证，这样CA颁发的数字证书就可以证明用户身份的真实性，从而通过应用各自的证书的颁发者的信任关系来传递信任，从而最终确定是否值得信任。

2.2 PKI在电子政务安全方面的应用

传统政务存在业务流程复杂、信息沟通不畅和工作效率低下等问题，电子政务[3]（E-government）是政府为适应社会快速发展、有效提高政府的行政绩效，从而利用现代信息技术和通信技术代替、加强、延伸和优化政府依法行政过程中的部分事务的一种新型政府工作方法。

电子政务系统[4]是一个涉及到数千个政府机关及相关单位的系统，许多服务涉及将敏感的个人信息通过网络进行电子交换，当目前互联网系统很脆弱，容易受到攻击，系统运行过程中容易发生重要文件、敏感信息的失密、伪造、篡改。

要保证安全性，电子政务需要技术来保证身份认证安全、访问控制与审计、信息传输安全、不可否认性等问题，而PKI系统就是一种理想的安全解决方案。

PKI用CA建立信任体系，利用数字证书进行身份认证，确保访问者身份的安全性，利用数字签名保证访问者权限和不可否认性，利用公钥算法保证传输数据的安全性，PKI基本上能够满足电子政务的要求。

2.3 PKI在电子邮件中的应用

由于电子邮件[5]具有使用方便、成本低廉和效率高的特点，成为现代商业中的一种极其常用的信息交换工具。随着互联网规模的持续增长，从普通用户到金融机构，甚至政府机构都开始使用电子邮件，出现了邮件被截获、篡改、冒名等很多安全问题。

网络中的安全电子邮件传输需要达到以下要求：

1） 身份鉴别

双方发送电子邮件之前，要先确认双方的身份的真实性，避免出现假冒的情况。

2） 数据的机密性

重要的邮件在发送前先进行加密处理，这样即使在传输过程中被截获，如果不能正确为解密，内容显示的将是乱码。

3） 数据的完整性

要求接收方对收到的邮件进行完整性检查，确认邮件是不是源数据，在传输过程中是否被篡改过。

4） 抗抵赖性

邮件一旦发送完成，发送方和接收方都不能否认自己对邮件的发送和接收行为。

目前大多数优秀的邮件系统都是采用的PKI体系，其中使用最广泛的安全电子邮件协议S/MIME也是如此。用户对CA资格申请通过后获得一对公钥和私钥，利用公钥私钥对发送邮件进行加密和签名，在传输过程中，邮件就不会被查看、篡改和冒充身份，接收方收到邮件后，先检查数字签名验证身份，再利用私钥进行解密，查看邮件内容，这样PKI体系就可以保障电子邮件的安全性。

随着Internet规模的不断扩大和信息安全需求的增长，基于PKI的应用也越来越广泛，例如WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Internet上的信用卡交易以及VPN等。因此，PKI具有非常广阔的市场应用前景。

参考文献：

[1] 谢冬青，冷健.PKI原理与技术[M].北京：清华大学出版社，2004.

[2] 陈志芳.基于KPI的电子商务中身份认证的研究[D].武汉理工大学，2006.

[3] 何玲.电子政务环境下政府电子文件管理新探索[D].成都：四川大学硕士学位论文，2008.

[4] 电子政务：安全防护体系构建策略[EB/OL].http：//www.enet.com.cn，2009.

[5] 陈建奇，张玉清，等.安全电子邮件的研究与实现[J].计算机工程，2002，28（6）：122.