一、前言

信息技術(shù)的發(fā)展為我們帶來(lái)便利的同時(shí)，也不可避免的帶來(lái)一些信息數(shù)據(jù)安全上的風(fēng)險(xiǎn)。PKI系統(tǒng)是解決這些風(fēng)險(xiǎn)問(wèn)題的一個(gè)很好的基礎(chǔ)架構(gòu)。

PKI系統(tǒng)是解決信息技術(shù)中信任、安全、加密等問(wèn)題的基本解決方案，采用先進(jìn)安全加密技術(shù)，提供真實(shí)性、保密性、完整性以及可追究性安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。

現(xiàn)代的PKI系統(tǒng)是建立在非對(duì)稱(chēng)加密的理論和技術(shù)的基礎(chǔ)上的，同時(shí)國(guó)際電聯(lián)電信委員會(huì)還為PKI系統(tǒng)制定了比較嚴(yán)密的技術(shù)標(biāo)準(zhǔn)X.509。在我們研究PKI系統(tǒng)之前，先了解一下非對(duì)稱(chēng)加密、數(shù)字證書(shū)、X.509標(biāo)準(zhǔn)等概念。

二、非對(duì)稱(chēng)加密

非對(duì)稱(chēng)加密提出一種加密算法，能夠安全地讓通訊雙方交換信息，安全地達(dá)成一致的密鑰，這就是“非對(duì)稱(chēng)加密算法”。

非對(duì)稱(chēng)加密算法(asymmetric cryptographic algorithm)又名“公開(kāi)密鑰加密算法”，它有兩個(gè)密鑰：公開(kāi)密鑰(publickey)和私有密鑰(privatekey)。私鑰和公鑰是一對(duì)同時(shí)生成，并且相互依存的秘鑰。例如在用戶A和用戶B之間使用非對(duì)稱(chēng)加密算法傳遞信息，用戶A在加密的時(shí)候就不需要將自己的私有密鑰告訴用戶B，只需要使用用戶B的公開(kāi)密鑰進(jìn)行加密即可。用戶B在接收到加密信息后，使用本人私有密鑰解密得到信息，即使在傳遞過(guò)程中加密信息被其他人竊取，沒(méi)有用戶B的私有密鑰，也不能夠進(jìn)行解密。用戶B在反饋用戶A的時(shí)候，也是使用用戶A的公鑰進(jìn)行加密，也只能夠是用戶A能夠得到真實(shí)的信息。

三、數(shù)字證書(shū)

數(shù)字證書(shū)是用來(lái)標(biāo)示和證明身份的數(shù)字信息文件，它提供了一種驗(yàn)證用戶身份的方式。數(shù)字證書(shū)中包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰，同時(shí)還有權(quán)威認(rèn)證機(jī)構(gòu)對(duì)該數(shù)字證書(shū)的簽名，別的用戶從數(shù)字證書(shū)確認(rèn)你的數(shù)字證書(shū)是否是有效的、可信的，同時(shí)還可以得到你的個(gè)人信息和公開(kāi)密鑰，個(gè)人信息可以作為記錄，公開(kāi)密鑰用來(lái)加密對(duì)你進(jìn)行傳遞的數(shù)據(jù)。

在PKI系統(tǒng)中，數(shù)字證書(shū)是實(shí)現(xiàn)各種安全的一個(gè)重要載體。

四、X.509標(biāo)準(zhǔn)

X.509是由國(guó)際電聯(lián)電信委員會(huì)(ITU-T)制定的PKI標(biāo)準(zhǔn)。X.509定義了PKI體系中數(shù)字證書(shū)、證書(shū)吊銷(xiāo)清單、屬性證書(shū)和證書(shū)路徑驗(yàn)證算法等標(biāo)準(zhǔn)。通過(guò)規(guī)范PKI標(biāo)準(zhǔn)，能夠使得不同的PKI系統(tǒng)相互之間兼容、互信。最新的X.509標(biāo)準(zhǔn)是1996年的第三版。

五、PKI系統(tǒng)

在PKI系統(tǒng)中，真實(shí)性、保密性、完整性以及可追究性等安全服務(wù)都是由數(shù)字證書(shū)這個(gè)載體來(lái)完成的。數(shù)字證書(shū)不是憑空出來(lái)的，也不能夠單獨(dú)提供這些安全服務(wù)，這需要構(gòu)建一個(gè)完整的PKI系統(tǒng)。一個(gè)完整的PKI系統(tǒng)主要包括以下五方面的內(nèi)容：

認(rèn)證機(jī)構(gòu)，數(shù)字證書(shū)的權(quán)威簽發(fā)機(jī)構(gòu)，它是PKI的核心，是PKI應(yīng)用中權(quán)威的、可信任的、公正的第三方機(jī)構(gòu)。它驗(yàn)證用戶申請(qǐng)信息的可信性，同時(shí)驗(yàn)證用戶證書(shū)的可信性。PKI系統(tǒng)中的認(rèn)證機(jī)構(gòu)，可以由幾個(gè)層級(jí)來(lái)實(shí)現(xiàn)。最頂級(jí)的是根證書(shū)服務(wù)，它只對(duì)其從屬證書(shū)服務(wù)提供審核和確認(rèn)，向這些服務(wù)頒發(fā)證書(shū)，以確認(rèn)其證書(shū)服務(wù)的合法性、可信性。第二級(jí)的證書(shū)服務(wù)可以是直接面向最終用戶，提供基本的證書(shū)申請(qǐng)、審核、頒發(fā)等服務(wù)，也可以像根證書(shū)服務(wù)那樣只面向更低一級(jí)證書(shū)服務(wù)。通常企業(yè)可以使用兩層的結(jié)構(gòu)就足夠。有些情況下，企業(yè)中也會(huì)有多個(gè)PKI系統(tǒng)，在相互之間還要進(jìn)行交叉信任，這種情況下就需要在頂級(jí)的根證書(shū)服務(wù)之間進(jìn)行相互的信任認(rèn)證。在PKI系統(tǒng)中，用戶首先應(yīng)該信任數(shù)字證書(shū)的認(rèn)證機(jī)構(gòu)，并且使用本人信息在認(rèn)證機(jī)構(gòu)進(jìn)行注冊(cè)，從認(rèn)證機(jī)構(gòu)得到一個(gè)經(jīng)過(guò)審核確認(rèn)的用戶數(shù)字證書(shū)來(lái)標(biāo)明自己的身份。在不同的用戶之間，數(shù)字證書(shū)就是自己身份的標(biāo)示，可以根據(jù)對(duì)方的數(shù)字證書(shū)確定對(duì)方是否可信和身份。

證書(shū)庫(kù)，數(shù)字證書(shū)的集中存放的位置。證書(shū)庫(kù)必須能夠給公眾提供數(shù)字證書(shū)查詢(xún)服務(wù)，讓公眾能夠確定數(shù)字證書(shū)的合法性、有效性、可信性。

密鑰備份及恢復(fù)系統(tǒng)，該系統(tǒng)能夠?qū)τ脩舻拿荑€(主要指公開(kāi)密鑰)進(jìn)行備份，當(dāng)丟失時(shí)進(jìn)行恢復(fù)。這是PKI系統(tǒng)中一個(gè)很重要的內(nèi)容，對(duì)于PKI系統(tǒng)的安全、健壯性、可用性起到重要作用。

證書(shū)撤銷(xiāo)處理系統(tǒng)，該系統(tǒng)的功能就是提供證書(shū)撤銷(xiāo)列表CRL。在PKI系統(tǒng)中，證書(shū)可能由于某種原因作廢，終止使用，該P(yáng)KI系統(tǒng)范圍內(nèi)的對(duì)象不再信任這些已經(jīng)作廢的數(shù)字證書(shū)，這就需要向系統(tǒng)內(nèi)的對(duì)象提供一個(gè)證書(shū)撤銷(xiāo)列表CRL，證書(shū)撤銷(xiāo)處理系統(tǒng)就是完成這個(gè)功能。

PKI應(yīng)用接口系統(tǒng)。PKI應(yīng)用接口系統(tǒng)能夠?yàn)楦鞣N其它應(yīng)用提供安全、一致、可信任的方式來(lái)與PKI進(jìn)行交互，確保所建立起來(lái)的環(huán)境安全可靠。

六、PKI在企業(yè)中的應(yīng)用和實(shí)現(xiàn)

隨著企業(yè)業(yè)務(wù)的拓展，各種新的業(yè)務(wù)需求不斷被提出，例如出差途中或者在家中如何安全訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)，企業(yè)敏感信息如何能夠在網(wǎng)絡(luò)上安全傳輸，無(wú)線網(wǎng)絡(luò)如何能夠安全可信的接入和使用，重要文件如何能夠保證其可信性（未被篡改過(guò)）等等。這些新的需求隨著企業(yè)信息化程度的提高而日趨重要。PKI系統(tǒng)就能夠很好地滿足這些需求。

通過(guò)internet訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)，可以使用數(shù)字證書(shū)來(lái)確定用戶的身份，驗(yàn)證其合法性，在訪問(wèn)過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密，防止被竊聽(tīng)。相對(duì)于傳統(tǒng)的用戶名和密碼的方式，采用數(shù)字證書(shū)的方式要安全許多，甚至還可以利用PKI系統(tǒng)將數(shù)字證書(shū)制作在USB設(shè)備中，這樣比普通的數(shù)字證書(shū)還要安全許多?，F(xiàn)在很多的網(wǎng)絡(luò)銀行，網(wǎng)絡(luò)支付，網(wǎng)絡(luò)理財(cái)都采用這種安全性更高的方式。

在企業(yè)中對(duì)于文檔、圖紙、往來(lái)郵件等內(nèi)容也可以使用數(shù)字證書(shū)進(jìn)行簽名，以確保文檔、圖紙、郵件等的不可篡改性。在企業(yè)中這也是很有必要的，利用數(shù)字證書(shū)進(jìn)行簽名可以保證每個(gè)員工所提供的文檔、圖紙、郵件的確定性，為企業(yè)后續(xù)對(duì)這些內(nèi)容的使用提供保證。

無(wú)線網(wǎng)絡(luò)的普及之后，企業(yè)也要對(duì)網(wǎng)絡(luò)的接入進(jìn)行審核，同樣可以使用數(shù)字證書(shū)來(lái)進(jìn)行確定與審核。

在企業(yè)中可以使用微軟windows server 2008中的PKI系統(tǒng)。在現(xiàn)代許多企業(yè)中，都采用了域的框架結(jié)構(gòu)，在域的范圍內(nèi)建立PKI系統(tǒng)，可以將PKI和域集成起來(lái)，建立域的PKI系統(tǒng)，這樣可以充分利用域中的員工信息數(shù)據(jù)，降低工作量，提高審核的準(zhǔn)確性。先建立域的數(shù)字根證書(shū)服務(wù)，然后根據(jù)需要建立數(shù)字證書(shū)的頒發(fā)機(jī)構(gòu)，建立不同的數(shù)字證書(shū)模板，對(duì)域內(nèi)發(fā)布這些模板，域內(nèi)的用戶進(jìn)行申請(qǐng)，數(shù)字證書(shū)的頒發(fā)機(jī)構(gòu)可以從域的AD中獲取用戶的信息以便于進(jìn)行確認(rèn)、審核。對(duì)于域外的用戶，也可以單獨(dú)建立一套PKI系統(tǒng)，然后和域內(nèi)的PKI系統(tǒng)進(jìn)行交叉信任。

企業(yè)中的數(shù)字證書(shū)常用的有用戶數(shù)字證書(shū)，服務(wù)器數(shù)字證書(shū)，加密數(shù)字證書(shū)，簽名數(shù)字證書(shū)等。用戶數(shù)字證書(shū)可以標(biāo)明用戶的個(gè)人身份，同時(shí)在進(jìn)行信息交流的時(shí)候，用戶數(shù)字證書(shū)還可以對(duì)信息進(jìn)行加密，信息在網(wǎng)絡(luò)上傳遞的時(shí)候也不能夠被竊密。服務(wù)器數(shù)字證書(shū)可以標(biāo)明服務(wù)器本身的可信性，用戶可以和服務(wù)器進(jìn)行安全放心的信息交互。簽名數(shù)字證書(shū)的主要用途就是對(duì)各種信息進(jìn)行數(shù)字簽名。

七、結(jié)束語(yǔ)

本文對(duì)PKI系統(tǒng)的基本原理進(jìn)行了大致的研究，對(duì)PKI在企業(yè)中的應(yīng)用和實(shí)現(xiàn)進(jìn)行了初步的探討，我們相信隨著PKI技術(shù)的完善，它在安全領(lǐng)域的作用會(huì)越來(lái)越大。

[1]關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用[M].電子工業(yè)出版社,2008:01.

[2]Andrew Nash,William Duane,Celia Joseph,Derek Brink,張玉清,陳建奇,楊波,薛偉.公鑰基礎(chǔ)設(shè)施(PKI):實(shí)現(xiàn)和管理電子安全[M].清華大學(xué)出版社,2002,12.

[3]李建新.公鑰基礎(chǔ)設(shè)施(PKI)理論及應(yīng)用[M].機(jī)械工業(yè)出版社,2010,4.

[4]謝冬青,冷鍵.PKI原理與技術(shù)[M].清華大學(xué)出版社,2004.

[5]Brian Komar,Windows Server 2008 PKI and Certi fi cate Security[M].微軟出版社,2008:4.