羅萱

摘要：PKI是一個用公開密鑰原理和技術來實現(xiàn)并提供安全服務的具有通用性的安全基礎設施。該文主要介紹PKI的基本原理和常規(guī)應用，包括PKI在電子商務的應用、PKI在電子政務的應用及PKI在電子郵件中的應用。

關鍵詞：PKI；電子商務安全；電子政務安全；電子郵件安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）24-5772-02

Basic Principle and Normal Regulations of PKI Technique Apply

LUO Xuan

（Chongqing Youth Vocational & Technical College， Chongqing 400712， China）

Abstract： PKI is a carry out with publicly airtight key principle and technique and provide safety service of have the safe infrastructure of in general use.This text mainly introduces a PKI basic principle and normal regulations application and include PKI's application in the electronic commerce and PKI's application in electronics governmental affairs and PKI's application in e-mail.

Key words： PKI； electronic commerce safety； electronics governmental affairs safety； e-mail safety

PKI（Public Key Infrastructure）即公鑰基礎設施，就是提供公鑰加密和數(shù)字簽名服務的系統(tǒng)。 PKI是一組服務和政策，提供綁定一個公共密鑰和一個唯一的用戶身份，以及如何實現(xiàn)和維護的綁定相關信息的框架機制，保證數(shù)字信息傳輸?shù)臋C密性、真實性、完整性和不可否認性。

其主要功能是通過發(fā)行PKI的數(shù)字證書來綁定證書持有者的身份和相關的公開密鑰，這樣，用戶就可以獲得證書，訪問證書和取消證書，使用數(shù)字證書和相關服務（頒發(fā)證書黑名單發(fā)布等）實現(xiàn)通信過程的認證機構，以確保完整性和不可抵賴性的通信數(shù)據(jù)。

1 PKI的組成

一個典型完整的PKI系統(tǒng)至少應該包括以下幾部分：

1）認證中心CA（Certificate Authority）：認證中心CA是PKI系統(tǒng)中的核心組成部分。它是值得信賴的第三方機構，用于產生、保存和管理數(shù)字證書，正因為CA是值得信賴的，所以它頒發(fā)的數(shù)字證書也是值得信賴的，而擁有數(shù)字證書的雙方的身份也就是值得信賴的。

2）注冊機構RA（Registration Authority）：當用戶需要從數(shù)字證書庫CA獲取數(shù)字證書時，要向注冊機構RA發(fā)起申請，RA對用戶資格進行審查，如果審查通過，CA就對該用戶頒發(fā)數(shù)字證書，注意，一般來說，注冊機構RA是一個獨立的機構，它只審查資格，并不負責頒發(fā)證書。

3）密鑰備份及恢復系統(tǒng)：當接收方收到加密的文件后，要利用手中的密鑰進行解密，才能看到文件內容，但用戶丟失密鑰的危險是存在的，因此建立密鑰備份及恢復系統(tǒng)密鑰備份和恢復機制來防止這種情況的發(fā)生。

4）證書廢止系統(tǒng)：有時會因為姓名的改變、私鑰丟失或泄漏、用戶與所屬企業(yè)關系變更等，需要廢除并終止使用該證書，這時候就要用到證書廢止系統(tǒng)。

隨著網(wǎng)絡規(guī)模的不斷增長和網(wǎng)絡用戶人數(shù)的不斷增加，網(wǎng)絡的脆弱性和安全問題越來越受到關注，人們對網(wǎng)絡交易安全保障的需求日益增長。而PKI可用于保證網(wǎng)絡通信和網(wǎng)上交易的安全性，它的的應用涉及到很多方面，并在持續(xù)發(fā)展中，下面就給出幾個應用實例。

2 PKI的常規(guī)應用

2.1 PKI在電子商務安全方面的應用

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡已經(jīng)滲透到人們生活的方方面面，改變了人們的生活方式。隨著網(wǎng)絡技術的發(fā)展，傳統(tǒng)企業(yè)越來越不能滿足人們的需求，因此電子商務[1-2]作為一種新的營銷模式，得到了快速發(fā)展。由于互聯(lián)網(wǎng)的開放性的特點，其安全性一直備受關注，導致很多人不愿在互聯(lián)網(wǎng)上進行商務活動。要解決電子商務的安全問題，將PKI（Public Key Infrastructure）技術引入到電子商務中來，是一種有效安全的解決方案。

1） 數(shù)據(jù)傳輸?shù)谋Ｃ苄?。PKI的一個主要功能就是保證數(shù)據(jù)傳輸?shù)谋Ｃ苄裕簲?shù)據(jù)傳輸過程中，未經(jīng)授權的人員無法偷看。PKI是采用的公鑰理論來保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?，公鑰理論中，加密密鑰和解密密鑰是不同的，加密密鑰是公開的，誰都可以使用，又稱為公鑰，而解密密鑰只有接收方才有，又稱為私鑰。發(fā)送方利用公鑰對信息加密，將密文傳送給接收方，接收方再利用私鑰解密，因為私鑰只為接收方擁有，即時密文在傳輸過程中被截獲，也無法破解出原文，這樣就保證了傳輸數(shù)據(jù)只為獲得授權的用戶查看。

2） 識別用戶的身份。PKI另一個主要的功能就是利用數(shù)字證書在電子交易中對用戶身份進行認證，數(shù)字證書是網(wǎng)絡通信中標志通信各方身份信息的一系列數(shù)據(jù)，其作用類似于生活中的身份證，用戶向CA申請獲得，用來在網(wǎng)絡中識別身份。

3） 建立信任關系。在互聯(lián)網(wǎng)電子商務交易建立信任是最重要也是最具挑戰(zhàn)性的任務。在PKI中利用CA來建立信任關系，CA是第三方，對申請用戶的身份進行審核和驗證，這樣CA頒發(fā)的數(shù)字證書就可以證明用戶身份的真實性，從而通過應用各自的證書的頒發(fā)者的信任關系來傳遞信任，從而最終確定是否值得信任。

2.2 PKI在電子政務安全方面的應用

傳統(tǒng)政務存在業(yè)務流程復雜、信息溝通不暢和工作效率低下等問題，電子政務[3]（E-government）是政府為適應社會快速發(fā)展、有效提高政府的行政績效，從而利用現(xiàn)代信息技術和通信技術代替、加強、延伸和優(yōu)化政府依法行政過程中的部分事務的一種新型政府工作方法。

電子政務系統(tǒng)[4]是一個涉及到數(shù)千個政府機關及相關單位的系統(tǒng)，許多服務涉及將敏感的個人信息通過網(wǎng)絡進行電子交換，當目前互聯(lián)網(wǎng)系統(tǒng)很脆弱，容易受到攻擊，系統(tǒng)運行過程中容易發(fā)生重要文件、敏感信息的失密、偽造、篡改。

要保證安全性，電子政務需要技術來保證身份認證安全、訪問控制與審計、信息傳輸安全、不可否認性等問題，而PKI系統(tǒng)就是一種理想的安全解決方案。

PKI用CA建立信任體系，利用數(shù)字證書進行身份認證，確保訪問者身份的安全性，利用數(shù)字簽名保證訪問者權限和不可否認性，利用公鑰算法保證傳輸數(shù)據(jù)的安全性，PKI基本上能夠滿足電子政務的要求。

2.3 PKI在電子郵件中的應用

由于電子郵件[5]具有使用方便、成本低廉和效率高的特點，成為現(xiàn)代商業(yè)中的一種極其常用的信息交換工具。隨著互聯(lián)網(wǎng)規(guī)模的持續(xù)增長，從普通用戶到金融機構，甚至政府機構都開始使用電子郵件，出現(xiàn)了郵件被截獲、篡改、冒名等很多安全問題。

網(wǎng)絡中的安全電子郵件傳輸需要達到以下要求：

1） 身份鑒別

雙方發(fā)送電子郵件之前，要先確認雙方的身份的真實性，避免出現(xiàn)假冒的情況。

2） 數(shù)據(jù)的機密性

重要的郵件在發(fā)送前先進行加密處理，這樣即使在傳輸過程中被截獲，如果不能正確為解密，內容顯示的將是亂碼。

3） 數(shù)據(jù)的完整性

要求接收方對收到的郵件進行完整性檢查，確認郵件是不是源數(shù)據(jù)，在傳輸過程中是否被篡改過。

4） 抗抵賴性

郵件一旦發(fā)送完成，發(fā)送方和接收方都不能否認自己對郵件的發(fā)送和接收行為。

目前大多數(shù)優(yōu)秀的郵件系統(tǒng)都是采用的PKI體系，其中使用最廣泛的安全電子郵件協(xié)議S/MIME也是如此。用戶對CA資格申請通過后獲得一對公鑰和私鑰，利用公鑰私鑰對發(fā)送郵件進行加密和簽名，在傳輸過程中，郵件就不會被查看、篡改和冒充身份，接收方收到郵件后，先檢查數(shù)字簽名驗證身份，再利用私鑰進行解密，查看郵件內容，這樣PKI體系就可以保障電子郵件的安全性。

隨著Internet規(guī)模的不斷擴大和信息安全需求的增長，基于PKI的應用也越來越廣泛，例如WWW服務器和瀏覽器之間的通信、安全的電子郵件、電子數(shù)據(jù)交換、Internet上的信用卡交易以及VPN等。因此，PKI具有非常廣闊的市場應用前景。

參考文獻：

[1] 謝冬青，冷健.PKI原理與技術[M].北京：清華大學出版社，2004.

[2] 陳志芳.基于KPI的電子商務中身份認證的研究[D].武漢理工大學，2006.

[3] 何玲.電子政務環(huán)境下政府電子文件管理新探索[D].成都：四川大學碩士學位論文，2008.

[4] 電子政務：安全防護體系構建策略[EB/OL].http：//www.enet.com.cn，2009.

[5] 陳建奇，張玉清，等.安全電子郵件的研究與實現(xiàn)[J].計算機工程，2002，28（6）：122.