2009年全国技工教育和职业培训优秀教研成果评选活动参评论文浅谈公开密钥基础设施PKI的服务与技术浅谈公开密钥基础设施PKI的服务与技术摘要:本文主要阐述公开密钥基础设施PKI的服务与技术。其中包括PKI的概念与服务，PKI技术与研究的意义。关键词：PKI证书公开密钥前言一、PKI的概念PKI是PublicKeyInfrastructure（公开密钥基础设施）的缩写，是利用公钥的概念与技术实现电子商务安全的一种体系，是一种网络安全基础设施。二、PKI的服务PKI需要保证四个方面的安全：身份标识和认证、保密或隐私、数据完整性与不可否认。它所提供的服务主要包括以下几方面：(1)发放证书，并证实证书的合法性PKI的核心是证书，所有操作都主要通过证书来实现。证书是一种权威性的电子文件，用于向使用者证明某一主体（如人、服务器等）的身份以及其公开密钥的真实合法性。从而需要建立CA（CertifiCAtionAuthority--认证中心）以及配套的RA（Regist-rationAuthority--注册审批机构）系统。CA中心，又称为数字证书认证中心，作为权威的、公正的、可信赖的第三方，负责发放和管理数字证书的机构，解决公钥的合法性问题。CA把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，为每个使用公钥的用户发放一个数字证书，证明证书中列出的用户名称与证书中列出的公钥相对应，验证用户的身份。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；(2)存放证书的数据库，即证书库证书库是证书的集中存放地，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。(3)无效的证书，即证书作废处理系统同日常生活中的各种证件一样，证书在有效期以内也可能需要作废,这就需要终止证书的生命期。(4)支持密钥管理，备份证书的私人密钥。如果丢失私钥，相应的密文数据（包括历史密文数据）将无法被脱密，造成数据丢失。为避免这种情况的出现，PKI提供备份与恢复脱密密钥的机制，但是签名私钥不能作备份。(5)完整性与不可否认完整性与不可否认是PKI提供的最基本的服务。完整性由第三方进行仲裁，是通信双方都不可否认的。例如，张三发送一个合约给李四，李四要求张三进行数字签名，签名后的合约不仅李四可以验证其完整性，其他人也可以验证该合约确实是张三签发的。而所有的人，包括李四，都没有模仿张三签署这个合约的能力。不可否认就是通过数字签名机制提供服务。(6)提供安全、一致、可信的接口系统PKI是一种基础设施，因此必须提供良好的应用接口系统，确保各种应用能够以安全、一致、可信的方式与PKI交互，同时降低管理维护成本。PKI的系统结构如下图所示：用户证书申请RA注册机构用户身份信息CA认证管理策略模块用户证书证书库撤销系统证书管理其他用户获取证书证书查询等操作安全策略证书撤销证书操作证书撤销申请三、PKI技术PKI（PublicKeyInfrastructure）技术是一种以不对称加密技术为核心。通常是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。例如：当发送一份保密文件时，发送方使用接收方的公钥对数据加密并利用自己的私钥进行签名，而接收方则使用自己的私钥解密利用发送方的公钥进行验证。以下为两个用户A、B之间的信息加解密过程：信息明文B的公钥加密A的私钥签名信息明文B的私钥解密A的公钥验证签名信息密文A用户：B用户：不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。不对称加密算法的基本原理是，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收