PKI技术初探摘要对PKI的一些原理、内容和功能、CA以及在PKI开发中需要了解的关键问题等进行分析。关键词PKI；CA；密钥；证书中图分类号：TP399文献标识码：A文章编号：1671-7597（2014）03-0094-021PKI简介在现实世界中，人们通过网络进行通信和消费，于是安全机制问题就出现了，如何识别信息传输的过程中信息是否是完整的，如何识别信息传输过程中信息是否是真实的，如何保证信息传输过程中重要信息不被其他人窃取，为了解决这些接踵而来的问题，我们需要建立一种网络的安全体系。主要有以下几个方面。1）简单的识别。2）最终用户的完全暴露。3）整体的安全保障。最近几年，许多新的安全规范以及安全技术涌现出来，PKI（公开密钥基础设施）就是这时候被提出来的。它在大规模网络中通信的安全问题是通过实现公钥分配而解决的。PKI（公开密钥基础设施）是在一个现代密码学理论与技术的基础上，创建，管理，分发和以公钥证书为基础的公钥密码体制，包含硬件，软件，策略和过程。它的目的是实现信息安全风险控制，提供安全控制机制，并针对网络用户的安全需求，提供诸如信息的完整性、信息的保密性、身份认证等各种不同的安全服务。PKI已经成为网络安全体系结构的核心部分。安全电子邮件，Web访问，VPN和简单的用户登录认证系统的标准协议大部分都利用公钥证书。2PKI的原理在传统的单密钥加密技术中，加密和解密密钥是一致的，所以在与合作伙伴进行信息交流时，首先要保证必须交换的加密或解密密钥是非常安全的。单钥密码体制是安全的数据传输的一个很好的解决方案，但是它有其致命弱点，就是密钥互换问题。单钥密码体制中密钥的管理和分配是无法完美解决的。因此我们知道单钥体制不能保证信息的不可抵赖性。而从技术上解决了这个问题的理论就是公钥理论。公开密钥体制的加密和解密的密钥是不相同的，并且很难从一个推断出另外一个。这是公共密钥加密技术的最基本的特征。它使用加密密钥将明文转变成密文，这一过程是单向的，加密和解密过程相互独立；解密时我们将需要使用一个解密密钥将密文解密成明文，加密密钥和加密密钥是互不相同的。因此，在公共密钥加密技术中，每个用户分别拥有一对由公钥和私钥组成的密钥组。公钥被对外公开，所以当你收到别人发送的用你的公钥加密过的信息，只是用你的私钥解密就可以看到具体内容。同样的，当你把用你自己的私人密钥加密的数据发送给他人，他就可以用你的公钥来验证数据是否正确来自于你，这就是数据签名。3PKI系统的具体内容和功能PKI系统一般由五个部分构成。第一部分是CA，主要功能是颁发和吊销证书；第二部分是RA，主要功能是身份信息审核并绑定身份信息和公开密钥；第三部分是持有证书者，是指获得并使用证书的机器、软件和人；第四部分是程序，主要功能是通过使用最终用户的密钥和证书来提供签名以及加密等服务；第五部分是存储，主要功能是保存证书和证书吊销列表。PKI系统能够实现以下的功能。1）注册功能：如果用户想要申请证书，那么他需要将自己的用户信息提交给CA，CA证书的操作规程制定了需要提交的信息内容。2）认证功能。认证功能需要给用户颁发含有用户公钥的证书，并且将这个含有公钥的证书发布到相应的证书库。3）对密钥进行恢复，用户密钥在某些PKI系统中需要进行安全备份，因为最终用户的密钥如果丢失，CA的系统就可以应用备份的用户密钥对其进行恢复进而对已加密的数据进行解密。恢复功能如果是必须的，那么所有最终用户解密私钥都是需要被备份的。4）密钥生成，有两种方式：一是由负责该用户的密钥的CA生成，然后对其进行加密后发送给最终用户，文件可以被存储在一个物理介质上给最终用户；二是生成一对本地计算机环境中的最终用户的密钥，然后发送到CA，并且签发证书。5）更新密钥，与它相关的所有密钥和证书应定期更新。更新密钥和证书一般有以下两方面原因，一是现有证书已过期；二是用户的私有密钥被其他原因破坏。6）交叉认证功能，该功能是使受信任的域用户CA证书可以通过另一个不同信任域信任的CA发放的证书，在这个过程中，需要包括当前CA签发的的另一个CA的证书（交叉验证），该证书包含了另一个CA的签名证书的公钥。7）证书吊销功能，证书将持续有效直至其有效期。但是，总会有意外发生，那么，该证书就可能需要被取消，比如用户的名字进行了更改，或者相应的工作人员已经被调离，或者用户私钥被泄露。根据X.509标准，我们是使用一个CRL（证书撤销列表）对证书吊销。CRL的发布需要选择最适当的时间间隔。当证书已被撤销，如果不及时进行新的CRL发布或CRL立即释放，但最终用户没有看到，我们仍然不能保证安全。4认证中心（CA）认证中心（CA）是PKI的核心实施者。认证中心（CA）对主体的公共密钥和主体的其他属性做签名形成公钥证书，其将主体的其他属性和公钥与主体的身份进