INTELLICENCEPKI技術(shù)研究保定機械電子技工學校馬亮亮河北科技學院韓琳摘要:隨著計算機安全技術(shù)的發(fā)展，公鑰基礎(chǔ)設(shè)施在國內(nèi)外已得到廣泛的應(yīng)用。Web訪問、VPN、電子郵件、電子政務(wù)、網(wǎng)上銀行。電子商務(wù)等涉及網(wǎng)絡(luò)安全的的各個領(lǐng)域都普遍應(yīng)用了PKI技術(shù)。本文對公鑰基礎(chǔ)設(shè)施PKI技術(shù)進行了簡要的介紹及分析.關(guān)鍵詞: PKI CA公鑰私鑰證書一、PKI 介紹PKI (Public Key Infrastructure) 公鑰基礎(chǔ)設(shè)施。它確切無誤。在需要保密時，可以利用私鑰的惟- -性， 保證有權(quán)限的人才能看到某個文件或某項批示甚至做某件事，其他是一種遵循標準的利用公鑰加密技術(shù)為網(wǎng)絡(luò)上信息的應(yīng)用和人不能;交易開展提供的一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范，是目前應(yīng)三、PKI技術(shù)的應(yīng)用用最為廣泛的一種加密體制。這種技術(shù)可以很好的保證信息建立PKI的主要目的是管理密鑰和證書。通過PKI對密的機密，同時還保證了信息具有不可抵賴性。鑰和證書的管理，我們就可以建立井維護可信賴的網(wǎng)絡(luò)環(huán)境。PKI技術(shù)采用證書進行公鑰管理,通過認證中心(CA)以下是PKI的典型應(yīng)用:把用戶的公鑰和其他的標識信息捆綁在-一起， 如用戶名和電1、身份認證子郵件地址等，以便在網(wǎng)絡(luò)上進行用戶的身份驗證。我們可這是我們用來鑒別資源訪問者的基礎(chǔ)手段，通常的認證以這樣理解PKI，它是人員、硬件、軟件、策略和操作規(guī)程方式是用戶名+密碼，這種方式非常脆弱，存在很大的安全的總和，它們要完成創(chuàng)建、管理、保存、發(fā)放和廢止證書的隱患。主要體現(xiàn)在密碼容易被無意中泄漏:應(yīng)用系統(tǒng)逐步豐功能。PKI利用基于公開密鑰加密算法來保證網(wǎng)絡(luò)通信的安富，用戶密碼多了容易忘記;黑客和木馬工具層出不窮，密全可靠。所以，PKI 的主要是通過自動管理密鑰和證書，為碼很容易被竊取:由于密碼長度有限，設(shè)置密碼時沒有進行用戶建立一個安全的網(wǎng)絡(luò)運行環(huán)境，使用戶可以在多種應(yīng)用強密碼限制，導致密碼可能被猜測、窮舉、破譯等等。而且環(huán)境下方便的使用加密技術(shù)和數(shù)字簽名技術(shù)，從而保證網(wǎng)上口令破解技術(shù)也在不斷的發(fā)展，窮舉法(蠻力猜測) ;采用.數(shù)據(jù)的完整性、保密性和有效性。缺省口令直接猜測:利用技術(shù)和管理漏洞獲取;字典法破譯;二、PKI的意義通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令。而我們數(shù)字證書是非對稱效力在信息化發(fā)展過程中，人們對信息化中數(shù)據(jù)信息密鑰，雙向認證，安全性非常高，確保了信息的保密性、完.安全越來越擔憂，擔心網(wǎng)站被釣魚、數(shù)據(jù)被竊取或更改，整性和不可否認性。更擔心數(shù)據(jù)提交者對曾經(jīng)提交數(shù)據(jù)的抵賴。為保證信息在網(wǎng)2、安全Eimail上安全的傳遞，建立相應(yīng)的安全機制是必須解決的一-個極為電子郵件的安全需求也是機密、完整、認證和不可否認。迫切的問題。以往的解決方案大部分是采用加密的方式來實用戶可以利用數(shù)字證書和私鑰對他所發(fā)的郵件進行數(shù)字簽名，現(xiàn)，但是這種單純的加密方式只能保證信息不被泄漏，而不獲得認證。如果證書是由某-可信第三方認證機構(gòu)或其所屬能解決上述的其它問題。因此，-些重要的數(shù)據(jù)、文件資料公司頒發(fā)的，收件人就可以完全信任該郵件的來源。在網(wǎng).上傳輸時，很難避免被篡改或泄露，甚至會出現(xiàn)假冒或3、電子政務(wù)抵賴等欺詐行為。如果出現(xiàn)這種情況，其后果將是災(zāi)難性數(shù)字證書在線服務(wù)平臺，是一個面向各證書應(yīng)用單位的的。當前，國際通用的方法就是使用基于PKI的數(shù)字認證數(shù)字證書管理系統(tǒng)，主要提供在線的證書業(yè)務(wù)及證書服務(wù)。CA(Certificate Authority)。 他的出現(xiàn)具有以下幾方面的意如證書申請、證書更新、證書吊銷、USBKey 解鎖、證書重簽義發(fā)及統(tǒng)計查詢等。其安全實現(xiàn)機制是用戶和應(yīng)用服務(wù)器需要1、可以構(gòu)建一-個可管、可控、安全的互聯(lián)網(wǎng)絡(luò)從公信第三方數(shù)字證書認證中心獲取代表各自身份的數(shù)字證使用LAN/Internet進行發(fā)送郵件、分發(fā)軟件、發(fā)送敏書;兩端互相驗證各自證書，來確認各自身份的真實性:通感的或私有的數(shù)據(jù)、進行應(yīng)用系統(tǒng)訪問。但我們擔心的是:過PKI體系下的數(shù)字信封技術(shù)和數(shù)字簽名技術(shù)，分別保證用如何確認某人的身份:如何知道我連接的是-一個可信的站點:戶提交數(shù)據(jù)的安全性和應(yīng)用服務(wù)器返回信息的機密性，防止怎樣才能保證我的通訊安全;怎樣確定電子信息是否被篡改;信息泄密、篡改及抵賴。如何證明某人確實給我發(fā)過電子郵件。通過認證機制，建立綜上所述, PKI 就是利用公鑰理論和技術(shù)建立的提供安證書服務(wù)系統(tǒng)，通過數(shù)字證書綁定每個網(wǎng)絡(luò)實體的公鑰,使全服務(wù)的基礎(chǔ)設(shè)施。是- -種遵循既定標準的密鑰管理平臺，每個網(wǎng)絡(luò)實體都可以識別，可以有效地解決了網(wǎng)絡(luò)上的這些它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所問題，把我們擔心的網(wǎng)絡(luò)環(huán)境在- 定的安全域內(nèi)變成了一個必需的密鑰和證書管理體系，保證網(wǎng)絡(luò)信息交換的安全性、可管、可控、安全的互聯(lián)網(wǎng)絡(luò)。可靠性、完整性和機密性。是網(wǎng)絡(luò)時代信息安全支撐的重要2、可以構(gòu)建一個統(tǒng)-平臺技術(shù)。PKI遵循了一套完整的國際技術(shù)標準，通過Java技術(shù)提供了可跨平臺移植的應(yīng)用系統(tǒng)代碼，通過XML技術(shù)提供了可參考文獻:跨平臺交換和移植的業(yè)務(wù)數(shù)據(jù)，可以對物理層、網(wǎng)絡(luò)層和應(yīng)[1]馮登國譯: CarlisleAdamsSteveLloyd. 公開密鑰基用層進行系統(tǒng)的安全結(jié)構(gòu)設(shè)計，構(gòu)建統(tǒng)-的安全域。 在這樣礎(chǔ)設(shè)施概念、標準和實施，人民郵電出版社，2001.的一個平臺上，可以很方便地建立一站式服務(wù) 的軟件中間平[2} 李晏睿、趙政《一種基于PKI/PMI的企業(yè)安全構(gòu)架》，臺，對多種應(yīng)用系統(tǒng)的整合十分有利于，從而大大地提高平《計算中國煤化工12)95-102.臺的普適性、安全性和可移植性。與認證機構(gòu)CA》，電3、可以構(gòu)建- -個完整的授權(quán)服務(wù)體系子工業(yè)T.HCNMHG在需要公開時，有關(guān)的人員都能用公鑰去驗證某個文件[4] 董思良:《電子簽章應(yīng)用中的安全問題》，《信息或某項批示是否出自某位領(lǐng)導之手，保證授權(quán)的真實可靠，安全與通信保密》，2004 (8)49