公钥基础设施PKI技术与应用发展

完善的PKI系统通过非对称算法以及安全的应用设备，基本上解决了网络社会中的绝大部分安全问题(可用性除外)。PKI系统具有这样的能力：

它可以将一个无政府的网络社会改造成为一个有政府、有管理和可以追究责任的社会，从而杜绝黑客在网上肆无忌惮的攻击。在一个有限的局域网内，这种改造具有更好的效果。目前，许多网站、电子商务、安全E-mail系统等都已经采用了PKI技术。

二）PKI技术的意义

1、通过PKI可以构建一个可管、可控、安全的互联网络

众所周知，传统的互联网是一个无中心的、不可控的、没有QoS保证的、“尽力而为” (Best-effort)的网络。但是，由于互联网具有统一的网络层和传输层协议，适合全球互联，且线路利用率高，成本低，安装使用方便等，因此，从它诞生的那一天起，就显示出了强大的生命力，很快地遍布全球。

在传统的互联网中，为了解决安全接入的问题，人们采取了“口令字”等措施，但很容易被猜破，难以对抗有组织的集团性攻击。近年来，伴随宽带互联网技术和大规模集成电路技术的飞速发展，公钥密码技术有了其用武之地，加密、解密的开销已不再是其应用的障碍。因此，国际电信联盟(ITU)、国际标准化组织(ISO)、国际电工委员会(IEC)、互联网任务工作组(IETF)等密切合作，制定了一系列的有关PKI的技术标准，通过认证机制，建立证书服务系统，通过证书绑定每个网络实体的公钥，使网络的每个实体均可识别，从而有效地解决了网络上“你是谁”的问题，把宽带互联网在一定的安全域内变成了一个可控、可管、安全的网络。

2、通过PKI可以在互联网中构建一个完整的授权服务体系

PKI通过对数字证书进行扩展，在公钥证书的基础上，给特定的网络实体签发属性证书，用以表征实体的角色和属性的权力，从而解决了在大规模的网络应用中“你能干什么”的授权问题。这一特点对实施电子政务十分有利。因为电子政务从一定意义上讲，就是把现实的政务模拟到网上来实现。在传统的局域网中，虽然也可以按照不同的级别设置访问权限，但权限最高的往往不是这个部门的主要领导，而是网络的系统管理员，他什么都能看，什么都能改，这和政务现实是相左的，也是过去一些领导不敢用办公自动化系统的原因之一。而利用PKI可以方便地构建授权服务系统，在需要保守秘密时，可以利用私钥的惟一性，保证有权限的人才能做某件事，其他人包括网络系统管理员也不能做未经授权的事；在需要大家都知道时，有关的人都能用公钥去验证某项批示是否确实出自某位领导之手，从而保证真实可靠，确切无误。

3、通过PKI可以建设一个普适性好、安全性高的统一平台

PKI遵循了一套完整的国际技术标准，可以对物理层、网络层和应用层进行系统的安全结构设计，构建统一的安全域。同时，它采用了基于扩展XML标准的元素级细粒度安全机制，换言之，就是可以在元素级实现签名和加密等功能，而不像传统的“门卫式”安全系统，只要进了门，就可以一览无余。而且，底层的安全中间件在保证为上层用户提供丰富的安全操作接口功能的同时，又能屏蔽掉安全机制中的一些具体的实现细节，因此，对防止非法用户的恶意攻击十分有利。此外，PKI通过Java技术提供了可跨平台移植的应用系统代码，通过XML技术提供了可跨平台交换和移植的业务数据，在这样的一个PKI平台上，可以方便地建立一站式服务的软件中间平台，十分有利于多种应用系统的整合，从而大大地提高平台的普适性、安全性和可移植性。

三.PKI的标准及体系结构

一）PKI的标准

从整个PKI体系建立与发展的历程来看，与PKI相关的标准主要包括以下一些：

1、X.209（1988）ASN.1基本编码规则的规范

ASN.1是描述在网络上传输信息格式的标准方法。它有两部分：第一部份（ISO 8824/ITU X.208）描述信息内的数据、数据类型及序列格式，也就是数据的语法；第二部分（ISO 8825/ITU X.209）描述如何将各部分数据组成消息，也就是数据的基本编码规则。

ASN.1原来是作为X.409的一部分而开发的，后来才独立地成为一个标准。这两个协议除了在PKI体系中被应用外，还被广泛应用于通信和计算机的其他领域。

2、X.500（1993）信息技术之开放系统互联：概念、模型及服务简述

X.500是一套已经被国际标准化组织（ISO）接受的目录服务系统标准，它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。X.500是层次性的，其中的管理性域（机构、分支、部门和工作组）可以提供这些域内的用户和资源信息。在PKI体系中，X.500被用来惟一标识一个实体，该实体可以是机构、组织、个人或一台服务器。X.500被认为是实现目录服务的最佳途径，但X.500的实现需要较大的投资，并且比其他方式速度慢；而其优势具有信息模型、多功能和开放性。

3、X.509（1993）信息技术之开放系统互联：鉴别框架

X.509是由国际电信联盟（ITU-T）制定的数字证书标准。在X.500确保用户名称惟一性的基础上，X.509为X.500用户名称提供了通信实体的鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口。

X.509的最初版本公布于1988年。X.509证书由用户公共密钥和用户标识符组成。此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息。这一标准的最新版本是X.509 v3，它定义了包含扩展信息的数字证书。该版数字证书提供了一个扩展信息字段，用来提供更多的灵活性及特殊应用环境下所需的信息传送。

4、PKCS系列标准

由RSA实验室制订的PKCS系列标准，是一套针对PKI体系的加解密、签名、密钥交换、分发格式及行为标准，该标准目前已经成为PKI体系中不可缺少的一部分。

5、OCSP在线证书状态协议

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<