浅谈公开密钥基础设施PKI的服务与技术

前言
一、PKI的概念
PKI是Public Key Infrastructure（公开密钥基础设施）的缩写，是利用公钥的概念与技术实现电子商务安全的一种体系，是一种网络安全基础设施。
二、PKI的服务
PKI需要保证四个方面的安全：身份标识和认证、保密或隐私、数据完整性与不可否认。它所提供的服务主要包括以下几方面：
(1)发放证书，并证实证书的合法性 
PKI的核心是证书，所有操作都主要通过证书来实现。证书是一种权威性的电子文件，用于向使用者证明某一主体（如人、服务器等）的身份以及其公开密钥的真实合法性。从而需要建立CA（CertifiCAtion Authority --认证中心）以及配套的RA（Regist-ration Authority --注册审批机构）系统。
CA中心，又称为数字证书认证中心，作为权威的、公正的、可信赖的第三方，负责发放和管理数字证书的机构，解决公钥的合法性问题。CA把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，为每个使用公钥的用户发放一个数字证书，证明证书中列出的用户名称与证书中列出的公钥相对应，验证用户的身份。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；
 (2)存放证书的数据库，即证书库
证书库是证书的集中存放地，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。
 (3)无效的证书，即证书作废处理系统
同日常生活中的各种证件一样，证书在有效期以内也可能需要作废,这就需要终止证书的生命期。
(4)支持密钥管理，备份证书的私人密钥。
如果丢失私钥，相应的密文数据（包括历史密文数据）将无法被脱密，造成数据丢失。为避免这种情况的出现，PKI提供备份与恢复脱密密钥的机制，但是签名私钥不能作备份。
(5)完整性与不可否认
完整性与不可否认是PKI提供的最基本的服务。完整性由第三方进行仲裁，是通信双方都不可否认的。例如，张三发送一个合约给李四，李四要求张三进行数字签名，签名后的合约不仅李四可以验证其完整性，其他人也可以验证该合约确实是张三签发的。而所有的人，包括李四，都没有模仿张三签署这个合约的能力。不可否认就是通过数字签名机制提供服务。
(6)提供安全、一致、可信的接口系统
PKI是一种基础设施，因此必须提供良好的应用接口系统，确保各种应用能够以安全、一致、可信的方式与PKI交互，同时降低管理维护成本。
PKI的系统结构如下图所示：

三、PKI技术
PKI（Public Key Infrastructure）技术是一种以不对称加密技术为核心。
通常是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。例如：当发送一份保密文件时，发送方使用接收方的公钥对数据加密并利用自己的私钥进行签名，而接收方则使用自己的私钥解密利用发送方的公钥进行验证。
以下为两个用户A、B之间的信息加解密过程：

不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。不对称加密算法的基本原理是，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己的公钥送给发信方，而自己保留私钥。
加密技术的发展趋势。加密技术的要点是加密算法，加密算法可以分为对称加密、不对称加密和不可逆加密三类算法。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高，不足之处是，加密解密的交易双方都使用同样密钥，即单钥密码体制。不对称加密算法使用匹配的一对公钥和私钥，完成对明文的加密和解密过程，即双钥密码体制，虽然比较安全可靠，但加密效率低，只是单钥体制的1/100，甚至是 1/1000。正是由于不同体制的加密算法各有所长，所以很多加密技术包括PKI都采用了不同加密算法相结合。
四、PKI研究的意义
PKI正成为安全体系结构的核心部分，它让许多标准的安全应用都可以实现：
1)    安全电子邮件    2)    Web访问与服务；
3)    虚拟专用网（VPN）；    4)    安全路由器；