PKI基础与证书系统

济性，支持与远程参与者通行无阻因此必须具有以下性能。

． 支持多政策：用户可能信赖某个证书机构CA，但未必信得过另一个CA。因此，应允许不同用户接受不同的政策。

． 透明性和易用性：作为网络环境的一种基础设施，PKI必须具有良好的透明性和易用性，这是对PKI的最基本要求。PKI必须尽可能地向上层应用屏蔽密码服务的实现细节，向用户提供屏蔽复杂的安全解决方案，使密码服务对用户而言简单易用，同时便于单位、企业完全控制其信息资源。

． 互操作性：PKI互操作性是电子商务通信的关键，建立对Internet交易保密性的信任，是电子商务发展所面临的最重要以及最具挑战性的问题之一。

． PKI是在Internet上建立信任的一种技术选择，但是，部署PKI并不容易。保证多厂商PKI环境的互操作性是在电子商务交易中建立信任的关键。不同企事业单位的PKI实现可能是不同的，这就提出了互操作性要求。要保证PKI的互操作性，必须将PKI建立在标准之上，这些标准包括加密标准、数字签名标准、HASH标准、密钥管理标准、证书格式、目录标准、文件信封格式、安全会话格式、安全应用程序接口规范等。

． 简单的风险管理：任何基础设施都需对所面临的风险有全面的了解，并适于在当地参与者之间进行分配。

． 支持多平台：PKI是遵循一种标准的，它必须适合于不同的开发环境和不同的开发平台，例如Windows、UNIX、MAC等。

． 支持多应用：PKI应该面向广泛的网络应用，提供文件传送安全、文件存储安全、电子邮件安全、电子表单安全、Web应用安全等保护。

4．1．4 PKI的基本组成

典型的PKI系统由五个基本的部分组成：证书申请者(Subscriber)、注册机构(Registration Authority，RA)、认证中心(Certificate Authority，CA)、证书库(Certificate Repository，CR)和证书信任方(Relying Party)。其中，认证中心、注册机构和证书库三部分是PKI的核心，证书申请者和证书信任方则是利用PKI进行网上交易的参与者。在具体应用中，各部分的功能是有弹性的，有些功能并不在所有的应用中出现，PKI的许多详细功能要根据业务的操作规程确定。

完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(APl)等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。

1)认证机构(CA)：即数字证书的申请及签发机关，CA必须具备权威性的特征。 2)数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。

3)密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥；则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其惟一性而不能够作备份。

4)证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样，证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点，PKI必须提供作废证书的一系列机制。

5)应用接口(API)：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。

通常来说，CA是证书的签发机构，它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥)，私钥只由用户独

立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是数字证书机制。

数字证书是公开密钥体系的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性，又称为数字ID。数字证书由一对密钥及用户信息等数据共同组成，并写入一定的存储介质内，确保用户信息不被非法读取及篡改。

4．1．5 PKI加密与签名原理

早期的加密系统是基于对称加密理论(即单密钥加密理论)，其特点是加密密钥和解密密钥可以互相推导，发送者和接收者在安全通信之前需要商定一个密钥，对称加密的安全性依赖于密钥，泄露密钥意味着任何人都能对信息进行加／解密。随着对称加密理论的发展，出现了很多对称算法。虽然对称加密算法解决了数据的保密传输，但是对称加密系统的致命缺陷，即依赖于密钥的安全，致使对称加密系统解决不了密钥分配与管理问题。

1．公钥加密／私钥解密完成对称算法密钥的交换

公密钥算法的速度比对称算法慢得多，并且由于任何人都可以得到公钥，公钥算法对选择明文攻击很脆弱，因此公钥加密／私钥解密不适用于数据的加密传输。为了实现数据的加密传输，公钥算法提供了安全的对称算法密钥交换机制，数据使用对称算法加密传输。两个用户(A和B)使用公钥理论进行密钥交换的过程如图4．1所示。

在对称算法密钥的协商过程中，密钥数据使用公钥加密。在保证私钥安全的前提下，攻击者即使截获传输的信息也不能得到加密算法的密钥，这就保证了对称算法密钥协商的安全性。

2．私钥加密／公钥解密完成身份验证、提供数字签名

公开密钥算法可以实现通信双方的身份验证。如图4．2示是一个简单的身份验证的例子(A验证B的身份)。

同样的道理，公开密钥算法可以进行数据的签名和验证。A需要对一块数据签名，A只需要使用自己的私钥加密该数据就可以完成签名。A把数据和数据签名(私钥加密的结果)一起发送给B，B使用A的公钥解密签名，然后和数据进行比较，如果相同则该签名确实是A签署的，并且数据没有被篡改。

同样是因为公开密钥的算法较慢，数据签名一般不直接使用私钥加密数据，而是加密数据的散列值。数据块的散列值可以通过消息摘要算法计算得到。消息摘要算法实际上就是一个单向散列函数。数据块经过单向散列函数得到一个固定长度的散列值，攻击者不可能通过散列值而编造数据块，使得编造的数据块的散列值和原数据块的散列值相同。数据块的签名就是先计算数据块的散列值，然后使用私钥加密数据块的散列值得到数据签名。签名的验证就是计算数据块的散列值，然后使用公钥解密数据签名得到另一个散列值，比较两个散列值就可以判断数据块在签名后有没有被改动。常用的消息摘要算法有MD5、SHA等。 公钥算法仍然要面对公钥分发、公钥／私钥密钥对与用户真实身份的绑定问题。PKI引入证书机制解决了这个问题。证书由证书中心颁发。

用户在获得自己的身份证书后，就可以使用证书来表明自己的身份，接收方只需要使用签发证书的公钥验证用户证书，如果验证成功，就可以信任该证书描述的用户的身份。证书的签发／验证充分利用了公开密钥算法的数据签名和验证功能，杜绝了冒充身份的可能性。

3．PKI的安全性分析

PKI密钥交换和身份验证的安全性依赖于PKI使用的公开密钥算法、对称加密算法和消息摘要算法。

当前使用的公开密钥算法的安全性大都基于大数分解的难度。从一个公钥和密文中恢复出明文的难度等价于分解两个大素数的乘积。当前可以完成的大数分解的位数是140位。对

于当前市场上广泛使用的1024位的RSA公开密钥算法，它被破解的可能性是微乎其微的。对于128位密钥来说，即使全世界的计算机同时进行群举攻击，破译128位密钥所需要的时间也是一个天文数字。对于消息摘要算法，单向散列函数的设计已经十分成熟。市场上广泛使用的MD5、SHA算法的散列值分别为128位、160位，足以阻止所有的群举攻击的企图。由此看来，PKI机制是一个成熟的、安全的技术。

4．PKI加密技术与签名技术图解

PKI的核心的技术基础是给予公钥密码学的“加密”和“签名”技术。通过“解密”和“签名”技术的结合就可解决网络的身份认证、信息传输和存储的完整性、信息传输和存储的机密性操作的不可否认性等问题。

参见图4．3，PKI中加密技术图解和图4．4，PKI中签名技术图解。

公钥加密需要解决一个关键问题，即加密信息的发送者需要认定公钥确实是接收者的，如果他用第三者的公钥去加密，他希望的接收者无法解密该信息，而拥有对应私钥的第三者却可以做到。这实际上就涉及到应用公钥技术的关键，如何确认某个人真正拥有公钥(及对应的私钥)。

在PKI中，为了确保用户的身份及他所持有密钥的正确匹配，公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心(Certification Authority，CA)，来确认公钥拥有人的真正身份。就像公安局发放的身份证一样，认证中心发放一个叫“数字证书”的身份证明。这个数字证书包含了用户身份的部分信息及用户所持有的公钥。认证中心利用本身的私钥为数字证书加上数字签名。

任何想发放自己公钥的用户，可以去认证中心申请自己的证书。认证中心在鉴定该人的真实身份后，颁发包含用户公钥的数字证书。其他用户只要能验证证书是真实的，并且信任颁发证书的认证中心，就可以确认用户的公钥，

认证中心是公钥基础设施的核心，有了大家信任的认证中心，用户才能放心方便地使用公钥技术带来的安全服务。进行电子交易的互联网用户所面临的安全问题有：

． 保密性。如何保证电子商务中涉及的大量保密信息在公开网络的传输过程中不被窃取。 ． 完整性。如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易。

． 身份认证与授权。在电子商务的交易过程中，如何对双方进行认证，以保证交易双方身份的正确性。

． 抗抵赖。在电子商务的交易完成后，如何保证交易的任何一方无法否认已发生的交易。

4．2 PKI管理机构——认证中心

为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一个可以被验证的标识，这就是数字证书。数字证书是各实体(持卡人／个人、商户／企业、网关／银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有惟一性。它将实体的公开密钥同实体本身联系在一起，为实现这一目的，必须使数字证书符合X．509国际标准，同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性，电子商务就根本无从谈起。开放网络上的电子商务要求为信息安全提供有效的、可靠的保护机制。这些机制必须提供机密性、身份验证特性(使交易的每一方都可以确认其他各方的身份)、不可否认性(交易的各方不可否认他们的参与)。这就需要依靠一个可靠的第

三方机构验证，而认证中心专门提供这种服务。

4．2．1 认证机构的功能

证书机制是目前被广泛采用的一种安全机制，使用证书机制的前提是建立CA认证中心以及配套的RA(Registration Authority)注册审批机构系统。

CA中心，又称为数字证书认证中心，作为电子商务交易中受信任的第三方，专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。

在数字证书认证的过程中，证书认证中心(CA)作为权威的、公正的、可信赖的第三方，其作用是至关重要的。认证中心就是一个负责发放和管理数字证书的权威机构。同样CA允许管理员撤销发放的数字证书，在证书废止列表(CRL)中添加新项并周期性地发布这一数字签名的CRL。

RA，即数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作：同时，对发放的证书完成相应的管理功能。发放的数字证书可以存放于汇卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。

概括起来，认证中心(CA)的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书，具体描述如下：

1)接收验证最终用户数字证书的申请。

2)确定是否接受最终用户数字证书的申请-证书的审批。 3)向申请者颁发、拒绝颁发数字证书·证书的发放。 4)接收、处理最终用户的数字证书更新请求—证书的更新。 5)接收最终用户数字证书的查询、撤销。 6)产生和发布证书废止列表(CRL)。 7)数字证书的归档。 8)密钥归档。

9)历史数据归档。

4．22 认证机构的组成

认证中心(CA)，是电子商务体系中的核心环节，是电子交易中信赖的基础。它通过自身的注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。

CA中心是认证管理架构中最核心的部分，而且各级CA中心的总体结构是基本相同的，CA中心的服务器主要包括注册服务器、认证服务器、数据恢复服务器(对终端实体的专有加密密钥进行长期的归档和恢复)和发布服务器(向用户发布证书和证书撤消列表，一般采用基于轻量目录访问协议的LDAP目录服务器)。其中注册服务器是可选的，在不必单独设立注册中心的地市，可以将注册中心的功能并入CA中心。

注册中心服务器面向终端用户和注册中心操作员，它在整个体系结构中起承上启下的作用。用户可以使用浏览器与注册服务器通信，用户首先得到注册服务器的证书，然后，用户与服务器之间的所有通信，包括用户填写的申请信息均以服务器的公钥加密，只有服务器利用自己的私钥解密才能得到明文。注册中心服务器要向CA服务器转发证书申请、撤销、更新等请求。

认证服务器是整个结构中最重要的部分，它的主要功能是产生、发布、更新和取消证书创建证书撤消列表(CRL)，以及将证书和CRL发布到LDAP服务器中。认证服务器要产生