公鑰基礎設施PKI技術與應用發(fā)展

一、概述
    PKI是“Public Key Infrastructure”的縮寫，意為“公鑰基礎設施”。簡單地說，PKI技術就是利用公鑰理論和技術建立的提供信息安全服務的基礎設施。公鑰體制是目前應用最廣泛的一種加密體制，在這一體制中，加密密鑰與解密密鑰各不相同，發(fā)送信息的人利用接收者的公鑰發(fā)送加密信息，接收者再利用自己專有的私鑰進行解密。這種方式既保證了信息的機密性，又能保證信息具有不可抵賴性。目前，公鑰體制廣泛地用于CA認證、數字簽名和密鑰交換等領域。
    PKI似乎可以解決絕大多數網絡安全問題，并初步形成了一套完整的解決方案，它是基于公開密鑰理論和技術建立起來的安全體系，是提供信息安全服務的具有普適性的安全基礎設施。該體系在統(tǒng)一的安全認證標準和規(guī)范基礎上提供在線身份認證，是CA認證、數字證書、數字簽名以及相關安全應用組件模塊的集合。作為一種技術體系，PKI可以作為支持認證、完整性、機密性和不可否認性的技術基礎，從技術上解決網上身份認證、信息完整性和抗抵賴等安全問題，為網絡應用提供可靠的安全保障。但PKI絕不僅僅涉及到技術層面的問題，還涉及到電子政務、電子商務以及國家信息化的整體發(fā)展戰(zhàn)略等多層面問題。PKI作為國家信息化的基礎設施，是相關技術、應用、組織、規(guī)范和法律法規(guī)的總和，是一個宏觀體系，其本身就體現了強大的國家實力。PKI的核心是要解決信息網絡空間中的信任問題，確定信息網絡空間中各種經濟、軍事和管理行為主體（包括組織和個人）身份的惟一性、真實性和合法性，保護信息網絡空間中各種主體的安全利益。
    公鑰基礎設施(PKI)是信息安全基礎設施的一個重要組成部分，是一種普遍適用的網絡安全基礎設施。PKI是20世紀80年代由美國學者提出來了的概念，實際上，授權管理基礎設施、可信時間戳服務系統(tǒng)、安全保密管理系統(tǒng)、統(tǒng)一的安全電子政務平臺等的構筑都離不開它的支持。數字證書認證中心CA、審核注冊中心RA(Registration Authority)、密鑰管理中心KM(Key Manager)都是組成PKI的關鍵組件。作為提供信息安全服務的公共基礎設施，PKI是目前公認的保障網絡社會安全的體系。在我國，PKI建設在幾年前就已開始啟動，截至目前，金融、政府、電信等部門已經建立了30多家CA認證中心。如何推廣PKI應用，加強系統(tǒng)之間、部門之間、國家之間PKI體系的互通互聯，已經成為目前PKI建設亟待解決的重要問題。
    二、PKI技術的信任服務及意義
    一）PKI技術的信任服務
    公鑰基礎設施PKI是以公開密鑰技術為基礎，以數據的機密性、完整性和不可抵賴性為安全目的而構建的認證、授權、加密等硬件、軟件的綜合設施。
    PKI安全平臺能夠提供智能化的信任與有效授權服務。其中，信任服務主要是解決在茫茫網海中如何確認“你是你、我是我、他是他”的問題，PKI是在網絡上建立信任體系最行之有效的技術。授權服務主要是解決在網絡中“每個實體能干什么”的問題。在虛擬的網絡中要想把現實模擬上去，必須建立這樣一個適合網絡環(huán)境的有效授權體系，而通過PKI建立授權管理基礎設施PMI是在網絡上建立有效授權的選擇。
    到目前為止，完善并正確實施的PKI系統(tǒng)是全面解決所有網絡交易和通信安全問題的途徑。根據美國國家標準技術局的描述，在網絡通信和網絡交易中，特別是在電子政務和電子商務業(yè)務中，最需要的安全保證包括四個方面：身份標識和認證、保密或隱私、數據完整性和不可否認性。PKI可以完全提供以上四個方面的保障，它所提供的服務主要包括以下三個方面：
    1、認證
    在現實生活中，認證采用的方式通常是兩個人事前進行協商，確定一個秘密，然后，依據這個秘密進行相互認證。隨著網絡的擴大和用戶的增加，事前協商秘密會變得非常復雜，特別是在電子政務中，經常會有新聘用和退休的情況。另外，在大規(guī)模的網絡中，兩兩進行協商幾乎是不可能的。透過一個密鑰管理中心來協調也會有很大的困難，而且當網絡規(guī)模巨大時，密鑰管理中心甚至有可能成為網絡通信的瓶頸。
    PKI通過證書進行認證，認證時對方知道你就是你，但卻無法知道你為什么是你。在這里，證書是一個可信的第三方證明，通過它，通信雙方可以安全地進行互相認證，而不用擔心對方是假冒的。
    2、支持密鑰管理
    通過加密證書，通信雙方可以協商一個秘密，而這個秘密可以作為通信加密的密鑰。在需要通信時，可以在認證的基礎上協商一個密鑰。在大規(guī)模的網絡中，特別是在電子政務中，密鑰恢復也是密鑰管理的一個重要方面，政府決不希望加密系統(tǒng)被犯罪分子竊取使用。當政府的個別職員背叛或利用加密系統(tǒng)進行反政府活動時，政府可以通過法定的手續(xù)解密其通信內容，保護政府的合法權益。PKI能夠通過良好的密鑰恢復能力，提供可信的、可管理的密鑰恢復機制。PKI的普及應用能夠保證在全社會范圍內提供全面的密鑰恢復與管理能力，保證網上活動的健康有序發(fā)展。
    3、完整性與不可否認
    完整性與不可否認是PKI提供的最基本的服務。一般來說，完整性也可以通過雙方協商一個秘密來解決，但一方有意抵賴時，這種完整性就無法接受第三方的仲裁。而PKI提供的完整性是可以通過第三方仲裁的，并且這種可以由第三方進行仲裁的完整性是通信雙方都不可否認的。例如，小張發(fā)送一個合約給老李，老李可以要求小張進行數字簽名，簽名后的合約不僅老李可以驗證其完整性，其他人也可以驗證該合約確實是小張簽發(fā)的。而所有的人，包括老李，都沒有模仿小張簽署這個合約的能力。“不可否認”就是通過這樣的PKI數字簽名機制來提供服務的。當法律許可時，該“不可否認性” 可以作為法律依據(美國等一些國家已經頒布數字簽名法)。正確使用時，PKI的安全性應該高于目前使用的紙面圖章系統(tǒng)。
    完善的PKI系統(tǒng)通過非對稱算法以及安全的應用設備，基本上解決了網絡社會中的絕大部分安全問題(可用性除外)。PKI系統(tǒng)具有這樣的能力：
    它可以將一個無政府的網絡社會改造成為一個有政府、有管理和可以追究責任的社會，從而杜絕黑客在網上肆無忌憚的攻擊。在一個有限的局域網內，這種改造具有更好的效果。目前，許多網站、電子商務、安全E-mail系統(tǒng)等都已經采用了PKI技術。
    二）PKI技術的意義
    1、通過PKI可以構建一個可管、可控、安全的互聯網絡
    眾所周知，傳統(tǒng)的互聯網是一個無中心的、不可控的、沒有QoS保證的、“盡力而為” (Best-effort)的網絡。但是，由于互聯網具有統(tǒng)一的網絡層和傳輸層協議，適合全球互聯，且線路利用率高，成本低，安裝使用方便等，因此，從它誕生的那一天起，就顯示出了強大的生命力，很快地遍布全球。
    傳統(tǒng)的互聯網中，為了解決安全接入的問題，人們采取了“口令字”等措施，但很容易被猜破，難以對抗有組織的集團性攻擊。近年來，伴隨寬帶互聯網技術和大規(guī)模集成電路技術的飛速發(fā)展，公鑰密碼技術有了其用武之地，加密、解密的開銷已不再是其應用的障礙。因此，國際電信聯盟(ITU)、國際標準化組織(ISO)、國際電工委員會(IEC)、互聯網任務工作組(IETF)等密切合作，制定了一系列的有關PKI的技術標準，通過認證機制，建立證書服務系統(tǒng)，通過證書綁定每個網絡實體的公鑰，使網絡的每個實體均可識別，從而有效地解決了網絡上“你是誰”的問題，把寬帶互聯網在一定的安全域內變成了一個可控、可管、安全的網絡。