PKI體系如何保障身份安全？

近年來，網際網路的高速發展，給人們的工作和生活帶來了極大的便利。然而，隨著網路電子事務日益頻繁，網路本身的一些固有技術缺陷也帶來了一些不可避免的安全性問題。例如：

//  訪問網站時，怎麼確定該網站可信賴，是正規網站？

//  軍工類網站或者系統，要求訪問使用者必須是可信的，那麼如何證明法訪問使用者是可信的？

//  郵件傳送過程中，怎麼確保交易雙方接收到的資料與原資料完全一致，不會存在安全問題？

隨著網際網路安全的問題日益突出，各種網際網路安全解決方案也愈加豐富。本文將以PKI技術為著眼點，探討網際網路及其相關應用的安全訪問和治理之道。

PKI定義

公鑰基礎設施（Public Key Infrastructure，簡稱：PKI）是一個包括硬體、軟體、人員、策略和規程的集合，用來實現基於公鑰密碼體制的金鑰和證書的產生、管理、儲存、分發和撤銷等功能。

PKI體系是計算機軟硬體、權威機構及應用系統的結合。它為實施電子商務、電子政務、辦公自動化等提供了基本的安全服務，從而使那些彼此不認識或距離很遠的使用者能透過信任鏈安全地交流。

PKI系統組成

完整的 PKI 系統由數字證書、認證中心（CA）、證書資料庫、證書吊銷系統、金鑰備份及恢復系統等部分元件構成。

 元件說明

數字證書

PKI中核心載體為數字證書，即由具有公信力的機構為個人頒發的身份ID，其可看作個人在虛擬網路世界的身份ID。

數字證書的分類一般為4大類：根據證書持有者分類、根據秘鑰分類、根據驗證模式分類以及根據域名分類。

CA中心

CA 中心管理並運營 CA 系統，CA 系統負責頒發數字證書。專門負責頒發數字證書的系統稱為 CA 系統，負責管理並運營 CA 系統的機構稱為 CA 中心。所有與數字證書相關的各種概念和技術，統稱為 PKI（Public Key Infrastructure）。

PKI的意義

PKI的應用非常廣泛，其主要包括網上金融、網上銀行、網上證券、電子商務、電子政務等行業，其主要作用是為網路中的資料交換提供完備的安全服務功能。PKI作為安全基礎設施，能夠提供身份認證、資料完整性、資料保密性、資料公正性、不可抵賴性和時間戳六種安全服務。

身份認證

由於網路具有開放性和匿名性等特點，非法使用者透過一些技術手段假冒他人身份進行網上欺詐的門檻越來越低，從而對合法使用者和系統造成極大的危害。身份認證的實質就是證實被認證物件是否真實和是否有效的過程，被認為是當今網上交易的基礎。在PKI體系中，認證中心(Certification Authority，CA)為系統內每個合法使用者辦一個網上身份認證。

資料完整性（電子郵件）

資料的完整性就是防止非法篡改資訊，如修改、複製、插入、刪除等。在交易過程中，要確保交易雙方接收到的資料與原資料完全一致，否則交易將存在安全問題。如果依靠觀察的方式來判斷資料是否發生過改變，在大多數情況下是不現實的。在網路安全中，一般使用雜湊函式的方法(Hash函式，也稱密碼雜湊函式)來保證通訊時資料的完整性。透過Hash演算法我們將任意長度的資料透過變換為長度固定的數字摘要(訊息認證碼，MAC)，並且原始資料中任何一位的改變都將會在相同的計算條件下產生截然不同的數字摘要。

這一特性使得人們很容易判斷原始資料是否發生非法篡改，從而很好地保證了資料的完整性和準確性。PKI系統主要採用的雜湊演算法有SHA一1和MD一5。

資料保密性（服務訪問）

資料的保密性就是對需要保護的資料進行加密，從而保證資訊在傳輸和儲存過程中不被未授權人獲取。在PKl系統中，所有的保密性都是透過密碼技術實現的。金鑰對分為兩種，一種稱作加密金鑰對，用作加解密；另一種稱作簽名金鑰對，用作簽名。一般情況下，用來加解密的金鑰對並不對實際的大量資料進行加解密，只是用於協商會話金鑰，而真正用於大量資料加解密的是會話金鑰。

在實際的資料通訊中，首先傳送方產生一個用於實際資料加密的對稱演算法金鑰，此金鑰被稱為會話金鑰，用此金鑰對所需處理的資料進行加密。然後，傳送方使用接收方加密金鑰對應的公鑰對會話金鑰進行加密，連同經過加密處理的資料一起傳送給接收方。接收方收到這些資訊後，首先用自己加密金鑰對中的私鑰解密會話金鑰，然後用會話金鑰(對稱秘鑰)對實際資料進行解密。

不可抵賴性（合同）

不可抵賴性保證參與雙方不能否認自己曾經做過的事情。在PKI系統中，不可抵賴性來源於數字簽名。由於使用者進行數字簽名的時候．簽名私鑰只能被簽名者自己掌握，系統中的其他實體不能做出這樣的簽名，因此，在私鑰安全的假設下簽名者就不能否認自己做出的簽名。保護簽名私鑰的安全性是不可抵賴問題的基礎。

數字簽名

由於單一的、獨一無二的私鑰建立了簽名，所以在被簽名資料與私鑰對應的實體之間可以建立一種聯絡，這種聯絡透過使用實體公鑰驗證簽名來實現。如果簽名驗證正確，並且從諸如可信實體簽名的公鑰證書中知道了用於驗證簽名的公鑰對應的實體，那麼就可以用數字簽名來證明被數字簽名資料確實來自證書中標識的實體。因此，PKI的數字簽名服務分為兩部分：簽名生成服務和簽名驗證服務。

簽名生成服務要求能夠訪問簽名者的私鑰，由於該私鑰代表了簽名者，所以是敏感資訊，必須加以保護。如果被盜，別人就可以冒充簽名者用該金鑰簽名。因此，簽名服務通常是安全應用程式中能夠安全訪問簽名私鑰的那一部分。

相反，簽名驗證服務要開放一些，公鑰一旦被可信簽名者簽名，通常就被認為是公共資訊。驗證服務接收簽名資料、簽名、公鑰或公鑰證書，然後檢查簽名對所提供的資料是否有效。它返回驗證成功與否的標識。

小結

針對PKI派拉能提供什麼?

認證中心：數字證書的申請及簽發機關（CA,自己簽發自己）；

證書資料庫：儲存已簽發的數字證書和公鑰，以及相關證書目錄，使用者可由此獲得所需的其他使用者證書及公鑰；

證書歷史吊銷列表：可以提供給使用者所有有效，無效、過期等證書；

PKI應用介面：為各種各樣的應用提供安全、一致、 可信的方式與PKI互動，確保建立起來的網路環境安全可靠；

目錄服務系統（LDAP）：解決數字證書查詢和下載的效能問題，避免 CA 中心成為效能瓶頸；

線上證書狀態驗證系統（OCSP）：方便使用者快速獲得證書狀態，是否需要執行吊銷等操作。

PKI是實現身份鑑別、資料保密性、完整性、不可否認性等安全服務的重要支撐，PKI體系讓安全保護不再單一的依託於軟體，而是採取硬體形態的安全模組，為個人重要資訊提供底層的安全加固和更高規格的安全保障。