基于PKI实现网络通信安全性的研究

董志刚

（河北华恒信通信技术有限公司 河北省石家庄市 050000）

1 PKI安全服务体系简介

PKI 也称公钥基础结构，是一种新型网络通信安全服务体系，其技术应用原理主要是指在分布式计算机环境中，以公开密钥理论和算法为基础，使用公钥加密、数字签名以及数字证书等技术，来验证证书持有者的身份以及确保网络信息传输的安全性。通常情况下，典型的PKI 安全服务体系应该包括四个组成部分，即公钥加密技术、数字证书、证书颁发机构（CA）以及注册机构（RA），其中公钥机密技术是实现网络通信安全的基础；数字证书的作用主要是用于验证用户的身份；证书颁发机构CA 系统主要作用是负责发布、更新和吊销证书，总体来讲CA系统是一个可以信任的实体组件；注册机构RA 系统的主要功能是接受用户的请求。在网络通信安全建设中PKI 安全服务体系能够实现的主要功能共有四个：

（1）PKI 的身份验证功能，可以对用户的身份标识进行精准确认，初步保障网络系统的通信安全。

（2）PKI 可以防止网络数据信息在传输过程中被非法篡改，进而确保网络数据信息的真实性和完整性。

（3）PKI 可以防范网络数据信息在传输过程中被非授权者窃取或偷看，从而保障网络数据信息的机密性和安全性。

（4）PKI 体系下的网络通信数据具有不可否认性，也就是说相关数据不能被否认，这样网络通信数据信息的有效性就可以得到良好的保障[1]。

2 信息加密技术及其分类

2.1 对称密钥加密技术

我们想要基于PKI实现网络通信安全性，必须先掌握网络信息加密技术及其分类。信息加密技术主要有对称密钥加密技术和非对称密钥机密技术两大类。其中对称加密技术也称传统加密技术，在网络通信安全建设中，对称加密技术的主要应用原理，就是加密变换使用的密钥和解密变换使用的密钥相同，这种技术应用原理所表现出的优点和缺陷都是非常明显的。首先，从优点方面来讲，对称密钥加密技术具有密钥较短、加密效率高、系统开销小以及加解密速度快等功能优势，比较适用于对大流量和大规模通讯数据进行加密。其次，从缺陷方面来讲，对称密钥加密技术在应用过程中，网络系统的信息收发双方都使用相同的密钥，在这种条件下，一方面网络系统通信的安全性难以得到保障，另一方面也会产生大量的密钥维护数据，管理起来难度非常大，相应的使用成本也会大幅提高，总结下来，对称密钥加密技术已经不是最先进、最科学的网络通信加密技术了。

2.2 非对称密钥加密技术

非对称密钥加密技术也称公钥加密技术，其不仅是PKI 安全服务体系的重要组件，也是目前最先进的网络通信加密技术。非对称密钥加密技术与对称密钥加密技术之间最根本的区别，就在于非对称密钥加密技术应用的加密密钥和解密密钥不是同一个，该技术的应用优势是可以让网络通信的密钥管理变得更加高速便捷，通信数据的安全性也能得到良好的保障，不足之处主要是加密速度相对慢一些，需要多耗费一点时间来完成加密工作。根据两种密钥使用先后顺序的不同，非对称密钥加密技术还可以细化为数据加密和数字签名。首先，从数据加密来讲，数据加密的技术原理主要是先应用公钥加密后再应用私钥解密。在传输数据过程中，网络系统的发送方使用接收方的公钥加密数据，并实施公钥加密数据传送，接收方收到数据以后，再使用自己的私钥对这些数据进行解密，从而实现安全的网络数据传输。数据加密的优势是可以保障只有预期的接收者，才能解密和查看发送方发出的原始通信数据，从而使网络系统的数据传输更具机密性和安全性，但是数据加密并不能完全保障网络通信的身份验证、不可否认和完整性。其次，从数字签名来讲，数字签名的技术原理主要是先应用私钥加密后再应用公钥解密。在网络数据传输过程中，数字签名可以通过一个单向函数对要传送的数据进行处理，得到一个用以认证信息来源并核实信息是否发生变化的字母数字串。数据签名在网络通信安全建设中的应用优势是非常突出的，它一方面可以用来验证信息是否确实由发送方发出，也就是进行有效的身份验证，另一方面还能够确认信息数据在传输过程中是否被篡改，这对实现网络通信安全性具有非常积极的影响。RSA 签名的过程共有六个步骤：

（1）发送方对所要发送的数据报文采用Hash 算法生成一个128 位的散列值。

（2）发送方应用加密算法和自己的私钥对这个散列值进行加密处理，生成摘要密文，即发送方的数字签名。

（3）发送方将私钥加密后的数字签名作为报文的附件和报文一同发送给接收方。

（4）接收方收到原始报文数据后，应用相同的摘要算法得到128 位的散列值。

（5）接收方运用解密算法和发送方的公钥对报文附加的数字签名进行解密。

（6）如果解密前后的两个散列值一致，那么接收方就可以确认报文是由发送方签名的，且数据传输途中没有被篡改。

为了帮助相关人员更清晰的了解RSA 签名的过程，我们将上述六个步骤整理成流程图（如图1所示），以期促进PKI 在网络通信安全建设中的应用[2]。

图1：RSA 签名流程图

3 证书及证书颁发机构（CA系统）

3.1 CA的体系结构及作用

证书及证书颁发机构CA 系统是PKI 安全服务体系的主要构成部分，也是实现网络通信安全性的核心技术。网络系统发件方所使用的公钥、私钥以及收件方所使用的公钥，都是来自于证书服务，证书由权威机构颁发，并且是密钥的主要载体。由权威机构颁发的包含了公钥信息的电子文档被称为数字证书，CA 系统就是负责颁发数字证书的权威机构。从CA 的体系结构和作用方面来讲，常见的数字证书类型共有八种，即个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN 证书、WAP 证书、代码签名证书以及表单签名证书。在一个完整的证书认证系统中，CA 被划分为不同的层次，如果将各层CA 按照其隶属关系进行排布，那么证书认证系统的第一层为根CA、第二层为从属CA、第三层为从属CA 注册机构RA、第四层为受理点LA。如果根据应用场合对CA 系统进行分类，那么CA 系统大体上可以划分为电子商务CA和企业CA 两种，其中电子商务CA 是依托于PKI 安全服务体系以及SET 标准协议进行设计的，该CA 系统独立存在于电子商务交易双方之外，可以自动化处理和完成与数字证书有关的所有工作。该系统的主要特点是结构具有复杂性，关联的用户较多，内部大部分结构都属于CA 系统的体系结构，所以其认证功能非常优越，网络通信的安全性和可靠性都能得到保障，从而为电子商务活动提供更优质的通信安全服务。企业CA 通常只在企业内部局域网运行，同时网络应用需求一般是资源访问控制居多，在这种情况下，单一的CA 系统结构，具备CA 和RA 功能的CA 系统，就可以满足企业网络系统通信过程中的数字证书审核、批准、生成、发布和废除等工作需求。除此之外，企业在建设网络系统通信安全平台过程中，还可以将CA 系统和SSL 有机结合，这样不但可以借助CA 系统的用户资格审核与数字证书发布功能，初步保障企业网络系统通信安全，也能在使用数字证书时按照SSL 协议实施网络通信，从而多角度提升企业网络数据传输的安全性和可靠性。

3.2 数字证书的格式及内容

数字证书是PKI 安全服务体系中不可或缺的密钥管理媒介，它的呈现形式是一种具有权威性的电子文档，相当于分布式计算机网络环境中的一种身份证件，主要用于验证某一主体的身份信息。从数字证书的格式和内容方面来讲，常见的数字证书版本主要有V1、V2、V3 三种，每个数字证书都具有一个唯一的证书序列号。数字证书所使用的签名算法，一般是CA 系统签发该证书所使用的密码算法的标识符。数字证书的有效期是一个时间区间，包括数字证书有效期的起始时间和终止时间。数字证书所有者的公开密钥主要用来标识证书持有者公钥和相应的公钥算法。除此之外，数字证书涉及到的管理内容非常多，除了最常见的应用LDAP 协议对数字证书存取库进行访问以外，还包括数字证书链的校验管理和交叉认证管理等等。

4 基于PKI实现网络通信安全性的方法

4.1 应用PKI保障Web安全

想要基于PKI实现网络通信安全性，必须充分开发和利用PKI的技术优势，初步落实Web 安全。应用PKI 保障Web 安全主要是基于SSL 协议，该协议可以向TCP/IP 客户和服务器应用程序，提供客户端和服务器的鉴别、信息机密性及完整性等安全服务，其功能主要体现在三方面：

（1）认证用户和服务器。

（2）加密数据以隐藏被传送的数据。

（3）维护网络数据的完整性。

因此，在基于PKI实现网络通信安全性过程中，相关人员应该将PKI 积极应用于Web 安全管理，从而实现网络通信安全建设目标[3]。

4.2 SSL和TLS在网络通信安全管理中的应用

SSL 和TLS 的技术原理是在源和目的实体间建立了一条安全通道，该通道位于传输层之上，可以为网络系统通信安全管理提供基于数字证书的认证、信息完整性和数据保密性等服务。SSL 和TLS 主要包含了SSL 握手协议、SSL 修改密文协议、SSL 告警协议和HTTP 协议，其位于网络系统的TCP/IP 与应用层之间，可以对应用层数据进行有效的安全保护，进而帮助数据的发送方与接收方在握手期间互相认证，通过协商加密算法得到密钥，从而实现网络通信安全性。

4.3 SET在网络通信安全管理中的应用

SET 也是PKI 在网络通信安全管理中的常见应用方法之一。从本质上来讲，SET 可以为网络通信安全管理提供三种服务：

（1）在交易涉及的各方之间提供安全的通信信道，使网络数据信息的传输更符合安全标准。

（2）通过使用X.509 v3 数字证书来提供信任，保障网络通信的身份认证安全。

（3）SET 可以确保网络数据传输的机密性，因为基于SET 的信息只有在必要的时间和必要的地方才对交易各方可用。因此，在基于PKI实现网络通信安全性过程中，相关人员应该根据管理需求科学应用SET，从而对网络传输数据进行有效的加密和安全管理。

4.4 IPSec在网络通信安全管理中的应用

IP 层的安全主要包括三个功能域，即鉴别、机密性以及密钥管理。IPSec 的技术应用原理，主要是鉴别通信数据报头（AH），封装安全有效负载（ESP），优化网络通信系统的传输模式、隧道模式、安全关连（SA）以及其他安全关连组。将IPSec 和IPv6 应用于网络通信安全管理，可以有效保障网络通信数据的安全性和完整性，是提升网络通信安全性的必要举措，值得相关人员积极应用和推广。

5 总结

总而言之，随着我国电子商务和VPN 的飞速发展，网络通信安全在身份认证、权限管理以及访问控制等方面都遭遇不同程度的威胁，提升网络通信安全性已经刻不容缓。应用PKI 安全服务体系不但可以妥善解决上述问题，也能构建更加安全的网络通信系统。基于此，相关人员必须全面了解PKI 的组件、功能及其应用方法，积极记住PKI 的技术优势，对网络系统通信数据实施集中化管理，从而大幅度提升网络通信安全性。