基于PKI证书系统的SSL加密

摘 要：在网络高速发展的今天，通信安全问题也日益突出，内容被截获，数据被篡改，通信身份被伪造，保护传送数据和进行通信双方身份验证的需求也越来越强烈。最常见的安全是通过使用PKI系统数字证书实现的。数字证书包含一对密钥，可以进行数据加密和数字签名。

关键词：SSL；数字证书；加密；认证

中图分类号：TP393.08

PKI（Public Key Infrastructure），是一系列基于公钥密码学之上，用来创建、管理、、存储、吊销数字证书的系统集合，简称公钥基础结构。PKI颁发数字证书的部分为证书颁发机构，简称CA（Certification Authority）。数字证书是由证书颁发机构颁发的一个包含独一无二数字序列的文件，其独特性类似于人的指纹，利用数字证书，可以进行数据加密盒验证用户身份。利用数字证书，可以对用户发送到网络中的数据信息进行加密和签名，加密能保证数据信息在网络中传输不被窃取，而数字签名能保证数据不会被改动并确保证明通信双方的身份。

1 PKI基本构成

PKI是利用公钥加密的一系列硬件、软件集合，它由证书颁发机构、公钥加密技术、注册中心（RA）、证书库、证书吊销系统、时间戳（TSA）等组成。PKI是一种新型的安全技术，由于其数字证书的独一无二和复杂性，其加密程度较其他方法而言最高。PKI常用于确保电子商务安全，公钥基础结构通常用于确保网上通信的安全和用户的身份验证，例如常见的网上银行、网上证券交易、电子商务交易等等，也广泛用于需要确保安全的企业级通信。一个常规的PKI系统通常包括证书颁发机构CA、证书申请网站、注册机构RA、数字证书存储数据库。证书颁发机构CA可以进行颁发、授权挂起的证书申请、吊销证书等操作；注册机构RA可以进行如身份审核、证书下载列表CRL管理、密钥生成及密钥备份等操作；数字证书存储数据库在活动目录中是与目录服务集成在一起的数据库，可以管理用户的证书申请，对证、密钥等信息进行管理，并能进行证书相关属性的查询。一个完整的PKI应用系统至少应具有以下五个部分：

（1）证书颁发机构（CA），CA是PKI的核心，CA管理所有用户、计算机、服务的证书，在网上加密和验证用户的身份，将用户的证书附加到通信数据上，并负责更新证书吊销列表。

（2）目录服务器，常用的是windows server活动目录系列，证书颁发机构CA用于颁发和管理用户的证书和已被吊销的证书列表，用户可以通过WEB服务器的证书申请页面申请、下载、查看吊销列表。

（3）启用（SSL）加密的WEB服务器，SSL全称为安全套接层Secure socket layer，由网景公司在浏览器上首推，用于保护通信数据的安全及完整性，目前已扩展到对通信双方的身份进行鉴别及网页通信的服务器端和客户端间的内容加密的通用标准。

（4）Web服务器，包含了Web服务器端和客户端，以windows系统系列为例，服务器端为IIS组件，安装在服务器上（如windows server 2008），对网页进行存储、管理、提供用户访问；客户端为IE浏览器，安装在客户机上（如windows xp），向服务器提出网页浏览请求。通常情况下，网页的传输是明文传输，在服务端启用SSL加密后，能保证网页数据传输的机密性，并能对客户端身份进行验证。

（5）客户端模块，客户端模块是指各行业自开发的各种行业应用系统，例如网上银行、网上证券交易、电子商务交易。以网上银行为例，整个网上交易系统由CA认证中心、身份认证、用户管理、访问控制、终端安全、内部子系统等组成。

2 公钥加密原理

数据加密的过程为：将原始的或未加密的数据，使用密钥对其进行计算，输出一系列密文。如果没有解密的密钥经过还原运算，则密文不可读。通过数据加密，可以用来保护数据不被非法阅读。传统的加密方法为对称加密，即文件加密盒解密使用相同的密钥；公钥加密（又称为非对称密钥加密）指由对应的一对唯一性密钥（即公开密钥和私有密钥）组成的加密方法。传统的对称加密中的加密和解密密钥是对等的，由容易互相推导出，安全性较低。而目前越来越普及的公钥加密也称之为非对称加密，与对称加密不同，非对称加密包含一对密钥，即公钥和私钥，公钥和私钥可以互为加密解密，即用公钥加密的数据需要用私钥解密，更重要的是，公钥私钥互不相同，而且不能互相推导出。所有的通信客户端都可以得到公钥，而私钥只能由数字证书持有者所有，具有唯一性。公钥加密方法由6个部分组成：明文、加密算法、公钥、私钥、密文和解密算法。利用公钥的结构，可以对数据进行加密和数字签名两种操作，加密保护数据安全，而数字签名验证用户的身份。A和B用户通信，加密解密的过程简述如下：A、B交换各自的公钥，A用B的公钥加密向B发出的数据，B收到后用自己的私钥进行解密；数字签名的过程简述如下：A为了向B证明自己的身份，用自己的私钥附加到发向B的数据中，B收到后使用A的公钥进行解密，而A的私钥的持有是唯一性的，因此验证了A用户的身份。

3 证书颁发机构的功能

证书颁发机构CA是PKI系统的主要组成部分，CA的主要功能有：管理和审核证书的颁发，证书的更新，证书的吊销与失效，证书的验证等功能，其中最重要的功能就是管理和审核证书的颁发，其具体功能为：

（1）从网页终端或者控制台接受来自客户端的证书申请。

（2）对于挂起的用户证书申请请求，进行手动验证，是否颁发。

（3）向客户端颁发证书，或者拒绝颁发数字证书。

（4）从网页终端或者控制台接收来自客户端关于证书更新请求并处理。

（5）从网页终端或者控制台接收来自客户端关于证书的查询、撤销。

（6）吊销用户证书并到证书吊销列表CRL供客户端下载查看作废的证书。

（7）数字证书、密钥等其他数据的存储。

证书服务器具体功能的实现以windows server 2003为例，先安装IIS的WEB组件配置WEB服务器，用户再安装证书服务组件，在WEB服务器下生成证书子站点，为用户提供通过网页申请证书的途径。用户通过IE浏览器访问证书申请的网页，在网页上填写申请的证书类型及个人信息并提交给服务器，服务器对申请进行审核和处理，并发放数字证书，吊销部分证书，用户通过网页下载证书或者证书吊销列表CRL。在具体工作时证书服务器会确保以下若干问题：验证并标识证书申请者的身份。确保CA用于签名证书的非对称密钥的质量。确保整个签证过程的安全性，确保签名私钥的安全性。证书资料信息（包括公钥证书序列号，CA标识等）的管理。确定并检查证书的有效期限。确保证书主体标识的唯一性，防止重名。并维护作废证书列表。对整个证书签发过程做日志记录。向申请人发出通知。

证书PKI系统中最重要的就是密钥对的机密性，公钥可以公开给相关通信方，但私钥必须确保其独一无二和机密的特性，防止被其他人获取，只要证书的所有者才持有私钥，可以依据其这一特性用私钥对数据进行签名。有两种方式可以产生用户的公钥，用户可以自己利用系统生成密钥对，再将公钥传输给证书服务器，也可以使用从证书服务器处申请来的证书密钥对中的公钥，在通信的过程中再将公钥传输给相关通信方，任意一种都需要保持密钥的机密性，并验证其完整性。

4 结束语

随着PKI技术应用的不断深入，PKI技术本身也在不断发展与变化，比如近年来比较重要的变化有属性证书、漫游证书、无线PKI（WPKI）等。随着PKI技术的应用与发展，无论是在有线网络，还在无线世界，PKI必将发挥巨大作用。

参考文献：

[1]张蓉，杨磊，程慧，裴国庆.PKI技术及其发展应用.

[2]PKI发展篇――PKI现状与未来（AMT研究院 张丽锋）.

作者简介：杨晓雪，武汉人，计算机专业教师，讲师，工程师。

作者单位：武汉软件工程职业学院，武汉 430205