基于PKI的數字證書的應用研究

馬少衛

PKI主要是由公開密鑰密碼技術，數字證書以及其他方面的內容共同構成。而數字證書則是不同實體在網絡上進行交流溝通的身份證明。本文從PKI機制以及數字證書的內涵入手分析，具體介紹數字證書在PKI工程改造中的應用。

【關鍵詞】PKI 數字證書 應用

PKI機制使用數字證書管理公鑰，利用第三方的可信機構，將用戶公鑰和用戶其他相關的信息情況進行綁定，然后在網絡上檢驗用戶的身份。PKI機制主要是將公鑰密碼同對稱密碼進行融合，保障網絡上信息的保密性以及整體性。

1 數字證書

數字證書是不同用戶（包括個人用戶和機構用戶）在網絡上進行信息溝通和交流的身份證明。數字證書是經過證書認證中心數字簽名，涵蓋了一些證書依賴人員的綜合信息以及相關聯的非對稱密鑰對的文件。數字證書可以分成簽名和加密證書。簽名證書，一般使用在用戶信息簽名方面，而加密證書則主要使用在用戶信息加密方面。擁有數字證書的人員甲向擁有數字證書的人員乙輸送某些數字信息的情況下，為了能夠保障整個信息輸送過程的安全性以及可靠性，必須對輸送的信息進行數字加密和數字簽名，這樣才能夠更好的確保信息輸送過程的安全性。

2 PKI機制

PKI主要是通過公用密鑰技術構成電子商務安全的機制，PKI技術可以為非對稱加密以及數字簽名打下基礎，可以進行證書和密鑰的管理。使用PKI機制中的管理密鑰和數字證書能夠良好的搭建可靠的網絡。其具體的內容如下：首先是認證中心，其主要負責管理PKI框架下所有的證書，將用戶的公開密鑰以及其他方面的內容進行綁定，在網絡上檢驗其用戶的具體身份；其次是證書庫，用戶可以利用標準的LDAP協議進行訪問；再其次是密鑰備份系統。為了防止用戶由于自身或者是外部原因將密鑰遺失， PKI必須建立一套完備的密鑰備份系統，確保用戶可以及時的找回相應的信息；最后是PKI應用接口系統，PKI必須建立一個良好的應用接口，這樣可以以一種安全可靠的形式同PKI進行有效的融合，保障網絡條件的可靠性，另外還能夠減少管理維護費用。

3 數字證書應用的法律依據

從我國目前的數字證書應用情況來看，在我國擁有較多的法律規章制度進行規范。數字證書的應用在我國是符合法律規定要求的，具有明確的行業規范以及行業準入要求。具體來看：首先數字證書具有嚴格的法律規章制度作為保障，譬如《電子簽名法》《電子認證服務管理辦法》等，《電子簽名法》的頒布實施以及數字加密和數字簽名技術所具有的保密性、完整性、真實性、不可否認性等特點，使得CA數字證書身份認證被廣泛采用。這些法律規章制度在一定程度上都嚴格的規范了數字證書的應用范圍以及應用條件，為數字證書的科學合理化應用打下了堅實的基礎；其次數字證書的應用具有嚴格具體的執行標準，譬如《GB 20518-2006 信息安全技術公鑰基礎設施 數字證書格式》等等，這些執行標準為數字證書的實踐應用鋪平了道路，進而在法律規章以及嚴格的執行標準下，數字證書才能夠得以全面充分的應用和推廣。

4 數字證書在PKI工程改造中的應用

本文主要以公安數字證書在民警的個人數字身份認證作為范例，具體分析數字證書在PKI中的具體應用?？梢杂糜诠矘I務系統的身份認證以及確保公安業務數據傳輸的安全性。所以，對于使用B/S架構的業務系統，一般情況下使用安

全性更高的超文本傳輸協議。因為充分的考慮到Tomcat服務器具有安全性高，開源和跨平臺的屬性，再次分析Tomcat服務器證書的生成方法和部署過程。從SSL握手過程就可以了解到，需要兩個證書：服務器證書和客戶證書，因為服務器對證書格式同客戶端證書格式要求不太相同，所以基本上兩個證書的制作有些差異性。

（1）首先是服務器證書的制作，在Tomcat服務器上部署數字證書，需要一種JKS格式的服務器證書文件，在這個文件中，保存著服務器私鑰、服務器證書和服務器根證書鏈。一般情況下要制作這類證書，可以使用JDK提供的一個工具Keytool，以及使用Java圖形界面的密鑰庫管理工具KeytoolGUI。具體的步驟可以是產生信任列表，導入信任根證書，然后產生密鑰對，生成服務器證書請求，接著在CA服務器上實現簽證，最后是導入CA簽發的服務器cer證書。

（2）其次是配置SSL，在生成的服務器證書文件中找到keyStore.jks后，把其復制進服務器端中，主要用來檢驗客戶端證書的有關詳細信息。找到相關的文件信息后，重新啟動服務器，選擇使用SSL方式登陸系統；再其次是使用數字證書進行登陸認證，在全面的完成上述的步驟之后，接下來的問題是在系統中該怎樣使用數字證書登錄認證。按照實際應用，有以下三種應用情況：對于只需數字證書作為登錄系統認證的簡單應用，完成上述設置后，把系統登錄地址改為https：//xxx.xxx.：8443就行；對于需要分層級和區域進行控制的系統，就可以通過獲取個人數字證書中的層級及區域等基本信息后，接著控制其訪問權限；對于一些相對較為復雜的應用，可以通過構建用戶表+權限表+數字證書的方式，建立用戶表、權限表與數字證書的對應關系。譬如武漢市某預警平臺項目中就使用了這種模式，在用戶表中增加了一個字段pki_code，可以用來保存身份證號碼，對應于個人數字證書中的身份證信息。

（3）最后是系統檢驗，第一要查看服務器證書，系統登錄界面點擊“數字證書登錄”按鈕后，選擇“查看證書”，就可以看到目前應用服務器的證書具體情況；第二是混合身份認證登陸，為了增加兼容性，系統使用了“數字證書登錄”和“用戶名+口令”兩種方式。

5 結語

綜上所述，本文從PKI機制以及數字證書的內涵入手分析，具體介紹數字證書在PKI工程改造中的應用。因為具有良好的法律規章以及嚴格的執行標準的保駕護航，從長遠來看，具有良好的發展前景。

參考文獻

[1]尹育新，戎宏娜.淺談一種全新的網絡技術—物聯網[J].信息系統工程，2010（02）：105-106.

[2]胡清，詹宜巨，黃小虎.基于RFID企業物聯網及中間件技術研究[J].微計算機信息，2009（25）：158-160.

作者單位

天津市電子認證中心 天津市 300074endprint