基于pki技术的,PKI技术

在基于PKI的数字签名技术中，电子签名是指发送数据电文者用本人的私钥对（ ）进行加密的结果。

B 数据电文的摘要。

数字签名（电子签名）的原理，可以参考 中，“数字签名：结合使用公钥与散列算法”那条，解释的很详细。

"发件人将一种散列算法应用于数据，并生成一个散列值(数据摘要）。

发件人使用私钥将散列值(数据摘要）转换为数字签名（即对摘要进行加密和签名）。

然后，发件人将数据、签名及发件人的证书发给收件人。"

什么是PKI？

PKI全称（Public Key Infrastructure） ：公开密钥基础设施，也就是利用公开密钥机制建立起来的基础设施。

PKI指的是证书的制作和分发的一种机制，在这个机制的保障前提下，进行可信赖的网络通信，即安全的网络通信保障机制，pki技术是信息安全技术的核心，也是电子商务的关键和基础技术，它的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等等。

优势

1，采用公开密钥密码技术，能够支持不可篡改的数字签名，在数字签名中包括了验证者的身份信息、验证信息等数据，能够保障数字证书的安全性，同时在验证的过程中，可以追溯验证者的信息，对数据的安全性提供了较高的保护；

2，支持离线验证身份，基于PKI技术的数字证书，支持离线的身份验证，由于数字证书由CA第三方认证中心方法，数字证书中已经存储了用户的身份验证信息以及身份验证的密钥，在身份验证的过程中不需要在线查询，提供了多重身份验证的方式；

3，PKI体系中包含了CA数字证书的撤销服务，使得用户对数字证书应用更为可控，保障了用户在各种环境下身份信息的安全，放置了身份信息的丢失以及被盗后的恶意应用，为CA数字证书提供了可控的安全机制；

4，PKI技术具有良好的网络交互能力，它能够通过网络为正在交互的双方系统提供有效的安全机制，能够为大规模分布式网络以及更为复杂的网络环境提供安全服务，使得网络数据的传输得到了有效保障；

如何利用pki技术实现文件的电子签名并秘密传输

首先对互联网络中信息安全传输的基本要求进行了分析,并简要地介绍了PKI(公钥基础设施)的基本概念、基本组成及运行模式,特别指出PKI技术能够为信息传输提供安全服务。然后着重提出了一种基于PKI技术的保密文件传输方案,该方案主要分为2个模块:身份认证模块和文件保密传输模块。通过这两个模块的有机结合,能较好地满足保密文件传输的要求,即该方案实现了安全文件传输的身份认证、保密性、完整性和不可否认性等要求。

1) 什么是电子签名?

电子签名并非是书面签名的数字图像化。它其实是一种电子代码，利用它，收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。

目前，可以通过多种技术手段实现电子签名，在确认了签署者的确切身份后，电子签名承认人们可以用多种不同的方法签署一份电子记录。方法有：基于PKI的公钥密码技术的数字签名；以生物特征统计学为基础的识别标识；手印、声音印记或视网膜扫描的识别；一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN；基于量子力学的计算机等等。但比较成熟的，使用方便具有可操作性的，在世界先进国家和我国普遍使用的电子签名技术还是基于PKI（PublicKeyInfrastructino）的数字签名技术。

2) 基于PKI的数字签名技术

基于PKI（公钥基础设施）的电子签名被称作“数字签名”。有人称“电子签名”就是“数字签名”是错误的。数字签名只是电子签名的一种特定形式。因为电子签名虽然获得了技术中立性，但也带来使用的不便，法律上又对电子签名作了进一步规定，如上述联合国贸发会的《电子签名示范法》和欧盟的《电子签名共同框架指令》中就规定了“可靠电子签名”和“高级电子签名”。实际上就是规定了数字签名的功能，这种规定使数字签名获得了更好的应用性和可操作性。目前，具有实际意义的电子签名只有公钥密码理论。所以，目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI可提供多种网上服务，如认证、数据保密性、数据完整性和不可否认性。其中都用到了数字签名技术。

PKI的核心执行机构是电子认证服务提供者，即通称为认证机构CA（Certificate Authority），PKI签名的核心元素是由CA签发的数字证书。它所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密，并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名，来代替书写签名和印章；这种电子式的签名还可进行技术验证，其验证的准确度对手工签名和图章的验证无法比拟的。这种签名方法可在很大的可信PKI域人群中进行认证，或在多个可信的PKI域中进行交叉认证，它特别适用于和广域网上的安全认证和传输。

基于PKI技术的网络安全平台设计分析

基于PKI技术的网络安全平台设计分析

[摘要]采用USB加密机和PKI技术设计并实现一个网络安全平台。该安全平台实现身份验证、安全传输和访问权限管理等功能。研究该平台所使用的协议的工作流程，并详细介绍客户端、访问控制服务器和证书管理系统的工作原理。

[关键词]信息安全 PKI 安全协议 USB加密机 网络安全平台

一、概述

本文的目的是开发基于PKI技术的网络安全认证和连接平台。该平台使用USB 密码机，利用PKI体系的相关技术，构建一个供拥有密码机的合法用户通过内网或者互联网访问内部网络的资源服务器的安全平台。平台要求实现用户的和服务器的双向认证、密钥磋商、用户访问权限管理，保证信息传输的保密性、完整性、不可否认性。

这个网络安全平台的服务器端分为两个部分，访问控制服务器和证书管理服务器。访问控制服务器是直接与客户端交换数据的服务器，负责的是与客户端完成密钥磋商，实现加密传输，控制客户端的访问权限。证书管理服务器负责包括访问控制服务器在内的所有用户的证书牛成和证书颁发。证书采用X.509v3格式，并且在连接的时候负责用户的身份鉴定。

二、USB密码机介绍

本文中采用的SJW-21C型USB密码机是采用USB接口的密码设备。

SJW-21C型密码机的对称加密算法使用的是经国家密码局鉴定的专用密码算法芯片，其加密分组为64位，密钥长度为128位，密码机的对称加密速度≥SMbps，公钥算法支持1024何的RSA，签名速度≥4 次/秒，摘要算法则支持SHA—l和MDS。密码机还内置通过国家有关部门鉴定的随机数发生器，并且支持随机数的筛选，也就是会自动检查随机数的质量，如果达不到要求，会自动舍去。另外，密码机本身也硬件支持生成RSA密钥对。

三、PKI同络安全平台原理介绍

基于PKI的网络安全平台的安全认证过程分为两个部分，一个是认证信息初始化过程，一个是对用户的入网认证过程，

(一)认证信息初始化

认证信息初始化指的是这个网络安伞平台在架设起来之后，证书管理系统会生成所有用户包括访问控制服务器的证书和私钥，然后分发到各自的密码机中去，具体过程如下。

1，将证书管理系统安装好之后，会进行初始化。

2，证书系统会开始根据需要牛成其他认证实体的证书。

3，各用户将自己的密码机拿到证节管理系统里面来初始化，写入证书和私钥。

4，密码机初始化完毕之后，只要把密码机安装到任何一个可以连接到访问控制服务器的电脑上，运行客户端，输入正确的PIN码，就可以开始按照自己的权限来使用资源服务器上面的内容。以上就是整个安全平台系统的初始化过程。

(二)安全平台认证协议的认证过程

安全平台的认证协议设计思想来自SSL/TLS协议，但不是纯粹的将两者简单的加在一起，因为那样不仅小能发挥USB密码机的真正优势，密码机本身的特性也会对SSL/TLS协议的安全性带来影响，所以这个协议是在理解了SSL/TLS协议的设计思想之后根据密码机的安全功能和实际情况之后设计的。在下面的介绍里，会将密码机所自带的128位国产对称加密算法称为SAl28。

1、客户端密码机生成一个12 8位的随机数R1，然后用SHA一1算法取这个随机数和密码机TD的信息摘要H1，用SAl28算法以Rl为密钥将H1加密，然后用密码机的私钥加密R1，并在前头加上密码机的ID发送给访问控制服务器。

2、访问控制服务器将用户发来的数据直接转发给证书管理服务器。

3、证书服务器收到包之后，先根据这个ID在证书数据库里面找这个ID所对应的证书，然后用证书电所包含的公钥解密被客户端私钥加密过的Rl，然后用这个R1通过SAl28算法解密得到H1，验证通过后。证书服务器会生成一个新随机数R2，然后将R2用客户端的公钥进行RSA加密，把加密后的数据加上 Rl之后取摘要值H2，然后将Rl和加密之后的R2还有H2以R2为密钥用SAl28算法加密，再将R2用访问控制服务器的公钥进行RSA加密，再将以上数据发送给访问控制服务器。

4、服务器收到上述数据后，首先用自己的公钥解出R2，然后用R2通过SAl28算法得到RsC(R2)+RI+H2，验证通过后，将R2取摘要H3，然后将RsC(R2)+H3以R1用SAl28算法加密之后发送给客户端。

5、客户端收到数据后，先用Rl解出Rsl(R2)和H3，在确认之后，用自己的私钥解出R2，然后以R2为SA 128算法的密钥开始和服务器进行通信，到此，验证过程结束，客户端和访问控制服务器之问建立起安全连接。

四、安全平台的主要横块

这个网络安伞认证平台的安全连接部分主要分成3个部分，客户端，访问控制服务器和证书管理服务器。这个系统是一个网络安全的应用，所以网络通信和安全非常重要。在Internet公网上的通讯采用TCP/IP协议，使用MFC封装的一步SOCKET类CasyncSocket建屯网络连接。至于安全方面的连接是采用密码机，编程采用对USB的.驱动程序应用接口的访问，这里使用的是针对这个密码机的软件开发包。

(一)客户端的实现

客户端的实现土要分为两个部分，一个是对密码机的控制，一个是对网络安全协议的支持。客户端被设置为验证PIN码之后，就开始进行公私钥自检，自检成功后就开始向连接控制服务器提交验证申请。

(二)访问控制服务器的实现

访问控制服务器的主要功能是负责外网和内网的数据交换，并判断数据的属性以做不同的处理。在访问服务器上面，维护了一个访问权限数据库，这个数据库鹗面含有资源服务器上面所有的资源并且对每个不间的用户ID标明了权限。在客户端和访问控制服务器之间建立了安全连接之后，服务器就会将和这个客户端联系的线程转变成一个转发线程，客户端将自己的需求加密之后发过来，经过转发线程的解密处理之后，会按 贶 客户端的权限范围决定是否将需求发送给资源服务器，如果需求符合客户端的权限，那么转发线程会将得到的资源加密之后发送给客户端。

(三)证书管理服务器的实现

在这个安全平台里面，证书管理服务器的作用是证书生成和颁发，验证客户端和服务器端的身份，并且生成对称加密密钥。证书管理服务器有一个证书库，存有安全平台系统里所有密码机的证书。