PKI技术在电子邮件中的应用及其安全性分析

AU
③ EPKB[ IDA| |N1] A ⑥ EPKA [ N1 | | N2] ⑦ B
EPKB[ N2 ]
公钥管理机构分配公钥
PKI认证技术及应用 第三章 PKI认证技术及应用 步骤如下： 步骤如下： 用户A向公钥管理机构发送一个带有时戳的消息，消息中有获取用户B （1）用户A向公钥管理机构发送一个带有时戳的消息，消息中有获取用户B 当前公钥的请求。 当前公钥的请求。 Request | |Time1 公钥管理机构对A的请求作出应答，该消息由管理机构的秘钥 秘钥SK （2）公钥管理机构对A的请求作出应答，该消息由管理机构的秘钥SKAU来 加密，因此A能用管理机构的公开钥解密，并使A相信这个消息来自于公钥 加密，因此A能用管理机构的公开钥解密，并使A 管理机构。该消息由以下几部分组成： 管理机构。该消息由以下几部分组成： 可以用之将发往B的消息加密。 B的公钥PKB，A可以用之将发往B的消息加密。 的公钥PK 的请求，验证A A的请求，验证A的请求在发往管理机构使没有更改 最初的时戳，使A确信管理机构发来的不是旧消息。 最初的时戳， 确信管理机构发来的不是旧消息。 的公开钥将消息加密后发向B 这个消息中有两个数据项， （3）A用B的公开钥将消息加密后发向B，这个消息中有两个数据项，一个 的身份IDA 另一个是一次性随机数N1 用来唯一的标识本次通信。 IDA， N1， 是A的身份IDA，另一个是一次性随机数N1，用来唯一的标识本次通信。 E PKB [ ID A | |N1 ] ）（5 以相同的方式从公钥管理机构获得A的公开钥。至此， （4）（5）B以相同的方式从公钥管理机构获得A的公开钥。至此，A和B都 已经得到了对方的公开钥，可以安全保密的通信。 已经得到了对方的公开钥，可以安全保密的通信。
PKI认证技术及应用 第三章 PKI认证技术及应用

政务安全的重要技术之一。 在电子政务应用中， 通过PKI 实现身份验证， 保证传输信息的可信 性。 本文首先介绍了PKI 基本功能， 接下来讨论 了身份认证技术， 分析了PKI 的信任模型。
书，证书废除的实现方式是将证书中的惟一序 列号放人证书废止列表 CRL 中。
( 3 ) 交叉认证
条件地信任 CA 认证中心及其发放的证书 ， 从 而建立彼此信任关系每一份数字证书都与上一 级的数字签名证书相关联，最终通过安全链追 溯到一个已知的并被广泛认为是安全、 权威、 足
重要的角色， 对于敏感性的资料， 使用者必须制 定防护措施以避免他方的窥探。 利用PKI ， 使得
机密资料的传送和存储有了更好的保障 ，只有 被授权的一方才能阅读到信息。当用户 A 向用 户 B 传送数据时 ， 身份认证过程如图 1 所示。
图 2信任结构由存 在着多个根 CA 所组成， 独自管理各自的网 CA 络信任域， 使用者对这些 CA 除了请求或收到 ( 1)密 钥的管理 证书之外 ， 还可以查询， 每个 CA 都在 PKI 系统 由密钥管理中心KM(Key M anagement)负 中扮演着重要的角色，并维护着使用者之间的 责提供密钥的产生、 、 登记 认证、 注销 、 分发 、 恢 信任。因为有规律的维护信任链之间的信息并 复、 撤销和销毁等服务， CA 共同完成对用户 与 证书的签发、 恢复和管理工作。 保持最新的状态是必须的，此模型中的CA 将 被设定为彼此之间互相信任的信息。这种信任 密钥的产生有两种方法 :一是最终用户在 模型用于电子商务领域， 缺点是相互认证复杂。 本地计算机中产生一对密钥， 然后把公钥发送 ③ Web 信任模式。 每个浏览器厂商都有自己的 给 CA， 为其签发证书; 另一种是由 CA 负责产 根， 并且由厂商认证嵌入到浏览器中的CA 。 唯 图 1 PKI 身份认证过程 生用户的密钥对， 然后以加密文件的形式发送 给最终用户， 也可以存储在物理介质(如智能卡 1) 用户A 向PKI 应用系 统提交公钥证书， 一真正的不同是根 CA 并不被浏览器厂商的根 并发出登录申请。 所认证， 而是物理地嵌人软件来发布， 作为对 或存储卡) 中， 交给用户。 这是 2)通过系统验证， 请求TSP 时间戳服务， 加 CA 名字和它的密钥的安全绑定。实质上， 密钥的恢复， 用户由于某些原因将解密数 一种有隐含根的严格层次结构 ( 更准确地说浏 据的密钥丢失，从而使已被加密的密文无法解 盖标准时间。 览器厂商是实质上的根 CA ，而层次结构中下 开，为此， 提供了密钥备份与密钥恢复机 PKI 3)应用服务器产生的一个随机数 ， 与用户 面的第一层则是所有的已嵌人的CA 的密钥) 。 A 的私钥签名和公钥打包成数字信封 ，再加上 制: 当用户证书生成时， 加密密钥即被 CA 备份 传送给用户 Bo ④ 桥式信任模式。 结合层次和分布式模式， 在 存储; 当需要恢复时，用户只需向CA 提出申 用户B 的公钥进行加密， 各自根 CA 的基础上， 引人桥式模式， 从而简化 请， 就会为用户自动进行恢复。 CA 4 ) 当用户 B 接收到数据时， 用私钥对数字 了分布式模式的复杂度 。 还原出随机数 、 时间戳 、 服务器的公 密钥更新 ，一个证书的有效期是有限的， 信封解密， 四、 的应用 PKI 一个已颁发的证书需要“ 过期”以便更换新的 ， 钥证书， 并用服务器的公钥证书、 随机数、 时间 随着 PKI 技术 日趋成熟， 已广泛应用 PKI 传送给服务器。 证书， 由PKI 本身自动完成密钥或证书的更新， 戳签名加密， 于电子政务。 福建省政府办公厅已发出“ 在全省 5)服务器将用户A 的登录信息写入系统。 完全无须用户的千预。 当失效日期到来时， 启动 范围内使用福建省数字安全证书” 的函， 福建省 三、 的信任模型 PKI 更新过程， 生成一个新证书来代替旧证书。 认证 中心 CA 是 电子政 务运 用信赖 的基 CA 为福建政务网提供的 8000 多份 CA 证书， (2)证书的管理 础。 它通过自身的注册审核体系， 检查核实进行 用于各级政府部门领导干部在网上浏览自己权 证书是数字证书或电子证书的简称， 它符 北京、 上海已经 合X.509 标准， 是网上实体身份的证明。 证书是 证书申请的用户身份和各项相关信息， 使网上 限范围内允许浏览的所有文件。 交易的用户属性客观真实性与证书的真实性一 将 PKI 技术应用到政府网上办公、企业网上纳 由具备权威性 、可信任性和公正性的第三方机 税、 股民网上炒股、 个人安全电子邮件等多个方 致。认证中心作为权威的、 可信赖的、 公正的第 构签发的， 因此， 它是权威性的电子文档。 面， 并取得了良好的社会效益和经济效益。 三方机构，专门负责发放并管理所有参与网上 数字证书库是证书集中存贮的地方 ， 用户 交易的实体所需的数字证书。在基于 PKI 公钥 可以从此处获得其他用户可用的证书和公钥信 参考文献 : 息。证书注册是用户按照操作规程将自已的身 基础设施的信任服务体系中， 数字证书认证中 [1] 阮俊杰 ， 电子政务教程[M ].北京: 红旗 心 CA 负责产生、分配并管理所有参与网上交 份信息提交给 CA,CA 对这些信息进行正确性 出版社 2005, CA 实施验证， 并将该证书公布到相应的证书仓库 易的实体所需的身份认证 字证书。 中心向 [2] 尹 传勇 刘 寿强 陈 娇春， 计算机安全[J]. 中。证书在到期后自动废止， 当用户私钥泄密、 所辖区中的网络实体发放和管理证书，区域中 丢失或工作环境变化时，可要求 CA 废除其证 的所有用户、 计算机及终端设备 、 网络实体均无 2003 年 08 期

邮件加密的优点：保护隐私、防止篡改和泄露
电子邮件加密技术的应用和影响
邮件加密的优点：保护隐私、防止篡改和泄露
邮件加密的优点：保护隐私
邮件加密技术可以有效保护用户隐私，防止第三方窃取或泄露敏感信息。首先，加密技 术可以确保邮件内容在传输过程中不被窃取或篡改，保证信息的完整性和真实性。其次 ，加密技术可以防止邮件内容被第三方无权查看，保护用户的隐私权。最后，加密技术 还可以防止邮件内容被非法复制或传播，进一步保护用户的隐私。
2.配置邮件加密系统
▪ 在选择了加密方案后，需要配置相应的邮件加密系统。 这包括设置密钥管理策略、定义加密规则以及配置加密 算法等步骤。此外，还需要确保邮件系统的其他部分 （如邮件服务器和客户端）能够与加密系统协同工作。
▪ 关键要点： ▪ -定义合理的密钥管理策略以确保密钥的安全性。 ▪ -根据企业需求定制加密规则。 ▪ -保证邮件系统各组件间的兼容性和协作性。
结论：邮件加密的未来发展趋势和影响
量子加密技术的发展
量子加密技术是未来邮件加密的重要方向。量子加密技术 可以提供无法破解的加密服务，但目前还处于发展阶段， 需要进一步研究和应用。
▪ 法规对邮件加密的影响
随着数据安全法规的日益严格，邮件加密将成为企业必须遵守的要 求。法规的推动将促进邮件加密技术的发展。
结论：邮件加密的未来发展趋势和影响
邮件加密的经济效益
邮件加密不仅可以保护数据安全，还可以提高企业的经济 效益。通过加密，企业可以避免因数据泄露导致的经济损 失，同时也可以提高客户信任度，增加业务机会。
▪ 邮件加密的社会影响
邮件加密不仅可以保护个人隐私，还可以维护社会稳定。通过加密 ，可以防止敏感信息的泄露，避免引发社会问题。

一．PKI简介PKI是Public Key Infrastructure的缩写，通常译为公钥基础设施。

称为“基础设施”是因为它具备基础设施的主要特征。

PKI在网络信息空间的地位与其他基础设施在人们生活中的地位非常类似。

电力系统通过延伸到用户端的标准插座为用户提供能源；PKI通过延伸到用户的接口为各种网络应用提供安全服务，包括身份认证、识别、数字签名、加密等。

一方面PKI对网络应用提供广泛而开放的支撑；另一方面，PKI系统的设计、开发、生产及管理都可以独立进行，不需要考虑应用的特殊性。

目前，安全的电子商务就是采用建立在PKI基础上的数字证书，通过对要传输的数字信息进行加密和签名来保证信息传输的机密性、真实性、完整性和不可否认性（又称非否认性)，从而保证信息的安全传输和交易的顺利进行。

PKI已成为电子商务应用系统、乃至电子政务系统等网络应用的安全基础和根本保障。

PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的完整性、机密性、不可否认性。

数据的完整性是指数据在传输过程中不能被非法篡改；数据的机密性是指数据在传输过程中，不能被非授权者偷看；数据的不可否认性是指参加某次通信交换的一方事后不可否认本次交换曾经发生过。

二．证书申请1．PKI组件PKI主要包括认证中心CA、注册机构RA、证书服务器、证书库、时间服务器和PKI策略等。

（1）CACA是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。

CA用于创建和发布证书，它通常为一个称为安全域的有限群体发放证书。

创建证书的时候，CA系统首先获取用户的请求信息，其中包括用户公钥（公钥一般由用户端产生，如电子邮件程序或浏览器等），CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。

其他用户、应用程序或实体将使用CA的公钥对证书进行验证。

如果一个CA系统是可信的，则验证证书的用户可以确信，他所验证的证书中的公钥属于证书所代表的那个实体。

更重 要 的是 为 了帮助 寻 找解决 的办 法 。
存在进一步完善和修订补充的问题。同时 ，各建设
单位和开发商各行其 是、各 自为政 的现象仍 然存
在 。２ Ｋ 建 设属 于基 础设 施 建设 ，涉及 面 广泛 ， ）Ｐ Ｉ 需 要 有一 个全 国权 威 的认证 机 构来 统一 各类 Ｐ Ｉ Ｋ 系
形成 通 信瓶颈 。２ 对 内部 的诸 多 安 全 问题 无 能为 ）
Ｐ Ｉ 术 的应 用 缺 陷研 究 Ｋ技
史 伟 奇
（ 湖南公安高等专科学校计算机系 ，湖南长沙 ４ ００ ） １０６
摘一Leabharlann 要公 开 密钥基 础 设施 （ Ｋ ）是 目前 能 够解 决 网络安 全 问题 的可行 方案 ，但 Ｐ Ｉ 观 存在 ＰＩ Ｋ客
些安 全缺 陷应 引起 重视 。分 析 Ｐ Ｉ 个环 节 的 安 全 问题 ， 包括 Ｐ Ｉ的 配套 政 策 、应 用协 议 、 Ｋ 各 Ｋ
包 的 Ｉ、Ｔ Ｐ头 是 未 加 密 的 ，无 法 抵 抗 攻 击 者 对 Ｐ Ｃ
基 金项 目 公安部应用创新项 目，项 目编号 ：２ｏ Ｙ ｘ Ｎ １ ９ ｏ ５ Ｙｃ Ｈ ｓ１ ５；并获 ２０ Ｄ ０７年度湖南省 高校科学 研究 优秀青年项 目
资 助。
作者 简介 史伟奇 （９７ １６一
取 用户证 书 的漏洞 。
１２ ２ ＩＳｃ安全 问题 ． ． Ｐ ｅ
１Ｓｃ安全 协 议 提 供 了传 输 和 隧 道 两 种 模 式 。 Ｐｅ
传输模式具有如下缺点 ：１ 由于端主机必须安 ）
装 ＥＰ （ Ａ Ｓ 或 Ｈ）协 议 ，因 此不 能 实 现对 端 用 户 的 透 明服 务 ，用户得 到安 全服 务 的代价 是牺 牲 内存 和 处 理 时间 。２ 不 能使 用私 有 Ｉ 址 ，必 须使 用公 ） Ｐ地 有 地址 资源 。３ 暴 露 了子 网 内部拓 扑 信 息 。 隧道 ）

IPv6协议面临的网络安全隐患分析[导读]IPv6也不可能彻底解决所有网络安全问题，同时还会伴随其产生新的安全问题，它的应用也给现行的网络体系带来了新的要求和挑战。

IPv4协议是在1975年推出，由于其内在的开放性和不断更新而受到开发人员和用户的欢迎，成为了互联网的通用协议。

随着互联网的迅速发展，IPv4定义的有限地址空间消耗速度正在逐年加快，虽然采取了许多节约地址的方法(如子网划分技术、NAT地址转换、保留IP地址等)，但按照互联网现在的发展速度，IPv4地址将被分配完毕。

IPv4 协议本身也存在着诸多安全缺陷：第一，很容易被窃听和欺骗。

大多数因特网上的流量是没有加密的。

电子邮件口令、文件传输很容易被监听和劫持。

第二，配置的复杂性。

访问控制的配置十分复杂，很容易被错误配置，从而给黑客以可乘之机。

第三，缺乏安全策略。

许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被内部人员滥用。

IPv6 协议的特点与安全性IPv6是由互联网工程任务组(IETF)设计的用来替代现行的IPv4协议的一种新的IP协议，与IPv4相比，IPv6在网络保密性、完整性方面有了更好的改进，在可控性、抗否认性方面有了新的保证，IPv6协议的主要特点为：1、扩展的地址和路由选择功能。

IP地址长度由32位增加到128位，可支持数量大得多的可寻址节点、更多级的地址层次和较为简单的地址自动配置。

2、真正地实现无状态地址自动配置。

大容量的地址空间能够真正实现无状态地址自动配置，使IPv6终端能够快速连接到网络上，无需人工配置，实现了真正的即插即用。

3、简化的首部格式。

IPv4首部的某些字段被取消或改为选项，以减少报文。

分组处理过程中常用情况的处理费用，并使得IPv6首部额带宽开销尽可能低，尽管地址长度增加了。

4、支持扩展首部和选项。

IPv6的选项放在单独的首部中，位于报文分组中IPv6首部和传送层首部之间。

IPv6的另一改进，是其选项与IPv4不同，可具有任意长度，不限于40字节。

3、PKI 服务提供PKI 作为安全基础设施, 能为不同的用户按不同安全需求提供多种安全服务。

这些服务主要包括认证、数据完整性、数据机密性、不可否认性。

3.1 认证服务认证服务即身份识别与鉴别, 就是确认实体即为自己所声明的实体, 鉴别身份的真伪。

PKI 认证服务主要采用数字签名技术, 签名作用于相应的数据之上, 主要有数据源认证服务和身份认证服务。

3.2 数据完整性服务数据完整性服务就是确认数据没有被修改, 即数据无论是在传输还是在存储过程中, 经过检查确认没有被修改。

通常情况下, PKI 主要采用数字签名来实现数据完整性服务。

如果敏感数据在传输和处理过程中被篡改, 接收方就不会受到完整的数字签名, 验证就会失败。

反之, 如果签名通过了验证,就证明接收方受到的是没经修改的完整性数据。

3.3 数据机密性服务数据机密性服务就是确保数据的秘密, 除了指定的实体外,其他没经授权的人不能读出或看懂该数据。

PKI 的机密性服务采用了"数据信封"机制, 即发送方先产生一个对称密钥, 并用该对称密钥加密敏感数据。

同时, 发送方还用接收方的公钥加密对称密钥, 就像把它装入一个"数字信封"。

然后, 把被加密的对称密钥("数字信封")和被加密的敏感数据一起传送给接收方。

接收方用自己的私钥拆开"数字信封", 并得到对称密钥, 再用对称密钥解开被加密的敏感数据。

3.4 不可否认性服务不可否认性服务是指从技术上实现保证实体对他们的行为的诚实性, 在PKI 中, 主要采用数字签名十时间戮的方法防止其对行为的否认。

其中, 人们更关注的是数据来源的不可否认性和接收的不可否认性, 即用户不能否认敏感信息和文件不是来源于他; 以及接收后的不可否认性, 即用户不能否认他已接收到了敏感信息和文件.PKI 技术在网络信息安全中的应用扬中舒5.2 PKI 的服务通常情况下，PKI 提供各种安全服务的方式是通过应用编程接口的方式，各种各样的应用能够根据自己的需要以安全、一致的方式来调用这些接口，使用PKI 提供的安全服务。

一
、
安 全 电 子 邮件 开 发
电子邮件加密技术保护在 Ｅ Ｍ Ｉ 通信中隐私， － ＡＬ 敏感和有价值 的 数据。电子 邮件加密可 以使用 Ｅ ＭＡ Ｌ加密软件完成， — Ｉ 保护 Ｅ ＭＡ Ｌ服 — Ｉ 务器后或者 Ｗｅ ｍ ｉＣ ｎｅｓ ｂ ａｌ ｅｔｒ。 使用电子邮件加密解决方案的邮件软件有 Ｍ ｃ ｓｆ ｕ ｏｋ ｉ ｏ ｔ ｔ ｏ 和 — ｒ ｏ ｌ Ｏ ｔ ｏ ｓ ｏ ｉ 。它也越来越多地 用于移动通信包括黑莓等手提设备 。 ｕ Ｎ ｔ ／ ｍｎ ｓ ｅＤ ｏ
电 子 邮件 加密 得 益 于 ： （ ） 明 ， 易使 用 ， 证 Ｅ ＭＡ Ｌ安 垒 。 １透 容 保 — Ｉ （） ２ 自动加密与利用数字签名保证邮件安全等 。 二 、 用非 对 称 密 钥 体 系 （ ＫＩ Ａ） 密 电子 邮件 采 Ｐ ／ 加 Ｇ
户用 自己的私有密钥进行解密 。 数字证 书是 由认证 中心颁发 的 ， 该证 书是认证 中心 与用户建立信 任关系的基础。在用 户使用数字证书之前必须首先下载和安装。 认证中心是一 家能向用 户签发数字证 书以确认用 户身份 的管理机 构。为 了防止数 字凭证 的伪造 ， 认证中心的公钥必须是可靠的。认证 中 心必须公布其公钥或 由更高级别 的认证 中心提供 一个 电子凭证来证明 其公钥的有效性。后一种方法导致了多级别认证 中心 的出现。 数字证书颁发过程如下 ： 户产 生了 自己的密钥 对 ， 用 并将公钥 以及 部分个人身份信息传送给认证中心。认证中心在核实身份后 ， 将执行一 些必要的步骤 ， 以确信请求确实 由用户发送而来 。然后 ， 认证 中心将发
证 书 的 格 式包 含 Ｘ５ ９数 字 证 书 包 含 以 下一 些 内容 ： ．０ 证 书 的版 本 号 。 证书的序列号。每个证书对于特定 的 Ｃ Ａ来说 都有一个唯一 的证 书序列号。 证 书 的 发 行机 构 名 称 ， 名 规 则 一 般 采用 Ｘ． ０格 式 。 命 ５ ０ 证 书 的有 效 期 。 证书所有 人的名称 。 证 书所 有 人 的公 开 密 钥 。 证 书 发 行 者对 证 书 的签 名 。 数字证 书采用公钥体制 ， 即利用一对互相 匹配 的密钥进行加密 、 解 密 。每个 用户 自己设 定 一 把 特 定 的 仅 为本 人 所 知 的私 有 密 钥 （ 钥 ）用 私 ， 它进行解密和签名 ； 同时设定一把公共密钥 （ 公钥 ） 由本人公 开 ， 并 为一 组用户所共享， 于加密和验证签名 。当发送一份保 密文件 时 ， 用 发送 方 使用接收方 的公钥对数据加密 ， 而接收方则使用 自己的私钥解密 ， 这样 信息就可以安全无误地到达 目的地 了。通过数字 的手段保证加 密过 程 是一个不可逆过程 ， 即只有用私有密钥才能解 密。 在公开密钥密码体制

（Ａ 、 注 册 中 心 （Ａ 、存 储 库 、密 钥 备 份及 恢 复 系 统 、 证 书 作废 处 理系 ｃ） Ｒ） 统 、Ｐ Ｉ 用接 口六 大部分 组成 ，结 构 图如下 ： Ｋ应
Ｉ — — ｒ 五 广 书管 ］ 证 询 证 — — 理 ＿ 书查
证Ｉ 书 操Ｉ 作
用 户 证 书
应用 。而Ｐ Ｉｌ Ｋ Ｊ 密技 术正好 满足 了我 们 的需求 。 Ｊ ￣
的，人 们可 以在 交往 中用 它来识 别对 方 的身份 。
证 书 包 含 用户 的身 份 信 息 、公 钥 和 ｃ 的数 字 签名 。信 任ｃ 的任何 一 Ａ Ａ 方 ，都可 通过 验证 对 方证 书 上 的ｃ数 字签 名 来建 立起 与对 方 的信 任关 系 ， Ａ 并 且 获 得 对 方 公 钥 备 用 。 为 保 证 证 书 通 用 性 ， 通 常 证 书 格 式 遵 守 ＩＵ Ｔ ｘ ０ 标准 ，该 标准把 用 户名 与公钥 等信 息绑 定在 一起 。 ．５ ９ 我 们 的应用 环 境是 一个 基于 ＳＴ 和ＰＰ 协 议 的电子 邮件 系统 ，可 以采 ＹＰ Ｏ３
Ｖ Ａ
鼹 【科产研 】 霪 高技品发
基 于Ｐ 安 全 电子 邮 件 的 设 计 与 发 送 ＫＩ
巨瑜 芳
（ 中国矿业大学 南湖校 区 江苏 徐州 ２１０ ） ２００
摘
要： 由于直接传 送消息存 在的种种 安全隐患 ，公钥基础设施 （ｕ ｌ ｃ Ｋ ｙ Ｉ ｆ ａ ｔ ｕ ｔ ｒ ，Ｐ Ｉ 的出现为 网络应用提供 了可靠 的安全服务 ，从技术上解 Ｐ ｂ ｉ ｅ ｎ ｒ ｓ ｒ ｃ ｕ ｅ Ｋ ）
需 的密 钥和 证 书管 理 ，从 而达 到保 证 网上 传递 信 息 的安全 、 真实 、完 整和

公钥基础设施PKI及其应用PKI-公钥基础设施对称加密算法相同的密钥做加密和解密DES,3-DES,CAST,RC4,IDEA,SSF33,AES加解密速度快，适合大量数据的加密，极强的安全性，增加密钥长度增强密文安全缺点用户难以安全的分享密钥，扩展性差，密钥更新困难，不能用以数字签名，故不能用以身份认证非对称加密算法——公钥算法公私钥对公钥是公开的私钥是由持有者安全地保管用公私钥对中的一个进行加密，用另一个进行解密用公钥加密，私钥解密用私钥签名，公钥验证公钥不能导出私钥发送方用接受方的公钥加密接受方用其私钥解密我国已发布了中国数字签名法签名原理发送方用其私钥进行数字签名接受方用发送方的公钥验证签名RSA,DSA,ECC,Diffie-Hellman优点参与方不用共享密钥扩展性很好实现数字签名缺点慢，不适合大量数据的加解密解决：结合对称密钥算法RSA,ECC同时支持加密和签名密钥和证书管理生命周期X509证书格式，DN,serial,valid date,CRL,public key,extensions,CA digital signature数字证书的验证证书黑名单CRL双证书签名证书密钥只作签名用私钥用户自己保管加密证书密钥做数据加密用私钥应由PKI统一管理CA安全管理证书管理中心策略批准证书签发证书撤消证书发布证书归档密钥管理中心生成恢复更新备份托管证书生命周期申请产生发放查询撤消CA交叉验证应用及证书种类email证书，SET证书，模块签名WEB浏览器证书，WEB服务器证书VPN证书公钥加密是IT安全最基本的保障数字签名身份认证，数字完整，不可抵赖数据加密第1章概述1.1 信息安全的发展趋势1.2 现今的电子商务和电子政务的安全1.3 电子商务、电子政务的安全需求1.3.1 安全策略就是实时计算机信息系统的安全措施及安全管理的知道思想，是在计算机信息系统内，用于所有与安全活动先关的一套规则。

四种常见的电子邮件加密方法针对电子邮件的犯罪案件越来越多，用户在享受电子邮件快捷便利的服务同时还要承受邮件泄密带来的后果，有些邮件泄密后果并不严重、有些确是灾难性的。

为了提高邮件信息的安全性，目前有效的方法是进行邮件加密，通过加密使邮件只能被指定的人进行浏览，确保邮件的安全。

目前常见的邮件加密方式有以下四种：第一种：利用对称加密算法加密邮件对称加密算法是应用较早的加密算法，技术成熟。

在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。

收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。

在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。

对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。

不足之处是，交易双方都使用同样钥匙，安全性得不到保证。

利用对称密码算法对电子邮件进行加密，需要解决密码的传递，保存、交换。

这种方式的邮件加密系统目前很少使用。

典型基于对称加密的邮件加密产品：Office口令加密，PDF口令加密、WinRAR口令加密、WinZip口令加密。

（这种方式用于电子邮件加密上只能用于加密附件）。

第二种：利用传统非对称密钥体系（PKI/CA）加密电子邮件加密系统目前大部分产品都是基于这种加密方式。

PKI(Public KeyInfrastructure)指的是公钥基础设施, CA(Certificate Authority)指的是认证中心。

PKI从技术上解决了网络通信安全的种种障碍；CA从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。

由此，人们统称为“PKI/CA”。

从总体构架来看，PKI/CA主要由最终用户、认证中心和注册机构来组成。

PKI/CA的工作原理就是通过发放和维护数字证书来建立一套信任网络，在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。

PKI技术分析研究摘要基于PKI的电子政务系统，近几年得到了迅速的发展，其安全信息技术和PKI建模技术也在不断的完善，我国的电子政务也在得到不断的发展。

本文从公开密钥基础设施PKI、基于PKI的公钥技术、PKI体系的应用三个方面，进行了系统的分析和论证，并对其应用技术进行了深入的探讨。

为建立科学合理的电子政务PKI体系提供了重要的依据和方法。

关键字：公开密钥基础设施PKI ，公钥技术public key infrastructure PKIAbstractIn recent years, the electronic government affairs system based on the PKI has obtained the rapid development. Its securityinformation technology and PKI modeling technology are also in consummation, and our country's electronic government affairs are obtaining the unceasing development.This article has carried on the systematical analysis and the proof from the three aspetcs of the public key infrastructure PKI, the public key technology based on the PKI, and the PKI system application, and carried on the thorough discussion about its application technology, which provides the important basis and the establishment of the scientific and reasonable electron government affairs PKI system.Keywords: public key infrastructure PKI, the public key technology目录摘要 (i)引言 (1)1 公开密钥基础设施PKI (2)PKI基本原理 (2)PKI的基本构成 (2)2 PKI提供的服务 (3) (3)支持密匙管理 (5)完整性和不可否认性 (6)3 基于PKI的公钥技术 (6)公钥加密 (6)数字签名 (7)4 PKI体系的应用 (7)PKI应用技术 (7)PKI应用前景 (8)5 PKI应用和发展 (10)虚拟专用网络(VPN) (10)安全电子邮件 (11)Web安全 (11)电子商务的应用 (12)结论与谢辞 (13)参考文献 (15)引言全球经济发展正在进入信息经济时代，知识经济初见端倪。

第七章PKI的应用1.PKI的核心服务有哪些？答：基于PKI的服务就是提供常用PKI功能的可复用函数。

PKI的核心服务包括数字签名、身份认证、安全时间戳、安全公证服务和不可否认服务等。

2.PKI实体是如何实现认证、保密、不可否认服务的？答：认证服务：PKI认证服务使用数字签名来确认身份。

其基本过程是向待认证实体出示一项随机质询数据。

实体必须用自己的私钥对质询数据签名或者加密。

如果质询者能用实体证书中的公钥验证签名或者解密数据，那么实体就被认证了。

PKI向实体提供全面的认证服务必须满足两个需求：第一是实体甲必须能够准确无误地得到他希望通信的实体乙的公钥，这是证书的基本目的；第二是在甲没有乙的证书的情况下，甲必须可以从公共的资料库中查询。

通过这种方式，两个陌生人能够建立安全通信保密服务：PKI的保密性服务采用了类似于完整性服务的机制，具体如下：(1)甲生成一个对称密钥(使用密钥协商协议)。

(2)用对称密钥加密数据(使用对称分组密码)。

(3)将加密后的数据发送给对方。

不可否认服务：不可否认服务为当事双方间发生的相互作用提供不可否认的事实。

不可否认性不是一个独立的PKI支持的服务，它依赖于其他PKI支持的服务去实现。

其中主要依赖于时间戳，不可否认性服务需要安全时间戳服务来证明某个特别事件发生在某个特定时间或某个数据在特定日期已经存在等。

另外，不可抵赖服务还需要与数据认证服务连接，以证明“打包”成适合于存储的数据结构。

这些服务也必须与PKI的核心服务(认证、完整性和机密性服务)有机结合。

ISO标准为不可否认服务定义了一组详尽的角色以及不可否认服务的类型，包括源不可否认，交付不可否认，提交不可否认和传输不可否认。

3.在PKI中如何获得对方的证书和相关信息？答：PKI的证书是由一个可信的权威机构——认证中心颁发的。

用户产生了自己的密钥对后，将公共密钥及部分个人身份信息传送给一家认证中心。

认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来。

return
PKI的体系构成(五)
证书签发系统
负责证书的发放。
return
PKI的体系构成(六)
PKI应用
Web服务器和浏览器之间的通讯 电子邮件 电子数据交换（EDI） 互联网上的信用卡交易 虚拟专用网（VPN）
return
PKI的体系构成(七)
PKI应用接Байду номын сангаас系统(API)
良好的应用接口系统使得各种应用能够以安全、 一致、可信的方式与PKI交互，确保所建立的 网络环境的可信性，降低管理和维护的成本。
初步形成一套完整的Internet安全解决方案，即 目前被广泛采用的PKI技术。PKI技术采用证书管 理公钥，通过第三方的可信任机构—认证中心CA
（Certificate Authority）把用户的公钥和用户
的其他标识信息(如名称、E-mail、身份证号等) 捆绑在一起。通过Internet的CA机构，较好的解 决了密钥分发和管理问题，并通过数字证书，对
return
PKI的体系构成(三)
认证中心CA
为了确保用户的身份及他所持有密钥的正确匹配， 公钥系统需要一个可信的第三方充当认证中心 （Certification Authority，CA），来确认公钥拥 有者的真正身份，签发并管理用户的数字证书。
PKI的体系构成(三)续
认证中心CA
是负责管理密钥和数字证书的整个生命周期。 接收并验证最终用户数字证书的申请； 证书审批，确定是否接受最终用户数字证书的申请； 证书签发，向申请颁发、拒绝颁发数字证书； 证书更新，接收、处理最终用户的数字证书更新请求； 接收最终用户数字证书的查询、撤销； 产生和发布证书废止列表(CRL)，验证证书状态； 提供OSCP在线证书查询服务，验证证书状态； 提供目录服务，可以查询用户证书的相关信息； 下级认证机构证书及帐户管理； 数字证书归档； 认证中心CA及其下属密钥的管理； 历史数据归档；

PKI技术分析及应用
陆垂伟;成俊;郑实
【期刊名称】《计算机与数字工程》
【年(卷),期】2006(034)009
【摘要】主要阐述一种网络安全基础设施--PKI,它是电子商务,电子政务等网络业务的安全保障.从PKI的组成、衍生的技术和实践应用等方面详细分析PKI的发展状况,优势和不足,最后简要探讨PKI未来的发展趋势.
【总页数】4页(P56-58,116)
【作者】陆垂伟;成俊;郑实
【作者单位】黄石理工学院计算机学院,黄石,435003;黄石理工学院计算机学院,黄石,435003;黄石理工学院计算机学院,黄石,435003
【正文语种】中文
【中图分类】TP3
【相关文献】
1.电子签名技术在区域卫生信息平台中的几点应用探索——基于PKI技术的卫生系统电子认证服务应用 [J], 王晓花;王新华;邵淼;马洁
2.PKI技术在安全电子邮件的分析及其应用 [J], 张娴
3.WPKI技术分析及应用 [J], 刘芳;邓武
4.WPKI技术分析及应用 [J], 刘芳;邓武
5.PKI技术在电子病历系统中的应用 [J], 陈芝
因版权原因，仅展示原文概要，查看原文内容请购买。

韩国PKI 架构与发展现况韩国为亚洲 PKI 论坛创始会员之一,本篇报导为 PKI 中华北推动员会透过与亚洲 PKI 论坛会员国间的信息交换与交流之合作与互动关系取得并汇整而成.韩国 PKI 架构与发展现况之描述可由其电子认证之法源依据–韩国电子签章法Korea Electronic Signature Act开始.韩国电子签章法建立的主要目标在于确保在网络上处理及传输的电子讯息之安全度与可信赖性,一旦安全与信赖确立后将可进一步带动电子商务发展、落实电子化政府及电子货币等应用,并促进信息社群information community的建立与增进国家整体之便利性.以促进电子商务为主要目标的韩国电子签章法于 1997年10月开始被纳入成为立法议题,该法案于1999年2月颁布并于同年7月份正式实施；2001年底韩国电子签章法进行了修法.韩国电子签章法的主要精神为技术中立,并且针对受鉴定accreditation核可之凭证机构Certificate Authority, CA用以提供核可之认证服务的设备与仪器,实施保护性措施；此外,该法案亦寻求能够达到数字签章稳定性与促进凭证使用目标的基本政策建立工作,并实现跨国数字签章相互承认愿景.韩国电子签章法内涵包括承认执照核可之凭证机构所核发的凭证所执行数字签章之法律效力,并可依此推断该数字签章所对应的电子讯息在签章完毕后是否受到窜改.目前韩国凭证机构执照资格的认定由信息与通讯部 Minister of Information and Communication, MIC 受电子签章法第四条条文所规范,其它的核可细项条件亦已列于相关子法当中；未受电子签章法第四条所认定的其它私领域凭证机构,除了在其营运方面无法订定出其义务与限制条件外,其所核发的数字签章认证亦不具有法力效力.韩国电子签章法所核可的凭证机构条件可分为三方面说明：财务状况方面,例如凭证机构必须拥有650万美元以上的资本额限制；技术能力方面,例如凭证机构内部至少必须拥有超过12名具有认证实务管理经验之工程人员；在设备与仪器方面,例如用以验证申请者身分与处理申请之流程、凭证管理系统等,必须拥有安全设备及实体数据备分装置等措施.整个凭证机构鉴定的程序可由下图描述：截至2003年4月份,韩国受其电子签章法鉴定核可之凭证机构共计6家,其应用主要在金融及政府两领域：金融部分应用如网络银行及网络下单交易的身分验证功能；在公部门领域的应用更为广泛,例如用于报税用途、电子投票、公共物拍卖竞标等应用的公民凭证；其它领域则有如保险契约、购物中心、电子采购与竞标以及电子彩卷等应用.下表格列出上述 6 家受韩国电子千章法鉴定核可之凭证机构名称、其核可执照核发日期、以及截至2003年4月初各家凭证机构所核发的各式凭证数量等相关信息；总括性计算,该6家凭证机构所核发的服务器凭证总数为444张,个人凭证共7,207,371张,企业凭证共1,723,173张.韩国的凭证应用推广情况可由三部分说明：在政府与公部门的推动措施方面包括了,今2003年10月开始的电子化政府服务,已使用电子凭证办理电子化政府业务；信息与通讯部MIC及韩国信息安全局KISA 也在其部门当中实施电子凭证安全电子邮件应用,该应用目前亦逐步拓展至其它的政府部门以及其它公营机构.在民间部门的凭证使用推广方面,则有韩国B2B电子商务使用PKI机制的先导型计划进行当中,而PKI系列的营销与推广活动亦陆续推出.在个人凭证的推动方面,相继有使用PKI小手册的发行及PKI需求广告的推出.韩国的整体PKI 电子架构可如下图所示：。