PKI技术基础--吉大正元

十年吉大正元二次亮剑作者：邱燕娜来源：《中国计算机报》2009年第15期尽管一直保持低调,但是长春吉大正元信息技术股份有限公司(以下简称吉大正元)在我国以密码算法为支撑的安全领域的地位却不容忽视。

在4月21日举办的第十届信息安全大会上,吉大正元荣获“影响十年·中国信息安全发展突出贡献企业奖”,这是对吉大正元10年来一直专注于以密码算法为支撑的安全领域的一个恰如其分的评价。

首次亮剑:引进先进的PKI技术吉大正元主要从事信息安全产品的研发、生产、销售,并提供安全咨询、安全评估和安全集成等服务。

成立于1999年的吉大正元见证了我国以密码算法为支撑的信息安全产业的发展历史。

当时我国有几十家相关企业,经过10年的大浪淘沙,吉大正元成为硕果仅存的几家企业之一。

吉大正元副总裁张全伟告诉记者,2003年是吉大正元发展的一个分水岭。

2003年以前,一批技术型的海归来到吉大正元,引入了全球最先进的PKI技术,促进了我国运营CA的产生和发展。

2003年,随着金盾工程的全面展开,吉大正元也开始了面向电子政务、电子商务的认证、授权与责任认定进行技术及产品研发的征程。

从那以后,吉大正元始终坚持技术创新,产品主要以电子证书认证技术为核心,目前已经打造出安全基础类产品、应用安全支撑类产品、安全应用类产品等系列产品。

到目前为止,吉大正元已经承建了300多个知名大中型信息安全项目,涉及的用户包括政府、军队、军工、金融、电信、能源、大中型企业、区域CA等。

同时,吉大正元参与制定了多项国家、行业PKI/PMI及信息安全相关标准,是WG4(PKI/PMI 标准组)、WG3(密码算法和密码模块工作组)和WG7(安全管理工作组)的主要成员和子项目召集单位,是国家商用密码管理局基础设施工作组、可信计算工作组和电子交易密码应用工作组成员单位。

二次亮剑:建立可信可控的安全架构张全伟分析说,目前我国的信息化建设正在从网络时代向信息时代跨越。

JIT SRQ05 V5.0.2吉大正元电子证书认证系统技术白皮书Version 1.2有意见请寄：************.cn中国·北京市海淀区知春路113号银网中心B座12层电话：86-010-******** 传真：86-010-********吉大正元信息技术股份有限公司声明本文档是吉大正元信息技术股份有限公司的机密文档，文档的版权属于吉大正元信息技术股份有限公司，任何使用、复制和公开此文档的行为都必须经过吉大正元信息技术股份有限公司的书面许可。

内部资料请注意保密版本、密级及修改记录目录1前言 (1)1.1应用场景描述 (1)1.2需求描述 (1)1.3术语和缩略语 (3)1.3.1术语 (3)1.3.2缩略语 (4)2产品概述 (5)2.1产品简介 (5)2.2产品实现原理 (5)2.3产品系统架构 (7)3功能流程 (8)3.1产品功能 (8)3.1.1认证中心（CA Server） (8)3.1.2注册中心（RA Server） (8)3.1.3密钥管理中心（KM Server） (8)3.1.4在线证书状态查询服务（OCSP Server） (8)3.2工作流程 (9)3.2.1认证中心（CA Server） (9)3.2.2注册中心（RA Server） (12)3.2.3密钥管理中心（KM Server） (16)3.2.4在线证书状态查询系统（OCSP Server） (20)4产品特点 (20)4.1丰富完备的功能 (20)4.2部署灵活、操作简单 (21)4.3完全符合国内、国际PKI建设标准 (21)4.4系统平台的高安全性 (22)4.5稳定的性能保证系统的高可用性 (23)4.6广泛的平台兼容性 (23)4.7系统架构的可扩展性 (24)4.8良好的易用性与安全清晰的管理模式 (24)4.9应用平台的开放性 (25)5运行部署 (25)5.1交付产品和系统配置 (25)5.1.1产品逻辑结构图 (25)5.1.2产品清单 (26)5.1.3推荐配置 (27)5.2产品规格和L ICENSE机制 (27)5.3系统组成 (27)5.3.1部署结构－全面型 (27)5.3.2部署结构－精简型 (29)5.3.3部署结构－密钥托管型 (30)6资质证书 (32)7典型案例 (32)图表目录图表1-1术语对照表 (4)图表1-2缩略语对照表 (4)图表2-1系统体系结构 (7)图表4-1SRQ05支持的标准 (22)图表5-1逻辑结构图 (25)图表5-2产品清单 (26)图表5-3推荐配置 (27)图表5-4部署结构图－全面型 (28)图表5-5系统组成清单－全面型 (29)图表5-6部署结构图－精简型 (29)图表5-7系统组成清单－精简型 (30)图表5-8部署结构图－密钥托管型 (31)图表5-9系统组成清单－密钥托管型 (31)1 前言1.1 应用场景描述在现实生活中，表达人身份的是居民身份证，而在当前信息化程度越来越高的网络环境中，证书越来越被广泛的用来代表人、设备、服务器等实体的身份；现实生活中，居民身份证是由公安局进行颁发和管理的，那么在网络环境中，用来颁发和管理身份证书就是公钥基础设施。

pki技术的基本原理及常规应用PKI技术的基本原理及常规应用一、PKI技术的概念PKI技术是公钥基础设施（Public Key Infrastructure）的缩写，是一种安全通信机制。

它通过使用非对称加密算法和数字证书来确保通信的机密性、完整性和可信度。

PKI技术包括公钥加密、数字签名、证书管理等多个方面。

二、PKI技术的基本原理1. 公钥加密公钥加密是指使用公钥对数据进行加密，只有私钥才能解密。

在此过程中，发送方需要获取接收方的公钥，并使用该公钥对数据进行加密。

接收方收到数据后，使用自己的私钥进行解密。

2. 数字签名数字签名是指将消息摘要与发送者的私钥进行加密生成签名，并将该签名与消息一起发送给接收者。

接收者可以使用发送者的公钥来验证签名是否正确，从而确保消息没有被篡改过。

3. 证书管理证书管理是指建立一个可信任的第三方机构（CA）来颁发数字证书，以确保公钥和实体之间的关系可信。

数字证书包含了实体（如个人或组织）和其对应公钥信息，并由CA进行签名认证。

三、PKI技术的常规应用1. 数字证书数字证书是PKI技术的核心，它可以用于各种场景，如SSL/TLS协议中的HTTPS，VPN连接等。

数字证书还可以用于身份认证、电子邮件签名和加密等。

2. 数字签名数字签名可以用于文件和数据的完整性验证，确保数据没有被篡改。

数字签名还可以用于电子合同、电子票据等场景。

3. 数字信封数字信封是指将数据进行加密，并将加密后的数据和接收者公钥一起发送给接收者。

接收者使用自己的私钥进行解密，从而确保通信内容机密性和完整性。

4. VPN连接VPN连接是指通过公共网络建立安全通信隧道，以实现远程访问。

PKI技术可以在VPN连接中使用数字证书进行身份验证和加密通信。

5. 身份认证PKI技术可以用于实现用户身份认证，如在网银系统中使用数字证书进行用户身份认证。

四、总结PKI技术是一种安全通信机制，它通过公钥加密、数字签名和证书管理等多个方面来确保通信的机密性、完整性和可信度。

PKI基础知识与技术原理PKI（Public Key Infrastructure，公钥基础设施）是一种用于建立和管理公钥的框架和技术体系。

在现代通信和信息安全领域，PKI被广泛用于实现加密，数字签名，身份认证等安全功能。

本文将介绍PKI的基础知识和技术原理。

PKI的基本概念和结构PKI由以下几个基本组件组成：1.证书颁发机构（CA）：负责颁发和管理数字证书的机构。

CA验证证书请求者的身份，并使用自己的私钥对其公钥进行签名，生成数字证书。

2.注册机构（RA）：协助CA进行身份验证，并收集和验证相关的证书申请信息。

3.证书库：存储已经签名的数字证书的数据库，提供证书的查询和验证功能。

4.证书撤销列表（CRL）：包含所有被吊销的证书的列表，用于确认一些证书是否有效。

5.客户端/用户：需要使用PKI的终端用户或设备。

PKI的工作流程1.申请证书：用户通过向CA提交自己的公钥和相关的身份信息，向CA请求颁发数字证书。

3.证书颁发：一旦身份验证通过，CA会使用自己的私钥对公钥进行签名，生成数字证书，并将其发送给用户。

4.证书验证：用户在使用证书时，需要验证其有效性和真实性。

用户可以使用证书库中的证书撤销列表（CRL）或在线查询CA的证书吊销状态来确认证书的有效性。

5.证书更新与吊销：如果用户的证书过期或无效，用户需要向CA申请更新或吊销证书。

CA会验证用户的身份，并根据情况更新或吊销证书。

PKI的技术原理PKI使用了非对称加密算法，其中包括公钥和私钥。

公钥可以公开向他人提供，用于加密数据和验证数字签名。

私钥则需要严格保密，用于解密数据和生成数字签名。

PKI的主要应用场景有：1.加密：使用接收者的公钥对数据进行加密，只有接收者才能使用自己的私钥解密。

2.数字签名：使用发送者的私钥对数据进行签名，接收者可以使用发送者的公钥验证签名的真实性。

3.身份认证：使用数字证书对用户进行身份验证，以确保网络交互的安全性和真实性。

PKI系统中加密机的设计分析1吉大正元信息技术股份有限公司高建峰摘要PKI(Public Key Infrastructure)1技术是流行的网络身份认证技术和手段，目前我们国家PKI系统开始大规模的建设。

密码系统的设计是PKI系统的核心，本文主要分析了PKI系统中加密机的设计。

关键词CA1证书1Design of securiy server in PKI systemJilin University Information Technologies Com.,Ltd Gao JianfengAbstract PKI has been recognized as one of the most effective tools for providing security for networks. PKI system of our coutry begin to be constructed on a large scale.The securiy server is kernel of the PKI system .Designs of securiy server in PKI system is analyzed in the paper.Key words certificate authority certificate1前言随着信息革命的兴起和信息时代的到来，世界范围内正在掀起一场迅猛的信息化浪潮，呈现出以信息为根本特征的崭新面貌。

在这一新的发展机遇与历史抉择面前，许多国家纷纷确立以推进信息化为特征的发展战略，在信息化建设的过程中如何解决在开放的网络体系中用户身份的认证、传输信息的保密、信息的防篡改、信息的防抵赖行为是信息化建设过程中必须要解决的问题。

目前的安全技术，只有PKI技术通过加密、数字签名技术手段可以完美的解决以上的安全问题。

建设PKI基础设施、使用PKI技术成为了信息化建设的一个关键步骤。