PKI技术基础--吉大正元

十年吉大正元二次亮剑作者：邱燕娜来源：《中国计算机报》2009年第15期尽管一直保持低调,但是长春吉大正元信息技术股份有限公司(以下简称吉大正元)在我国以密码算法为支撑的安全领域的地位却不容忽视。

在4月21日举办的第十届信息安全大会上,吉大正元荣获“影响十年·中国信息安全发展突出贡献企业奖”,这是对吉大正元10年来一直专注于以密码算法为支撑的安全领域的一个恰如其分的评价。

首次亮剑:引进先进的PKI技术吉大正元主要从事信息安全产品的研发、生产、销售,并提供安全咨询、安全评估和安全集成等服务。

成立于1999年的吉大正元见证了我国以密码算法为支撑的信息安全产业的发展历史。

当时我国有几十家相关企业,经过10年的大浪淘沙,吉大正元成为硕果仅存的几家企业之一。

吉大正元副总裁张全伟告诉记者,2003年是吉大正元发展的一个分水岭。

2003年以前,一批技术型的海归来到吉大正元,引入了全球最先进的PKI技术,促进了我国运营CA的产生和发展。

2003年,随着金盾工程的全面展开,吉大正元也开始了面向电子政务、电子商务的认证、授权与责任认定进行技术及产品研发的征程。

从那以后,吉大正元始终坚持技术创新,产品主要以电子证书认证技术为核心,目前已经打造出安全基础类产品、应用安全支撑类产品、安全应用类产品等系列产品。

到目前为止,吉大正元已经承建了300多个知名大中型信息安全项目,涉及的用户包括政府、军队、军工、金融、电信、能源、大中型企业、区域CA等。

同时,吉大正元参与制定了多项国家、行业PKI/PMI及信息安全相关标准,是WG4(PKI/PMI 标准组)、WG3(密码算法和密码模块工作组)和WG7(安全管理工作组)的主要成员和子项目召集单位,是国家商用密码管理局基础设施工作组、可信计算工作组和电子交易密码应用工作组成员单位。

二次亮剑:建立可信可控的安全架构张全伟分析说,目前我国的信息化建设正在从网络时代向信息时代跨越。

JIT SRQ05 V5.0.2吉大正元电子证书认证系统技术白皮书Version 1.2有意见请寄：************.cn中国·北京市海淀区知春路113号银网中心B座12层电话：86-010-******** 传真：86-010-********吉大正元信息技术股份有限公司声明本文档是吉大正元信息技术股份有限公司的机密文档，文档的版权属于吉大正元信息技术股份有限公司，任何使用、复制和公开此文档的行为都必须经过吉大正元信息技术股份有限公司的书面许可。

内部资料请注意保密版本、密级及修改记录目录1前言 (1)1.1应用场景描述 (1)1.2需求描述 (1)1.3术语和缩略语 (3)1.3.1术语 (3)1.3.2缩略语 (4)2产品概述 (5)2.1产品简介 (5)2.2产品实现原理 (5)2.3产品系统架构 (7)3功能流程 (8)3.1产品功能 (8)3.1.1认证中心（CA Server） (8)3.1.2注册中心（RA Server） (8)3.1.3密钥管理中心（KM Server） (8)3.1.4在线证书状态查询服务（OCSP Server） (8)3.2工作流程 (9)3.2.1认证中心（CA Server） (9)3.2.2注册中心（RA Server） (12)3.2.3密钥管理中心（KM Server） (16)3.2.4在线证书状态查询系统（OCSP Server） (20)4产品特点 (20)4.1丰富完备的功能 (20)4.2部署灵活、操作简单 (21)4.3完全符合国内、国际PKI建设标准 (21)4.4系统平台的高安全性 (22)4.5稳定的性能保证系统的高可用性 (23)4.6广泛的平台兼容性 (23)4.7系统架构的可扩展性 (24)4.8良好的易用性与安全清晰的管理模式 (24)4.9应用平台的开放性 (25)5运行部署 (25)5.1交付产品和系统配置 (25)5.1.1产品逻辑结构图 (25)5.1.2产品清单 (26)5.1.3推荐配置 (27)5.2产品规格和L ICENSE机制 (27)5.3系统组成 (27)5.3.1部署结构－全面型 (27)5.3.2部署结构－精简型 (29)5.3.3部署结构－密钥托管型 (30)6资质证书 (32)7典型案例 (32)图表目录图表1-1术语对照表 (4)图表1-2缩略语对照表 (4)图表2-1系统体系结构 (7)图表4-1SRQ05支持的标准 (22)图表5-1逻辑结构图 (25)图表5-2产品清单 (26)图表5-3推荐配置 (27)图表5-4部署结构图－全面型 (28)图表5-5系统组成清单－全面型 (29)图表5-6部署结构图－精简型 (29)图表5-7系统组成清单－精简型 (30)图表5-8部署结构图－密钥托管型 (31)图表5-9系统组成清单－密钥托管型 (31)1 前言1.1 应用场景描述在现实生活中，表达人身份的是居民身份证，而在当前信息化程度越来越高的网络环境中，证书越来越被广泛的用来代表人、设备、服务器等实体的身份；现实生活中，居民身份证是由公安局进行颁发和管理的，那么在网络环境中，用来颁发和管理身份证书就是公钥基础设施。

pki技术的基本原理及常规应用PKI技术的基本原理及常规应用一、PKI技术的概念PKI技术是公钥基础设施（Public Key Infrastructure）的缩写，是一种安全通信机制。

它通过使用非对称加密算法和数字证书来确保通信的机密性、完整性和可信度。

PKI技术包括公钥加密、数字签名、证书管理等多个方面。

二、PKI技术的基本原理1. 公钥加密公钥加密是指使用公钥对数据进行加密，只有私钥才能解密。

在此过程中，发送方需要获取接收方的公钥，并使用该公钥对数据进行加密。

接收方收到数据后，使用自己的私钥进行解密。

2. 数字签名数字签名是指将消息摘要与发送者的私钥进行加密生成签名，并将该签名与消息一起发送给接收者。

接收者可以使用发送者的公钥来验证签名是否正确，从而确保消息没有被篡改过。

3. 证书管理证书管理是指建立一个可信任的第三方机构（CA）来颁发数字证书，以确保公钥和实体之间的关系可信。

数字证书包含了实体（如个人或组织）和其对应公钥信息，并由CA进行签名认证。

三、PKI技术的常规应用1. 数字证书数字证书是PKI技术的核心，它可以用于各种场景，如SSL/TLS协议中的HTTPS，VPN连接等。

数字证书还可以用于身份认证、电子邮件签名和加密等。

2. 数字签名数字签名可以用于文件和数据的完整性验证，确保数据没有被篡改。

数字签名还可以用于电子合同、电子票据等场景。

3. 数字信封数字信封是指将数据进行加密，并将加密后的数据和接收者公钥一起发送给接收者。

接收者使用自己的私钥进行解密，从而确保通信内容机密性和完整性。

4. VPN连接VPN连接是指通过公共网络建立安全通信隧道，以实现远程访问。

PKI技术可以在VPN连接中使用数字证书进行身份验证和加密通信。

5. 身份认证PKI技术可以用于实现用户身份认证，如在网银系统中使用数字证书进行用户身份认证。

四、总结PKI技术是一种安全通信机制，它通过公钥加密、数字签名和证书管理等多个方面来确保通信的机密性、完整性和可信度。

PKI基础知识与技术原理PKI（Public Key Infrastructure，公钥基础设施）是一种用于建立和管理公钥的框架和技术体系。

在现代通信和信息安全领域，PKI被广泛用于实现加密，数字签名，身份认证等安全功能。

本文将介绍PKI的基础知识和技术原理。

PKI的基本概念和结构PKI由以下几个基本组件组成：1.证书颁发机构（CA）：负责颁发和管理数字证书的机构。

CA验证证书请求者的身份，并使用自己的私钥对其公钥进行签名，生成数字证书。

2.注册机构（RA）：协助CA进行身份验证，并收集和验证相关的证书申请信息。

3.证书库：存储已经签名的数字证书的数据库，提供证书的查询和验证功能。

4.证书撤销列表（CRL）：包含所有被吊销的证书的列表，用于确认一些证书是否有效。

5.客户端/用户：需要使用PKI的终端用户或设备。

PKI的工作流程1.申请证书：用户通过向CA提交自己的公钥和相关的身份信息，向CA请求颁发数字证书。

3.证书颁发：一旦身份验证通过，CA会使用自己的私钥对公钥进行签名，生成数字证书，并将其发送给用户。

4.证书验证：用户在使用证书时，需要验证其有效性和真实性。

用户可以使用证书库中的证书撤销列表（CRL）或在线查询CA的证书吊销状态来确认证书的有效性。

5.证书更新与吊销：如果用户的证书过期或无效，用户需要向CA申请更新或吊销证书。

CA会验证用户的身份，并根据情况更新或吊销证书。

PKI的技术原理PKI使用了非对称加密算法，其中包括公钥和私钥。

公钥可以公开向他人提供，用于加密数据和验证数字签名。

私钥则需要严格保密，用于解密数据和生成数字签名。

PKI的主要应用场景有：1.加密：使用接收者的公钥对数据进行加密，只有接收者才能使用自己的私钥解密。

2.数字签名：使用发送者的私钥对数据进行签名，接收者可以使用发送者的公钥验证签名的真实性。

3.身份认证：使用数字证书对用户进行身份验证，以确保网络交互的安全性和真实性。

PKI系统中加密机的设计分析1吉大正元信息技术股份有限公司高建峰摘要PKI(Public Key Infrastructure)1技术是流行的网络身份认证技术和手段，目前我们国家PKI系统开始大规模的建设。

密码系统的设计是PKI系统的核心，本文主要分析了PKI系统中加密机的设计。

关键词CA1证书1Design of securiy server in PKI systemJilin University Information Technologies Com.,Ltd Gao JianfengAbstract PKI has been recognized as one of the most effective tools for providing security for networks. PKI system of our coutry begin to be constructed on a large scale.The securiy server is kernel of the PKI system .Designs of securiy server in PKI system is analyzed in the paper.Key words certificate authority certificate1前言随着信息革命的兴起和信息时代的到来，世界范围内正在掀起一场迅猛的信息化浪潮，呈现出以信息为根本特征的崭新面貌。

在这一新的发展机遇与历史抉择面前，许多国家纷纷确立以推进信息化为特征的发展战略，在信息化建设的过程中如何解决在开放的网络体系中用户身份的认证、传输信息的保密、信息的防篡改、信息的防抵赖行为是信息化建设过程中必须要解决的问题。

目前的安全技术，只有PKI技术通过加密、数字签名技术手段可以完美的解决以上的安全问题。

建设PKI基础设施、使用PKI技术成为了信息化建设的一个关键步骤。

PMI技术白皮书总部：中国·长春前进大街2266号电话：86-0431-*******传真：86-0431-******* 吉大正元信息技术股份有限公司目录产品相应技术PMI概览计算机网络能有效地实现资源共享，但资源共享和信息安全是一对矛盾体。

随着资源共享的进一步加强，随之而来的信息安全问题也日益突出，而身份认证，权限和访问控制又是网络应用安全的两个重要内容，因此它们也成为了当前信息安全领域中的研究热点。

许多应用系统都需要分别在这两个方面采取了相应的安全措施。

但是，对一些大型的组织机构来说，其网络结构比较复杂，应用系统比较多，如果分别对不同的应用系统采用不同的安全策略，则管理将变得越来越复杂，甚至难以控制。

不同的用户对应不同的应用系统，由于机构的网络结构比较复杂，应用系统和用户都是分散分布的，因此对用户的访问控制和权限管理就显得非常的复杂和凌乱。

而机构必须要能够控制：有“谁”能够访问机构的信息，用户访问的是“什么信息”，哪个用户被授予什么样的“权限”。

一旦机构确定了权限管理和发布的方式，访问控制系统就可以根据机构发放的权限以及定义的安全策略控制用户访问，保护应用系统。

然而，过去在权限生命周期管理，权限的表达和权限管理方式方面没有更成熟更实用的成果，权限管理方案发展相对滞后。

相反，访问控制，或者说授权服务，已经十分成熟，在过去的研究和应用中已经获得了很多的成果，建立了我们目前主要使用的DAC，ACL，MAC，RBAC访问控制模型，其中ACL 和MAC得到了最普遍的应用。

目前，RBAC模型也已经比较成熟，支持了最新的应用。

传统的应用系统通常是通过使用用户名和口令的方式来实现对用户的访问控制的，而对权限的控制是每个应用系统分别进行的，不同的应用系统分别针对保护的资源进行权限的管理和控制，这种方式存在一些缺点。

同时，又因为不同系统的设计和实施策略不同，导致了同一机构内存在多种权限管理的现状。

目前，缺乏有效的权限管理带来了以下问题：⏹权限管理混乱对一个机构而言，数据和人力资源都是统一的。

国家电子政务外网电子认证体系推广分析高建峰(吉大正元信息技术股份有限公司，北京 100086)摘要：我国电子政务建设已经取得了很大的成绩，国家电子政务外网建设已经完成，电子认证体系的建设也已经完成，具备推广的条件，但从总体上看，我国电子政务建设仍存在比较大的问题。

论文主要论述了国家电子政务外网认证体系推广的必要性，指出了推广过程中需要注意的问题。

关键词：电子认证体系证书中图分类号：TP309.7 文献标识码：AThe analysis of the Public Key Infrastructure (PKI) of The national exterior e-governmentnetwork（GAO Jian-feng Jilin University Information Technologies Co.,Ltd）【Abstract】E-government construction in China has made great achievements, The national exterior e-government network construction has been completed and the Public Key Infrastructure (PKI) has been completed, with the promotion of the conditions, but generally speaking,e-government construction in China is still relatively large question. This article focuses on the Public Key Infrastructure (PKI)of the the national exterior e-government network to promote the need for the Public Key Infrastructure (PKI)，pointing out that the promotion of the process need to pay attention to.【Keywords】Public Key Infrastructure (PKI) Certificate0 引言随着改革开放和社会主义现代化建设的进一步推进，我国电子政务建设已经取得了很大的成绩。

数字认证、卫士通、飞天、吉大正元、中孚、格尔密码产业链深度梳理提到“密码”一词，你可能会联想到开机“密码”、微信登录“密码”、支付“密码”等，但这些“密码”，实际上还不能叫做密码，它们只是个简单的“口令”，是一种简单、初级的身份认证手段。

这些口令，与《密码法》中的“密码”差异巨大。

真正的密码，指的是使用特定变换的方法，对信息等进行加密保护、安全认证的产品技术和服务。

它一般藏在安全支付设备中、网络系统内，以保护信息安全。

密码，分为核心密码、普通密码、商用密码。

其中，核心密码（绝密）、普通密码（普密）用于保护行政级保密信息，而商用密码，则用于保护不属于行政级保密的信息的商用领域。

所以，与大众相关性更高且可以商业化的商用密码产业链，是我们今天研究的重点。

商用密码这条产业链，属于网络安防的细分分支。

对网络安防领域，我们之前在科技版报告库中，做过系列梳理，包括终端防护（奇安信）、超融合+安防（深信服）、老牌网络安防（启明星辰）、数据可视化（中新赛克）等。

对本案所在的商用密码产业链，其上中下游，依次为：上游——密码/安全芯片、印刷电路板、服务器等IT设备及软件开发工具，代表公司包括浪潮信息（毛利率11.88%）、深南电路（毛利率26.53%）、生益科技（毛利率26.65%）。

（对深南、生益，我们在科技版报告库中，做过研究）中游——以密码技术为核心的产品、服务提供商，产品包括智能IC 卡、智能密码钥匙（USB Key）、密码机、电子签章、数字证书认证系统等。

代表公司包括卫士通（毛利率32.54%）、飞天诚信（38.37%）、中孚信息（69.87%）、格尔软件（58.56%）、数字认证（60.27%）。

综合网安厂商，部分产品涉及密码技术，如启明星辰（65.79%）、奇安信（56.72%）、深信服（72.19%），以及硬盘等数字产品巨头Western Digital、Samsung Electronics。

（对启明星辰、深信服、奇安信，我们在科技版报告库中，都做过研究，此处不详述）下游——客户主要是机关、军工、银行、证券，以及大型企业集团。