3.2.3　PKI及WPKI技术

PKI（Public　Key　Infrastructure）公钥基础设施，是一个用公钥技术来提供和实施安全服务的、具有普遍性的安全基础设施。PKI证书采用证书管理公钥，通过第三方的可认证机构（认证中心）把用户的公钥和其他标识信息捆绑在一起来验证用户的身份，目前通用的方法就是采用建立在PKI基础之上的数字证书，把要传输的信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证安全传输信息。从广义上说，所有的提供公钥加密和数字签名服务的系统都可称为PKI系统，PKI的主要目的是通过自动管理密钥和证书为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便地使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。

用户可以利用PKI平台所提供的服务来进行安全通信，使用基于公钥技术的用户建立安全通信信任机制的基础是:网上进行的任何需要安全服务的通信都是建立在公钥的基础上的，而与公钥配对的私钥只掌握在与他们通信的另一方，公钥证书的使用是实现这个信任的基础。公钥证书是一个用户的身份与他所持有的公钥的结合，在结合之前由一个可信任的机构（认证中心）来证实用户的身份，然后由其对该用户身份及其对应公钥相结合的证书来进行数字签名，用这种方法来证明证书的有效性。

PKI系统主要由以下几部分组成，如图3-4所示。

图3-4　PKI系统组成

（1）认证中心（CA）。CA对用户的真实身份进行验证后，对身份信息和数据结构进行数字签名，将公钥和用户的身份捆绑起来，这样的数据结构称为公钥证书，CA还负责签发证书撤销表（CRL）。直接被终端信任的CA称为根CA。

（2）注册中心（RA）。RA的功能是由PKI系统决定的，但基本都具有以下功能:代替CA确认终端实体的身份；生成用户的密钥资料；代表终端用户启动和CA的认证过程；执行密钥、证书生命周期的管理功能。LRA（Local　Registration　Authority）为本地注册中心。

（3）目录服务。目录服务是PKI系统中的一个重要组成部分，用户可以通过目录服务器发布用户的证书和黑名单信息。

（4）管理协议。该协议用于管理证书的注册、生效、发布和撤销。(www.daowen.com)

（5）操作协议。操作协议允许用户通过目录、证书库等途径检索验证证书和CRL。

（6）客户端软件。客户端软件能够协助用户管理、检索证书的相关撤销信息，知道何时需要请求密钥更新或恢复操作的功能。

PKI在有线网络中提供安全服务的经验对于研究无线网络的安全有很大的帮助。PKI中的公钥证书和密钥管理机制可以确保无线网络通信安全。但是由于无线网络的特性，使得无线网络的安全问题更复杂，PKI技术在无线环境中的应用非常困难。为了更好地解决这些困难，于是就产生了无线公钥基础设施（WPKI）。

WPKI（又称无线PKI），它将有线网络中的PKI安全机制引入到无线网络环境中，为了满足移动系统安全的要求而设计的，其作用主要是提供保密性、完整性、真实性、不可抵赖性，用它来管理无线网络环境中使用的密钥与数字证书，可以有效建立安全和值得信赖的无线网络环境，从而为移动电子政务环境中的信息传输和身份认证提供安全保证。

不仅如此，WPKI技术还能为移动运营商的不同无线网络上的各种应用提供加密和数字签名等密码安全服务，有了WPKI的保障，就可以自如地在手机能够使用的任何角落轻松的进行移动政务活动。

在移动电子政务中，如何实现在线、实时、安全的信息交换是技术实施的核心，尤其在移动环境下，需要准确地识别人员身份、判别账号真伪，并迅速、安全地实现信息传输处理。使用WPKI进行移动电子政务工作的流程如图3-5所示。

移动终端通过注册机构向证书中心申请数字证书，证书中心经过审核用户身份后签发数字证书给用户，用户将证书、私钥存放在智能卡中，移动终端在无线网络上进行电子政务操作时利用数字证书保证端对端的安全。服务提供商则通过验证用户证书确定用户身份，并提供给用户相应的服务，从而实现电子政务在无线网络上的安全运行。

图3-5　WPKI安全体系架构图