PKI/CA和数字证书

互联网的发展和信息技术的普及，给人们的工作和生活带来了前所未有的便利。然而，由于互联网所具有的广泛性和开放性，决定了互联网不可避免地存在着信息安全隐患。为了防范信息安全风险，许多新的安全技术和规范不断涌现，PKI（Public Key Infrastructure，公开密钥基础设施）即是其中一员。

PKI产生于二十世纪八十年代，它是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。不难看出，建立以PKI为基础的安全解决方案，无论是对在Intranet上开展的无纸办公等内部业务，还是对电子支付、网上证券交易、网上购物、网上教育、网上娱乐等网络应用，都是一种安全可靠的选择。

在PKI体系中，CA（Certificate Authority，认证中心）和数字证书是密不可分的两个部分。认证中心又叫CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节，因此又称作PKI/CA。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。

数字证书，又叫“数字身份证”、“数字ID”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。

数字证书采用公开密钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的、仅为本人所知的专有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过使用数字证书，使用者可以得到如下保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖；信息自数字签名后到收到为止，未曾作过任何修改，签发的文件是真实文件。

目前，PKI技术已趋于成熟，其应用已覆盖了从安全电子邮件、虚拟专用网络（VPN）、Web交互安全到电子商务、电子政务、电子事务安全的众多领域，许多企业和个人已经从PKI技术的使用中获得了巨大的收益。