三、PKI在企业网络安全中应用

    近几年，我国在推动中国PKI技术发展与应用方面取得巨大的进展，在PKI自主技术开发方面也取得了一定的成绩。但是，PKI作为信息安全的核心技术，在我国网络信任体系建设、数字签名法、信息安全重点基础建设方面尚未得到广泛的推广应用。2005年亚洲PKI论坛第五届国际研讨会中，以电子政务与电子商务的应用为切入点，推动中国PKI技术的应用与发展。下面是我们经常遇到的几种常见应用。

    ① 虚拟专用网络(VPN)

    通常，企业在架构VPN时都会利用防火墙和访问控制技术来提高VPN的安全性，这只解决了很少一部分问题，而一个现代VPN所需要的安全保障，如认证、机密、完整、不可否认以及易用性等都需要采用更完善的安全技术。在实现上，VPN的基本思想是采用秘密通信通道，用加密的方法来实现。具体协议一般有三种：PPTP、L2TP和IPSec。

    基于PKI技术的IPSec协议现在已经成为架构VPN的基础，它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些，但其安全性比其他协议都完善得多。由于IPSec是IP层上的协议，因此很容易在全世界范围内形成一种规范，具有非常好的通用性，而且IPSec本身就支持面向未来的IPv6协议。总之，IPSec还是一个发展中的协议，随着成熟的公钥密码技术越来越多地嵌入到IPSec中，相信在未来几年内，该协议会在VPN世界里扮演越来越重要的角色。

    ② 安全电子邮件

    电子邮件的安全需求也是机密、完整、认证和不可否认，而这些都可以利用PKI技术来获得。具体来说，利用数字证书和私钥，用户可以对他所发的邮件进行数字签名，这样就可以获得认证、完整性和不可否认性，如果证书是由其所属公司或某一可信第三方颁发的，收到邮件的人就可以信任该邮件的来源，无论他是否认识发邮件的人；另一方面，在政策和法律允许的情况下，用加密的方法就可以保障信息的保密性。目前发展很快的安全电子邮件协议是S/MIME，这是一个允许发送加密和有签名邮件的协议，该协议的实现需要依赖于PKI技术。
 
    ③ Web安全

    为了透明地解决Web的安全问题，最合适的入手点是浏览器。现在，无论是Internet Explorer还是Netscape Navigator，都支持SSL协议。这是一个在传输层和应用层之间的安全通信层，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全，服务器端和浏览器端分别由可信的第三方颁发数字证书，这样在交易时，双方可以通过数字证书确认对方的身份。需要注意的是，SSL协议本身并不能提供对不可否认性的支持，这部分的工作必须由数字证书完成。结合SSL协议和数字证书，PKI技术可以保证Web交易多方面的安全需求，使Web上的交易和面对面的交易一样安全。
   
    ④ 电子商务的应用

    PKI技术是解决电子商务安全问题的关键，综合PKI的各种应用，我们可以建立一个可信任和足够安全的网络。在这里，我们有可信的认证中心，典型的如银行、政府或其他第三方。在通信中，利用数字证书可消除匿名带来的风险，利用加密技术可消除开放网络带来的风险，这样，商业交易就可以安全可靠地在网上进行。

    网上商业行为只是PKI技术目前比较热门的一种应用，必须看到，PKI还是一门处于发展中的技术。例如，除了对身份认证的需求外，现在又提出了对交易时间戳的认证需求。PKI的应用前景也决不仅限于网上的商业行为，事实上，网络生活中的方方面面都有PKI的应用天地，不只在有线网络，甚至在无线通信中，PKI技术都已经得到了广泛的应用。

    四、PKI 的应用发展前景

    PKI似乎可以解决绝大多数网络安全问题，并初步形成了一套完整的解决方案，它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。

    公钥基础设施(PKI)是信息安全基础设施的一个重要组成部分，是一种普遍适用的网络安全基础设施。数字证书认证中心CA、审核注册中心RA、密钥管理中心KM都是组成PKI的关键组件。作为提供信息安全服务的公共基础设施，PKI是目前公认的保障网络社会安全的非常好的体系。在我国，PKI建设在几年前就已开始启动，截至目前，金融、政府、电信等部门已经建立了30多家CA认证中心。如何推广PKI应用，加强系统之间、部门之间、国家之间PKI体系的互通互联，已经成为目前PKI建设亟待解决的重要问题。

    由于 PKI 体系结构是目前比较成熟、完善的 Internet 网络安全解决方案，国外的一些大的网络安全公司纷纷推出一系列的基于PKI 的网络安全产品，如美国的 Verisign， IBM，Entrust 等安全产品供应商为用户提供了一系列的客户端和服务器端的安全产品，为电子商务的发展提供了安全保证。为电子商务、政府办公网、EDI 等提供了完整的网络安全解决方案。

    随着 Internet 应用的不断普及和深入，政府部门需要 PKI 支持管理；商业企业内部、企业与企业之间、区域性服务网络、电子商务网站都需要 PKI 的技术和解决方案；大企业需要建立自己的 PKI 平台；小企业需要社会提供的商业性 PKI 服务。从发展趋势来看， PKI 的市场需求非常巨大，基于 PKI 的应用包括了许多内容，如 WWW 服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、 Internet 上的信用卡交易以及 VPN 等。因此， PKI 具有非常广阔的市场应用前景。