[摘要] 伴随着网格计算研究的深入，依据网格计算原理构建的网格状网络也己经作为新一代的网络连接关键技术之一，逐步代替了旧有的网络连接方式。怎样保障网格状网络的安全通信。这就需要提供诸如机密性、认证、完整性这些基本的安全服务。
[关键词] PKI； 数字证书； CA中心
[Abstract] Along with in-depth study of grid computing, grid computing based on the principle of building a grid-like network has been a new generation of network connectivity as one of the key technologies, and gradually replace the old network connection. How can we protect grid secure lunwen114communications network. This need to provide, such as confidentiality, authentication, integrity of these basic security services.
[Key words] PKI; digital certificate; CA Center
　　人类社会对信息网络的依赖程度越来越大，伴随着网格计算研究的深入，依据网格计算原理构建的网格状网络也己经作为新一代的网络连接关键技术之一，逐步代替了旧有的网络连接方式，那么随之而来的问题便是，怎样保障网格状网络的安全通信.这就需要提供诸如机密性、认证、完整性这些基本的安全服务。本文研究的正是基于当前最流行的安全基础设施(PKI)技术来保障网格安全的方法。 
　　一、PKI 概述
　　公开密钥基础设施(PKI)是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。PKI是一种遵循标准的利用公钥加密技术为电子商务、电子政务的开展提供一整套安全的基础设施。它是保障大型开放式网络环境下网络和信息安全的最可行、最有效的措施。它基于保密性应用要求，有一个真正可靠、稳定、高性能、安全、互操作性强、完全支持交叉认证的系统。PKI的本质就是实现了大规模网络中的公钥分发问题，建立了大规模网络中的信任基础。概括地说，PKI是创建、管理、存储、分发和撤消基于公钥加密的公钥证书所需要的一套硬件、软件、策略和过程的集合。
　　PKI的概念是近几年才提出来的，尽管在概念提出之前许多公司并没有直接销售PKI终极解决产品，但是PKI的技术早己经被用于他们的产品当中，例如Lotus Notes从1989年就开始用PKI对用户进行认证，PGP从1991年就开始对用户进行认证。目前，PKI基础理论研究己经比较完备，各个厂商已将他们的产品广泛地应用于需要数字证书的认证中。目前，国际上能够开发PKI产品的公司有很多。美国、欧洲各国以及韩国、日本是世界上较早涉足信息安全技术及产业的国家，他们大多数对PKI及其相关技术、产业用法律予以固化。
　　1、PKI组成
　　PKI 是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的，包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等基础技术。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统CA系统是PKI不可缺的组成部分。PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。一个典型、完整、有效的PKI应用系统至少应具有以下部分:（1）X.509格式的证书(X.509v3)和证书废止列表CRL(X509v2)；(2)公钥密码证书管理；(3)黑名单的发布和管理；(4)密钥的备份和恢复；(5)自动更新密钥；(6)自动管理历史密钥；(7)支持交叉认证。
　　2、PKI相关标准
　　不同厂商的PKI实现可能是不同的，但是在网上进行交易活动中建立信任的关键是保证不同厂商的PKI环境的互操作性，因而这就对PKI提出了互操作性要求。要保证PKI的互操作性，PKI必须建立在标准之上。与PKI有关的标准和建议有很多，几乎都是围绕着x.509证书标准定义PKI体系的。
　　PKI是一个庞大复杂的理论体系，它以公钥理论为基础，并在X.509标准的基础上建立起来的，它的发展是一个长期的过程。公开密钥加密的概念最早是由两位美国科学家Difie和Hellman于1976年提出的，1978年，MIT的一个研究小组中的Riveat，Shamir，Adleman三人提出了一个实用的公开密钥加密算法RSA。此后RSA算法得到了广泛的接受和实现，并经受了多年的考验而被证明是安全可靠的，成为公开密钥算法的事实上的工业标准。之后虽然有一些新的算法被陆续提出，但都还有待时间的考验。X.509标准是最基本、获得最广泛支持的PKI的标准之一，它的最主要目的是定义一个标准的数字证书格式，被用于规范认证服务，以实施X.500目录服务。PKI的一系列相关标准是以X.509v3为基础的。可互操作的PKI标准(PKIX)是由Internet工程任务组中(IETF)的PKI作组制订的一系列RFC文档组成，称为PKIX规范 。
　　二、CA简介
在Internet上的电子商务，要求为信息安全提供有效的、可靠的保护机制。这些机制必须提供机密性、身份验证特性(使交易的每一方都可以确认其它各方的身份)、不可否认性(交易的各方不可否认它们的参与)。这就需要依靠一个可靠的第三方机构验证，而认证中心CA专门提供这种服务。证书机制是目前被广泛采用的一种安全机制。使用证书机制的前提是建立CA以及配套的RA系统。
CA中心，又称为数字证书认证中心，作为电子商务交易中受信任的第三方，专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书。数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。以CA中心的数字签名使得攻击者不能伪造和篡改数字证书。在数字证书认证的过程中，以作为权威的、公正的、可信赖的第三方，其作用是至关重要的。认证中心就是一个负责发放和管理数字证书的权威机构。同样CA允许管理员撤销发放的数字证书，在证书撤销列表(CRL)中添加新项并周期性地发布这一数字签名的CRL。数字证书认证中心机构的建立对电子商务等网上交易具有很重要的意义。CA涉及电子交易中各方的身份信息、严格的加密技术和认证程序。基于其牢固的安全机制，CA应用可扩大到一切有安全要求的网上数据传输服务。
　　1、CA的组成
　　CA为实现其功能，主要由如下部分组成:(1)注册服务器。通过Webserver建立的站点，可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表，免去了排队等候的麻烦。(2) 证书申请受理和审核机构。它的主要功能是负责接受客户证书的申请并进行审核 。(3)认证中心服务器。它是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书撤销列表(CRL)的生成和处理等服务。
　　2、CA的功能
　　概括而言，CA的功能主要有:(1)证书发放；(2)证书更新；(3)证书撤销；(4)证书验证。
　　CA的核心功能就是发放和管理数字证书