李玥婷
[摘要]利用公鑰密碼技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范提供基于非對(duì)稱(chēng)密鑰密碼技術(shù)的一系列安全服務(wù),包括通信對(duì)象身份認(rèn)證和密碼管理、機(jī)密性、完整性、不可否認(rèn)性和數(shù)字簽名等務(wù)進(jìn)行安全的信息交互,在線(xiàn)交易和互聯(lián)網(wǎng)上的各種活動(dòng)。
[關(guān)鍵詞]公共密鑰基礎(chǔ)設(shè)施(PKI) 網(wǎng)絡(luò)信息安全 證書(shū) 密鑰
中圖分類(lèi)號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0520053-01
一、網(wǎng)絡(luò)信息安全
隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國(guó)家的政府、軍事、文教等諸多領(lǐng)域,存儲(chǔ)、傳輸和處理的許多信息是政府宏觀(guān)調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要的信息。其中有很多是敏感信息,甚至是國(guó)家機(jī)密。在數(shù)字世界里信息的交互是以信息流的形式存在,但由于這種交互是建立在網(wǎng)絡(luò)基礎(chǔ)上的,保證交互的順利進(jìn)行卻不是一件容易的事。
二、PKI與網(wǎng)絡(luò)信息安全
PKI,即“公共密鑰基礎(chǔ)設(shè)施”。是一套利用公鑰密碼技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范,PKI規(guī)定了該安全基礎(chǔ)平臺(tái)應(yīng)遵循的標(biāo)準(zhǔn)。PKI公鑰基礎(chǔ)設(shè)施的主要任務(wù)是在開(kāi)放環(huán)境中為開(kāi)放性業(yè)務(wù)提供基于非對(duì)稱(chēng)密鑰密碼技術(shù)的一系列安全服務(wù),包括通信對(duì)象身份認(rèn)證和密碼管理、機(jī)密性、不可否認(rèn)性和數(shù)字簽名等。PKI技術(shù)是信息安全技術(shù)的核心,用戶(hù)可利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全的信息交互,在線(xiàn)交易和互聯(lián)網(wǎng)上的各種活動(dòng)。
PKI的提出和研究經(jīng)過(guò)了很長(zhǎng)一段時(shí)間才形成一套初步完整的安全解決方案,即目前被廣泛采用的PKI體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書(shū)管理公鑰,通過(guò)第三方的可信認(rèn)證中心,把用戶(hù)的公鑰和用戶(hù)的其他標(biāo)識(shí)(如姓名、E-mail、身份證號(hào)等)捆綁在一起,以方便網(wǎng)絡(luò)通信對(duì)象之間驗(yàn)證彼此的身份。
1.PKI的組成。一個(gè)典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分:
(1)權(quán)威認(rèn)證機(jī)構(gòu)CA:CA是PKI的核心組件,它必須具備權(quán)威性、公正性的特征。CA負(fù)責(zé)簽發(fā)證書(shū)、驗(yàn)證證書(shū)、管理已頒發(fā)證書(shū),以及制定政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶(hù)身份。
(2)數(shù)字證書(shū)庫(kù):證書(shū)庫(kù)必須使用某種穩(wěn)定可靠的、規(guī)模可擴(kuò)充的在線(xiàn)資料庫(kù),以便用戶(hù)能找到安全通信需要的證書(shū)信息或證書(shū)撤消信息。
(3)密鑰備份及恢復(fù)系統(tǒng):如果用戶(hù)丟失了用于解密數(shù)據(jù)的密鑰,則數(shù)據(jù)將無(wú)法被解密,這將造成合法數(shù)據(jù)丟失。為避免這種情況的發(fā)生,PKI提供備份與恢復(fù)密鑰的機(jī)制。
(4)證書(shū)作廢系統(tǒng):證書(shū)撤銷(xiāo)處理系統(tǒng)是PKI的一個(gè)必備的組件。與日常生活中的各種身份證件一樣,證書(shū)有效期以?xún)?nèi)也可能需要作廢,原因可能是密鑰介質(zhì)丟失或用戶(hù)身份變更等
(5)應(yīng)用接口(API):PKI的價(jià)值在于使用戶(hù)能方便的使用加密、數(shù)字簽名等安全服務(wù),因此必須提供良好的應(yīng)用接口。
(6)客戶(hù)端軟件:為方便客戶(hù)操作,解決PKI的應(yīng)用問(wèn)題,在客戶(hù)裝有客戶(hù)端軟件,以實(shí)現(xiàn)數(shù)字簽名、加密傳輸數(shù)據(jù)等功能。此外,客戶(hù)端軟件還負(fù)責(zé)在認(rèn)證過(guò)程中,查詢(xún)證書(shū)和相關(guān)證書(shū)的撤消信息以及進(jìn)行證書(shū)路徑處理、對(duì)特定文檔提供時(shí)間戳請(qǐng)求等。
2.PKI的功能。建設(shè)PKI體系是為信息交互,在線(xiàn)交易和互聯(lián)網(wǎng)上的各種活動(dòng)提供完備的安全服務(wù)功能,是公鑰基礎(chǔ)設(shè)施最基本、最核心的功能。作為基礎(chǔ)設(shè)施要做到:遵循必要的原則,不同的實(shí)體可以方便地使用PKI安全基礎(chǔ)設(shè)施提供的服務(wù)
PKI提供的服務(wù)功能包括:
(1)自動(dòng)查詢(xún)證書(shū)“黑名單”(CRL),實(shí)現(xiàn)雙向身份認(rèn)證。當(dāng)客戶(hù)需要在網(wǎng)上傳輸信息時(shí),客戶(hù)端軟件會(huì)自動(dòng)對(duì)信息傳輸雙方的身份進(jìn)行驗(yàn)證,包括:對(duì)方是否也擁有CA的證書(shū)?證書(shū)是否在有效期內(nèi)?證書(shū)是否因?yàn)槟撤N原因被撤銷(xiāo),即證書(shū)是否被列入“黑名單”(CRL)。
這種驗(yàn)證是雙向的而且是由客戶(hù)端自動(dòng)完成的。如果驗(yàn)證通過(guò),客戶(hù)端就會(huì)自動(dòng)建立起雙方的信息安全通道,確保信息的安全傳遞;如果驗(yàn)證未通過(guò),客戶(hù)端會(huì)自動(dòng)終止聯(lián)系,防止客戶(hù)的重要信息泄露。
(2)對(duì)傳輸信息自動(dòng)加/解密,保證信息的私密性??蛻?hù)端自動(dòng)對(duì)其發(fā)出的信息進(jìn)行加密,并對(duì)收到的信息解密,通信雙方無(wú)須對(duì)這一過(guò)程進(jìn)行任何干預(yù)。加密機(jī)制采取對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密相結(jié)合的方式,前者使用國(guó)際通行的128位加密強(qiáng)度的對(duì)稱(chēng)算法,后者使用高強(qiáng)度的非對(duì)稱(chēng)的1024位RSA算法。
對(duì)傳輸信息自動(dòng)進(jìn)行數(shù)字簽名和驗(yàn)證,支持交易的不可否認(rèn)性??蛻?hù)端可以自動(dòng)對(duì)客戶(hù)發(fā)出的交易信息進(jìn)行數(shù)字簽名,其作用等同于現(xiàn)實(shí)中客戶(hù)的手寫(xiě)簽名或公章,并對(duì)接收到的帶有對(duì)方簽名的信息進(jìn)行自動(dòng)驗(yàn)證,保證對(duì)方簽名的真實(shí)性。
(3)證書(shū)恢復(fù)功能,解除客戶(hù)遺忘口令的后顧之憂(yōu)。一般,客戶(hù)需要先啟動(dòng)客戶(hù)端軟件輸入用戶(hù)名和口令,然后才能使用證書(shū)進(jìn)行網(wǎng)上交易??诹钍潜WC客戶(hù)證書(shū)不被他人非法盜用的重要依據(jù),但口令遺忘或者丟失又是現(xiàn)實(shí)中經(jīng)常會(huì)發(fā)生的事情。這時(shí),客戶(hù)可以利用客戶(hù)端軟件,通過(guò)CA提供的“證書(shū)恢復(fù)”功能來(lái)重新設(shè)置自己的口令,保證證書(shū)的可用性。
(4)實(shí)現(xiàn)證書(shū)生命周期的自動(dòng)管理。一般,CA采用加密密鑰和簽名密鑰的雙密鑰機(jī)制,通過(guò)客戶(hù)端安全代理軟件或安全應(yīng)用控鍵實(shí)現(xiàn)證書(shū)的自動(dòng)管理??蛻?hù)不用考慮證書(shū)是否過(guò)期,由客戶(hù)端軟件自動(dòng)、透明地在證書(shū)到期前完成證書(shū)更新。
(5)多種證書(shū)存放方式,給客戶(hù)最大的便利。根據(jù)客戶(hù)的不同需求,客戶(hù)端軟件支持證書(shū)的多種存放方式:客戶(hù)既可以將證書(shū)存放在硬盤(pán)上,也可以存放在軟盤(pán)上,但這種做法是不安全的;更為普遍的一種安全方式是,客戶(hù)直接將證書(shū)存放在IC卡中。
3.PKI加密/簽名原理
(1)PKI加密密鑰對(duì)的使用原理。發(fā)送方欲將加密數(shù)據(jù)發(fā)送給接收方,首先要獲取接收方的公開(kāi)的公鑰,并用此公鑰加密要發(fā)送的數(shù)據(jù),即可發(fā)送;接收方在收到數(shù)據(jù)后,只需使用自己的私鑰即可將數(shù)據(jù)解密。假如發(fā)送的數(shù)據(jù)被非法截獲,由于私鑰并未上網(wǎng)傳輸,非法用戶(hù)將無(wú)法將數(shù)據(jù)解密,更無(wú)法對(duì)文件做任何修改,從而確保了文件的機(jī)密性和完整性。
(2)PKI簽名密鑰對(duì)的使用原理。此過(guò)程與加密過(guò)程相對(duì)應(yīng)。接收方收到數(shù)據(jù)后,使用私鑰對(duì)其簽名并通過(guò)網(wǎng)絡(luò)傳輸給發(fā)送方,發(fā)送方用公鑰解開(kāi)簽名,由于私鑰具有唯一性,可證實(shí)此簽名信息確實(shí)為由接收方發(fā)出。此過(guò)程中,任何人都沒(méi)有私鑰,因此無(wú)法偽造接收方的簽名或?qū)ζ渥魅魏涡问降拇鄹模瑥亩_(dá)到數(shù)據(jù)真實(shí)性和不可抵賴(lài)性的要求。
三、基于PKI的網(wǎng)絡(luò)信息安全
在網(wǎng)絡(luò)信息交互過(guò)程中需要一套強(qiáng)大的基于PKI技術(shù)的安全認(rèn)證機(jī)制:通過(guò)發(fā)放數(shù)字證書(shū)實(shí)現(xiàn)網(wǎng)上信息傳遞的私密性、真實(shí)性、完整性和不可否認(rèn)性。根據(jù)客戶(hù)不同層次的安全需求,CA提供企業(yè)(個(gè)人)高級(jí)證書(shū)、企業(yè)(個(gè)人)普通證書(shū)、Web站點(diǎn)證書(shū)、STK手機(jī)證書(shū)、VPN設(shè)備證書(shū)
等。對(duì)于擁有高級(jí)證書(shū)的客戶(hù),可以通過(guò)安全代理軟件來(lái)實(shí)現(xiàn)證書(shū)的多種功能。客戶(hù)只需輸入口令,代理軟件就會(huì)自動(dòng)為客戶(hù)完成身份識(shí)別、信息加密、數(shù)字簽名及證書(shū)自動(dòng)更新等一系列工作。通過(guò)代理軟件,客戶(hù)無(wú)須過(guò)多地理解證書(shū)和密鑰處理的機(jī)制就可以輕松實(shí)現(xiàn)網(wǎng)上信息的安全傳遞。它能夠自動(dòng)地執(zhí)行CA提供的一整套完整的安全機(jī)制,整個(gè)過(guò)程對(duì)客戶(hù)都是透明的,為客戶(hù)提供可靠、便捷的網(wǎng)上安全服務(wù)。
參考文獻(xiàn):
[1]寧宇鵬、陳昕等,PKI技術(shù),北京:機(jī)械工業(yè)出版,2004.
[2]章學(xué)拯、裘奮華等,網(wǎng)絡(luò)安全與電子商務(wù),北京:科學(xué)工業(yè)出版,2006.
[3]關(guān)振勝,公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用,電子工業(yè)出版社,2008.