淺析ＰＫＩ與網(wǎng)絡(luò)信息安全

李玥婷

[摘要]利用公鑰密碼技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范提供基于非對(duì)稱(chēng)密鑰密碼技術(shù)的一系列安全服務(wù)，包括通信對(duì)象身份認(rèn)證和密碼管理、機(jī)密性、完整性、不可否認(rèn)性和數(shù)字簽名等務(wù)進(jìn)行安全的信息交互，在線(xiàn)交易和互聯(lián)網(wǎng)上的各種活動(dòng)。

[關(guān)鍵詞]公共密鑰基礎(chǔ)設(shè)施（PKI） 網(wǎng)絡(luò)信息安全 證書(shū) 密鑰

中圖分類(lèi)號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0520053－01

一、網(wǎng)絡(luò)信息安全

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國(guó)家的政府、軍事、文教等諸多領(lǐng)域，存儲(chǔ)、傳輸和處理的許多信息是政府宏觀(guān)調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要的信息。其中有很多是敏感信息，甚至是國(guó)家機(jī)密。在數(shù)字世界里信息的交互是以信息流的形式存在，但由于這種交互是建立在網(wǎng)絡(luò)基礎(chǔ)上的，保證交互的順利進(jìn)行卻不是一件容易的事。

二、PKI與網(wǎng)絡(luò)信息安全

PKI，即“公共密鑰基礎(chǔ)設(shè)施”。是一套利用公鑰密碼技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，PKI規(guī)定了該安全基礎(chǔ)平臺(tái)應(yīng)遵循的標(biāo)準(zhǔn)。PKI公鑰基礎(chǔ)設(shè)施的主要任務(wù)是在開(kāi)放環(huán)境中為開(kāi)放性業(yè)務(wù)提供基于非對(duì)稱(chēng)密鑰密碼技術(shù)的一系列安全服務(wù)，包括通信對(duì)象身份認(rèn)證和密碼管理、機(jī)密性、不可否認(rèn)性和數(shù)字簽名等。PKI技術(shù)是信息安全技術(shù)的核心，用戶(hù)可利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全的信息交互，在線(xiàn)交易和互聯(lián)網(wǎng)上的各種活動(dòng)。

PKI的提出和研究經(jīng)過(guò)了很長(zhǎng)一段時(shí)間才形成一套初步完整的安全解決方案，即目前被廣泛采用的PKI體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書(shū)管理公鑰，通過(guò)第三方的可信認(rèn)證中心，把用戶(hù)的公鑰和用戶(hù)的其他標(biāo)識(shí)（如姓名、E-mail、身份證號(hào)等）捆綁在一起，以方便網(wǎng)絡(luò)通信對(duì)象之間驗(yàn)證彼此的身份。

1．PKI的組成。一個(gè)典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分：

（1）權(quán)威認(rèn)證機(jī)構(gòu)CA：CA是PKI的核心組件，它必須具備權(quán)威性、公正性的特征。CA負(fù)責(zé)簽發(fā)證書(shū)、驗(yàn)證證書(shū)、管理已頒發(fā)證書(shū)，以及制定政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶(hù)身份。

（2）數(shù)字證書(shū)庫(kù)：證書(shū)庫(kù)必須使用某種穩(wěn)定可靠的、規(guī)模可擴(kuò)充的在線(xiàn)資料庫(kù)，以便用戶(hù)能找到安全通信需要的證書(shū)信息或證書(shū)撤消信息。

（3）密鑰備份及恢復(fù)系統(tǒng)：如果用戶(hù)丟失了用于解密數(shù)據(jù)的密鑰，則數(shù)據(jù)將無(wú)法被解密，這將造成合法數(shù)據(jù)丟失。為避免這種情況的發(fā)生，PKI提供備份與恢復(fù)密鑰的機(jī)制。

（4）證書(shū)作廢系統(tǒng)：證書(shū)撤銷(xiāo)處理系統(tǒng)是PKI的一個(gè)必備的組件。與日常生活中的各種身份證件一樣，證書(shū)有效期以?xún)?nèi)也可能需要作廢，原因可能是密鑰介質(zhì)丟失或用戶(hù)身份變更等

（5）應(yīng)用接口（API）：PKI的價(jià)值在于使用戶(hù)能方便的使用加密、數(shù)字簽名等安全服務(wù)，因此必須提供良好的應(yīng)用接口。

（6）客戶(hù)端軟件：為方便客戶(hù)操作，解決PKI的應(yīng)用問(wèn)題，在客戶(hù)裝有客戶(hù)端軟件，以實(shí)現(xiàn)數(shù)字簽名、加密傳輸數(shù)據(jù)等功能。此外，客戶(hù)端軟件還負(fù)責(zé)在認(rèn)證過(guò)程中，查詢(xún)證書(shū)和相關(guān)證書(shū)的撤消信息以及進(jìn)行證書(shū)路徑處理、對(duì)特定文檔提供時(shí)間戳請(qǐng)求等。

2．PKI的功能。建設(shè)PKI體系是為信息交互，在線(xiàn)交易和互聯(lián)網(wǎng)上的各種活動(dòng)提供完備的安全服務(wù)功能，是公鑰基礎(chǔ)設(shè)施最基本、最核心的功能。作為基礎(chǔ)設(shè)施要做到：遵循必要的原則，不同的實(shí)體可以方便地使用PKI安全基礎(chǔ)設(shè)施提供的服務(wù)

PKI提供的服務(wù)功能包括：

（1）自動(dòng)查詢(xún)證書(shū)“黑名單”（CRL），實(shí)現(xiàn)雙向身份認(rèn)證。當(dāng)客戶(hù)需要在網(wǎng)上傳輸信息時(shí)，客戶(hù)端軟件會(huì)自動(dòng)對(duì)信息傳輸雙方的身份進(jìn)行驗(yàn)證，包括：對(duì)方是否也擁有CA的證書(shū)?證書(shū)是否在有效期內(nèi)?證書(shū)是否因?yàn)槟撤N原因被撤銷(xiāo)，即證書(shū)是否被列入“黑名單”（CRL）。

這種驗(yàn)證是雙向的而且是由客戶(hù)端自動(dòng)完成的。如果驗(yàn)證通過(guò)，客戶(hù)端就會(huì)自動(dòng)建立起雙方的信息安全通道，確保信息的安全傳遞；如果驗(yàn)證未通過(guò)，客戶(hù)端會(huì)自動(dòng)終止聯(lián)系，防止客戶(hù)的重要信息泄露。

（2）對(duì)傳輸信息自動(dòng)加/解密，保證信息的私密性?？蛻?hù)端自動(dòng)對(duì)其發(fā)出的信息進(jìn)行加密，并對(duì)收到的信息解密，通信雙方無(wú)須對(duì)這一過(guò)程進(jìn)行任何干預(yù)。加密機(jī)制采取對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密相結(jié)合的方式，前者使用國(guó)際通行的128位加密強(qiáng)度的對(duì)稱(chēng)算法，后者使用高強(qiáng)度的非對(duì)稱(chēng)的1024位RSA算法。

對(duì)傳輸信息自動(dòng)進(jìn)行數(shù)字簽名和驗(yàn)證，支持交易的不可否認(rèn)性?？蛻?hù)端可以自動(dòng)對(duì)客戶(hù)發(fā)出的交易信息進(jìn)行數(shù)字簽名，其作用等同于現(xiàn)實(shí)中客戶(hù)的手寫(xiě)簽名或公章，并對(duì)接收到的帶有對(duì)方簽名的信息進(jìn)行自動(dòng)驗(yàn)證，保證對(duì)方簽名的真實(shí)性。

（3）證書(shū)恢復(fù)功能，解除客戶(hù)遺忘口令的后顧之憂(yōu)。一般，客戶(hù)需要先啟動(dòng)客戶(hù)端軟件輸入用戶(hù)名和口令，然后才能使用證書(shū)進(jìn)行網(wǎng)上交易?？诹钍潜ＷC客戶(hù)證書(shū)不被他人非法盜用的重要依據(jù)，但口令遺忘或者丟失又是現(xiàn)實(shí)中經(jīng)常會(huì)發(fā)生的事情。這時(shí)，客戶(hù)可以利用客戶(hù)端軟件，通過(guò)CA提供的“證書(shū)恢復(fù)”功能來(lái)重新設(shè)置自己的口令，保證證書(shū)的可用性。

（4）實(shí)現(xiàn)證書(shū)生命周期的自動(dòng)管理。一般，CA采用加密密鑰和簽名密鑰的雙密鑰機(jī)制，通過(guò)客戶(hù)端安全代理軟件或安全應(yīng)用控鍵實(shí)現(xiàn)證書(shū)的自動(dòng)管理?？蛻?hù)不用考慮證書(shū)是否過(guò)期，由客戶(hù)端軟件自動(dòng)、透明地在證書(shū)到期前完成證書(shū)更新。

（5）多種證書(shū)存放方式，給客戶(hù)最大的便利。根據(jù)客戶(hù)的不同需求，客戶(hù)端軟件支持證書(shū)的多種存放方式：客戶(hù)既可以將證書(shū)存放在硬盤(pán)上，也可以存放在軟盤(pán)上，但這種做法是不安全的；更為普遍的一種安全方式是，客戶(hù)直接將證書(shū)存放在IC卡中。

3．PKI加密/簽名原理

（1）PKI加密密鑰對(duì)的使用原理。發(fā)送方欲將加密數(shù)據(jù)發(fā)送給接收方，首先要獲取接收方的公開(kāi)的公鑰，并用此公鑰加密要發(fā)送的數(shù)據(jù)，即可發(fā)送；接收方在收到數(shù)據(jù)后，只需使用自己的私鑰即可將數(shù)據(jù)解密。假如發(fā)送的數(shù)據(jù)被非法截獲，由于私鑰并未上網(wǎng)傳輸，非法用戶(hù)將無(wú)法將數(shù)據(jù)解密，更無(wú)法對(duì)文件做任何修改，從而確保了文件的機(jī)密性和完整性。

（2）PKI簽名密鑰對(duì)的使用原理。此過(guò)程與加密過(guò)程相對(duì)應(yīng)。接收方收到數(shù)據(jù)后，使用私鑰對(duì)其簽名并通過(guò)網(wǎng)絡(luò)傳輸給發(fā)送方，發(fā)送方用公鑰解開(kāi)簽名，由于私鑰具有唯一性，可證實(shí)此簽名信息確實(shí)為由接收方發(fā)出。此過(guò)程中，任何人都沒(méi)有私鑰，因此無(wú)法偽造接收方的簽名或?qū)ζ渥魅魏涡问降拇鄹模瑥亩_(dá)到數(shù)據(jù)真實(shí)性和不可抵賴(lài)性的要求。

三、基于PKI的網(wǎng)絡(luò)信息安全

在網(wǎng)絡(luò)信息交互過(guò)程中需要一套強(qiáng)大的基于PKI技術(shù)的安全認(rèn)證機(jī)制：通過(guò)發(fā)放數(shù)字證書(shū)實(shí)現(xiàn)網(wǎng)上信息傳遞的私密性、真實(shí)性、完整性和不可否認(rèn)性。根據(jù)客戶(hù)不同層次的安全需求，CA提供企業(yè)（個(gè)人）高級(jí)證書(shū)、企業(yè)（個(gè)人）普通證書(shū)、Web站點(diǎn)證書(shū)、STK手機(jī)證書(shū)、VPN設(shè)備證書(shū)

等。對(duì)于擁有高級(jí)證書(shū)的客戶(hù)，可以通過(guò)安全代理軟件來(lái)實(shí)現(xiàn)證書(shū)的多種功能。客戶(hù)只需輸入口令，代理軟件就會(huì)自動(dòng)為客戶(hù)完成身份識(shí)別、信息加密、數(shù)字簽名及證書(shū)自動(dòng)更新等一系列工作。通過(guò)代理軟件，客戶(hù)無(wú)須過(guò)多地理解證書(shū)和密鑰處理的機(jī)制就可以輕松實(shí)現(xiàn)網(wǎng)上信息的安全傳遞。它能夠自動(dòng)地執(zhí)行CA提供的一整套完整的安全機(jī)制，整個(gè)過(guò)程對(duì)客戶(hù)都是透明的，為客戶(hù)提供可靠、便捷的網(wǎng)上安全服務(wù)。

參考文獻(xiàn)：

[1]寧宇鵬、陳昕等，PKI技術(shù)，北京：機(jī)械工業(yè)出版，2004.

[2]章學(xué)拯、裘奮華等，網(wǎng)絡(luò)安全與電子商務(wù)，北京：科學(xué)工業(yè)出版，2006.

[3]關(guān)振勝，公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用，電子工業(yè)出版社，2008.