隨著因特網(wǎng)技術(shù)的發(fā)展和成熟，已經(jīng)滲透到社會(huì)的各個(gè)領(lǐng)域，網(wǎng)絡(luò)電子事務(wù)日益頻繁，大大提高了傳統(tǒng)工作的效率，增強(qiáng)了工作的靈活性和準(zhǔn)確性。然而目前網(wǎng)絡(luò)本身的一些固有技術(shù)缺陷，產(chǎn)生了不可避免的安全性問題。其中比較典型的如冒名操作、截取他人的敏感數(shù)據(jù)、抵賴發(fā)布過的信息等，給網(wǎng)絡(luò)應(yīng)用造成 了機(jī)打的危害。

由于網(wǎng)絡(luò)電子食物活動(dòng)中缺少實(shí)際的物理接觸，所以數(shù)據(jù)的可信性、用戶身份的電子方式合法性驗(yàn)證變得至關(guān)重要。如何通過網(wǎng)絡(luò)信息置亂編碼，實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)向，是必須從技術(shù)上解決的問題。目前，國際上主要是運(yùn)用以加密理論為核心的PKI技術(shù)，借助公眾信任的第三方機(jī)構(gòu)自動(dòng)管理密鑰和證書，為用戶建立一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶在多種應(yīng)用環(huán)境下通過加密和數(shù)字簽名認(rèn)證，保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性。PKI是公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure)的簡稱，是保障大型開放式網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)和信息系統(tǒng)安全的最可行措施。

1 ?PKI系統(tǒng)組成

PKI(Public Key Infrastructure)是利用公鑰理論和技術(shù)建立起來的提供加密和簽名認(rèn)證等安全服務(wù)并管理所需密鑰的基礎(chǔ)設(shè)施。它采用證書的方式管理密鑰，通過可信任的第三方機(jī)構(gòu)（認(rèn)證中心，即CA），把用戶的公鑰和其他標(biāo)識(shí)信息（如用戶名和電子郵件地址等信息）捆綁在一起生成證書，實(shí)現(xiàn)Internet網(wǎng)上用戶身份的合法性驗(yàn)證。

從廣義上講, 所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng), 都可以叫做PKI 系統(tǒng)。PKI 系統(tǒng)由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)( CA) , 注冊權(quán)威機(jī)構(gòu)( RA) 和關(guān)于公開密鑰的安全策略等基本成分共同組成。

具體來講, 在任何一個(gè)PKI中, 一個(gè)認(rèn)證權(quán)威機(jī)構(gòu)CA 是一個(gè)可信實(shí)體, 它根據(jù)CA 頒發(fā)策略負(fù)責(zé)發(fā)布、更新和取消證書。CA可以自己創(chuàng)建, 也可以是一個(gè)第三方機(jī)構(gòu)。在復(fù)雜的認(rèn)證體系中, CA 分為不同的層次, 各層CA 按照目錄結(jié)構(gòu)形成一棵樹。獨(dú)立CA 是這種結(jié)構(gòu)一個(gè)特例。PKI 系統(tǒng)中的證書指的是公鑰證書, 它把公鑰和擁有對(duì)應(yīng)私鑰的主體的標(biāo)識(shí)信息( 如名稱、email 地址、身份證號(hào)等) 捆綁在一起, 證書用于Internet、Intranet 和Extr anet 上用戶的身份驗(yàn)證。證書的主體可以是一個(gè)人, 一臺(tái)路由器, web 服務(wù)器或者其他的實(shí)體。證書的格式遵循ITUT X.509 國際標(biāo)準(zhǔn)。在X. 509 方案中, 默認(rèn)的加密體制是公鑰密碼體制。X. 509 提供了證書和CRL 的標(biāo)準(zhǔn)格式。

在實(shí)際應(yīng)用中, PKI 是一套軟硬件系統(tǒng)和安全策略的集合, 由PKI 安全策略、軟硬件系統(tǒng)、證書機(jī)構(gòu)CA、注冊機(jī)構(gòu)RA、證書發(fā)布系統(tǒng)和PKI 應(yīng)用等模塊組成, 在一整套的安全機(jī)制作用下, PKI使用戶間通過證書建立起信任關(guān)系進(jìn)行通訊和電子事務(wù)處理。

從大的方面來說, 所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng), 都可歸結(jié)為PKI 系統(tǒng)的一部分, 所以PKI 的應(yīng)用非常廣泛, 如在web 服務(wù)器和瀏覽器之間的通訊、電子郵件、電子數(shù)據(jù)交換( EDI) 、在Internet 上的信用卡交易和虛擬專用網(wǎng)(VPN) 等。在實(shí)際使用中, 對(duì)于需要使用安全基礎(chǔ)設(shè)施( PKI)實(shí)現(xiàn)安全服務(wù)的應(yīng)用來說, 所有過程都是由使用PKI 的應(yīng)用程序( 如Microsoft Outlook) 來完成, 對(duì)用戶來說是透明的。

2 ?加密算法

加密技術(shù)是保護(hù)信息安全的關(guān)鍵技術(shù), 已經(jīng)從軍事、外交領(lǐng)域走向公開, 是集數(shù)學(xué)、通信技術(shù)和計(jì)算機(jī)科學(xué)等學(xué)科于一身的交叉學(xué)科。作為將明文變成密文的一種置亂編碼的計(jì)算方法, 加密算法可以分為對(duì)稱加密算法、公鑰加密算法和Hash 函數(shù)加密算法等。

2.1 ?公鑰加密算法

如果一個(gè)加密算法的加密密鑰和解密密鑰不同, 或者由其中的一個(gè)推導(dǎo)不出另一個(gè), 則該算法就是公開密鑰加密算法。使用公鑰密碼的每一個(gè)用戶都擁有基于特定公鑰算法的一個(gè)密鑰對(duì)( e,d) , 當(dāng)加密公鑰e 公布于用戶所在系統(tǒng)認(rèn)證中心(CA) 的目錄服務(wù)器上, 任何人都可進(jìn)行加密操作,但只有擁有解密密鑰d 的一方才能夠破解數(shù)據(jù), 保證數(shù)據(jù)的機(jī)密性; 當(dāng)將解密公鑰d 公布于用戶所在系統(tǒng)認(rèn)證中心( CA) 的目錄服務(wù)器上, 任何獲取數(shù)據(jù)方均可進(jìn)行解密操作, 用于驗(yàn)證數(shù)據(jù)的完整性。

公鑰加密算法系統(tǒng)可實(shí)現(xiàn)數(shù)據(jù)加密、密鑰分發(fā)、數(shù)字簽名、身份認(rèn)證、信息的完整性認(rèn)證、信息的非否認(rèn)性認(rèn)證等功能。典型的公鑰加密算法有:RSA, ECC, DSA, ElGamal, Diffie2Hellman ( DH )等。其中可用于加密的算法有: RSA, ECC, ElGa2mal 等; 可用于密鑰分發(fā)的算法有: RSA, ECC, DH等; 可用于數(shù)字鑒名、身份認(rèn)證、信息的完整性認(rèn)證、信息的非否認(rèn)性認(rèn)證的有RSA, ECC, DSA, El2Gamal 等。

2.2?對(duì)稱加密算法

如果一個(gè)加密算法的加密密鑰和解密密鑰相同, 或由其中一個(gè)很容易推導(dǎo)出另一個(gè), 該算法就是對(duì)稱加密算法。該算法的特點(diǎn)是速度快、安全強(qiáng)度高, 主要用于大批量數(shù)據(jù)直接加密保護(hù)。典型算法有: DES, 3DES, IDEA, AES, SKIPJACK, Karn,RC2, RC5, RC4, SEAL, A5 等。

2.3 Hash 函數(shù)加密算法

該算法是通過單向散列( Hash) 函數(shù)將任意長度信息M, 返回唯一的、長度固定的散列值( 也稱信息摘要) h= H ( M) 。它是明文到密文的不可逆運(yùn)算, 只能加密不能還原, 而且不同信息的信息摘
要不能相同, 所以具有數(shù)據(jù)完整性的驗(yàn)證、口令表加密、數(shù)字簽名、身份認(rèn)證等功能。典型的散列函數(shù)有:MD5, SHA- 1, HMAC, GOST 等。

曾有數(shù)學(xué)家進(jìn)行統(tǒng)計(jì)計(jì)算表明, 當(dāng)信息摘要h(m) 的長度為128 位時(shí), 則任意兩個(gè)信息M1, M2 具有完全相同h( m) 的概率為10- 24 , 即近于零的重復(fù)概率。當(dāng)h(m) 長度取384 位乃至1024 位時(shí), 重復(fù)的可能性就更小了。如果數(shù)據(jù)M1 與M2 完全相等,則h(m1) 與h(m2) 也完全相同。當(dāng)將M2 或M1 中的某個(gè)任意一位改變, 其結(jié)果將導(dǎo)致h (m1) 與h(m2) 中有一半左右對(duì)應(yīng)的位值不相同。這種發(fā)散特性很容易查明數(shù)據(jù)的關(guān)鍵位值是否被人篡改。

3?加密算法在PKI 系統(tǒng)中的應(yīng)用過程

PKI 的數(shù)據(jù)加密實(shí)質(zhì)是利用公鑰加密算法交換機(jī)密密鑰的優(yōu)勢, 并利用對(duì)稱加密算法速度快效率高、適合大量數(shù)據(jù)安全加密的特點(diǎn), 產(chǎn)生的一種既快速又靈活的加密解決方案。通信雙方通過運(yùn)
用密鑰對(duì)( e, d) 為對(duì)稱加密算法中的機(jī)密密鑰進(jìn)行加解密操作, 實(shí)現(xiàn)明文數(shù)據(jù)的安全傳送。

PKI 的簽名認(rèn)證是防止信息被非法篡改或被冒名發(fā)送的一種被動(dòng)的檢測措施, 實(shí)質(zhì)是將公鑰加密算法與H ash 函數(shù)加密算法相結(jié)合, 利用Hash函數(shù)的發(fā)散特性, 將任意長度的信息原文用特定散列算法編碼轉(zhuǎn)換為一個(gè)足夠長的、不可逆轉(zhuǎn)的、唯一的數(shù)字摘要, 達(dá)到驗(yàn)證的目的。此時(shí)密鑰對(duì)( e,d) 中的公鑰d 在證書申請(qǐng)過程中交給CA 中心并結(jié)合其他信息產(chǎn)生證書, 私鑰e 由用戶保留以待加密發(fā)送明文的數(shù)字摘要生成簽名。接收方對(duì)接收的數(shù)據(jù)獲取數(shù)字摘要, 與經(jīng)過解密的發(fā)送方的數(shù)字摘要相對(duì)比, 一致時(shí)說明數(shù)據(jù)可信沒有被改動(dòng)。

當(dāng)然為了防止發(fā)送方可能的惡意欺騙行為, 如發(fā)送方發(fā)送數(shù)據(jù)后宣布加密密鑰被盜, 不承認(rèn)自己曾經(jīng)的行為, 可以結(jié)合時(shí)間戳技術(shù)即CA 中心在接收到申請(qǐng)的數(shù)字摘要生成證書時(shí), 與日期和時(shí)間綁定在一起生成標(biāo)明時(shí)間的時(shí)間戳, 可用于比較重要的安全網(wǎng)絡(luò)事務(wù)和應(yīng)用場合。根據(jù)應(yīng)用的不同, 密鑰有不同的產(chǎn)生方式。普通證書和測試證書, 一般由瀏覽器或固定的終端應(yīng)用來產(chǎn)生, 這樣產(chǎn)生的密鑰強(qiáng)度較小。對(duì)于比較重要的證書, 如商務(wù)證書和服務(wù)器證書等, 密鑰對(duì)一般由專用應(yīng)用程序或CA中心直接產(chǎn)生, 這樣產(chǎn)生的密鑰強(qiáng)度大, 適合應(yīng)用于比較重要的安全網(wǎng)絡(luò)交易。比如: 簽名密鑰可能在客戶端或RA 中心產(chǎn)生, 而加密密鑰則需要在CA 中心直接產(chǎn)生。

3.1?密鑰管理

公鑰基礎(chǔ)設(shè)施( PKI) 一般采用雙證書體系, 公鑰算法支持RSA 和ECC 兩種公鑰算法, 對(duì)稱密碼算法支持國密辦指定的加密算法。密鑰對(duì)分為加密密鑰對(duì)和簽名密鑰對(duì)。簽名密鑰對(duì)在用戶端的PKI 實(shí)體鑒別密碼器中生成, 密鑰不離開PKI 實(shí)體鑒別密碼器; 加密密鑰對(duì)在密鑰管理中心KM中生成和托管, 并由KM 經(jīng)CA 中心發(fā)給用戶, 并自動(dòng)導(dǎo)入PKI 實(shí)體鑒別密碼器中。

由于加密密鑰對(duì)非常重要, 而且必須通過網(wǎng)絡(luò)在KM 密鑰管理中心、CA 中心和用戶終端間傳送, 所以, 必須采取有效的措施確保加密密鑰對(duì)的安全傳送( 包括機(jī)密性、完整性和不可否認(rèn)性) 。密鑰管理包括密鑰的生成和托管、密鑰的恢復(fù)、密鑰的查詢和密鑰的銷毀等過程。

3.2 證書管理

PKI 系統(tǒng)中的數(shù)字證書采用標(biāo)準(zhǔn)的X. 509 v4格式, 證書管理主要包括證書申請(qǐng)、證書簽發(fā)、證書更新和證書注銷等過程。

4 ?結(jié)語

綜上所述, 應(yīng)用了加密算法的PKI 系統(tǒng), 能為所有網(wǎng)絡(luò)應(yīng)用透明地提供加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理, 從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴的目的。利用PKI 系統(tǒng)可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)計(jì)算環(huán)境, 從而使得人們在這個(gè)無法直接相互面對(duì)的環(huán)境里, 能夠確認(rèn)彼此的身份和所交換信息的準(zhǔn)確性, 能夠安全地從事商務(wù)活動(dòng)。

可以說, 沒有安全就沒有可信賴的網(wǎng)絡(luò), 就沒有電子事務(wù)發(fā)展的基礎(chǔ)和保障。因此從技術(shù)的角度講, 基于公鑰體制的PKI 技術(shù)及體系解決了通信雙方的身份認(rèn)證和信息的安全保密, 保障了電子事務(wù)的可信任度, 可以被廣泛應(yīng)用于眾多領(lǐng)域, 是網(wǎng)絡(luò)信息安全領(lǐng)域研究和應(yīng)用的重點(diǎn)。

Miranda

收藏 海報(bào)分享