隨著因特網(wǎng)技術(shù)的發(fā)展和成熟，已經(jīng)滲透到社會的各個領(lǐng)域，網(wǎng)絡(luò)電子事務(wù)日益頻繁，大大提高了傳統(tǒng)工作的效率，增強了工作的靈活性和準確性。然而目前網(wǎng)絡(luò)本身的一些固有技術(shù)缺陷，產(chǎn)生了不可避免的安全性問題。其中比較典型的如冒名操作、截取他人的敏感數(shù)據(jù)、抵賴發(fā)布過的信息等，給網(wǎng)絡(luò)應用造成 了機打的危害。

由于網(wǎng)絡(luò)電子食物活動中缺少實際的物理接觸，所以數(shù)據(jù)的可信性、用戶身份的電子方式合法性驗證變得至關(guān)重要。如何通過網(wǎng)絡(luò)信息置亂編碼，實現(xiàn)數(shù)據(jù)的機密性、完整性和不可否認向，是必須從技術(shù)上解決的問題。目前，國際上主要是運用以加密理論為核心的PKI技術(shù)，借助公眾信任的第三方機構(gòu)自動管理密鑰和證書，為用戶建立一個安全的網(wǎng)絡(luò)運行環(huán)境，使用戶在多種應用環(huán)境下通過加密和數(shù)字簽名認證，保證網(wǎng)上數(shù)據(jù)的機密性、完整性和不可否認性。PKI是公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure)的簡稱，是保障大型開放式網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)和信息系統(tǒng)安全的最可行措施。

1 ?PKI系統(tǒng)組成

PKI(Public Key Infrastructure)是利用公鑰理論和技術(shù)建立起來的提供加密和簽名認證等安全服務(wù)并管理所需密鑰的基礎(chǔ)設(shè)施。它采用證書的方式管理密鑰，通過可信任的第三方機構(gòu)（認證中心，即CA），把用戶的公鑰和其他標識信息（如用戶名和電子郵件地址等信息）捆綁在一起生成證書，實現(xiàn)Internet網(wǎng)上用戶身份的合法性驗證。

從廣義上講, 所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng), 都可以叫做PKI 系統(tǒng)。PKI 系統(tǒng)由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)( CA) , 注冊權(quán)威機構(gòu)( RA) 和關(guān)于公開密鑰的安全策略等基本成分共同組成。

具體來講, 在任何一個PKI中, 一個認證權(quán)威機構(gòu)CA 是一個可信實體, 它根據(jù)CA 頒發(fā)策略負責發(fā)布、更新和取消證書。CA可以自己創(chuàng)建, 也可以是一個第三方機構(gòu)。在復雜的認證體系中, CA 分為不同的層次, 各層CA 按照目錄結(jié)構(gòu)形成一棵樹。獨立CA 是這種結(jié)構(gòu)一個特例。PKI 系統(tǒng)中的證書指的是公鑰證書, 它把公鑰和擁有對應私鑰的主體的標識信息( 如名稱、email 地址、身份證號等) 捆綁在一起, 證書用于Internet、Intranet 和Extr anet 上用戶的身份驗證。證書的主體可以是一個人, 一臺路由器, web 服務(wù)器或者其他的實體。證書的格式遵循ITUT X.509 國際標準。在X. 509 方案中, 默認的加密體制是公鑰密碼體制。X. 509 提供了證書和CRL 的標準格式。

在實際應用中, PKI 是一套軟硬件系統(tǒng)和安全策略的集合, 由PKI 安全策略、軟硬件系統(tǒng)、證書機構(gòu)CA、注冊機構(gòu)RA、證書發(fā)布系統(tǒng)和PKI 應用等模塊組成, 在一整套的安全機制作用下, PKI使用戶間通過證書建立起信任關(guān)系進行通訊和電子事務(wù)處理。

從大的方面來說, 所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng), 都可歸結(jié)為PKI 系統(tǒng)的一部分, 所以PKI 的應用非常廣泛, 如在web 服務(wù)器和瀏覽器之間的通訊、電子郵件、電子數(shù)據(jù)交換( EDI) 、在Internet 上的信用卡交易和虛擬專用網(wǎng)(VPN) 等。在實際使用中, 對于需要使用安全基礎(chǔ)設(shè)施( PKI)實現(xiàn)安全服務(wù)的應用來說, 所有過程都是由使用PKI 的應用程序( 如Microsoft Outlook) 來完成, 對用戶來說是透明的。

2 ?加密算法

加密技術(shù)是保護信息安全的關(guān)鍵技術(shù), 已經(jīng)從軍事、外交領(lǐng)域走向公開, 是集數(shù)學、通信技術(shù)和計算機科學等學科于一身的交叉學科。作為將明文變成密文的一種置亂編碼的計算方法, 加密算法可以分為對稱加密算法、公鑰加密算法和Hash 函數(shù)加密算法等。

2.1 ?公鑰加密算法

如果一個加密算法的加密密鑰和解密密鑰不同, 或者由其中的一個推導不出另一個, 則該算法就是公開密鑰加密算法。使用公鑰密碼的每一個用戶都擁有基于特定公鑰算法的一個密鑰對( e,d) , 當加密公鑰e 公布于用戶所在系統(tǒng)認證中心(CA) 的目錄服務(wù)器上, 任何人都可進行加密操作,但只有擁有解密密鑰d 的一方才能夠破解數(shù)據(jù), 保證數(shù)據(jù)的機密性; 當將解密公鑰d 公布于用戶所在系統(tǒng)認證中心( CA) 的目錄服務(wù)器上, 任何獲取數(shù)據(jù)方均可進行解密操作, 用于驗證數(shù)據(jù)的完整性。

公鑰加密算法系統(tǒng)可實現(xiàn)數(shù)據(jù)加密、密鑰分發(fā)、數(shù)字簽名、身份認證、信息的完整性認證、信息的非否認性認證等功能。典型的公鑰加密算法有:RSA, ECC, DSA, ElGamal, Diffie2Hellman ( DH )等。其中可用于加密的算法有: RSA, ECC, ElGa2mal 等; 可用于密鑰分發(fā)的算法有: RSA, ECC, DH等; 可用于數(shù)字鑒名、身份認證、信息的完整性認證、信息的非否認性認證的有RSA, ECC, DSA, El2Gamal 等。

2.2?對稱加密算法

如果一個加密算法的加密密鑰和解密密鑰相同, 或由其中一個很容易推導出另一個, 該算法就是對稱加密算法。該算法的特點是速度快、安全強度高, 主要用于大批量數(shù)據(jù)直接加密保護。典型算法有: DES, 3DES, IDEA, AES, SKIPJACK, Karn,RC2, RC5, RC4, SEAL, A5 等。

2.3 Hash 函數(shù)加密算法

該算法是通過單向散列( Hash) 函數(shù)將任意長度信息M, 返回唯一的、長度固定的散列值( 也稱信息摘要) h= H ( M) 。它是明文到密文的不可逆運算, 只能加密不能還原, 而且不同信息的信息摘
要不能相同, 所以具有數(shù)據(jù)完整性的驗證、口令表加密、數(shù)字簽名、身份認證等功能。典型的散列函數(shù)有:MD5, SHA- 1, HMAC, GOST 等。

曾有數(shù)學家進行統(tǒng)計計算表明, 當信息摘要h(m) 的長度為128 位時, 則任意兩個信息M1, M2 具有完全相同h( m) 的概率為10- 24 , 即近于零的重復概率。當h(m) 長度取384 位乃至1024 位時, 重復的可能性就更小了。如果數(shù)據(jù)M1 與M2 完全相等,則h(m1) 與h(m2) 也完全相同。當將M2 或M1 中的某個任意一位改變, 其結(jié)果將導致h (m1) 與h(m2) 中有一半左右對應的位值不相同。這種發(fā)散特性很容易查明數(shù)據(jù)的關(guān)鍵位值是否被人篡改。

3?加密算法在PKI 系統(tǒng)中的應用過程

PKI 的數(shù)據(jù)加密實質(zhì)是利用公鑰加密算法交換機密密鑰的優(yōu)勢, 并利用對稱加密算法速度快效率高、適合大量數(shù)據(jù)安全加密的特點, 產(chǎn)生的一種既快速又靈活的加密解決方案。通信雙方通過運
用密鑰對( e, d) 為對稱加密算法中的機密密鑰進行加解密操作, 實現(xiàn)明文數(shù)據(jù)的安全傳送。

PKI 的簽名認證是防止信息被非法篡改或被冒名發(fā)送的一種被動的檢測措施, 實質(zhì)是將公鑰加密算法與H ash 函數(shù)加密算法相結(jié)合, 利用Hash函數(shù)的發(fā)散特性, 將任意長度的信息原文用特定散列算法編碼轉(zhuǎn)換為一個足夠長的、不可逆轉(zhuǎn)的、唯一的數(shù)字摘要, 達到驗證的目的。此時密鑰對( e,d) 中的公鑰d 在證書申請過程中交給CA 中心并結(jié)合其他信息產(chǎn)生證書, 私鑰e 由用戶保留以待加密發(fā)送明文的數(shù)字摘要生成簽名。接收方對接收的數(shù)據(jù)獲取數(shù)字摘要, 與經(jīng)過解密的發(fā)送方的數(shù)字摘要相對比, 一致時說明數(shù)據(jù)可信沒有被改動。

當然為了防止發(fā)送方可能的惡意欺騙行為, 如發(fā)送方發(fā)送數(shù)據(jù)后宣布加密密鑰被盜, 不承認自己曾經(jīng)的行為, 可以結(jié)合時間戳技術(shù)即CA 中心在接收到申請的數(shù)字摘要生成證書時, 與日期和時間綁定在一起生成標明時間的時間戳, 可用于比較重要的安全網(wǎng)絡(luò)事務(wù)和應用場合。根據(jù)應用的不同, 密鑰有不同的產(chǎn)生方式。普通證書和測試證書, 一般由瀏覽器或固定的終端應用來產(chǎn)生, 這樣產(chǎn)生的密鑰強度較小。對于比較重要的證書, 如商務(wù)證書和服務(wù)器證書等, 密鑰對一般由專用應用程序或CA中心直接產(chǎn)生, 這樣產(chǎn)生的密鑰強度大, 適合應用于比較重要的安全網(wǎng)絡(luò)交易。比如: 簽名密鑰可能在客戶端或RA 中心產(chǎn)生, 而加密密鑰則需要在CA 中心直接產(chǎn)生。

3.1?密鑰管理

公鑰基礎(chǔ)設(shè)施( PKI) 一般采用雙證書體系, 公鑰算法支持RSA 和ECC 兩種公鑰算法, 對稱密碼算法支持國密辦指定的加密算法。密鑰對分為加密密鑰對和簽名密鑰對。簽名密鑰對在用戶端的PKI 實體鑒別密碼器中生成, 密鑰不離開PKI 實體鑒別密碼器; 加密密鑰對在密鑰管理中心KM中生成和托管, 并由KM 經(jīng)CA 中心發(fā)給用戶, 并自動導入PKI 實體鑒別密碼器中。

由于加密密鑰對非常重要, 而且必須通過網(wǎng)絡(luò)在KM 密鑰管理中心、CA 中心和用戶終端間傳送, 所以, 必須采取有效的措施確保加密密鑰對的安全傳送( 包括機密性、完整性和不可否認性) 。密鑰管理包括密鑰的生成和托管、密鑰的恢復、密鑰的查詢和密鑰的銷毀等過程。

3.2 證書管理

PKI 系統(tǒng)中的數(shù)字證書采用標準的X. 509 v4格式, 證書管理主要包括證書申請、證書簽發(fā)、證書更新和證書注銷等過程。

4 ?結(jié)語

綜上所述, 應用了加密算法的PKI 系統(tǒng), 能為所有網(wǎng)絡(luò)應用透明地提供加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理, 從而達到保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴的目的。利用PKI 系統(tǒng)可以方便地建立和維護一個可信的網(wǎng)絡(luò)計算環(huán)境, 從而使得人們在這個無法直接相互面對的環(huán)境里, 能夠確認彼此的身份和所交換信息的準確性, 能夠安全地從事商務(wù)活動。

可以說, 沒有安全就沒有可信賴的網(wǎng)絡(luò), 就沒有電子事務(wù)發(fā)展的基礎(chǔ)和保障。因此從技術(shù)的角度講, 基于公鑰體制的PKI 技術(shù)及體系解決了通信雙方的身份認證和信息的安全保密, 保障了電子事務(wù)的可信任度, 可以被廣泛應用于眾多領(lǐng)域, 是網(wǎng)絡(luò)信息安全領(lǐng)域研究和應用的重點。

Miranda

收藏 海報分享