构造国防信息网络的PKI体系.pdfVIP

I体系 构造国防信息网络的PK 黄云 摘要本文从解决国防信息系统安全的角度，阐述了构遣基于国防信息网络系统的 PKI体系的重要性和必妻|生，并提出了PKI体系结构轮廓的基本构想． 国防信息系统网络作为国防信息基础设施．存在着许多重要的信息资源和各种军事应用 系统．因而成为实现全军指挥控制系统的柱石和生命线。所以，无论是在今天网络大发展的 时代，还是在未来的信息战当中．各种威胁都将贯穿于国防网络的信息获取、处理、传递和 使用的全过程．因此在国防信息系统网络中，信息的安全直接关系到国家的安危。为解决国 防信息系统网络中的信息安全共享、电子邮件的安全互递、国防Web网站不受侵犯等问题， 应当建立安全的国防信息阿络的PKI体系． 一、构造PKI体系的作用和目的 公钥密码系统(PublicKey 泛应用也就是近几年的事．由于在这种非对称密码体制中引入了私钥／公钥对的概念，所以使 用者在加密、解密过程中，用的不是同一个密钥，因此更便于对使用者进行身份鉴别，实现 对信息的防篡改、防抵较等常规密码系统不容易实现的多种功能．从而提高了网络系统的安 全性． 我们知道，国防信息系统网络无论是自成体系还是像政府机构那样(有条件、有限制的) 上Internet网，信息的存储、传输和处理过程都必须做到安全可靠．确保国防信息的机密性、 真实性、完整性和不可抵赖性。从目前的安全技术来看，解决这些问题的最好办法是构架基 Infrastructure)体系。 于国防信息系统网络的PKI(Publie Key 由于公钥机制(PKI)可以广泛地用于文件加密、电子邮件、数据库、web服务器和测览 器等，所以在PKI的支持下．各军事部门可以安全地与其他在线机构进行信息交互，可以方 便可靠地进行远程登录，系统可以用强大并且富有灵活性的工具来标识用户和网络设各．控 制在线信息和服务访问，管理各种安全风险，晟终达到认证和控制对国防信息系统阿络访问 的目的．所以从某种意义上来讲．PKI体系就是国防应用信息系统高度安全运转的基础设施． 二、PKI体系结构 Authority．RA)，把用户的公钥和其他标识信息组 Authority，CA)、注册机构(Registration 合在一起进行签发、复核和作废用户证书，以便于网上验证用户身份。PKI体系将非对称密 码和对称密码结合起来，提供公钥加密和数字签名服务平台，在网上实行密钥的自动管理， 保证网上数据的保密性和完整性． 在PKI体系结构中，密码算法是其安全核心要素之一。为了给国防信息系统提供更安全 的服务，PKI体系应采用混合密码体制，也就是特对称加密算法和非对称加密算法结合起来 一69— 使用．同时，为了进一步加强PKI体系的安全强度．还可以在一个PKI体系中采用多种非对 称加密算法．例如，用Diffie—Hellman密钥分配体制进行密钥分配，可实现一次一密；将RSA 用于签名验证和证书中心等(当然．对服务于国防信息系统网络的PKI而言，密码算法必须 采用我们自己设计的对称／非对称加密算法)。 PKI体系结构 I【 认证、通信应用接口 H l PKI的基奉组成部分： l 认证机关《cA)、证书库、证书作废处理、密钥备份及恢复、用户端处理系统、支持交叉认证 l H 多种安全、通信、交易应用协议 n 多种对称与非对称加密算法 应用协议及标准包括：X．509数字证书认证标准、LDAP(轻载目录访问协议，用于用户或相 关的应用通过LDAP访问证书库)，同时为了使数字证书在更加广泛的应用