浅析PKI和网络信息安全.docVIP

浅析PKI和网络信息安全 　　[摘要]利用公钥密码技术为安全通信提供服务的基础平台的技术和规范提供基于非对称密钥密码技术的一系列安全服务，包括通信对象身份认证和密码管理、机密性、完整性、不可否认性和数字签名等务进行安全的信息交互，在线交易和互联网上的各种活动。 　　[关键词]公共密钥基础设施（PKI） 网络信息安全 证书 密钥 　　中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0520053－01 　　 　　一、网络信息安全 　　随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域，存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息，甚至是国家机密。在数字世界里信息的交互是以信息流的形式存在，但由于这种交互是建立在网络基础上的，保证交互的顺利进行却不是一件容易的事。 　　二、PKI与网络信息安全 　　PKI，即“公共密钥基础设施”。是一套利用公钥密码技术为安全通信提供服务的基础平台的技术和规范，PKI规定了该安全基础平台应遵循的标准。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务，包括通信对象身份认证和密码管理、机密性、不可否认性和数字签名等。PKI技术是信息安全技术的核心，用户可利用PKI平台提供的服务进行安全的信息交互，在线交易和互联网上的各种活动。 　　PKI的提出和研究经过了很长一段时间才形成一套初步完整的安全解决方案，即目前被广泛采用的PKI体系结构。PKI体系结构采用证书管理公钥，通过第三方的可信认证中心，把用户的公钥和用户的其他标识（如姓名、E-mail、身份证号等）捆绑在一起，以方便网络通信对象之间验证彼此的身份。 　　1．PKI的组成。一个典型、完整、有效的PKI应用系统至少应具有以下部分： 　　（1）权威认证机构CA：CA是PKI的核心组件，它必须具备权威性、公正性的特征。CA负责签发证书、验证证书、管理已颁发证书，以及制定政策和具体步骤来验证、识别用户身份。 　　（2）数字证书库：证书库必须使用某种稳定可靠的、规模可扩充的在线资料库，以便用户能找到安全通信需要的证书信息或证书撤消信息。 　　（3）密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况的发生，PKI提供备份与恢复密钥的机制。 　　（4）证书作废系统：证书撤销处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样，证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等 　　（5）应用接口（API）：PKI的价值在于使用户能方便的使用加密、数字签名等安全服务，因此必须提供良好的应用接口。 　　（6）客户端软件：为方便客户操作，解决PKI的应用问题，在客户装有客户端软件，以实现数字签名、加密传输数据等功能。此外，客户端软件还负责在认证过程中，查询证书和相关证书的撤消信息以及进行证书路径处理、对特定文档提供时间戳请求等。 　　2．PKI的功能。建设PKI体系是为信息交互，在线交易和互联网上的各种活动提供完备的安全服务功能，是公钥基础设施最基本、最核心的功能。作为基础设施要做到：遵循必要的原则，不同的实体可以方便地使用PKI安全基础设施提供的服务 　　PKI提供的服务功能包括： 　　（1）自动查询证书“黑名单”（CRL），实现双向身份认证。当客户需要在网上传输信息时，客户端软件会自动对信息传输双方的身份进行验证，包括：对方是否也拥有CA的证书?证书是否在有效期内?证书是否因为某种原因被撤销，即证书是否被列入“黑名单”（CRL）。 　　这种验证是双向的而且是由客户端自动完成的。如果验证通过，客户端就会自动建立起双方的信息安全通道，确保信息的安全传递；如果验证未通过，客户端会自动终止联系，防止客户的重要信息泄露。 　　（2）对传输信息自动加/解密，保证信息的私密性。客户端自动对其发出的信息进行加密，并对收到的信息解密，通信双方无须对这一过程进行任何干预。加密机制采取对称加密和非对称加密相结合的方式，前者使用国际通行的128位加密强度的对称算法，后者使用高强度的非对称的1024位RSA算法。 　　对传输信息自动进行数字签名和验证，支持交易的不可否认性。客户端可以自动对客户发出的交易信息进行数字签名，其作用等同于现实中客户的手写签名或公章，并对接收到的带有对方签名的信息进行自动验证，保证对方签名的真实性。 　　（3）证书恢复功能，解除客户遗忘口令的后顾之忧。一般，客户需要先启动客户端软件输入用户名和口令，然后才能使