摘要：關于數(shù)字證書為核心的信息安全技術主要是通過對網(wǎng)絡信息進行加密以及利用數(shù)字簽證等形式，確保網(wǎng)上信息傳遞的完整性、準確性以及保密性，它對于企業(yè)保護客戶以及其他重要信息來說有著非常重要的作用。因此本文對關于數(shù)字證書為核心的信息安全技術進行研究。

關鍵詞：數(shù)字證書；信息安全技術

中圖分類號：TP393.08文獻標識碼：A文章編號：1007-9599 (2012) 07-0000-02

一、數(shù)字證書的特點

數(shù)字證書主要是通過權威公正的第三方證書授權中心，即CA（Certificate Authority）中心簽發(fā)的證書[1]。具體作用是在因特網(wǎng)上，用來標志以及證明網(wǎng)絡通信雙方身份的數(shù)字信息文件。從數(shù)字證書的定義可以得出，它屬于一種權威性的電子文檔，文檔內容包括公共密鑰持有者的身份信息以及公共密鑰的文件內容。通過數(shù)字證書可以在互聯(lián)網(wǎng)上進行身份驗證。數(shù)字證書的基本工作原理是通過“公鑰體質”，即所謂的通過相互配對的密鑰對信息進行加密和解密、數(shù)字簽名以及認證?！肮€體質”可以分成公共密鑰和私有密鑰，其中公共密鑰是公開的為一組用戶所共享，主要用來對信息進行加密和認證，而私有密鑰則是屬于個人用戶可以通過自己的私有密鑰對傳遞來的信息進行解密和簽名，通過這種方式可以有效的保證信息傳輸安全、準確以及完整[2]。以下就對數(shù)字證書的特點進行簡要分析：

（一）安全性

使用數(shù)字證書為核心的信息安全技術可以對網(wǎng)絡信息進行加密、數(shù)字簽名以及認證，即使信息在傳輸過程中被惡意攔截或者丟失，仍然可以通過數(shù)字證書確保其不會被他人盜用，從而提高了信息傳輸?shù)陌踩浴?/p>

（二）唯一性

數(shù)字證書可以根據(jù)用戶的身份設置相應的網(wǎng)絡資源訪問權限，這樣一來只有通過申請的用戶，才能夠通過相對應的網(wǎng)絡密鑰進行正常使用，從而確保了數(shù)字證書的唯一性。

（三）方便性

數(shù)字證書的方便性主要體現(xiàn)在申請、開通以及使用的各個環(huán)節(jié)，用戶不需要掌握任何專業(yè)性的知識就可以實現(xiàn)對其的操作，而且數(shù)字證書的后期維護工作量較小、維護難度較低。目前普遍應用于電子郵件的發(fā)送、網(wǎng)上交易、網(wǎng)上辦公等安全電子事務處理以及安全電子交易活動。

二、以數(shù)字證書為核心的信息安全技術

通過以上對數(shù)字證書的特點以及工作原理進行分析后，可以得出使用以數(shù)字證書為核心的信息安全技術，通過運用對稱和非對稱密碼體制等密碼技術建立起一個具有唯一性、安全性、可靠性的身份認證系統(tǒng)，從而能夠有效地確保信息在互聯(lián)網(wǎng)傳輸過程中，除了發(fā)送方以及接收方外不會遭被未經(jīng)授權的人隨意進行竊取或者篡改，從而實現(xiàn)了數(shù)據(jù)傳輸?shù)耐暾砸约罢鎸嵭訹3]。此外，發(fā)送方還可以通過數(shù)字證書綁定的公鑰以及用戶信息來對接收方進行身份驗證，確保信息傳輸?shù)臏蚀_性，而且信息是由發(fā)送者通過自己私有密鑰進行簽名、加密以及發(fā)送的，因此發(fā)送方對于自己的信息表現(xiàn)出唯一性和不可否認性。以數(shù)字證書為核心的信息安全技術在子商務以及電子政務當中的應用主要可以分為公鑰基礎設施、授權管理基礎設施以及數(shù)字證書應用子系統(tǒng)[4]，以下就對關于數(shù)字證書為核心的信息安全技術的應用進行具體分析：

（一）公鑰基礎設施

公鑰基礎設施PKI（Public Key Infrastructure），是一種遵循既定標準的網(wǎng)絡密鑰管理平臺，通過PKI可以提供信息加密以及數(shù)字簽名等服務。在一些大型的電子商務以及電子政務當中，PKI包括數(shù)字證書的申請、認證、注銷以及換證等內容。

（二）授權管理基礎設施

授權管理基礎設施PMI（Privilege Management Infrastructure）主要依托于PKI，可以將授權管理功能從應用系統(tǒng)中分離出來，提供網(wǎng)絡訪問控制以及管理，并且簡化訪問控制和權限管理系統(tǒng)的開發(fā)與維護。而PMI進行授權的結果以及設置權限的主要憑據(jù)是屬性證書，網(wǎng)絡信息安全平臺可以根據(jù)屬性證書中的相關內容控制用戶的資源訪問權限，應用系統(tǒng)則可以根據(jù)業(yè)務系統(tǒng)中的權限策略實現(xiàn)對用戶應用系統(tǒng)的控制。

（三）數(shù)字證書應用子系統(tǒng)

為了使數(shù)字證書為核心的信息安全技術發(fā)揮出應有作用，必須要一個數(shù)字證書應用平臺系統(tǒng)作為依托，即數(shù)字證書應用子系統(tǒng)，以實現(xiàn)對網(wǎng)絡信息進行加密、數(shù)字簽名以及認證。數(shù)字證書應用子系統(tǒng)的構建可以分為整體框架以及應用平臺和應用系統(tǒng)的接口兩大部分。

1.數(shù)字證書應用體系框架

數(shù)字證書應用體系框架主要可以分為客戶區(qū)域、代理服務區(qū)域以及應用服務區(qū)域三大部分。通過資源訪問控制代理服務區(qū)域的主機對數(shù)據(jù)信息進行加密、認證以及權限控制后，此時的客戶區(qū)域的信息就可以安全的傳輸?shù)綉梅諈^(qū)域中相對應的服務器內。在傳輸?shù)臄?shù)據(jù)信息當中具有寶貴數(shù)據(jù)資源的部分，應用服務器可以將其全部保護在安全的網(wǎng)絡當中；而其他一些不具有數(shù)據(jù)資源，資源訪問控制安全代理服務器的一個網(wǎng)絡端口處于安全威脅較大的客戶區(qū)域。在數(shù)字證書應用體系當中需要設置的部件主要可以分為以下幾類：數(shù)字證書應用體系需要在客戶區(qū)域內部署IP層安全代理驅動程序，該程序主要負責客戶端的ekey進行有效認證、密鑰的溝通以及數(shù)據(jù)信息的加密等工作；部署身份認證服務器，該服務器主要負責通過驗證客戶端的ekey私有密鑰對隨機數(shù)的簽字，從而驗證客戶端用戶的真實身份以及查詢數(shù)字證書的實時狀態(tài)，獲取用戶屬性證書，分配客戶端與資源訪問控制代理服務器之間的會話密鑰；部署資源訪問控制代理服務器，該服務器主要負責用戶身份認證以及資源控制；部署本地數(shù)字證書在線狀態(tài)查詢服務器，主要負責對本地數(shù)字證書實時狀態(tài)的查詢工作；部署屬性證書以及資源權限策略服務器；在應用服務區(qū)域內部署IP層安全代理驅動程序。另外，如果遇到一些對信息安全等級要求不高的情況時，可以將資源訪問控制分散到各個應用服務器的IP層安全代理驅動程序，這樣一來可以有效的降低數(shù)字證書應用體系的復雜程度。

關于數(shù)字證書為核心的信息安全技術的控制機制主要包括：首先通過客戶端的安全代理程序在客戶身份認證系統(tǒng)中申請用戶的身份認證信息的查詢請求；當請求通過后可以利用；身份認證系統(tǒng)中的上下文交互的隨機碼簽字對用戶身份信息以及客戶端證書的真實性進行有效驗證，由于在數(shù)字證書里存儲著大量的數(shù)字以及英文字母，因此在通過數(shù)字證書對客戶端的用戶身份進行有效認證時，數(shù)字證書可以隨機生成128位的身份驗證碼，而且每一個數(shù)字證書在隨機生成身份驗證碼時都能夠表現(xiàn)出明顯的差異性，也就是說可以生成一個復雜而又唯一的密碼，從而確保了數(shù)據(jù)信息在網(wǎng)絡傳輸過程中的安全性以及保密性；通過身份認證系統(tǒng)查詢數(shù)字證書的實時狀態(tài)以及數(shù)字證書所綁定的屬性證書的實時信息，然后將其傳送至安全的客戶端；認證通過后會給客戶端與資源訪問控制的代理服務器隨機分配一個會話密鑰，通過隨機分配的會話密鑰對所有的IP層安全代理驅動程序進行加密，然后再將加密的數(shù)據(jù)包發(fā)送至代理服務器；代理服務器對數(shù)據(jù)包進行解密后，再根據(jù)其屬性證書以及訪問權限策略判斷其是否具備訪問目標資源的權利，由于數(shù)字證書綁定了公鑰以及用戶信息，而且利用公鑰以及用戶信息的唯一性可以對其進行有效驗證，如果在驗證過程中發(fā)現(xiàn)這些信息不具備訪問目標資源的權利時，將會對這些信息進行重新加密并傳送至應用服務器；在應用服務器中的應用程序依據(jù)屬性證書以及業(yè)務權限控制策略控制其應用層的業(yè)務過程，例如通過屬性證書可以進行業(yè)務層的權限控制[5]。

2.數(shù)字證書應用平臺和應用系統(tǒng)的接口

關于數(shù)字證書為核心的信息安全技術的應用平臺為應用程序提供了客戶端和服務器端的開發(fā)接口，其中接口的形式主要以JAVA、DLL、COM對象以及Windows服務為主。數(shù)字證書應用平臺和應用系統(tǒng)的接口實現(xiàn)的功能主要包括數(shù)據(jù)信息的加密、數(shù)字簽名、簽名驗證、用戶身份的認證以及數(shù)字證書的狀態(tài)查詢等。

三、結束語

綜上所述，關于數(shù)字證書為核心的信息安全技術主要是通過加密、簽字以及認證等措施，確保信息在互聯(lián)網(wǎng)上傳輸?shù)陌踩?、完整性以及準確性，而且還由于用戶不需要掌握任何專業(yè)性的知識就可以實現(xiàn)對其的操作以及后期維護工作量較小、維護難度較低等優(yōu)點，使得以數(shù)字證書為核心的信息安全技術具有非常廣泛的應用前景。本文主要研究了以數(shù)字證書為核心的信息安全技術在企業(yè)內部網(wǎng)絡中的應用，其中包括公鑰基礎設施、授權管理基礎設施以及數(shù)字證書應用子系統(tǒng)的建立與實施，為日后進一步的研究提供科學、可靠地理論依據(jù)。

參考文獻：

[1]廖振松.虛擬組織中自動信任協(xié)商研究[D].華中科技大學，2008

[2]鄭猛.數(shù)字證書為網(wǎng)上交易保駕護航[N].中國稅務報，2006

[3]焦世然.在線更新系統(tǒng)在數(shù)字證書應用中的設計與實現(xiàn)[D].吉林大學，2011

[4]馬鳳云.基于數(shù)字認證的垃圾郵件過濾系統(tǒng)的研究[D].山東師范大學，2007

[5]賈偉.基于數(shù)字證書技術實現(xiàn)公安網(wǎng)絡的文件發(fā)布與跟蹤系統(tǒng)[D].北方工業(yè)大學，2010