馬萌

摘要：計(jì)算機(jī)、網(wǎng)絡(luò)和人們的工作、生活聯(lián)系越來(lái)越緊密，同時(shí)產(chǎn)生了大量信息。這些信息涉及個(gè)人隱私甚至工作秘密，信息的泄露會(huì)極大損害個(gè)人、企業(yè)的利益。如何保證這些信息在個(gè)人計(jì)算機(jī)、網(wǎng)絡(luò)中使用和傳輸?shù)臋C(jī)密性、完整性、安全性，以及對(duì)信息使用和接收者的身份確認(rèn)，成了近年來(lái)信息安全領(lǐng)域研究的一個(gè)重要課題。

關(guān)鍵詞：信息安全 數(shù)字證書(shū) 私鑰公鑰

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）07-0201-01

隨著科技水平、信息化技術(shù)的發(fā)展，計(jì)算機(jī)、網(wǎng)絡(luò)和人們的工作、生活聯(lián)系越來(lái)越緊密。計(jì)算機(jī)的使用與網(wǎng)絡(luò)的應(yīng)用產(chǎn)生了大量的數(shù)據(jù)和信息，這些信息部分可以隨意公開(kāi)，少部分涉及個(gè)人隱私甚至工作秘密不能被他人知曉。如何保證個(gè)人數(shù)據(jù)、信息在使用和傳輸中的機(jī)密性、完整性、安全性，以及對(duì)信息使用和接收者的身份確認(rèn)，成了信息安全領(lǐng)域研究的一個(gè)重要課題。

1 存在的問(wèn)題

隨著信息化水平的提高，辦公自動(dòng)化系統(tǒng)、生產(chǎn)管理系統(tǒng)、ERP、郵件等系統(tǒng)在企業(yè)內(nèi)部網(wǎng)絡(luò)的使用，方便了員工的信息共享，提高了企業(yè)管理效率。但是每一個(gè)系統(tǒng)都有不同的賬號(hào)登錄，員工在各系統(tǒng)間頻繁登錄，要記錄不同的賬號(hào)與密碼，維護(hù)難度大。通常系統(tǒng)登錄采取賬號(hào)加口令方式，賬號(hào)加口令認(rèn)證采用的是明文傳輸。這種身份認(rèn)證方式存在安全漏洞，安全性差，用戶一般使用容易記憶的口令，如數(shù)字、生日、姓名縮寫(xiě)等。因此建立安全、可靠的身份認(rèn)證體系顯得尤為重要。

1.1 身份認(rèn)證技術(shù)

常用身份認(rèn)證技術(shù)包括單因素認(rèn)證、雙因素認(rèn)證、生理特征認(rèn)證等。賬號(hào)加口令屬于單因素認(rèn)證；雙因素是指除使用賬號(hào)加口令認(rèn)證方式外，采用諸如：USB Key（智能芯片卡），pin碼，數(shù)字證書(shū)等其他的認(rèn)證方式的一種強(qiáng)身份認(rèn)證方式；生理特征身份認(rèn)證以人體唯一的指紋、虹膜、聲音等為依據(jù)進(jìn)行認(rèn)證；但是數(shù)據(jù)采集成本大、運(yùn)營(yíng)成本高，存儲(chǔ)與傳輸難度大。從實(shí)用性和成本角度企業(yè)一般采取PKI/CA的雙因素身份認(rèn)證。

1.2 PKI公鑰基礎(chǔ)設(shè)施

PKI公鑰基礎(chǔ)設(shè)施[1]，是一種利用公鑰理論和技術(shù)建立的密鑰管理平臺(tái)，它能夠?yàn)榫W(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)傳輸提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系，為每個(gè)合法用戶的使用提供合法性的證明?；谄髽I(yè)網(wǎng)絡(luò)環(huán)境，無(wú)論是B/S、C/S架構(gòu)的系統(tǒng)應(yīng)用。利用PKI可以方便地建立，維護(hù)一個(gè)可信的企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境，使企業(yè)員工在網(wǎng)絡(luò)環(huán)境中能夠確認(rèn)彼此的身份和認(rèn)證交換的信息；實(shí)現(xiàn)通信中各實(shí)體的身份認(rèn)證，保證數(shù)據(jù)的完整性、真實(shí)性、抗抵賴性和信息保密等。

2 PKI/CA系統(tǒng)

通常一個(gè)完整PKI系統(tǒng)必須包含幾個(gè)部分：PKI客戶端、注冊(cè)機(jī)構(gòu)RA、認(rèn)證機(jī)構(gòu)CA和LDAP目錄服務(wù)器。

2.1 PKI體系結(jié)構(gòu)

PKI客戶端是證書(shū)的使用者、持有者；RA證書(shū)注冊(cè)機(jī)構(gòu)，負(fù)責(zé)核實(shí)證書(shū)申請(qǐng)者的身份，是用戶與認(rèn)證中心服務(wù)連接的接口；認(rèn)證機(jī)構(gòu)CA是PKI的核心，負(fù)責(zé)制定證書(shū)策略、初始化RA，接收、撤銷和更新證書(shū)請(qǐng)求，為實(shí)體生成密鑰對(duì)，CA在密碼傳輸中采用MD5加密算法，采取公鑰與私鑰結(jié)合的方式，在證書(shū)認(rèn)證和下發(fā)中采用不可逆下發(fā)。CA負(fù)責(zé)簽發(fā)網(wǎng)絡(luò)用戶的電子身份標(biāo)識(shí)，對(duì)CRL證書(shū)注銷列表進(jìn)行管理；LDAP服務(wù)器提供目錄瀏覽服務(wù)，負(fù)責(zé)將用戶信息以及數(shù)字證書(shū)加入到服務(wù)器上。

2.2 PKI建設(shè)

通常根據(jù)企業(yè)的性質(zhì)不同和規(guī)模大小可以采用不同的建設(shè)方案，建設(shè)方案的選擇直接關(guān)系到了PKI/CA系統(tǒng)的使用、管理、維護(hù)及安全性。一般有以下幾種：（1）采用現(xiàn)有存在的面向公眾服務(wù)商業(yè)性數(shù)字認(rèn)證機(jī)構(gòu)+國(guó)家級(jí)權(quán)威公證模式。（2）采用完全自行建設(shè)模式。通過(guò)建立行業(yè)內(nèi)部認(rèn)證+內(nèi)部審核公證系。

第一種方式具有建設(shè)成本較低，無(wú)需建立維護(hù)、培訓(xùn)和支持團(tuán)隊(duì)，無(wú)需自己定義管理和安全策略。但應(yīng)用和管理靈活性差。證書(shū)管理策略依賴于服務(wù)商，業(yè)務(wù)可靠性、穩(wěn)定性依賴于外部服務(wù)，風(fēng)險(xiǎn)較高。

第二種方式要獨(dú)立建立、維護(hù)、培訓(xùn)和運(yùn)營(yíng)的整個(gè)PKI過(guò)程，并對(duì)PKI所有事物負(fù)全責(zé)，其中包括系統(tǒng)、通信、數(shù)據(jù)庫(kù)及物理安全、網(wǎng)絡(luò)安全、冗余系統(tǒng)、恢復(fù)等，對(duì)人員要求也比較高。比較適合具有全國(guó)、全省、行業(yè)范圍內(nèi)有多種業(yè)務(wù)相關(guān)的關(guān)鍵信息系統(tǒng)的應(yīng)用；企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)存在大量涉密信息對(duì)安全性可靠性要求高，企業(yè)內(nèi)網(wǎng)與外網(wǎng)采取物理隔離的網(wǎng)絡(luò)通常采取這種建設(shè)模式。

3 USK key在數(shù)字證書(shū)中的使用

3.1 USB Key的特點(diǎn)

為了適應(yīng)企業(yè)網(wǎng)絡(luò)環(huán)境的特殊性，保障計(jì)算機(jī)和系統(tǒng)安全性，企業(yè)一般采用PIN碼加USB Key的方式進(jìn)行雙因素登錄。USB Key屬于密碼設(shè)備，內(nèi)置智能卡芯片，通過(guò)存儲(chǔ)的私鑰信息在企業(yè)網(wǎng)絡(luò)內(nèi)部系統(tǒng)中實(shí)現(xiàn)身份認(rèn)證、數(shù)字簽名等功能。

3.2 文件加密傳輸

為保障企業(yè)內(nèi)部涉密文件的加密傳輸，保證接受者的合法讀取權(quán)，都可以通過(guò)身份認(rèn)證進(jìn)行解決。加密傳輸對(duì)原有明文的文件按照某種特定算法進(jìn)行處理，形成不可讀的一段代碼“密文”，匹配相應(yīng)的密鑰之后顯示原來(lái)的文件內(nèi)容。

3.3 USB Key私鑰證書(shū)恢復(fù)

通常企業(yè)信息安全管理部門設(shè)置專屬的CA管理人員，負(fù)責(zé)證書(shū)的維護(hù)，對(duì)用戶的證書(shū)申請(qǐng)、重發(fā)放及密鑰制作。企業(yè)內(nèi)部網(wǎng)絡(luò)用戶丟失或者損壞USB Key，CA管理人員通過(guò)數(shù)字證書(shū)系統(tǒng)密鑰代理恢復(fù)數(shù)據(jù)，將私鑰備份復(fù)制到新的USB Key中。

3.4 USB Key的管理

企業(yè)內(nèi)部采用雙因素認(rèn)證，工作中難免個(gè)人PIN碼和USB Key被他人知悉。為了防范需要加強(qiáng)PIN碼和USB Key的管理，定期修改PIN碼，停止使用計(jì)算機(jī)時(shí)將USB Key存放到安全的設(shè)備中如：文件柜、密碼柜中，人走拔key。

企業(yè)內(nèi)部大量USB Key的使用，增加管理難度，為了區(qū)分采取數(shù)字編碼或制作用戶標(biāo)牌進(jìn)行劃分。同時(shí)完善日志，審計(jì)用戶信息、終端信息、認(rèn)證時(shí)間和成功失敗情況等，若出現(xiàn)異常，便于追蹤，加強(qiáng)防范。

4 結(jié)語(yǔ)

隨著企業(yè)信息安全意識(shí)的加強(qiáng)，以及在商務(wù)領(lǐng)域中PKI/CA技術(shù)的廣泛應(yīng)用。數(shù)字證書(shū)系統(tǒng)已經(jīng)是一種成熟的技術(shù)手段，在數(shù)據(jù)安全加密和加密傳輸中能夠較好的解決信息安全方面的問(wèn)題，隨著信息化水平的提高數(shù)字認(rèn)證、身份認(rèn)證技術(shù)必將廣泛應(yīng)用到各行業(yè)中。

參考文獻(xiàn)

[1]謝冬青，冷建.PKI原理與技術(shù)[M].北京：清華大學(xué)出版社，2004.