楊潔

摘要：CA認(rèn)證技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的運(yùn)用能夠很好的保護(hù)用戶的信息資料，保證了個人、企事業(yè)單位計(jì)算機(jī)網(wǎng)絡(luò)使用的安全。本文通過對CA認(rèn)證技術(shù)的認(rèn)識和理解，分析探討CA認(rèn)證技術(shù)在保障網(wǎng)絡(luò)信息安全中發(fā)揮的重要作用。

關(guān)鍵詞：PK1/CA認(rèn)證；數(shù)字證書；信息安全

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-9129（2018）07-0042-02

Abstract： the application of CA certification in computer network can protect the user's information and ensure the security of computer network. Through the understanding and understanding of CA certification technology， this paper discusses the important role of CA certification technology in guaranteeing network information security.

Keywords： PK1/CA certification； Digital certificates； Information security

1 引言

隨著現(xiàn)代科技技術(shù)的不斷發(fā)展以及互聯(lián)網(wǎng)的普及，信息化浪潮以勢不可擋之勢席卷全球。企事業(yè)單位可以運(yùn)用信息化手段，深入開發(fā)和利用信息資源，實(shí)現(xiàn)自動化的生產(chǎn)過程、網(wǎng)絡(luò)化的管理手段、智能化的決策保障和電子化的商務(wù)運(yùn)營，在降低生產(chǎn)成本，增強(qiáng)生產(chǎn)效率的同時，也推動企事業(yè)單位的市場競爭力不斷上升。但是，由于互聯(lián)網(wǎng)存在公開性、隱匿性等特點(diǎn)，誘發(fā)了網(wǎng)絡(luò)信息潛藏的安全問題，基于互聯(lián)網(wǎng)所傳輸?shù)母黝愊㈦S時存在被泄露的危險，因此，保障網(wǎng)絡(luò)信息安全，引起了越來越多人的關(guān)注和重視，在此種情況下，PKI/CA技術(shù)應(yīng)運(yùn)而生，并不斷完善壯大，在網(wǎng)絡(luò)信息安全領(lǐng)域廣泛應(yīng)用。

2 PKI/CA概述

2.1 PKI

PKI（Public Key Infrastructure）是一種密鑰管理平臺，也被稱為公開密鑰體系，它遵循著既定的標(biāo)準(zhǔn)，為網(wǎng)絡(luò)信息的傳輸和使用提供加密服務(wù)。PKI的基本組成部分包括公開密鑰體系技術(shù)、數(shù)字證書、CA（認(rèn)證機(jī)構(gòu)）以及公開密鑰的安全策略。

2.2 CA認(rèn)證中心

CA（Certificate Authority）是PKI體系的核心，是專門負(fù)責(zé)證書的簽發(fā)、認(rèn)證以及管理已簽發(fā)證書的一種機(jī)構(gòu)，是一種特殊的公鑰管理中心。CA在驗(yàn)證、識別用戶身份時應(yīng)通過相應(yīng)的政策以及步驟進(jìn)行，確定公鑰擁有權(quán)和證書持有者的身份。CA擁有自身的證書和私鑰，使用其私鑰給用戶簽發(fā)數(shù)字證書，CA證書對所有用戶開放，便于所有用戶對CA證書的簽發(fā)進(jìn)行驗(yàn)證。

2.3數(shù)字證書

數(shù)字證書又被稱為數(shù)字身份證、數(shù)字ID，是由認(rèn)證中心發(fā)放并進(jìn)行簽名的一種電子文件。數(shù)字證書包含用戶身份信息，具有防偽性且可以公開，數(shù)字證書作為網(wǎng)絡(luò)身份證可以證明持有數(shù)字證書的人的真實(shí)身份。數(shù)字證書分為簽名證書和加密證書兩種，包括證書持有者信息、公開密鑰和證書簽發(fā)機(jī)構(gòu)的簽名。國際電聯(lián)X.509是證書格式需要遵循的國際標(biāo)準(zhǔn)，一個標(biāo)準(zhǔn)的X.509數(shù)字證書需要包含證書的版本信息、唯一序列號、簽名算法、發(fā)行機(jī)構(gòu)的名稱、有效期限、使用者名稱以及公鑰信息等內(nèi)容。數(shù)字證書還可以在這些內(nèi)容的基礎(chǔ)上附加擴(kuò)展項(xiàng)，伴隨數(shù)字證書應(yīng)用領(lǐng)域的不斷擴(kuò)展，其包含的擴(kuò)展項(xiàng)也跟著不斷增多。

3 PKI/CA架構(gòu)

一個完善的PKI系統(tǒng)應(yīng)包括以下三方面：1）PKI策略和軟硬件系統(tǒng)；2）證書機(jī)構(gòu)CA、注冊機(jī)構(gòu)RA和證書發(fā)布系統(tǒng)；3）PKI應(yīng)用。

3.1 PKI策略：對網(wǎng)絡(luò)信息安全的指導(dǎo)方針進(jìn)行了構(gòu)建和定位。同時也為密碼系統(tǒng)的使用原則和處理方法進(jìn)行定義。

3.2 證書認(rèn)證機(jī)構(gòu)CA：是信任PKI的基礎(chǔ)，公鑰的整個生命周期都受其管理。它可以進(jìn)行證書的發(fā)放、規(guī)定有效期限以及在必要時可以通過證書廢除列表（CRL）對證書進(jìn)行廢除。

注冊機(jī)構(gòu)：為用戶和CA之間提供了一個接口，在用戶進(jìn)行CA認(rèn)證時，確認(rèn)用戶的身份信息。它包含兩個功能，即用戶信息的收集以及用戶身份的確認(rèn)。用戶在這里是指，將要向認(rèn)證中心申請數(shù)字證書的用戶，可以是個人、企事業(yè)、或是政府機(jī)構(gòu)。注冊機(jī)構(gòu)不具備簽發(fā)證書的權(quán)利，只擁有審查用戶身份的資格。

證書發(fā)布系統(tǒng)：專門負(fù)責(zé)發(fā)放證書。用戶申請的證書可以到相應(yīng)的機(jī)構(gòu)去領(lǐng)取，也可以在網(wǎng)絡(luò)上自行下載。

3.3 PKI應(yīng)用：保證各種受保護(hù)系統(tǒng)的安全正常運(yùn)作，如網(wǎng)絡(luò)上進(jìn)行的商務(wù)交易、網(wǎng)上報稅系統(tǒng)、公交IC卡充值系統(tǒng)等。

4 PKI/CA技術(shù)的應(yīng)用探討

CA認(rèn)證經(jīng)過30多年的發(fā)展歷程，已經(jīng)形成比較完善的標(biāo)準(zhǔn)規(guī)范體系，并廣泛應(yīng)用于銀行、一卡通、基礎(chǔ)信息網(wǎng)絡(luò)應(yīng)用等方面。隨著CA認(rèn)證技術(shù)認(rèn)可度的不斷提升，CA認(rèn)證的應(yīng)用領(lǐng)域不斷擴(kuò)大，應(yīng)用程度也在不斷加深。歸納起來，CA認(rèn)證技術(shù)在保障網(wǎng)絡(luò)信息安全方面的應(yīng)用主要體現(xiàn)在以下幾個方面。

4.1身份認(rèn)證

在網(wǎng)絡(luò)中安全有效的身份認(rèn)證可以通過用戶的數(shù)字簽名以及驗(yàn)證數(shù)字證書來實(shí)現(xiàn)。網(wǎng)上交易的雙方可能相隔萬里，互不相識，要想交易成功安全，首先需要證實(shí)對方身份。數(shù)字證書作為網(wǎng)絡(luò)身份證，通過第三方的認(rèn)證機(jī)構(gòu)（CA），將用戶的公鑰以及用戶名和電子郵件地址等其他信息進(jìn)行捆綁傳輸，對方通過驗(yàn)證該數(shù)字證書是否合法正確，從而實(shí)現(xiàn)對對方身份的確認(rèn)。

電子政務(wù)和商務(wù)在網(wǎng)絡(luò)上進(jìn)行信息傳輸時，雙方同樣可以通過數(shù)字證書的驗(yàn)證來確定對方的身份。

4.2保護(hù)數(shù)據(jù)的機(jī)密性

互聯(lián)網(wǎng)具有公開性、隱匿性的特點(diǎn)，在互聯(lián)網(wǎng)上大多數(shù)人是使用明文的方式或采取簡單的加密進(jìn)行數(shù)據(jù)的傳輸，這使得非法分子十分輕易的就能截獲傳輸?shù)臄?shù)據(jù)，并進(jìn)行破解和利用，這樣會對雙方的數(shù)據(jù)傳輸帶來極大的安全隱患，從而出現(xiàn)不可估量的惡劣影響。

PKI技術(shù)的加密方式采用的是對稱加密和非對稱加密的相互結(jié)合。即每個用戶都有一個公鑰和一個私鑰，公鑰對外發(fā)布，私鑰自己保留。發(fā)送方加密明文時可以采用接收方的公鑰，接收方對密文解密時需要使用自己的私鑰。這樣通過公鑰的加密信息只有接受方才能進(jìn)行解密，最大程度的確保了數(shù)據(jù)傳輸?shù)陌踩院捅Ｃ苄?。如圖2所示：

加密數(shù)據(jù)信息后，不法分子即便截獲信息，也破解不了。如果以此為基礎(chǔ)構(gòu)建SSL通道，在SSL的通道中傳輸數(shù)據(jù)，安全機(jī)制會得到進(jìn)一步提升。

4.3保證數(shù)據(jù)的完整性

在互聯(lián)網(wǎng)中傳輸敏感數(shù)據(jù)，有極大可能會被不法分子惡意篡改，導(dǎo)致數(shù)據(jù)的損壞。所以，保證傳輸數(shù)據(jù)的完整性也是非常重要的。PKI可以通過數(shù)字簽名和數(shù)字摘要技術(shù)來實(shí)現(xiàn)對數(shù)據(jù)的完整性校驗(yàn)。數(shù)字摘要技術(shù)是采用單項(xiàng)Hash函數(shù)通過某種變換運(yùn)算對文件中的重要元素進(jìn)行變換獲取摘要碼，并將其融進(jìn)信息的傳輸中傳送給接收方。當(dāng)接受方利用同一變換運(yùn)算接受文件，如果得到的摘要碼跟發(fā)送方的一樣，那么文件就是完整的，反之亦然，這樣就可以最大限度的校驗(yàn)了數(shù)據(jù)完整性。

5 結(jié)束語

PKI/CA電子認(rèn)證技術(shù)在網(wǎng)絡(luò)中的應(yīng)用不僅可以很好地解決身份認(rèn)證的問題，也使得數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性得到保證，奠定了電子政務(wù)和商務(wù)在網(wǎng)絡(luò)上信息安全傳輸?shù)幕A(chǔ)，目前，CA認(rèn)證技術(shù)已廣泛應(yīng)用于金融、稅務(wù)、工商、重要工業(yè)控制等領(lǐng)域，金融卡、身份證已成為我們?nèi)粘Ｉ钪斜夭豢缮俚奈锲?，相信在不久的將來，CA電子認(rèn)證技術(shù)將會不斷完善和發(fā)展，給我們的生活帶來更大的便利和驚喜！

參考文獻(xiàn)：

[1]鄒建軍.PKI/CA在高校財(cái)務(wù)信息系統(tǒng)中的應(yīng)用研究[D].暨南大學(xué)，2007.

[2]蔣義軍.基于PKI的信息安全技術(shù)研究與開發(fā)[D].電子科技大學(xué)，2003.