高也

引言：

黨的十八大以來，中央對信息安全工作尤為重視，中央成立信息安全領(lǐng)導(dǎo)小組，習近平總書記親自擔任組長。2017年實施的《網(wǎng)路安全法》是我國的基礎(chǔ)性法律，是網(wǎng)絡(luò)安全法制體系的重要基礎(chǔ)?？展苡嬎銠C網(wǎng)絡(luò)并非完全獨立于互聯(lián)網(wǎng)之外，除了日常工作需要借助互聯(lián)網(wǎng)完成外，部分計算機系統(tǒng)的遠程維護和操作也需要通過網(wǎng)絡(luò)來實現(xiàn)，這種計算機網(wǎng)絡(luò)內(nèi)外交叉的設(shè)計形式，使得空管計算機網(wǎng)絡(luò)系統(tǒng)直接暴露在危機四伏的互聯(lián)網(wǎng)中，易造成信息泄露的問題。本文將針對公鑰基礎(chǔ)設(shè)施技術(shù)和基于身份的密碼體制進行論述，比較二者的優(yōu)勢，并針對空管工程建設(shè)指揮部工作特點，指出采用基于身份的密碼體制的優(yōu)勢。

一、公鑰基礎(chǔ)設(shè)施技術(shù)

公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）是指用公鑰概念和技術(shù)來實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施，密鑰管理是PKI技術(shù)必須具有的功能。

1.PKI系統(tǒng)的組成部分

PKI是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)和平臺，目的是為了管理密鑰和證書。通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡(luò)環(huán)境。一個典型、完整、有效的PKI 應(yīng)用系統(tǒng)至少應(yīng)具有以下五個部分：

（1）認證中心（Certificate Authority，CA）：CA是PKI技術(shù)的核心，CA起到負責管理PKI架構(gòu)下的所有用戶的證書的作用，把用戶的公鑰和用戶的其他信息相綁定，用于驗證用戶的身份。

（2）X.500目錄服務(wù)器：X.500目錄服務(wù)器用于發(fā)布用戶的證書和黑名單信息，所有用戶可通過LDAP協(xié)議查詢自己或他人的證書和下載黑名單信息。

（3）SSL協(xié)議：Secure socket layer（SSL）協(xié)議已經(jīng)廣泛被用于Web瀏覽器與服務(wù)器之間的基于身份認證的加密。

（4）Web：Web有客戶端和服務(wù)器端兩部分，通過SSL 協(xié)議保證客戶端和服務(wù)器端數(shù)據(jù)的身份驗證、機密性和完整性。

（5）應(yīng)用系統(tǒng)：應(yīng)用系統(tǒng)是指各行業(yè)自行開發(fā)的各種具體應(yīng)用系統(tǒng)，例如銀行、證券的應(yīng)用系統(tǒng)等。

2.PKI技術(shù)的優(yōu)勢

PKI技術(shù)的靈魂來源于公鑰密碼技術(shù)，這種技術(shù)使得“知其然不知其所以然”成為一種可以證明的狀態(tài)，使得網(wǎng)絡(luò)上的數(shù)字簽名有了理論上的安全保障。

PKI的優(yōu)勢主要表現(xiàn)在：

（1）機密性是PKI最得天獨厚的優(yōu)點。無論相互通信之間的實體是否相識，PKI都能為通信提供保密支持。

（2）采用公開密鑰密碼技術(shù)，支持公開驗證并無法仿冒的數(shù)字簽名，從而為原數(shù)據(jù)完整性提供了更高級別的保證。

（3）離線服務(wù)。PKI采用數(shù)字證書方式進行服務(wù)，即通過第三方頒發(fā)的數(shù)字證書證明末端實體的密鑰，而不是在線查詢或在線分發(fā)。這種采用離線密鑰管理方式突破了過去安全驗證服務(wù)必須在線的限制。

（4）支持大容量用戶。數(shù)字證書可以由用戶獨立驗證，不需要在線查詢，原理上能夠在服務(wù)范圍內(nèi)無限制地擴張，這使得PKI能夠成為一種服務(wù)巨大用戶群的基礎(chǔ)設(shè)施。

（5）PKI提供了證書的撤銷機制，從而使得其應(yīng)用領(lǐng)域不受具體應(yīng)用的限制。撤銷機制提供了在意外情況下的補救措施，隨時可以撤銷身份而不用擔心被竊后身份被永遠作廢或被他人惡意盜用。

（6）PKI具有極強的互聯(lián)能力。不論是上下級的領(lǐng)導(dǎo)關(guān)系，還是平等的信任關(guān)系，PKI都能夠按照人類世界的信任方式進行多種形式的互聯(lián)互通，從而使PKI能夠很好地服務(wù)于符合人類習慣的大型網(wǎng)絡(luò)信息系統(tǒng)。

二、基于身份的密碼體制

基于身份的密碼系統(tǒng)（Identity-Based Cryptosystem，IBC）的概念是由Shamir在1984年提出來的，它是由傳統(tǒng)的PKI技術(shù)的基礎(chǔ)上發(fā)展而來，IBC技術(shù)的應(yīng)用簡化了在PKI技術(shù)中大量數(shù)字證書的存在與交換繁瑣問題，以便安全應(yīng)用能更簡潔方便的部署與使用。

IBC密碼技術(shù)是基于非對稱密碼體系，加密密鑰與解密密鑰使用兩套完全不同的密鑰。每個人的身份標識就是其公鑰，私鑰則是以數(shù)據(jù)形式由用戶自己掌握。在密鑰管理與分配上相對簡單，大大方便了對數(shù)據(jù)信息的加解密。其優(yōu)勢是在密鑰分配方面要比常規(guī)PKI技術(shù)容易得多。

1.IBC技術(shù)的優(yōu)勢

在傳統(tǒng)的公鑰密碼系統(tǒng)中，一般是基于公鑰基礎(chǔ)設(shè)施（PKI）實現(xiàn)公鑰與實體身份的級聯(lián)，通過傳統(tǒng)認證中心發(fā)放的公鑰證書來實現(xiàn)的，該方式的證書管理需要很高的計算開銷和存儲開銷。

在基于身份的公鑰密碼系統(tǒng)中，用戶的公鑰是用戶的身份ID或者是身份信息產(chǎn)生的信息，私鑰則由密鑰生成中心（PKG）統(tǒng)一生成。基于身份的密碼系統(tǒng)不存在由傳統(tǒng)認證中心（CA）頒發(fā)證書所帶來的存儲和管理開銷問題。由此可見，基于身份的密碼系統(tǒng)是基于證書的公鑰密碼系統(tǒng)的替代品。

基于身份的密碼系統(tǒng)中應(yīng)滿足以下三點：

（1）用戶之間不用交換私鑰和公鑰?；谏矸莸拿艽a系統(tǒng)每一個用戶的公鑰是一個所有用戶都承認的ID或身份信息。

（2）不需要保持一個公共的證書服務(wù)器。免去認證中心CA頒發(fā)證書的管理與開銷，簡化流程提高效率。

（3）只在系統(tǒng)建立階段需要可信中心服務(wù)。在系統(tǒng)中搭建一個安全可信的密鑰生成中心PKG，用于生成、分發(fā)、管理用戶私鑰。

與傳統(tǒng)的公鑰密碼系統(tǒng)相比，基于身份的密碼系統(tǒng)存在不同之處：基于身份的密碼系統(tǒng)中實體公開身份信息是實體的唯一標識，它起著公鑰的作用，特定用戶公開數(shù)據(jù)不需要明顯地驗證。

2.IBC技術(shù)的不足

基于身份的公鑰密碼系統(tǒng)同樣存在一些問題：

（1）基于身份的公鑰密碼系統(tǒng)帶有密鑰托管功能，因此，PKG知道所有用戶的私鑰，可以偽裝成任何用戶對任意消息進行簽名，這對簽名的不可偽造性造成一定的威脅。

（2）PKG和用戶之間進行私鑰分配需要安全的方法或通道。

（3）基于身份的公鑰密碼系統(tǒng)在大規(guī)模使用時，會遇到身份唯一性問題。

三、PKI與IBC的對比

IBC技術(shù)與PKI技術(shù)雖然同屬于公鑰密碼體系，但是二者的密碼原理不同，在秘鑰生成上都有較大差異。IBC技術(shù)較PKI技術(shù)有如下幾項優(yōu)點：

（1）IBC機制取消了第三方認證機構(gòu)CA，方便簡潔地實現(xiàn)了加密與身份認證。

（2）IBC不需要數(shù)字證書，用戶的ID就是其公鑰，并且與公鑰對應(yīng)的私鑰只用獲取一次，之后可以保存在本地，支持離線解密。

（3）IBC中，用戶的ID可以直接獲得，而不需要驗證CA的簽名。

（4）在基于身份的密碼技術(shù)中，公私鑰對都是由用戶的ID計算出來的，在這期間并不需要與證書進行綁定。

（5）IBC技術(shù)中，用戶公鑰就是其ID或其簡單推導(dǎo)（如進行哈希運算），不需要CA對公鑰進行簽名。

（6）IBC技術(shù)中，由于公鑰是由ID計算得到，因此無需單獨的空間來儲存用戶的數(shù)字證書。

四、基于身份的密碼體制在指揮部工作中的應(yīng)用

與其他運行部門工作職責不同，指揮部既承擔著大量外協(xié)的工作，又有很多機密文件。這就要求指揮部在保障信息安全方面比其他部門付出更多的努力?；谏矸莸拿艽a體制要比傳統(tǒng)基于公鑰基礎(chǔ)設(shè)施的方式更符合指揮部的信息安全需求。原因如下：

指揮部外聯(lián)工作多。若使用傳統(tǒng)PKI技術(shù)，則需要管理大量數(shù)字證書，每次通信時都要先驗證證書的有效性。隨著用戶的發(fā)展，這將導(dǎo)致認證中心負載增大。而IBC技術(shù)無需PKI體系中的數(shù)字證書，也無需證書頒發(fā)機構(gòu)CA中心，更沒有了證書的發(fā)布與查詢。使用IBC技術(shù)，使得信息安全系統(tǒng)部署更方便，使用更簡單，工作更高效。

IBC技術(shù)無需PKI技術(shù)的在線連接CA服務(wù)器查詢與驗證證書狀態(tài)，具備較低的通信代價。

（作者單位：中國民用航空華北地區(qū)空中交通管理局）