马萌
摘要:计算机、网络和人们的工作、生活联系越来越紧密,同时产生了大量信息。这些信息涉及个人隐私甚至工作秘密,信息的泄露会极大损害个人、企业的利益。如何保证这些信息在个人计算机、网络中使用和传输的机密性、完整性、安全性,以及对信息使用和接收者的身份确认,成了近年来信息安全领域研究的一个重要课题。
关键词:信息安全 数字证书 私钥公钥
中图分类号:TP39 文献标识码:A 文章编号:1007-9416(2016)07-0201-01
随着科技水平、信息化技术的发展,计算机、网络和人们的工作、生活联系越来越紧密。计算机的使用与网络的应用产生了大量的数据和信息,这些信息部分可以随意公开,少部分涉及个人隐私甚至工作秘密不能被他人知晓。如何保证个人数据、信息在使用和传输中的机密性、完整性、安全性,以及对信息使用和接收者的身份确认,成了信息安全领域研究的一个重要课题。
1 存在的问题
随着信息化水平的提高,办公自动化系统、生产管理系统、ERP、邮件等系统在企业内部网络的使用,方便了员工的信息共享,提高了企业管理效率。但是每一个系统都有不同的账号登录,员工在各系统间频繁登录,要记录不同的账号与密码,维护难度大。通常系统登录采取账号加口令方式,账号加口令认证采用的是明文传输。这种身份认证方式存在安全漏洞,安全性差,用户一般使用容易记忆的口令,如数字、生日、姓名缩写等。因此建立安全、可靠的身份认证体系显得尤为重要。
1.1 身份认证技术
常用身份认证技术包括单因素认证、双因素认证、生理特征认证等。账号加口令属于单因素认证;双因素是指除使用账号加口令认证方式外,采用诸如:USB Key(智能芯片卡),pin码,数字证书等其他的认证方式的一种强身份认证方式;生理特征身份认证以人体唯一的指纹、虹膜、声音等为依据进行认证;但是数据采集成本大、运营成本高,存储与传输难度大。从实用性和成本角度企业一般采取PKI/CA的双因素身份认证。
1.2 PKI公钥基础设施
PKI公钥基础设施[1],是一种利用公钥理论和技术建立的密钥管理平台,它能够为网络应用和数据传输提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,为每个合法用户的使用提供合法性的证明。基于企业网络环境,无论是B/S、C/S架构的系统应用。利用PKI可以方便地建立,维护一个可信的企业内部网络环境,使企业员工在网络环境中能够确认彼此的身份和认证交换的信息;实现通信中各实体的身份认证,保证数据的完整性、真实性、抗抵赖性和信息保密等。
2 PKI/CA系统
通常一个完整PKI系统必须包含几个部分:PKI客户端、注册机构RA、认证机构CA和LDAP目录服务器。
2.1 PKI体系结构
PKI客户端是证书的使用者、持有者;RA证书注册机构,负责核实证书申请者的身份,是用户与认证中心服务连接的接口;认证机构CA是PKI的核心,负责制定证书策略、初始化RA,接收、撤销和更新证书请求,为实体生成密钥对,CA在密码传输中采用MD5加密算法,采取公钥与私钥结合的方式,在证书认证和下发中采用不可逆下发。CA负责签发网络用户的电子身份标识,对CRL证书注销列表进行管理;LDAP服务器提供目录浏览服务,负责将用户信息以及数字证书加入到服务器上。
2.2 PKI建设
通常根据企业的性质不同和规模大小可以采用不同的建设方案,建设方案的选择直接关系到了PKI/CA系统的使用、管理、维护及安全性。一般有以下几种:(1)采用现有存在的面向公众服务商业性数字认证机构+国家级权威公证模式。(2)采用完全自行建设模式。通过建立行业内部认证+内部审核公证系。
第一种方式具有建设成本较低,无需建立维护、培训和支持团队,无需自己定义管理和安全策略。但应用和管理灵活性差。证书管理策略依赖于服务商,业务可靠性、稳定性依赖于外部服务,风险较高。
第二种方式要独立建立、维护、培训和运营的整个PKI过程,并对PKI所有事物负全责,其中包括系统、通信、数据库及物理安全、网络安全、冗余系统、恢复等,对人员要求也比较高。比较适合具有全国、全省、行业范围内有多种业务相关的关键信息系统的应用;企业内部网络系统存在大量涉密信息对安全性可靠性要求高,企业内网与外网采取物理隔离的网络通常采取这种建设模式。
3 USK key在数字证书中的使用
3.1 USB Key的特点
为了适应企业网络环境的特殊性,保障计算机和系统安全性,企业一般采用PIN码加USB Key的方式进行双因素登录。USB Key属于密码设备,内置智能卡芯片,通过存储的私钥信息在企业网络内部系统中实现身份认证、数字签名等功能。
3.2 文件加密传输
为保障企业内部涉密文件的加密传输,保证接受者的合法读取权,都可以通过身份认证进行解决。加密传输对原有明文的文件按照某种特定算法进行处理,形成不可读的一段代码“密文”,匹配相应的密钥之后显示原来的文件内容。
3.3 USB Key私钥证书恢复
通常企业信息安全管理部门设置专属的CA管理人员,负责证书的维护,对用户的证书申请、重发放及密钥制作。企业内部网络用户丢失或者损坏USB Key,CA管理人员通过数字证书系统密钥代理恢复数据,将私钥备份复制到新的USB Key中。
3.4 USB Key的管理
企业内部采用双因素认证,工作中难免个人PIN码和USB Key被他人知悉。为了防范需要加强PIN码和USB Key的管理,定期修改PIN码,停止使用计算机时将USB Key存放到安全的设备中如:文件柜、密码柜中,人走拔key。
企业内部大量USB Key的使用,增加管理难度,为了区分采取数字编码或制作用户标牌进行划分。同时完善日志,审计用户信息、终端信息、认证时间和成功失败情况等,若出现异常,便于追踪,加强防范。
4 结语
随着企业信息安全意识的加强,以及在商务领域中PKI/CA技术的广泛应用。数字证书系统已经是一种成熟的技术手段,在数据安全加密和加密传输中能够较好的解决信息安全方面的问题,随着信息化水平的提高数字认证、身份认证技术必将广泛应用到各行业中。
参考文献
[1]谢冬青,冷建.PKI原理与技术[M].北京:清华大学出版社,2004.