杨洁
摘要:CA认证技术在计算机网络中的运用能够很好的保护用户的信息资料,保证了个人、企事业单位计算机网络使用的安全。本文通过对CA认证技术的认识和理解,分析探讨CA认证技术在保障网络信息安全中发挥的重要作用。
关键词:PK1/CA认证;数字证书;信息安全
中图分类号:TP393.08 文献标识码:A 文章编号:1672-9129(2018)07-0042-02
Abstract: the application of CA certification in computer network can protect the user's information and ensure the security of computer network. Through the understanding and understanding of CA certification technology, this paper discusses the important role of CA certification technology in guaranteeing network information security.
Keywords: PK1/CA certification; Digital certificates; Information security
1 引言
随着现代科技技术的不断发展以及互联网的普及,信息化浪潮以势不可挡之势席卷全球。企事业单位可以运用信息化手段,深入开发和利用信息资源,实现自动化的生产过程、网络化的管理手段、智能化的决策保障和电子化的商务运营,在降低生产成本,增强生产效率的同时,也推动企事业单位的市场竞争力不断上升。但是,由于互联网存在公开性、隐匿性等特点,诱发了网络信息潜藏的安全问题,基于互联网所传输的各类消息随时存在被泄露的危险,因此,保障网络信息安全,引起了越来越多人的关注和重视,在此种情况下,PKI/CA技术应运而生,并不断完善壮大,在网络信息安全领域广泛应用。
2 PKI/CA概述
2.1 PKI
PKI(Public Key Infrastructure)是一种密钥管理平台,也被称为公开密钥体系,它遵循着既定的标准,为网络信息的传输和使用提供加密服务。PKI的基本组成部分包括公开密钥体系技术、数字证书、CA(认证机构)以及公开密钥的安全策略。
2.2 CA认证中心
CA(Certificate Authority)是PKI体系的核心,是专门负责证书的签发、认证以及管理已签发证书的一种机构,是一种特殊的公钥管理中心。CA在验证、识别用户身份时应通过相应的政策以及步骤进行,确定公钥拥有权和证书持有者的身份。CA拥有自身的证书和私钥,使用其私钥给用户签发数字证书,CA证书对所有用户开放,便于所有用户对CA证书的签发进行验证。
2.3数字证书
数字证书又被称为数字身份证、数字ID,是由认证中心发放并进行签名的一种电子文件。数字证书包含用户身份信息,具有防伪性且可以公开,数字证书作为网络身份证可以证明持有数字证书的人的真实身份。数字证书分为签名证书和加密证书两种,包括证书持有者信息、公开密钥和证书签发机构的签名。国际电联X.509是证书格式需要遵循的国际标准,一个标准的X.509数字证书需要包含证书的版本信息、唯一序列号、签名算法、发行机构的名称、有效期限、使用者名称以及公钥信息等内容。数字证书还可以在这些内容的基础上附加扩展项,伴随数字证书应用领域的不断扩展,其包含的扩展项也跟着不断增多。
3 PKI/CA架构
一个完善的PKI系统应包括以下三方面:1)PKI策略和软硬件系统;2)证书机构CA、注册机构RA和证书发布系统;3)PKI应用。
3.1 PKI策略:对网络信息安全的指导方针进行了构建和定位。同时也为密码系统的使用原则和处理方法进行定义。
3.2 证书认证机构CA:是信任PKI的基础,公钥的整个生命周期都受其管理。它可以进行证书的发放、规定有效期限以及在必要时可以通过证书废除列表(CRL)对证书进行废除。
注册机构:为用户和CA之间提供了一个接口,在用户进行CA认证时,确认用户的身份信息。它包含两个功能,即用户信息的收集以及用户身份的确认。用户在这里是指,将要向认证中心申请数字证书的用户,可以是个人、企事业、或是政府机构。注册机构不具备签发证书的权利,只拥有审查用户身份的资格。
证书发布系统:专门负责发放证书。用户申请的证书可以到相应的机构去领取,也可以在网络上自行下载。
3.3 PKI应用:保证各种受保护系统的安全正常运作,如网络上进行的商务交易、网上报税系统、公交IC卡充值系统等。
4 PKI/CA技术的应用探讨
CA认证经过30多年的发展历程,已经形成比较完善的标准规范体系,并广泛应用于银行、一卡通、基础信息网络应用等方面。随着CA认证技术认可度的不断提升,CA认证的应用领域不断扩大,应用程度也在不断加深。归纳起来,CA认证技术在保障网络信息安全方面的应用主要体现在以下几个方面。
4.1身份认证
在网络中安全有效的身份认证可以通过用户的数字签名以及验证数字证书来实现。网上交易的双方可能相隔万里,互不相识,要想交易成功安全,首先需要证实对方身份。数字证书作为网络身份证,通过第三方的认证机构(CA),将用户的公钥以及用户名和电子邮件地址等其他信息进行捆绑传输,对方通过验证该数字证书是否合法正确,从而实现对对方身份的确认。
电子政务和商务在网络上进行信息传输时,双方同样可以通过数字证书的验证来确定对方的身份。
4.2保护数据的机密性
互联网具有公开性、隐匿性的特点,在互联网上大多数人是使用明文的方式或采取简单的加密进行数据的传输,这使得非法分子十分轻易的就能截获传输的数据,并进行破解和利用,这样会对双方的数据传输带来极大的安全隐患,从而出现不可估量的恶劣影响。
PKI技术的加密方式采用的是对称加密和非对称加密的相互结合。即每个用户都有一个公钥和一个私钥,公钥对外发布,私钥自己保留。发送方加密明文时可以采用接收方的公钥,接收方对密文解密时需要使用自己的私钥。这样通过公钥的加密信息只有接受方才能进行解密,最大程度的确保了数据传输的安全性和保密性。如图2所示:
加密数据信息后,不法分子即便截获信息,也破解不了。如果以此为基础构建SSL通道,在SSL的通道中传输数据,安全机制会得到进一步提升。
4.3保证数据的完整性
在互联网中传输敏感数据,有极大可能会被不法分子恶意篡改,导致数据的损坏。所以,保证传输数据的完整性也是非常重要的。PKI可以通过数字签名和数字摘要技术来实现对数据的完整性校验。数字摘要技术是采用单项Hash函数通过某种变换运算对文件中的重要元素进行变换获取摘要码,并将其融进信息的传输中传送给接收方。当接受方利用同一变换运算接受文件,如果得到的摘要码跟发送方的一样,那么文件就是完整的,反之亦然,这样就可以最大限度的校验了数据完整性。
5 结束语
PKI/CA电子认证技术在网络中的应用不仅可以很好地解决身份认证的问题,也使得数据传输的机密性和完整性得到保证,奠定了电子政务和商务在网络上信息安全传输的基础,目前,CA认证技术已广泛应用于金融、税务、工商、重要工业控制等领域,金融卡、身份证已成为我们日常生活中必不可少的物品,相信在不久的将来,CA电子认证技术将会不断完善和发展,给我们的生活带来更大的便利和惊喜!
参考文献:
[1]邹建军.PKI/CA在高校财务信息系统中的應用研究[D].暨南大学,2007.
[2]蒋义军.基于PKI的信息安全技术研究与开发[D].电子科技大学,2003.