數字證書技術在企業信息安全中的應用

馬萌

摘要：計算機、網絡和人們的工作、生活聯系越來越緊密，同時產生了大量信息。這些信息涉及個人隱私甚至工作秘密，信息的泄露會極大損害個人、企業的利益。如何保證這些信息在個人計算機、網絡中使用和傳輸的機密性、完整性、安全性，以及對信息使用和接收者的身份確認，成了近年來信息安全領域研究的一個重要課題。

關鍵詞：信息安全 數字證書 私鑰公鑰

中圖分類號：TP39 文獻標識碼：A 文章編號：1007-9416（2016）07-0201-01

隨著科技水平、信息化技術的發展，計算機、網絡和人們的工作、生活聯系越來越緊密。計算機的使用與網絡的應用產生了大量的數據和信息，這些信息部分可以隨意公開，少部分涉及個人隱私甚至工作秘密不能被他人知曉。如何保證個人數據、信息在使用和傳輸中的機密性、完整性、安全性，以及對信息使用和接收者的身份確認，成了信息安全領域研究的一個重要課題。

1 存在的問題

隨著信息化水平的提高，辦公自動化系統、生產管理系統、ERP、郵件等系統在企業內部網絡的使用，方便了員工的信息共享，提高了企業管理效率。但是每一個系統都有不同的賬號登錄，員工在各系統間頻繁登錄，要記錄不同的賬號與密碼，維護難度大。通常系統登錄采取賬號加口令方式，賬號加口令認證采用的是明文傳輸。這種身份認證方式存在安全漏洞，安全性差，用戶一般使用容易記憶的口令，如數字、生日、姓名縮寫等。因此建立安全、可靠的身份認證體系顯得尤為重要。

1.1 身份認證技術

常用身份認證技術包括單因素認證、雙因素認證、生理特征認證等。賬號加口令屬于單因素認證；雙因素是指除使用賬號加口令認證方式外，采用諸如：USB Key（智能芯片卡），pin碼，數字證書等其他的認證方式的一種強身份認證方式；生理特征身份認證以人體唯一的指紋、虹膜、聲音等為依據進行認證；但是數據采集成本大、運營成本高，存儲與傳輸難度大。從實用性和成本角度企業一般采取PKI/CA的雙因素身份認證。

1.2 PKI公鑰基礎設施

PKI公鑰基礎設施[1]，是一種利用公鑰理論和技術建立的密鑰管理平臺，它能夠為網絡應用和數據傳輸提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系，為每個合法用戶的使用提供合法性的證明。基于企業網絡環境，無論是B/S、C/S架構的系統應用。利用PKI可以方便地建立，維護一個可信的企業內部網絡環境，使企業員工在網絡環境中能夠確認彼此的身份和認證交換的信息；實現通信中各實體的身份認證，保證數據的完整性、真實性、抗抵賴性和信息保密等。

2 PKI/CA系統

通常一個完整PKI系統必須包含幾個部分：PKI客戶端、注冊機構RA、認證機構CA和LDAP目錄服務器。

2.1 PKI體系結構

PKI客戶端是證書的使用者、持有者；RA證書注冊機構，負責核實證書申請者的身份，是用戶與認證中心服務連接的接口；認證機構CA是PKI的核心，負責制定證書策略、初始化RA，接收、撤銷和更新證書請求，為實體生成密鑰對，CA在密碼傳輸中采用MD5加密算法，采取公鑰與私鑰結合的方式，在證書認證和下發中采用不可逆下發。CA負責簽發網絡用戶的電子身份標識，對CRL證書注銷列表進行管理；LDAP服務器提供目錄瀏覽服務，負責將用戶信息以及數字證書加入到服務器上。

2.2 PKI建設

通常根據企業的性質不同和規模大小可以采用不同的建設方案，建設方案的選擇直接關系到了PKI/CA系統的使用、管理、維護及安全性。一般有以下幾種：（1）采用現有存在的面向公眾服務商業性數字認證機構+國家級權威公證模式。（2）采用完全自行建設模式。通過建立行業內部認證+內部審核公證系。

第一種方式具有建設成本較低，無需建立維護、培訓和支持團隊，無需自己定義管理和安全策略。但應用和管理靈活性差。證書管理策略依賴于服務商，業務可靠性、穩定性依賴于外部服務，風險較高。

第二種方式要獨立建立、維護、培訓和運營的整個PKI過程，并對PKI所有事物負全責，其中包括系統、通信、數據庫及物理安全、網絡安全、冗余系統、恢復等，對人員要求也比較高。比較適合具有全國、全省、行業范圍內有多種業務相關的關鍵信息系統的應用；企業內部網絡系統存在大量涉密信息對安全性可靠性要求高，企業內網與外網采取物理隔離的網絡通常采取這種建設模式。

3 USK key在數字證書中的使用

3.1 USB Key的特點

為了適應企業網絡環境的特殊性，保障計算機和系統安全性，企業一般采用PIN碼加USB Key的方式進行雙因素登錄。USB Key屬于密碼設備，內置智能卡芯片，通過存儲的私鑰信息在企業網絡內部系統中實現身份認證、數字簽名等功能。

3.2 文件加密傳輸

為保障企業內部涉密文件的加密傳輸，保證接受者的合法讀取權，都可以通過身份認證進行解決。加密傳輸對原有明文的文件按照某種特定算法進行處理，形成不可讀的一段代碼“密文”，匹配相應的密鑰之后顯示原來的文件內容。

3.3 USB Key私鑰證書恢復

通常企業信息安全管理部門設置專屬的CA管理人員，負責證書的維護，對用戶的證書申請、重發放及密鑰制作。企業內部網絡用戶丟失或者損壞USB Key，CA管理人員通過數字證書系統密鑰代理恢復數據，將私鑰備份復制到新的USB Key中。

3.4 USB Key的管理

企業內部采用雙因素認證，工作中難免個人PIN碼和USB Key被他人知悉。為了防范需要加強PIN碼和USB Key的管理，定期修改PIN碼，停止使用計算機時將USB Key存放到安全的設備中如：文件柜、密碼柜中，人走拔key。

企業內部大量USB Key的使用，增加管理難度，為了區分采取數字編碼或制作用戶標牌進行劃分。同時完善日志，審計用戶信息、終端信息、認證時間和成功失敗情況等，若出現異常，便于追蹤，加強防范。

4 結語

隨著企業信息安全意識的加強，以及在商務領域中PKI/CA技術的廣泛應用。數字證書系統已經是一種成熟的技術手段，在數據安全加密和加密傳輸中能夠較好的解決信息安全方面的問題，隨著信息化水平的提高數字認證、身份認證技術必將廣泛應用到各行業中。

參考文獻

[1]謝冬青，冷建.PKI原理與技術[M].北京：清華大學出版社，2004.