PKI體系的信息安全技術(shù)

那婧

[摘 要] 在PKI體系的基礎(chǔ)下對網(wǎng)絡(luò)信息安全技術(shù)進行了重點分析與研究，目前已經(jīng)研發(fā)出了安全路由器、防火墻、安全網(wǎng)絡(luò)、黑客入侵檢測等多向技術(shù)。網(wǎng)絡(luò)信息安全領(lǐng)域是一個交叉、綜合科學領(lǐng)域，從安全協(xié)議、體系結(jié)構(gòu)等多個方面進行分析，希望對PKI體系的信息安全技術(shù)的應(yīng)用能夠有所幫助。

[關(guān)鍵詞] 計算機網(wǎng)絡(luò)；信息安全；PKI體系

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 03. 078

[中圖分類號] TN915.08 [文獻標識碼] A [文章編號] 1673 - 0194（2017）03- 0140- 02

1 分析PKI安全體系

現(xiàn)階段，PKI主要為用戶提供的服務(wù)包括認證，提升數(shù)據(jù)的完整性、保密性、公正性等，其實體主要包括的內(nèi)容有管理實體、PKI用戶、CRL、證書等多個部分，管理實體的構(gòu)成核心為CA，CA與數(shù)字證書、證書用戶之間將會構(gòu)成一定的信任關(guān)系，只有這樣才能確保PKI作用能夠得到合理發(fā)揮，在具體應(yīng)用過程中需要與現(xiàn)階段國際上所信任的結(jié)構(gòu)類型相結(jié)合，發(fā)現(xiàn)WEB信任機構(gòu)、分布式等信任機構(gòu)都能夠在應(yīng)用中發(fā)揮出不錯的應(yīng)用效果。

通過我國PKI信任機構(gòu)統(tǒng)計可以發(fā)現(xiàn)，現(xiàn)階段我國仍以單一認證機構(gòu)為主，其所站比例超過了90%。目前，SET安全協(xié)議、SSL安全協(xié)議都得到了比較廣泛的應(yīng)用，在具體應(yīng)用過程中，通過安全能力構(gòu)建、客戶機密鑰、互換服務(wù)器、身份驗證等多個環(huán)節(jié)實現(xiàn)對用戶身份、服務(wù)器的驗證，從而實現(xiàn)對數(shù)據(jù)完整性、隱藏性等性能得到進一步提高。

2 PKI體系下的網(wǎng)絡(luò)信息安全技術(shù)

2.1 SSL安全套接層協(xié)議

SSL協(xié)議在具體應(yīng)用過程中，所采用的是TCP作為傳輸協(xié)議提高可靠的數(shù)據(jù)的接收與傳送。SSL協(xié)議在具體應(yīng)用過程中，程序編碼接口應(yīng)當在應(yīng)用層之下，Socket層之上，因此其獨立于更高的層應(yīng)用，并且能夠為更高的層協(xié)議提供相應(yīng)的安全保障，例如為HTTP提高安全保障。

2.1.1 秘密性

SSL客戶機與服務(wù)器之間的連接是通過對稱密碼技術(shù)、公開密碼技術(shù)和密鑰協(xié)商，從而構(gòu)建出一個安全通道，之后通過安全通道所傳遞的信息都會被加密，這樣通過網(wǎng)絡(luò)竊聽方式所獲取的信息將變得毫無意義。

2.1.2 完整性

SSL利用哈希函數(shù)和密碼算法，在具體操作過程中通過提出傳遞信息的特征值，確保信息的完整性，從而確保傳遞的所有信息都能夠完整的抵達目的地，有效的避免了客戶與服務(wù)器之間所傳遞的信息遭受破壞。

2.1.3 認證性

通過可信任的CA和證書技術(shù)是服務(wù)器與客戶能夠相互識別對方的身份，為了對用戶的身份是否合法進行驗證，SSL要求持有證書者在握手過程中需要對數(shù)字證書進行相互交換，利用驗證確保對方身份的合法性。

2.2 VPN技術(shù)

VPN（虛擬專用網(wǎng)路）是一種選用通信網(wǎng)絡(luò)，其構(gòu)架在公用通信基礎(chǔ)設(shè)施上，VPN與租用線路進行比較，不僅安全簡單，并且開銷更小，目前已經(jīng)成為Extranet和Intranet的首選方案。在過去一段時間里VPN通過訪問控制技術(shù)和防火墻使VPN安全性得到進一步提高，但是從實際應(yīng)用情況可以看出，該方法在具體應(yīng)用過程中有許多漏洞。第一，該技術(shù)對公司內(nèi)部的攻擊防范面臨較大困難，這主要是因為公司內(nèi)部的口令系統(tǒng)相對比較脆弱。第二，網(wǎng)上的數(shù)據(jù)在傳輸過程中，無論應(yīng)用的是內(nèi)部網(wǎng)還是外部網(wǎng)在具體應(yīng)用中，任何一個人都可以對傳遞的內(nèi)容進行非法篡改或截取，而信息通訊的雙方對該內(nèi)容無毫不知情。第三，如果企業(yè)要需要在網(wǎng)上交易，將會遇到許多安全問題。例如，認證、機密、無法否認性等諸多特點，針對以上問題，口令和防火墻是毫無辦法的。目前，在PKI技術(shù)的基礎(chǔ)下，IPSee協(xié)議已經(jīng)逐步成為了架構(gòu)VPN的基礎(chǔ)，在具體操作操作過程中可以在防火墻和路由器之間完成相應(yīng)的認證和加密通信。從大量的應(yīng)用情況來看，IPSee協(xié)議不僅通用性好，而且還支持協(xié)議IPv6，因此有著不錯的應(yīng)用前景。

2.3 智能IC卡

智能IC卡與PKI技術(shù)兩者之間的關(guān)系主要在于，私有密鑰與第三方認證機構(gòu)頒發(fā)的數(shù)字證書的存儲，都能夠在安全的智能卡上實現(xiàn)。

智能卡攜帶的微型芯片在具體應(yīng)用過程中能夠?qū)崿F(xiàn)加密、存儲等多項功能，因此在操作過程中，可以通過啟動PIN完成相應(yīng)的數(shù)字簽名操作。該過程包括了一系列的計算。第一步需要對郵件文字的哈希值計算。第二步利用私鑰完成對哈希值的加密，然后將加密后的哈希值與原哈希值一同發(fā)出。第三步，利用發(fā)送人的公開密鑰，指定的收件人可以完成對數(shù)字簽名的解密。在具體操作過程中需要注意，郵件原文的哈希值在收件人的PC中也需要運算，完成運算后與解密的哈希值對比，如果兩者完全匹配，作為收件人則可以完全信賴信息的真實性和完整性，在整個操作過程中，發(fā)件人所應(yīng)用的公開密鑰通過認證中心PKI核心獲取。

現(xiàn)階段，許多人將數(shù)字證書和私有密鑰都存在硬盤中，但是考慮到安全問題，將數(shù)字證書和私有密鑰都存在智能卡上取得效果會更好。這樣可以避免黑客就將病毒植入到程序中盜取用戶的私有密鑰，從而通過偽裝的方式變?yōu)楹戏ㄉ矸菰诰W(wǎng)絡(luò)上進行非法交易與詐騙。此外，智能卡在使用上與硬盤相比也更加方便，攜帶起來比較容易，方便隨時使用。

3 結(jié) 語

隨著電子信息技術(shù)的快速發(fā)展，信息安全問題得到了人們重視，其中PKI技術(shù)可以依據(jù)多個計算機用戶的需求提供多樣的安全服務(wù)，從而使計算機在具體應(yīng)用過程中的真實性、完整性、機密性等多方面的優(yōu)勢能夠得到保障，促進計算機技術(shù)的發(fā)展，使其能夠更好的為人們服務(wù)。

主要參考文獻

[1]羅萱.PKI技術(shù)的基本原理及常規(guī)應(yīng)用[J].電腦知識與技術(shù)，2014（24）：5772-5773.