基于信息安全的CA認證技術探討

楊潔

摘要：CA認證技術在計算機網絡中的運用能夠很好的保護用戶的信息資料，保證了個人、企事業單位計算機網絡使用的安全。本文通過對CA認證技術的認識和理解，分析探討CA認證技術在保障網絡信息安全中發揮的重要作用。

關鍵詞：PK1/CA認證；數字證書；信息安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-9129（2018）07-0042-02

Abstract： the application of CA certification in computer network can protect the user's information and ensure the security of computer network. Through the understanding and understanding of CA certification technology， this paper discusses the important role of CA certification technology in guaranteeing network information security.

Keywords： PK1/CA certification； Digital certificates； Information security

1 引言

隨著現代科技技術的不斷發展以及互聯網的普及，信息化浪潮以勢不可擋之勢席卷全球。企事業單位可以運用信息化手段，深入開發和利用信息資源，實現自動化的生產過程、網絡化的管理手段、智能化的決策保障和電子化的商務運營，在降低生產成本，增強生產效率的同時，也推動企事業單位的市場競爭力不斷上升。但是，由于互聯網存在公開性、隱匿性等特點，誘發了網絡信息潛藏的安全問題，基于互聯網所傳輸的各類消息隨時存在被泄露的危險，因此，保障網絡信息安全，引起了越來越多人的關注和重視，在此種情況下，PKI/CA技術應運而生，并不斷完善壯大，在網絡信息安全領域廣泛應用。

2 PKI/CA概述

2.1 PKI

PKI（Public Key Infrastructure）是一種密鑰管理平臺，也被稱為公開密鑰體系，它遵循著既定的標準，為網絡信息的傳輸和使用提供加密服務。PKI的基本組成部分包括公開密鑰體系技術、數字證書、CA（認證機構）以及公開密鑰的安全策略。

2.2 CA認證中心

CA（Certificate Authority）是PKI體系的核心，是專門負責證書的簽發、認證以及管理已簽發證書的一種機構，是一種特殊的公鑰管理中心。CA在驗證、識別用戶身份時應通過相應的政策以及步驟進行，確定公鑰擁有權和證書持有者的身份。CA擁有自身的證書和私鑰，使用其私鑰給用戶簽發數字證書，CA證書對所有用戶開放，便于所有用戶對CA證書的簽發進行驗證。

2.3數字證書

數字證書又被稱為數字身份證、數字ID，是由認證中心發放并進行簽名的一種電子文件。數字證書包含用戶身份信息，具有防偽性且可以公開，數字證書作為網絡身份證可以證明持有數字證書的人的真實身份。數字證書分為簽名證書和加密證書兩種，包括證書持有者信息、公開密鑰和證書簽發機構的簽名。國際電聯X.509是證書格式需要遵循的國際標準，一個標準的X.509數字證書需要包含證書的版本信息、唯一序列號、簽名算法、發行機構的名稱、有效期限、使用者名稱以及公鑰信息等內容。數字證書還可以在這些內容的基礎上附加擴展項，伴隨數字證書應用領域的不斷擴展，其包含的擴展項也跟著不斷增多。

3 PKI/CA架構

一個完善的PKI系統應包括以下三方面：1）PKI策略和軟硬件系統；2）證書機構CA、注冊機構RA和證書發布系統；3）PKI應用。

3.1 PKI策略：對網絡信息安全的指導方針進行了構建和定位。同時也為密碼系統的使用原則和處理方法進行定義。

3.2 證書認證機構CA：是信任PKI的基礎，公鑰的整個生命周期都受其管理。它可以進行證書的發放、規定有效期限以及在必要時可以通過證書廢除列表（CRL）對證書進行廢除。

注冊機構：為用戶和CA之間提供了一個接口，在用戶進行CA認證時，確認用戶的身份信息。它包含兩個功能，即用戶信息的收集以及用戶身份的確認。用戶在這里是指，將要向認證中心申請數字證書的用戶，可以是個人、企事業、或是政府機構。注冊機構不具備簽發證書的權利，只擁有審查用戶身份的資格。

證書發布系統：專門負責發放證書。用戶申請的證書可以到相應的機構去領取，也可以在網絡上自行下載。

3.3 PKI應用：保證各種受保護系統的安全正常運作，如網絡上進行的商務交易、網上報稅系統、公交IC卡充值系統等。

4 PKI/CA技術的應用探討

CA認證經過30多年的發展歷程，已經形成比較完善的標準規范體系，并廣泛應用于銀行、一卡通、基礎信息網絡應用等方面。隨著CA認證技術認可度的不斷提升，CA認證的應用領域不斷擴大，應用程度也在不斷加深。歸納起來，CA認證技術在保障網絡信息安全方面的應用主要體現在以下幾個方面。

4.1身份認證

在網絡中安全有效的身份認證可以通過用戶的數字簽名以及驗證數字證書來實現。網上交易的雙方可能相隔萬里，互不相識，要想交易成功安全，首先需要證實對方身份。數字證書作為網絡身份證，通過第三方的認證機構（CA），將用戶的公鑰以及用戶名和電子郵件地址等其他信息進行捆綁傳輸，對方通過驗證該數字證書是否合法正確，從而實現對對方身份的確認。

電子政務和商務在網絡上進行信息傳輸時，雙方同樣可以通過數字證書的驗證來確定對方的身份。

4.2保護數據的機密性

互聯網具有公開性、隱匿性的特點，在互聯網上大多數人是使用明文的方式或采取簡單的加密進行數據的傳輸，這使得非法分子十分輕易的就能截獲傳輸的數據，并進行破解和利用，這樣會對雙方的數據傳輸帶來極大的安全隱患，從而出現不可估量的惡劣影響。

PKI技術的加密方式采用的是對稱加密和非對稱加密的相互結合。即每個用戶都有一個公鑰和一個私鑰，公鑰對外發布，私鑰自己保留。發送方加密明文時可以采用接收方的公鑰，接收方對密文解密時需要使用自己的私鑰。這樣通過公鑰的加密信息只有接受方才能進行解密，最大程度的確保了數據傳輸的安全性和保密性。如圖2所示：

加密數據信息后，不法分子即便截獲信息，也破解不了。如果以此為基礎構建SSL通道，在SSL的通道中傳輸數據，安全機制會得到進一步提升。

4.3保證數據的完整性

在互聯網中傳輸敏感數據，有極大可能會被不法分子惡意篡改，導致數據的損壞。所以，保證傳輸數據的完整性也是非常重要的。PKI可以通過數字簽名和數字摘要技術來實現對數據的完整性校驗。數字摘要技術是采用單項Hash函數通過某種變換運算對文件中的重要元素進行變換獲取摘要碼，并將其融進信息的傳輸中傳送給接收方。當接受方利用同一變換運算接受文件，如果得到的摘要碼跟發送方的一樣，那么文件就是完整的，反之亦然，這樣就可以最大限度的校驗了數據完整性。

5 結束語

PKI/CA電子認證技術在網絡中的應用不僅可以很好地解決身份認證的問題，也使得數據傳輸的機密性和完整性得到保證，奠定了電子政務和商務在網絡上信息安全傳輸的基礎，目前，CA認證技術已廣泛應用于金融、稅務、工商、重要工業控制等領域，金融卡、身份證已成為我們日常生活中必不可少的物品，相信在不久的將來，CA電子認證技術將會不斷完善和發展，給我們的生活帶來更大的便利和驚喜！

參考文獻：

[1]鄒建軍.PKI/CA在高校財務信息系統中的應用研究[D].暨南大學，2007.

[2]蔣義軍.基于PKI的信息安全技術研究與開發[D].電子科技大學，2003.