PKI技術在敏感信息采集傳輸中的應用研究

韓笑 李潔原

摘 要：PKI作為一種安全技術，已經深入到常規網絡的各個層面，是現階段網絡信息安全問題的綜合解決方案。通過分析PKI技術的組成、功能和特點，結合新華社的具體采編業務需求，闡述了如何運用PKI/CA技術通過數字加密和數字簽名，確保信息保密性、完整性和不可抵賴性，從而解決新華社敏感信息采集傳輸業務中的關鍵技術難題。

關鍵詞：PKI；信息安全；加密機制

中圖分類號：TP309.2 文獻標識碼：A

文章編號：1671-0134（2018）08-050-02 DOI：10.19483/j.cnki.11-4653/n.2018.08.016

1.PKI技術

1.1 PKI的概念

PKI（Public Key Infrastructure）是一種遵循標準的利用公開密鑰技術建立的提供信息安全服務的在線基礎設施。它利用加密、數字簽名、數字證書來保護應用、通信或者事務處理的安全。

PKI必須具有權威認證機構CA在公鑰加密技術基礎上對證書的產生、管理、存儲、分發和撤銷進行管理的功能，包括實現這些功能的全部硬件、軟件、人員、策略和規程，以及為PKI體系中的各成員提供全部的安全服務，如實現通信中各實體的身份認證、保證數據的完整、不可抵賴性和信息保密等。

1.2 PKI的基本組成和功能

一個典型、完整、有效的PKI應用系統至少應具有以下部分：認證中心CA（Certificate Authority）、注冊機構RA（Registration Authority）、證書庫、密鑰備份及恢復系統、證書撤銷處理系統、客戶端證書處理系統。提供的服務至少應具有以下功能：公鑰密碼證書管理、黑名單的發布和管理、密鑰的備份和恢復、自動更新密鑰、自動管理歷史密鑰、支持交叉認證。

1.3 PKI的特點

PKI作為一種安全技術，已經深入到常規網絡的各個層面，是現階段網絡信息安全問題的綜合解決方案。這從一個方面反映了PKI的天生的技術優勢和強大生命力。

PKI的特點主要有：

（1）公鑰開放、私鑰唯一，保障真實性和不可抵賴性。

（2）非對稱密鑰提供方便的機密性保護，既可以保證相互知道的實體間數據交換的機密性，又可以為不認識的實體之間的數據交互提供機密性保護支持。

（3）數字證書使密鑰使用相對獨立 ，不需要依靠其他在線支撐服務，除了依賴在線服務的限制，使業務拓展變得更加輕便與靈活。

（4）密鑰管理更加安全，提供了撤銷機制及其他服務，用來防止私鑰泄露身份被非法使用。

（5）支持復雜網絡化的信任結構，基于樹狀結構提供互信互認關系，為消除網絡世界的信任孤島提供了充足的技術保障。[2]

2.PKI技術在敏感信息采集業務中的應用探索

參考報道是一項重要的報道形式，長期以來，記者外出采寫的敏感素材稿上傳問題因技術、安全等因素的制約未能得到較好的解決，尤其是在近幾年的重大突發性事件報道中，該問題越來越突出，急需盡快解決。同時，隨著在智庫研究上的不斷推進，記者在采集傳輸過程中對敏感信息的安全保密要求也越來越迫切。

由于敏感信息不能采用明文方式，通過采用基于PKI/CA 技術的設計的敏感信息傳輸系統能夠滿足相關業務需求。PKI 基于RSA 非對稱加密算法，同時與對稱加密算法混合使用，從而保證了信息的保密性和傳輸的高效性。[3]

2.1設計理念

PKI體系在敏感信息采集業務中主要有以下幾部分：

（1）CA認證中心。CA認證中心負責證書的發放、撤銷及證書發行后證書生命周期中各個環節的管理工作。

（2）注冊機構RA。RA是數字證書注冊的審批機構，是CA證書發放、管理的延伸。RA也是用戶和CA之間的接口，接受離線的證書申請，提供在線的證書申請服務。

（3）USB-key。USB-key是具備硬件加密功能的終端認證與加密存儲設備，在訪問控制方面具有很強的安全保障，同時能夠用于存儲用戶密鑰、數字證書及業務數據，從而實現數據信息在采集終端上的身份認證和加密存儲。

（4）信息加密算法。算法的復雜性和加解密密鑰的長度決定了算法的安全性。算法越復雜，密鑰長度越長，執行運算所需的時間也就越長，就越需要計算能力更強的芯片。系統采用符合國家密碼管理局規定的密碼設備實現數據簽名、驗簽、加密、解密等功能，搭配高處理性能的芯片，提供數據的機密性、可認證性、完整性和不可抵賴性以及數字信封等服務。

（5）數字證書。數字證書是PKI的核心數據結構，依賴證書上第三方的數字簽名，用戶可以離線的確認一個公鑰的真實性。[1]在實際應用中，證書認證系統需提供簽發證書/證書注銷列表的服務，用戶身份注冊、審核機構，并且承擔整個證書認證系統的安全管理工作。

基于PKI技術的敏感信息傳輸系統以終端發稿電腦、智能手機為稿件編輯載體，進行稿件的存儲加密、傳輸加密、下載加密、強身份認證等安全加固。

身份認證加固：登錄時采用雙向身份鑒別，保證用戶身份的合法性和安全性。

稿件存儲加固：可進行本地稿件文字、圖片加密存儲，加密后的稿件數據用其他方式導出或第三方閱讀器都無法打開。

傳輸鏈路加固：稿件在傳輸的鏈路中采用加密通道，避免稿件在傳輸中被篡改、丟失、惡意竊取等。

下載文稿加固：終端從總社服務器下載稿件文字和圖片，加密存儲在終端上。

2.2 CA服務平臺和簽名及認證服務

在敏感信息傳輸系統中， CA服務平臺和簽名及認證服務為安全的基礎。CA服務平臺負責給用戶簽發數字證書，簽名及認證服務用于驗證用戶的身份，并對客戶端的加密數據進行解密處理。在實際應用中，CA服務平臺和簽名認證服務采用現有的商密成熟產品方案。

CA服務平臺配置了2臺密碼機，可以為安全性、穩定性和設備性能要求較高的業務系統提供快速、高效的密碼運算服務。CA服務平臺中的相關密鑰均由密碼機產生，根密鑰也在該密碼機的安全存儲中，有效保證密鑰的安全性。

簽名及認證服務器系統為CA服務平臺和敏感信息采集傳輸匯聚平臺間的紐帶和支柱，為應用系統提供全面的安全支撐，包括身份認證、數字簽名驗簽、數據加解密及證書和證書狀態查詢等安全服務。

2.3系統架構

敏感信息采集傳輸匯聚系統分為三部分：信息采集服務系統、安全管理系統、客戶終端。

信息采集服務系統：主要負責提供數據內容服務（如上傳、發布、瀏覽等），是信息資源應用與發布的執行者；結合密碼技術、安全技術，提供敏感信息業務數據采集和傳輸。

安全管理系統：包括身份認證子系統、密碼服務子系統、權限管理與訪問控制子系統、監控與審計子系統等。其主要職責是完成敏感信息從產生、存儲到傳輸、發布、應用，直至數據銷毀全過程的數據訪問與使用安全。

客戶終端：是最終合法用戶使用信息系統平臺的認證密鑰，也是終端數據加密與存儲的密碼設備。通過客戶終端用戶完成自身的身份認證與合法資源獲取與本地數據的加密儲存和管理。

2.4業務實現

應用系統登錄：系統為每個用戶配備一個USB-key安全鑰匙，提供用戶身份鑒別和數據加解密存儲與傳輸功能。用戶必須插入自己的USB-key，通過安全PIN碼驗證，方可啟動客戶端應用，訪問系統資源，查看并使用加密文件。每個key代表一個操作用戶的操作身份及權限，登錄時根據key中的證書信息通過CA認證服務器進行證書有效性驗證，并根據應用服務器進行用戶權限信息核實獲取。

加密和解密：記者和編輯的PC機、筆記本、智能手機上安裝安全加固的信息采集客戶端，配合終端密碼安全設備進行稿件的采寫、存儲和傳輸。采寫的稿件數據可經硬件加密后存儲在指定的安全目錄下（本地磁盤安全區或者移動安全密碼終端設備）；傳輸過程中，數據都是以密文方式傳送，稿件讀入內存時通過USB-key進行解密，經USB-key回寫于指定安全目錄或加密后傳輸，做到“明文不落盤”。數據以密文形式傳回后再對密文進行解密。

安全管理控制：總服務器端通過安全管理中心配置、分發、管理客戶端安全鑰匙，設定與下發終端安全策略；對用戶可訪問的信息進行細粒度的訪問控制，嚴格限制用戶可訪問的信息內容，支持按用戶組、用戶角色、用戶進行訪問權限控制。審計中心記錄并保存（配合密碼硬件加密存儲）服務器端與客戶端系統平臺操作的全部記錄，以便日后管理、事件分析、責任追查等工作。

結語

云計算、大數據、物聯網等新興信息技術的快速推廣，給應用帶來了一定的安全隱患和風險，同時影響了相關領域的技術創新和產品研發。

作為計算機安全保密技術的基礎，PKI技術可廣泛應用于身份認證、信息傳輸、電子商務安全、電子政務安全、網上銀行、網上支付等領域。通過對PKI技術的研究和推廣，實現了以PKI技術為基礎架構的安全信息傳輸平臺，初步構建敏感信息的采集、匯聚、交流、服務架構，確保信息在采集、傳輸、存儲、處理、發布的全流程過程中的安全、保密、快捷，并在新華社記者、編輯中進行試點應用和推廣。

參考文獻

[1]陳軍.基于PKI 的身份認證協議的研究與實現[D].北京郵電大學碩士論文，2006（10）：27-37.

[2]丁偉倫.基于 PKI 的安全云計算的研究與應用[D].電子科技大學碩士論文，2013（6）：10-11.

[3]周亮.基于PKI的RSA加密算法研究.網絡安全技術與應用，2017（9）.