那婧

[摘 要] 在PKI體系的基礎(chǔ)下對(duì)網(wǎng)絡(luò)信息安全技術(shù)進(jìn)行了重點(diǎn)分析與研究，目前已經(jīng)研發(fā)出了安全路由器、防火墻、安全網(wǎng)絡(luò)、黑客入侵檢測(cè)等多向技術(shù)。網(wǎng)絡(luò)信息安全領(lǐng)域是一個(gè)交叉、綜合科學(xué)領(lǐng)域，從安全協(xié)議、體系結(jié)構(gòu)等多個(gè)方面進(jìn)行分析，希望對(duì)PKI體系的信息安全技術(shù)的應(yīng)用能夠有所幫助。

[關(guān)鍵詞] 計(jì)算機(jī)網(wǎng)絡(luò)；信息安全；PKI體系

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 03. 078

[中圖分類(lèi)號(hào)] TN915.08 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2017）03- 0140- 02

1 分析PKI安全體系

現(xiàn)階段，PKI主要為用戶提供的服務(wù)包括認(rèn)證，提升數(shù)據(jù)的完整性、保密性、公正性等，其實(shí)體主要包括的內(nèi)容有管理實(shí)體、PKI用戶、CRL、證書(shū)等多個(gè)部分，管理實(shí)體的構(gòu)成核心為CA，CA與數(shù)字證書(shū)、證書(shū)用戶之間將會(huì)構(gòu)成一定的信任關(guān)系，只有這樣才能確保PKI作用能夠得到合理發(fā)揮，在具體應(yīng)用過(guò)程中需要與現(xiàn)階段國(guó)際上所信任的結(jié)構(gòu)類(lèi)型相結(jié)合，發(fā)現(xiàn)WEB信任機(jī)構(gòu)、分布式等信任機(jī)構(gòu)都能夠在應(yīng)用中發(fā)揮出不錯(cuò)的應(yīng)用效果。

通過(guò)我國(guó)PKI信任機(jī)構(gòu)統(tǒng)計(jì)可以發(fā)現(xiàn)，現(xiàn)階段我國(guó)仍以單一認(rèn)證機(jī)構(gòu)為主，其所站比例超過(guò)了90%。目前，SET安全協(xié)議、SSL安全協(xié)議都得到了比較廣泛的應(yīng)用，在具體應(yīng)用過(guò)程中，通過(guò)安全能力構(gòu)建、客戶機(jī)密鑰、互換服務(wù)器、身份驗(yàn)證等多個(gè)環(huán)節(jié)實(shí)現(xiàn)對(duì)用戶身份、服務(wù)器的驗(yàn)證，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)完整性、隱藏性等性能得到進(jìn)一步提高。

2 PKI體系下的網(wǎng)絡(luò)信息安全技術(shù)

2.1 SSL安全套接層協(xié)議

SSL協(xié)議在具體應(yīng)用過(guò)程中，所采用的是TCP作為傳輸協(xié)議提高可靠的數(shù)據(jù)的接收與傳送。SSL協(xié)議在具體應(yīng)用過(guò)程中，程序編碼接口應(yīng)當(dāng)在應(yīng)用層之下，Socket層之上，因此其獨(dú)立于更高的層應(yīng)用，并且能夠?yàn)楦叩膶訁f(xié)議提供相應(yīng)的安全保障，例如為HTTP提高安全保障。

2.1.1 秘密性

SSL客戶機(jī)與服務(wù)器之間的連接是通過(guò)對(duì)稱密碼技術(shù)、公開(kāi)密碼技術(shù)和密鑰協(xié)商，從而構(gòu)建出一個(gè)安全通道，之后通過(guò)安全通道所傳遞的信息都會(huì)被加密，這樣通過(guò)網(wǎng)絡(luò)竊聽(tīng)方式所獲取的信息將變得毫無(wú)意義。

2.1.2 完整性

SSL利用哈希函數(shù)和密碼算法，在具體操作過(guò)程中通過(guò)提出傳遞信息的特征值，確保信息的完整性，從而確保傳遞的所有信息都能夠完整的抵達(dá)目的地，有效的避免了客戶與服務(wù)器之間所傳遞的信息遭受破壞。

2.1.3 認(rèn)證性

通過(guò)可信任的CA和證書(shū)技術(shù)是服務(wù)器與客戶能夠相互識(shí)別對(duì)方的身份，為了對(duì)用戶的身份是否合法進(jìn)行驗(yàn)證，SSL要求持有證書(shū)者在握手過(guò)程中需要對(duì)數(shù)字證書(shū)進(jìn)行相互交換，利用驗(yàn)證確保對(duì)方身份的合法性。

2.2 VPN技術(shù)

VPN（虛擬專(zhuān)用網(wǎng)路）是一種選用通信網(wǎng)絡(luò)，其構(gòu)架在公用通信基礎(chǔ)設(shè)施上，VPN與租用線路進(jìn)行比較，不僅安全簡(jiǎn)單，并且開(kāi)銷(xiāo)更小，目前已經(jīng)成為Extranet和Intranet的首選方案。在過(guò)去一段時(shí)間里VPN通過(guò)訪問(wèn)控制技術(shù)和防火墻使VPN安全性得到進(jìn)一步提高，但是從實(shí)際應(yīng)用情況可以看出，該方法在具體應(yīng)用過(guò)程中有許多漏洞。第一，該技術(shù)對(duì)公司內(nèi)部的攻擊防范面臨較大困難，這主要是因?yàn)楣緝?nèi)部的口令系統(tǒng)相對(duì)比較脆弱。第二，網(wǎng)上的數(shù)據(jù)在傳輸過(guò)程中，無(wú)論應(yīng)用的是內(nèi)部網(wǎng)還是外部網(wǎng)在具體應(yīng)用中，任何一個(gè)人都可以對(duì)傳遞的內(nèi)容進(jìn)行非法篡改或截取，而信息通訊的雙方對(duì)該內(nèi)容無(wú)毫不知情。第三，如果企業(yè)要需要在網(wǎng)上交易，將會(huì)遇到許多安全問(wèn)題。例如，認(rèn)證、機(jī)密、無(wú)法否認(rèn)性等諸多特點(diǎn)，針對(duì)以上問(wèn)題，口令和防火墻是毫無(wú)辦法的。目前，在PKI技術(shù)的基礎(chǔ)下，IPSee協(xié)議已經(jīng)逐步成為了架構(gòu)VPN的基礎(chǔ)，在具體操作操作過(guò)程中可以在防火墻和路由器之間完成相應(yīng)的認(rèn)證和加密通信。從大量的應(yīng)用情況來(lái)看，IPSee協(xié)議不僅通用性好，而且還支持協(xié)議IPv6，因此有著不錯(cuò)的應(yīng)用前景。

2.3 智能IC卡

智能IC卡與PKI技術(shù)兩者之間的關(guān)系主要在于，私有密鑰與第三方認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書(shū)的存儲(chǔ)，都能夠在安全的智能卡上實(shí)現(xiàn)。

智能卡攜帶的微型芯片在具體應(yīng)用過(guò)程中能夠?qū)崿F(xiàn)加密、存儲(chǔ)等多項(xiàng)功能，因此在操作過(guò)程中，可以通過(guò)啟動(dòng)PIN完成相應(yīng)的數(shù)字簽名操作。該過(guò)程包括了一系列的計(jì)算。第一步需要對(duì)郵件文字的哈希值計(jì)算。第二步利用私鑰完成對(duì)哈希值的加密，然后將加密后的哈希值與原哈希值一同發(fā)出。第三步，利用發(fā)送人的公開(kāi)密鑰，指定的收件人可以完成對(duì)數(shù)字簽名的解密。在具體操作過(guò)程中需要注意，郵件原文的哈希值在收件人的PC中也需要運(yùn)算，完成運(yùn)算后與解密的哈希值對(duì)比，如果兩者完全匹配，作為收件人則可以完全信賴信息的真實(shí)性和完整性，在整個(gè)操作過(guò)程中，發(fā)件人所應(yīng)用的公開(kāi)密鑰通過(guò)認(rèn)證中心PKI核心獲取。

現(xiàn)階段，許多人將數(shù)字證書(shū)和私有密鑰都存在硬盤(pán)中，但是考慮到安全問(wèn)題，將數(shù)字證書(shū)和私有密鑰都存在智能卡上取得效果會(huì)更好。這樣可以避免黑客就將病毒植入到程序中盜取用戶的私有密鑰，從而通過(guò)偽裝的方式變?yōu)楹戏ㄉ矸菰诰W(wǎng)絡(luò)上進(jìn)行非法交易與詐騙。此外，智能卡在使用上與硬盤(pán)相比也更加方便，攜帶起來(lái)比較容易，方便隨時(shí)使用。

3 結(jié) 語(yǔ)

隨著電子信息技術(shù)的快速發(fā)展，信息安全問(wèn)題得到了人們重視，其中PKI技術(shù)可以依據(jù)多個(gè)計(jì)算機(jī)用戶的需求提供多樣的安全服務(wù)，從而使計(jì)算機(jī)在具體應(yīng)用過(guò)程中的真實(shí)性、完整性、機(jī)密性等多方面的優(yōu)勢(shì)能夠得到保障，促進(jìn)計(jì)算機(jī)技術(shù)的發(fā)展，使其能夠更好的為人們服務(wù)。

主要參考文獻(xiàn)

[1]羅萱.PKI技術(shù)的基本原理及常規(guī)應(yīng)用[J].電腦知識(shí)與技術(shù)，2014（24）：5772-5773.