|
|
 |
 |
 |
在计算机网络出现的最初几十年里,它主要用于在各大学的研究人员之间传送电子邮件,以及共同合作的职员间共享打印机。在这种条件下,安全性未能引起足够的注意。但是现在,互联网络正以惊人的速度改变着人们的工作效率和生活方式。从商业机构到个人都将越来越多的透过互联网或其它电子媒介处理银行事务、发送电子邮件、购物、炒股和办公。这无疑给社会、企业乃至个人带来了前所未有的便利,所有这一切正是得益于互联网络的开放性和匿名性的特征。然而,正是这些特征也决定了单纯的互联网不可避免地存在信息安全隐患。下面,我们就一起来讨论一下,网络安全性主要存在哪些问题,以及相应的解决办法。
网络安全性可以粗略地分为四个相互交织的部分:保密、鉴别、抗否认和完整性控制。保密是指保护信息在存储和传输的过程中的机密性,防止未授权者访问,这是我们谈到网络安全性时最常想到的内容;鉴别主要指在揭示敏感信息或进行事务处理前必须先确认对方的身份;抗否认性要求能够保证信息发送方不能否认已发送的信息,这与签名有关;完整性控制要求能够保证收到的信息的确是最初的原始数据,而没有被第三者篡改或伪造。
在讨论解决方法之前,我们需要花些时间考虑网络安全性属于网络七层协议栈的哪一部分内容。可能没有一个单独的位置,安全性与每一层都有关。在物理层,可以通过把传输线封装在包含高压氩器的密封管中来挫败偷听,任何钻管的尝试都会导致漏气、减压,并能触发警报装置。
在数据链路层,点到点线上的分组在离开一台机器被编上密码,到达另一台时再解码。所有的细节都能在数据链路层被处理,高层对所发生的事一无所知。此方法在分组经过多个路由器时不适用,使得他们在路由器中易受攻击。
在网络层,可以安装防火墙来限制分组的进出。在传输层,整个连接都能被加密(端到端,即过程到过程)。
尽管这些方法对保密问题有帮助,但却不能有效地解决身份认证或抗否认问题。为了解决这些问题,必须在应用层上想办法。现在,公钥基础设施(PKI)越来越引起人们的关注,运用PKI技术实施构建完整的加密/签名体系,可以有效地解决网络安全性的四大难题,在充分利用互联网实现资源共享的前提下,真正意义上确保网上交易与信息传递的安全。
PKI(Public Key Infrastructure 的缩写)即"公开密钥体系",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
原有的单密钥加密技术采用特定加密密钥加密数据,而解密时用于解密的密钥与加密密钥相同,这称之为对称型加密算法。采用此加密技术的理论基础的加密方法如果用于网络传输数据加密,则不可避免地出现安全漏洞。因为在发送加密数据的同时,也需要将密钥通过网络传输通知接收者,第三方在截获加密数据的同时,只需再截取相应密钥即可将数据解密使用或进行非法篡改。
区别于原有的单密钥加密技术,PKI采用非对称的加密算法,即由原文加密成密文的密钥不同于由密文解密为原文的密钥,以避免第三方获取密钥后将密文解密。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
PKI的基本组成
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征;
数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;
密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。
应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。
通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。
数字证书是公开密钥体系的一种密钥管理媒介。它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性,又称为数字ID。数字证书由一对密钥及用户信息等数据共同组成,并写入一定的存储介质内,确保用户信息不被非法读取及篡改。 PKI应用前景
2000年6月30日是一个非常值得关注的日子,这一天,美国总统克林顿正式签署了美国的《全球及全国商业电子签名法》,这是美国历史上第一部联邦级的电子签名法。这一法律的签署,将极大地促进全美乃至全球电子商务的发展。此后,网上炒股、网上签约、政府网上采购等大宗交易都可以通过电子签名迅速安全地完成,而不再需要传统的纸笔签名。德国、日本、新加坡和韩国等国家也已经通过电子签名法。
从发展趋势来看,随着Internet应用的不断普及和深入,政府部门需要PKI支持管理;商业企业内部、企业与企业之间、区域性服务网络、电子商务网站都需要PKI的技术和解决方案;大企业需要建立自己的PKI平台;小企业需要社会提供的商业性PKI服务。
总的来看,PKI的市场需求非常巨大,基于PKI的应用包括了许多内容,如WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Internet上的信用卡交易以及VPN等。因此,PKI具有非常广阔的市场应用前景。
|
|
