数字证书在网络安全中的应用
2014-03-17李勇强
倪 斌,李勇强
(1.河南司法警官职业学院,河南 郑州 450000;2.郑州铁路职业技术学院,河南 郑州 450052)
1 网络安全面临的主要问题
网络安全实际上是指网络活动所产生的数据的安全问题,保证数据不被突发的或者故意的窃取、泄露、更改,系统能持续正常的工作,网络服务不发生中断。广义上的网络安全范围很广,包含所有与网上信息的可控性、可用性、完整性、真实性及保密性有关联的理论和技术。网络技术日益发展,各种网络欺诈行为也变得越来越难以识破,给网络安全带来日趋严重的挑战。黑客攻击行为组织性更强,攻击目标向获取多方面实际利益转移,网上木马、间谍程序、恶意网站、网络仿冒等日趋泛滥,一些重要数据、文件在传输过程中被窃取篡改、滥用,对工作和生活带来重大影响甚至造成不可估量的损失。网络安全对于计算机网络有着重要意义,如疏于防范,会对网络应用产生严重危害。为保证网络活动健康有序地发展,就必须要建立一套完善的安全体系,而数字证书正是其中的一种重要技术。
2 数字证书概念与原理
2.1 数字证书概念、特点
数字证书,英文名称digital certificate,是由普遍认可的独立第三方机构CA 发放的一种电子文档,具有一定的权威性与公正性。数字证书与我们的网络活动紧密联系,比如我们在网上购物进行结算操作时,它就已经被安装在电脑中用以保障我们的账户安全。CA 采用的加密技术就是数字证书,该技术用于对网上信息的加密和解密,对传输的信息实施数字签名并对签名进行验证,这就确保了网上信息交流过程中的完全性和保密性。即便是操作者在网络上传递的信息被人窃取,甚至帐号密码等信息丢失,这种情况下数字证书仍然可以保障使用者的账户和资金的安全。数字证书是一种可在网络上对用户身份进行验证的电子文档,在网络信息交流过程中用于对用户的身份进行证明和识别。在实际操作过程中,进行证书认证的第三方机构尤为关键,必须具有绝对的可靠性、公平性和权威性。所以在关于第三方认证中心的判定上,国家工信部通过严格的资质审查,陆续给30 家相关机构提供了从业资质。
随着网络技术不断发展,一些相对敏感的信息被盗用的风险增大。要使互联网上电子交易及支付的保密性、安全性等得到保障,防止欺诈行为,就必须以网络平台为基础形成一套信用机制。在这种机制下,必须确保参与网上交易的双方都有合法身份,同时能够毫无差错地验证有效性。
数字证书的特点有:
安全性:在完善证书安全性过程中,支付宝率先使用了一种双证书解决方案,能够消除传统方法易于丢失数字证书等安全隐患,该方法具体实施方法为:支付宝用户在交易过程中申请数字证书时,会得到两份证书,其中一份用来验证用户当前用的电脑,另一份证书用来校验支付宝账户。其中在不同电脑上用户必须重新获取第一份证书,不能够将其备份。即便他人窃取了相应的数字证书,也无法获得其帐户信息。
唯一性:支付宝数字证书针对不同身份的用户给以相对应的访问权限,如果换用另一台计算机登录支付宝,那么用户在缺少证书备份时无法采取任何操作,只可以查看账户信息,这样给使用者提供的数字凭证就像“钥匙”一样,保障了使用者账户的安全。
方便性:即时申请、即时开通、即时使用。根据用户需要提供分别适应的措施来保障数字证书,如短信验证、密保问题等。即使使用者不了解相关知识,也可以方便使用。
2.2 数字证书原理
数字证书采用公钥体制,就是通过将一对相对应的密钥进行加密、解密。其中的一把特殊的密钥(私钥)由使用者自定义,只有本人知道,用于解密和签名等操作;同时用户要定义并分享一把公用的密钥(公钥),用来进行加密和验证签名,被多个用户共享。当文件发送一方需对文件进行保密时,要利用接受者提供的公钥来加密,接受者则要通过自定义的私钥来对文件进行解密,因此保证了信息在互相交流时的安全性。这种加密方式使得信息的加密是单向的,要进行解密必须要有私有密钥才行。现有密钥及密码体制里,RSA 体制比较常见。
即便加密密钥、明文和密文都已知道,以目前的计算机水平要破解也是不可能的。如果想推导出现在的1024 位RSA 密钥的解密密钥,得花费上千年的时间,所以从数学计算上来说是无法破解的。公开密钥技术为密钥发布的管理提供了方法,卖家在保留其私有密钥的前提下能够公开他的公开密钥,买家通过公开的密钥加密所要发送的信息,将其安全传达至卖家,最后卖家利用保留的私有密钥将信息解密,过程如图1、图2、图3 所示。
图1 公钥加密过程
图2 私钥签名过程
图3 公钥,私钥共同加密过程
如果用户在信息加密时使用自定义的私钥,此时密钥只有自己知道,这种文件其他人就无法生成,叫做数字签名。数字签名确保了信息来源于真正的签名者,数字签名使其可以准确确认目标;确保了信息从发出直至收到过程中没有任何中间修改,真实可靠。
数字证书包含英文以及数字,在被用于身份认证过程当中,将生成128 位的随机身份码,任何数字证书都可以产生相对应但不可能重复的数码,这就使得数据传输更加保密,所产生的密码数字证书相当于每个人都有对应的居民身份证,它与公钥及其持有者的真实身份绑定,不同之处在于数字证书是电子的证照而非纸质的,而且包含了所有者的身份信息,使得网上交易或者电子政务信息处理更加的灵活便捷。
3 数字证书的颁发
电子证书是由CA 签发,CA 是PKI 的关键机构。主要业务范围包括证书认证、证书签发,对已颁发证书的机关进行管理。CA 还要提出用于识别、验证用户身份的政策和具体方法,以确认证书所有者的身份以及公钥的拥有权,对此CA 是完全可靠的第三方。CA 同样有一个私钥及证书,每一个用户都能够获得CA 的证书,通过网上验证方式来确认CA 的签字,以此来检验CA 签发的证书。用户可以向CA 提出申请获得自己专属的证书,CA 在对申请者身份进行确定之后,就会给用户提供一个公钥,把用户的身份信息同该公钥绑定并且为之签字后,申请者就可以得到想要的证书了。假如用户要鉴定某一证书的真实性,就需要利用CA 提供的公钥来验证这个证书的签字,如果通过了验证,就判定该证书是真实有效的。
互联网中双方信息交流由数字证书来提供认证,在通常使用的因特网、单位的局域网或者外部网中,都是利用数字认证方式来识别用户身份或者是加密信息,通过用户所提供的证书中数据进行判别,从而确认证书持有者身份。现在各省市都有主要服务于本地客户的CA 公司,为当地企业单位发放商用数字证书。
CA 中心是一家具有公正性、权威性和可靠性的第三方机构,必须获得国家的认可,主要负责提供任何网络业务的用户需要的数字证书,而该证书就像是一张网络身份证,能够用来帮助网上各个分割的并且互不熟悉的实体建立一种较为安全的信用关系。这种信任的可靠程度则取决于PKI/CA 认证中心的安全度,因此PKI/CA 认证中心的安全保障是极其关键的。假如该中心没有足够防范措施,就可能被非法用户侵入,导致认证中心不能正常运转;还有些不法分子会利用安全防范中存在的漏洞(环境、系统或政策),以此来攻击认证中心,带来巨大的不良后果。
目前情况下,CA 中心只有不断主动地优化信息安全措施来博得用户的信任,免除用户使用时的后顾之忧,才能够使用户更加安心地利用CA 中心提供的信息安全服务,从而推动认证中心的相关业务不断向前,并且可以进一步促进一些对于信用要求较高的网络业务的发展,比如电子商务以及电子政务。
数字证书发放步骤主要分为:最开始需要得到用户唯一的密钥对,然后把身份数据和公共密钥上传至认证中心;中心在对用户的身份进行核实后,将通过某些有效方式,来验证请求是由用户发出的,再传送一个数字证书给使用者,其中包括其身份数据以及相应的公钥信息;附在一起的还有中心的签名信息;最后,用户就能够利用获得的证书来从事各种相关活动。证书种类很多,每一种给予的信用级别也不完全一致。
4 数字证书在网络安全领域中的应用
用户只能够在已经连接了证书的存储介质的电脑环境下,才可以进行相关的业务活动。在用户的个人电脑上首先要安装CA 根证书之后,就可以操作了。正常情况下用户的网络活动中如需要数字证书,系统会提示根证书安装,点选确认就可以自动完成安装。用户还能够在CA 的官网下载并安装。操作过程中,用户需要插入证书介质(IC 卡或Key)或者用户出示数字证书,之后系统会提示输入正确的口令,该密码来自于申请证书时得到的密码信封,在验证完密码后系统将自动调用数字证书进行相关操作。操作完成后应将证书介质取出并且把它保管好。不同的系统下证书的使用方法也不尽相同,但只要用户严格按照系统提示操作,就不会存在太大问题。
4.1 安全电子邮件
安全电子邮件证书主要由所有人的CA 中心签名、公钥以及电子邮件地址组成。使用安全电子邮件的加密和数字签名的证书能够收发邮件,保证邮件传输过程的安全性、完整性和确定性,使得邮件通信双方的真实身份得到确认。证书也可以存储于移动U 盘或是硬盘中。安全电子邮件采用了公共密钥算法,从而消除了加密邮件把署签名邮件篡改的可能性。需要注意的一点是,只有当电子邮件证书与具有约束力的邮件账户相对应时,用户才能够对邮件进行签名和加密。
4.2 可信网站服务
我国网站数量每年都在飞速增长,其中各式各样不同的假冒网站、钓鱼网站也越来越多,这些钓鱼网站大多以偷取用户有价值的账户信息,盗用用户身份信息或者直接进行网络欺诈为目的,严重威胁着网络信息安全和广大网络用户的信心,成为网络应用进一步发展的主要制约因素。当用户不能够确定某一网站是否真实的情况下,为了避免目标网站的银行账户信息和联系方式被恶意篡改的风险,可以使用数字证书加密技术。用户可以使用证书技术获得的安全可靠的网络体验,来检查目标网络站点的证书,由此确保不会误用钓鱼网站的服务和避免损失。
4.3 代码签名保护
网络推广有着方便易行的优点,但同时这种便利也产生了一些不利的影响。用户可以在网络上分享软件,但所用软件及控制过程是否安全难以保障。软件供应商对所发行软件的使用风险负有责任,但网络中潜在的安全隐患以及使用盗版的软件都会带来一定风险。软件用户可以采取数字签名技术,从而确认供应商的真实身份,降低假冒软件带来的安全风险。
4.4 安全终端保护
为了使得一些较关键的终端信息免于被不法分子盗取、破坏或是篡改,目前采用的是一种以数字证书技术为核心的系统登录方法,能够用动态加密实现对重要信息的保护,确保储存于计算机系统的敏感信息不被非法窃取,非法访问。采用数字证书方式来进行验证的系统,能够阻止没有权限的用户对计算机信息的访问,同时确保有权限的用户可以安全使用。对于使用了数字信封技术的用户,可以对服务器中存储的重要信息进行加密,使得用户只能够在拥有指定的证书的情况下对信息进行访问,确保了存储数据的完整性以及机密性。
4.5 授权身份管理
信息系统安全管理的关键基础设施之一就是授权管理系统,它提供对实体(用户、程序)授权的服务管理,对测绘单位的身份给出权威验证,提供授权、访问和实际应用的方法,以及提出相关的应用系统开发和管理相关的控制机制,使得开发和维护具体应用系统变得更加简便。授权管理是基于相互的认同,只有正确地利用数字证书,适当授权的有效完成系统的用户认证,才能达到安全保护的终极目标。
5 结束语
网络正逐渐成为我们日常生活中不可缺少的部分,其安全是影响互联网能否健康发展的一个非常关键的因素,安全问题不应成为其发展过程的绊脚石。生活中的诸多应用都是以公钥技术的数字证书为基础的,如电子政务、电子商务、网上银行、网上娱乐等网络交易活动,这保证了信息传输的真实性、机密性和交易信息的安全性,通过与其他安全技术结合,确保了网络安全,推动了计算机网络的不断发展,相信数字证书的应用将会更加广泛。
[1]袁家政.数字证书应用技术指南[M].北京:电子工业出版社,2010.
[2]张润彤.电子商务[M].北京:科学出版社,2011.
[3]张宽海,李良华.网上支付与结算[M].北京:高等教育出版社,2011.