非对称密钥体制问题研究
2017-03-11耿琳莹赵广超陈登伟郭明
耿琳莹+赵广超+陈登伟+郭明
【摘要】 本文通过分析非对称密钥体制中存在的问题,提出了非对称密钥安全解决方案,为非对称密钥体制的研究提供一定的借鉴。
【关键词】 非对称密钥 问题 安全 解决方案
随着信息技术的广泛应用,信息安全已成为战争决定因素,加强信息安全管理、完善法规制度、创新技术手段,是确保信息保密性、真实性、完整性的重要途径。非对称密钥体制不仅解决了传统的信息加密技术中难以克服的密钥传送和保管问题,而且可以有效解决信息使用者的身份认证和数字签名问题。
一、非对称密钥体制
1、非对称密钥的定义。非对称密钥体制是相对传统体制而言的,传统密钥体制又称密钥体制,用于信息加密和解密的通信密钥完全相同,如果任何一方密钥泄露,都必须更换所有的密钥,因此管理的难度相对较大,而且制密的周期因管理的好坏非周期性变化。加密密钥公之于众,解密密钥只有解密人自己知道,分别成为公开密钥和私有密钥,用公开密钥加密的信息,只有用对应的私有密钥才能解开,而由公开密钥推出私有密钥却是极其困难的。2、 非对称密钥体制架构。非对称密钥体制主要由认证中心、注册机构、数字证书库、密钥备份及恢复系统、证书撤销与更新系统、证书策略及认证组成[1],它还包括一系列技术、协议和标准,还包括策略、准则等管理的要求。通过这套体制来确保网上身份认证、传递信息的保密性、完整性和信息源的不可否认性,从而保证网上活动的安全可靠。3、非对称密钥运行机制。在非对称密钥体制中实现数据完整性服务的主要方法是数字签名;数据保密性服务是发送方使用接收方的公开密钥加密,传递给对方,接收方使用私有密钥将密文解密;不可否认服务主要是客户端在向服务端发送信息时,要将信息用自己用于签名的私有密钥加密,服务端接收后由于用该用户的公开密钥就能把明文还原出来,所以用户无法否认他发送了该信息,这就保证了信息的不可否认性。
二、非对称密钥体制中存在的问题
1、非对称密钥体制中信任度呈现出递减。在非对称密钥运行機制中由于根CA不可能直接面对数目庞大的申请主体[2],因此CA一般签发证书给分支机构,这样随着CA和RA的增加,在相互签署的信任链上,信任度是呈现出递减趋势的,这给整个非对称密钥的广泛应用带来了很大的局限性。比如:根CA下设二级域CA,二级域CA下设RA或三级域CA,但是在实践中就不能等同于根CA可以99%的信任RA或三级域CA,信任链上逐渐呈现出递减的趋势。
2、非对称密钥体制并不能保证用户身份和数字证书的完全相。CA的签名仅能够保证证书与签发者的对应关系,但不能保证证书中信息与用户身份的完全相符[3]。用户的身份必须通过面对面的确认才能保证,而这依赖于身份审核员个人素质和认真态度,若稍有不慎,就导致非法用户的入侵,很有可能导致严重的安全问题[4]。
3、非对称密钥体制在使用过程中对终端用户缺乏保护。在非对称密钥体制结构的分析中,可以看出根CA是整个非对称密钥体制系统的运作核心和存储核心,根CA中心的安全性一旦被突破,整个系统的保密性、真实性、完整性和不可否认性都无法保证。而非对称密钥体制是建立在终端用户本地计算的基础上,需要用户自己管理私有密钥和证书。而终端用户网络安全意识较低,通常会选择简单的口令并长期使用,存储在终端用户计算机上的私有密钥和证书很容易被窃取或非法篡改,并且普通用户计算机很容易感染病毒或被种上木马程序,此时用户很难检测到私有密钥是否被泄露或盗用,以至于无法确定应该在何时撤销证书。
三、非对称密钥安全解决方案
1、完善认证中心的管理。如果在信任链中能做到每一个CA的信任度为100%,则至少可以消弱信任链传递过程中信任度的加速递减[2]。这方面需要利用完善的法规制度来约束,并加强CA管理者的技术和安全培训力度,争取使每一个CA都能够对自己发放的每一个证书负责,确保发出证书的真实性和可靠性。2、加强信息安全管理。一是可对各级CA中心的物理设备安装门禁系统和防电磁辐射等安全设备。二是对局域网内采取划分VIAN的方法,以消除不同安全级别的逻辑网段间窃听的可能性;三是对于远程网,采用加密机和VPN技术保证各个区域之间的安全通道。部署基于防火墙的网络访问控制体制、分布式入侵检测系统、安全路由器、网络病毒防护、漏洞和缺陷扫描设备等。四是对每一台主机都进行主机防护,包括病毒防护、主机防火墙、主机审计等,加强对终端用户网络安全防护技能的培训。3、加强安全管理。一是建立综合管理中心,负责权限的设定,网络的部署和日常管理。二是健全应急响应机制,以便能更好的处理紧急事件、数据备份和灾难恢复。三是完善网络安全审计制度,重点记录系统内部和网络的操作,以备将来发生问题的取证和认定工作。
参 考 文 献
[1]蒋汝忠, 数字证书技术, 今日科技, 2001年3期
[2]李明 郝晓玲 张建,公开密钥基础设施体系及其缺陷分析,商业研究,2006年3期
[3]荀月凤 王飞,PKI技术的应用及思考,成都电子机械高等专科学校学报,2006年4期
[4]李明 郝晓玲 张嵩,公开密钥基础设施体系脆弱性及其对策分析, 哈尔滨工业大学学报, 2007年4期
