王倩 杜秀娟
(青海師范大學(xué) 青海省西寧市 810008)
網(wǎng)絡(luò)技術(shù)的不斷發(fā)展給人們的生活帶來了很多便利,改變了人們的生活方式。網(wǎng)上購物取代了線下購物,網(wǎng)上支付取代了銀行轉(zhuǎn)賬,網(wǎng)上聊天取代了線下聊天等,但網(wǎng)絡(luò)攻擊、病毒等不安全不穩(wěn)定因素也給人們的生活帶來了很多不利因素,尤其是在網(wǎng)上交易過程中。用戶的財(cái)務(wù)信息一旦被盜,如果在短時(shí)間內(nèi)無法找回,可能會(huì)產(chǎn)生一些不可估量的后果。數(shù)字證書可以保護(hù)網(wǎng)絡(luò)中的個(gè)人信息。用戶可以通過數(shù)字證書確認(rèn)信息。他們只能在認(rèn)證后使用信息。用戶還可以通過數(shù)字證書恢復(fù)丟失的信息。以確保網(wǎng)絡(luò)的安全。
計(jì)算機(jī)網(wǎng)絡(luò)主要實(shí)現(xiàn)信息的傳輸和資源的共享。網(wǎng)絡(luò)中的信息主要以數(shù)據(jù)的形式表示。因此,保證網(wǎng)絡(luò)中數(shù)據(jù)的安全就是實(shí)現(xiàn)網(wǎng)絡(luò)的安全。
數(shù)字證書是CA 發(fā)布的電子文件,它可以通過一系列數(shù)字引用網(wǎng)絡(luò)用戶的身份信息,并提供一種在數(shù)字證書上驗(yàn)證網(wǎng)絡(luò)用戶身份的方法,以加密或解密的形式保證來自網(wǎng)絡(luò)用戶的信息和數(shù)據(jù)的安全。
數(shù)字證書具有以下三個(gè)特點(diǎn):
當(dāng)用戶申請證書時(shí),計(jì)算機(jī)上會(huì)有兩個(gè)不同的證書用于驗(yàn)證用戶的交互信息。如果您的計(jì)算機(jī)以其他方式使用,則用戶必須獲得證書以驗(yàn)證計(jì)算機(jī)的使用。即使有人偷了你的證書,它也不能被備份或獲取用戶帳戶信息。從而保證了賬戶信息的安全性。
數(shù)字證書根據(jù)用戶的身份授予相應(yīng)的訪問權(quán)限。如果將計(jì)算機(jī)更改為登錄帳戶,則用戶將無法執(zhí)行備份證書,并且只能執(zhí)行該操作以驗(yàn)證帳戶信息。數(shù)字證書是一個(gè)公鑰,所謂只有一個(gè)密鑰可以解鎖鎖,這是一個(gè)獨(dú)特的體現(xiàn)。
數(shù)字證書可以直接由CA 中心用戶打開,不需要數(shù)字證書這是非??煽康?。它可以有效地保證數(shù)據(jù)信息網(wǎng)絡(luò)的安全,在用戶瀏覽數(shù)據(jù)信息網(wǎng)絡(luò)或進(jìn)行在線交易時(shí)使用數(shù)字證書。
信息的發(fā)送者對要傳輸?shù)男畔⑦M(jìn)行加密,而在互聯(lián)網(wǎng)上傳輸?shù)男畔⒕褪羌用艿男畔?。信息的接收者接收加密信息并對其進(jìn)行解密。這就是網(wǎng)絡(luò)信息加密技術(shù)的原理。具體工作原理如圖1所示。
圖1:工作原理數(shù)字證書
圖2:數(shù)字證書的工作過程
授權(quán)管理系統(tǒng)是網(wǎng)絡(luò)安全管理的主要基礎(chǔ)設(shè)施之一。在網(wǎng)絡(luò)的實(shí)際使用中,很多用戶并不了解網(wǎng)絡(luò)。因此,在使用網(wǎng)絡(luò)的過程中,用戶身份的認(rèn)證和授權(quán)必須依靠數(shù)字認(rèn)證技術(shù),提供服務(wù)實(shí)體來管理用戶的授權(quán)程序,并為合法用戶的身份提供可靠的認(rèn)證,它提供了授權(quán)的方法和獲得實(shí)際應(yīng)用的途徑,為開發(fā)和管理提供了相應(yīng)的監(jiān)控機(jī)制,實(shí)現(xiàn)了信息系統(tǒng)的安全,為授權(quán)身份管理提供了真實(shí)可靠的基礎(chǔ)。
數(shù)字證書的工作過程如圖2所示,數(shù)字證書的認(rèn)證過程主要包括以下幾個(gè)過程:
解封證書是為了驗(yàn)證公鑰頒發(fā)者是否能夠正確解析兩個(gè)證書。交換后,必須密封,看能不能從證書中打開拆卸過程,還是可以從鏈證書中獲取公鑰。這是插入過程。exit參數(shù)是證書頒發(fā)機(jī)構(gòu)的公鑰,正確的參數(shù)是證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書(如果可以正確解密的話),結(jié)果是用戶的公鑰。
證書鏈的驗(yàn)證是通過證書鏈來追蹤可信CA 的根。換言之,有必要驗(yàn)證簽發(fā)用戶實(shí)體證書的CA 是否是權(quán)威和可信的CA。例如:CFCA。證書鏈驗(yàn)證的要求是路徑中的每個(gè)證書從最終實(shí)體到根證書都是有效的,每個(gè)證書都必須對應(yīng)于頒發(fā)證書的權(quán)威可信和任性CA。運(yùn)算表達(dá)式是AP?A<B>B<C>表示操作使用A 的公鑰,從B 的證書中獲取B 的公鑰BP,然后通過BP 對C 的證書進(jìn)行解封。最后,得到了C 的公鑰CP。這是證書鏈的身份驗(yàn)證解封過程。證書鏈驗(yàn)證就是要通過證書鏈來跟蹤C(jī)a(電子認(rèn)證服務(wù))的根,換言之,驗(yàn)證頒發(fā)實(shí)體證書的Ca(電子認(rèn)證服務(wù))用戶是否是Ca(電子認(rèn)證服務(wù))例如,證書驗(yàn)證需求鏈?zhǔn)敲總€(gè)證書的有效來源根的最終實(shí)體,每個(gè)證書都必須有效。作為回報(bào),表達(dá)式過程是ab,B,這個(gè)過程使用公鑰,從證書B 中獲取公鑰B,然后從獲取的最終結(jié)果打開C 證書過程。關(guān)于公鑰CP,這是對鏈證書的綁定和認(rèn)證的證明過程。
驗(yàn)證序列號是為了驗(yàn)證簽名是否是證書實(shí)體中的序列號實(shí)體。此操作的驗(yàn)證擴(kuò)展了序列號中心的授權(quán)密鑰標(biāo)識符,即證書序列號的頒發(fā),并驗(yàn)證了證書序列號尼。身份驗(yàn)證必須是可信的,否則CA 的身份驗(yàn)證將不一致。
有效性驗(yàn)證是檢查用戶證書的日期是否合法,是否過期。具體措施如下:
(1)CA 證書中用戶實(shí)體證書和私鑰的有效期必須有效,證書實(shí)體必須無效,交易不安全,超過CA(電子認(rèn)證機(jī)構(gòu))的有效證書。
(2)用戶實(shí)體證書的過期日期不應(yīng)是私鑰CA證書的到期日期,否則證書不安全。
所謂查詢列表證書撤銷,就是檢查用戶是否已經(jīng)撤銷了在CRL證書撤銷列表查詢和黑名單查詢中發(fā)布的證書。由于標(biāo)準(zhǔn)中私鑰的實(shí)時(shí)泄漏,需要撤銷的實(shí)體證書應(yīng)及時(shí)撤銷。LDAP、CA 以X.500格式部署在堆中以打開查詢。
證書的使用符合任何政策或廣告證書的使用限制政策,即CA證書、用戶證書、實(shí)體證書中批準(zhǔn)的政策列表,并限于擴(kuò)展特定領(lǐng)域以定義適用于用戶證書的政策,這些政策必須明確界定在公訴中。沒有Ca 識別策略,則無法實(shí)現(xiàn)用戶證書,例如,網(wǎng)站策略、電子郵件地址必須在策略根目錄中表示。
為了安全使用證書,Ca 頒發(fā)的內(nèi)部管理員證書應(yīng)與最終用戶實(shí)體證書區(qū)分開來。為此:
(1)在擴(kuò)展域的基本約束條件下,其默認(rèn)值代表最終實(shí)體來區(qū)分其他CA 內(nèi)部管理證書,防止證書被用于不同用途。
(2)在擴(kuò)展域密鑰的使用應(yīng)以有效申報(bào)為目的,在數(shù)字簽名使用或用于傳輸加密。為保證安全,應(yīng)明確分開,不得混用,以備有爭議時(shí)審核,并提供仲裁依據(jù)。
由于數(shù)字證書具有加密和解密的過程,在獲取信息之前需要對其進(jìn)行驗(yàn)證,在信息傳輸過程中起到一定的作用。因此,在網(wǎng)絡(luò)安全的進(jìn)程中,越來越多的領(lǐng)域開始利用數(shù)字證書來保證信息的安全。
安全電子郵件證書主要由CA 簽名中心、公鑰、電子郵件地址、加密證書和數(shù)字簽名組成。使用安全電子郵件可以發(fā)送和接收電子郵件,以確保證書的安全性、完整性和確定性。它也可以存儲在移動(dòng)U 盤或硬盤電子郵件中。安全電子郵件使用公鑰算法來消除篡改電子郵件簽名的可能性。此外,只有在電子郵件證書對應(yīng)綁定的電子郵件帳戶時(shí),用戶才能對電子郵件進(jìn)行簽名和加密。
隨著互聯(lián)網(wǎng)上網(wǎng)站數(shù)量的增加,釣魚網(wǎng)站的各種仿冒品也在增加,主要是通過詐騙手段對用戶賬戶信息、身份信息進(jìn)行網(wǎng)上詐騙,從而危及人民生命安全。當(dāng)用戶無法確定網(wǎng)站是否安全時(shí),互聯(lián)網(wǎng)上的信息就不安全,這將嚴(yán)重影響網(wǎng)絡(luò)的發(fā)展,從而避免財(cái)務(wù)和身份信息的泄露,并可以利用數(shù)字證書加密技術(shù),讓用戶獲取信息。在因特網(wǎng)上使用數(shù)字證書技術(shù)是安全可靠的。同時(shí),利用能夠驗(yàn)證目標(biāo)站點(diǎn)的證書來保證由于濫用假冒站點(diǎn)或釣魚站點(diǎn)服務(wù)而造成的損失。
只要網(wǎng)絡(luò)的重要性體現(xiàn)在數(shù)據(jù)傳輸和資源共享上,共享軟件可以給用戶帶來極大的便利,但這種便利也會(huì)給網(wǎng)絡(luò)帶來負(fù)面影響。用戶可以在網(wǎng)絡(luò)上共享軟件,但如果沒有一定的認(rèn)證,軟件的安全性就無法保證,軟件的來源也無法追查,而且可以利用網(wǎng)絡(luò)號來鑒別真?zhèn)?,降低在病毒存在網(wǎng)絡(luò)安全的假冒程序或軟件的風(fēng)險(xiǎn)。
為了防止一些最重要的外圍信息被犯罪分子竊取、銷毀或篡改,目前,它是一種采用數(shù)字證書核心技術(shù)的登錄系統(tǒng),可以實(shí)現(xiàn)對重要信息的動(dòng)態(tài)加密,保證敏感信息存儲在計(jì)算機(jī)系統(tǒng)中。使用數(shù)字證書的身份驗(yàn)證可防止對計(jì)算機(jī)信息的未授權(quán)訪問,并確保授權(quán)用戶可以安全地使用這些信息。使用數(shù)字信封技術(shù)的用戶可以對存儲在服務(wù)器中的重要信息進(jìn)行加密,這樣用戶只有在擁有特定證書時(shí)才能訪問這些信息,從而保證了存儲數(shù)據(jù)的完整性和機(jī)密性。
隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)生活已經(jīng)成為人們主要的生活方式,如:網(wǎng)上購物、網(wǎng)上交易和網(wǎng)上娛樂等生活方式已經(jīng)被大家所接受。正是因?yàn)榇蠖鄶?shù)人開始使用網(wǎng)絡(luò),所以其安全性是影響互聯(lián)網(wǎng)健康發(fā)展的一個(gè)非常關(guān)鍵的因素。網(wǎng)絡(luò)一旦出現(xiàn)大范圍的不安全因素或問題,就會(huì)嚴(yán)重影響人們對網(wǎng)絡(luò)的使用。因此,網(wǎng)絡(luò)安全問題必須要得到很好地解決從而不影響其快速發(fā)展。隨著數(shù)字證書應(yīng)用領(lǐng)域的不斷擴(kuò)大,數(shù)字證書在網(wǎng)絡(luò)安全中的重要性將越來越明顯。