随着互联网各种应用的迅速发展,网络安全问题也日益突出起来。特别是电子商务的兴起,已经对网络信息安全提出了更高的要求。无论商家、银行还是个人,人们都想知道在网上与之通信的人是谁(即所谓的身份认证),担心信息在传输过程中被篡改(即信息的完整性),还担心信息在传送途中被外人看到(即隐私性)。公钥加密体系(PKI)能有效地解决网络信息的安全问题,免去人们的各种担忧。本文将分几部分,在简要讨论公钥加密体制的基础上,介绍网上身份认证机关(CA)的技术和实施要点。
在互联网上,您将信息从一台计算机发送到另一台计算机,在信息到达目的地之前,要经过许多您事先无法预料到的中间计算机转发。在正常情况下,那些“中间计算机”的用户是不会去窥视您的信息的。请注意,这里强调的是在“正常”情况下,但一些非正常情况常常不可避免。例如,总有人想窃取别人的私人信息,如信用卡号,甚至还将您的信息修改后继续转发。由于因特网和企业内部网的构架在安全上的缺憾,一些心怀不轨的人总能找到一些办法,侵入正在传输途中的信息,进入并置换这些信息。所以在网上发送信息时,不得不考虑安全问题。
安全方面的一个主要问题就是身份的伪装,即一些人伪装成信息的发送者或接受者。如果在通讯之前,强制验证对方的身份,那么别人伪装的机会就大为减少。在互联网和企业内部网上,可以用数字证书确认通讯者的身份。这样,证书就好比一个数字化的身份证或护照。
在传统密码体制(又称“对称密钥密码体制”)中,用于加密的密钥和用于解密的密钥完全相同。这种体制所使用的加密算法比较简单,而且高效快速、密钥简短、破译困难,但是存在着密钥传送和保管的问题。例如:您与朋友通讯,用同一个密钥加密与解密。首先,将密钥分发出去是一个难题,在不安全的网络上分发密钥显然是不合适的;另外,如果您和您的朋友之间任何一人将密钥泄露,那么大家都要重新启用新的密钥。
1976年,美国的密码学专家Diffie和Hellman为解决上述密钥管理的难题,在他们的奠基性的工作“密码学的新方向”一文中,提出一种密钥交换协议,允许在不安全的媒体上双方交换信息,安全地获取相同的用于对称加密的密钥。在此新思想的基础上,很快出现了非对称密钥密码体制,即公钥密码体制(PKI)。
在公钥体制中,加密密钥不同于解密密钥,加密密钥公之于众,解密密钥只有解密人自己知道,分别称为公开密钥(或简称公钥Publickey)和秘密密钥(或简称私钥Privatekey)。用公钥加密的信息,只有与该公钥对应的私钥才能解开。当然,由广为传播的公钥推导出私钥,是极其困难的。例如,朋友和您通讯时,临时产生一个随机数作为对称加密密钥,然后将这个加密密钥传送给您,您再用它解密即可。现在的问题是,如何保证加密密钥在传送途中的安全呢?这正是Diffie和Hellman解决的问题。在作为对称加密密钥的随机数产生之后,您的朋友立即用您的公钥将它加密成密态,他将密态的随机数传给您。您在收到这个密态的随机数之后,用私钥对它解密,得到对称加密的明态密钥。
在因特网上,为了加强身份认证,引进了证书(Certificate)的概念。证书是个人身份(或站点)的数字证明,内含上述提及的公钥,可以广为散发。有一个唯一的私钥与该证书对应,它由证书持有人保管,不能泄露。证书是由一个机构发放的,并由这个机构担保其有效性,这个机构就是身份认证机构(CertificateAuthority简称CA)。
(未完待续)
 |
