韓笑 李潔原

摘 要：PKI作為一種安全技術，已經(jīng)深入到常規(guī)網(wǎng)絡的各個層面，是現(xiàn)階段網(wǎng)絡信息安全問題的綜合解決方案。通過分析PKI技術的組成、功能和特點，結合新華社的具體采編業(yè)務需求，闡述了如何運用PKI/CA技術通過數(shù)字加密和數(shù)字簽名，確保信息保密性、完整性和不可抵賴性，從而解決新華社敏感信息采集傳輸業(yè)務中的關鍵技術難題。

關鍵詞：PKI；信息安全；加密機制

中圖分類號：TP309.2 文獻標識碼：A

文章編號：1671-0134（2018）08-050-02 DOI：10.19483/j.cnki.11-4653/n.2018.08.016

1.PKI技術

1.1 PKI的概念

PKI（Public Key Infrastructure）是一種遵循標準的利用公開密鑰技術建立的提供信息安全服務的在線基礎設施。它利用加密、數(shù)字簽名、數(shù)字證書來保護應用、通信或者事務處理的安全。

PKI必須具有權威認證機構CA在公鑰加密技術基礎上對證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷進行管理的功能，包括實現(xiàn)這些功能的全部硬件、軟件、人員、策略和規(guī)程，以及為PKI體系中的各成員提供全部的安全服務，如實現(xiàn)通信中各實體的身份認證、保證數(shù)據(jù)的完整、不可抵賴性和信息保密等。

1.2 PKI的基本組成和功能

一個典型、完整、有效的PKI應用系統(tǒng)至少應具有以下部分：認證中心CA（Certificate Authority）、注冊機構RA（Registration Authority）、證書庫、密鑰備份及恢復系統(tǒng)、證書撤銷處理系統(tǒng)、客戶端證書處理系統(tǒng)。提供的服務至少應具有以下功能：公鑰密碼證書管理、黑名單的發(fā)布和管理、密鑰的備份和恢復、自動更新密鑰、自動管理歷史密鑰、支持交叉認證。

1.3 PKI的特點

PKI作為一種安全技術，已經(jīng)深入到常規(guī)網(wǎng)絡的各個層面，是現(xiàn)階段網(wǎng)絡信息安全問題的綜合解決方案。這從一個方面反映了PKI的天生的技術優(yōu)勢和強大生命力。

PKI的特點主要有：

（1）公鑰開放、私鑰唯一，保障真實性和不可抵賴性。

（2）非對稱密鑰提供方便的機密性保護，既可以保證相互知道的實體間數(shù)據(jù)交換的機密性，又可以為不認識的實體之間的數(shù)據(jù)交互提供機密性保護支持。

（3）數(shù)字證書使密鑰使用相對獨立 ，不需要依靠其他在線支撐服務，除了依賴在線服務的限制，使業(yè)務拓展變得更加輕便與靈活。

（4）密鑰管理更加安全，提供了撤銷機制及其他服務，用來防止私鑰泄露身份被非法使用。

（5）支持復雜網(wǎng)絡化的信任結構，基于樹狀結構提供互信互認關系，為消除網(wǎng)絡世界的信任孤島提供了充足的技術保障。[2]

2.PKI技術在敏感信息采集業(yè)務中的應用探索

參考報道是一項重要的報道形式，長期以來，記者外出采寫的敏感素材稿上傳問題因技術、安全等因素的制約未能得到較好的解決，尤其是在近幾年的重大突發(fā)性事件報道中，該問題越來越突出，急需盡快解決。同時，隨著在智庫研究上的不斷推進，記者在采集傳輸過程中對敏感信息的安全保密要求也越來越迫切。

由于敏感信息不能采用明文方式，通過采用基于PKI/CA 技術的設計的敏感信息傳輸系統(tǒng)能夠滿足相關業(yè)務需求。PKI 基于RSA 非對稱加密算法，同時與對稱加密算法混合使用，從而保證了信息的保密性和傳輸?shù)母咝?。[3]

2.1設計理念

PKI體系在敏感信息采集業(yè)務中主要有以下幾部分：

（1）CA認證中心。CA認證中心負責證書的發(fā)放、撤銷及證書發(fā)行后證書生命周期中各個環(huán)節(jié)的管理工作。

（2）注冊機構RA。RA是數(shù)字證書注冊的審批機構，是CA證書發(fā)放、管理的延伸。RA也是用戶和CA之間的接口，接受離線的證書申請，提供在線的證書申請服務。

（3）USB-key。USB-key是具備硬件加密功能的終端認證與加密存儲設備，在訪問控制方面具有很強的安全保障，同時能夠用于存儲用戶密鑰、數(shù)字證書及業(yè)務數(shù)據(jù)，從而實現(xiàn)數(shù)據(jù)信息在采集終端上的身份認證和加密存儲。

（4）信息加密算法。算法的復雜性和加解密密鑰的長度決定了算法的安全性。算法越復雜，密鑰長度越長，執(zhí)行運算所需的時間也就越長，就越需要計算能力更強的芯片。系統(tǒng)采用符合國家密碼管理局規(guī)定的密碼設備實現(xiàn)數(shù)據(jù)簽名、驗簽、加密、解密等功能，搭配高處理性能的芯片，提供數(shù)據(jù)的機密性、可認證性、完整性和不可抵賴性以及數(shù)字信封等服務。

（5）數(shù)字證書。數(shù)字證書是PKI的核心數(shù)據(jù)結構，依賴證書上第三方的數(shù)字簽名，用戶可以離線的確認一個公鑰的真實性。[1]在實際應用中，證書認證系統(tǒng)需提供簽發(fā)證書/證書注銷列表的服務，用戶身份注冊、審核機構，并且承擔整個證書認證系統(tǒng)的安全管理工作。

基于PKI技術的敏感信息傳輸系統(tǒng)以終端發(fā)稿電腦、智能手機為稿件編輯載體，進行稿件的存儲加密、傳輸加密、下載加密、強身份認證等安全加固。

身份認證加固：登錄時采用雙向身份鑒別，保證用戶身份的合法性和安全性。

稿件存儲加固：可進行本地稿件文字、圖片加密存儲，加密后的稿件數(shù)據(jù)用其他方式導出或第三方閱讀器都無法打開。

傳輸鏈路加固：稿件在傳輸?shù)逆溌分胁捎眉用芡ǖ溃苊飧寮趥鬏斨斜淮鄹?、丟失、惡意竊取等。

下載文稿加固：終端從總社服務器下載稿件文字和圖片，加密存儲在終端上。

2.2 CA服務平臺和簽名及認證服務

在敏感信息傳輸系統(tǒng)中， CA服務平臺和簽名及認證服務為安全的基礎。CA服務平臺負責給用戶簽發(fā)數(shù)字證書，簽名及認證服務用于驗證用戶的身份，并對客戶端的加密數(shù)據(jù)進行解密處理。在實際應用中，CA服務平臺和簽名認證服務采用現(xiàn)有的商密成熟產(chǎn)品方案。

CA服務平臺配置了2臺密碼機，可以為安全性、穩(wěn)定性和設備性能要求較高的業(yè)務系統(tǒng)提供快速、高效的密碼運算服務。CA服務平臺中的相關密鑰均由密碼機產(chǎn)生，根密鑰也在該密碼機的安全存儲中，有效保證密鑰的安全性。

簽名及認證服務器系統(tǒng)為CA服務平臺和敏感信息采集傳輸匯聚平臺間的紐帶和支柱，為應用系統(tǒng)提供全面的安全支撐，包括身份認證、數(shù)字簽名驗簽、數(shù)據(jù)加解密及證書和證書狀態(tài)查詢等安全服務。

2.3系統(tǒng)架構

敏感信息采集傳輸匯聚系統(tǒng)分為三部分：信息采集服務系統(tǒng)、安全管理系統(tǒng)、客戶終端。

信息采集服務系統(tǒng)：主要負責提供數(shù)據(jù)內(nèi)容服務（如上傳、發(fā)布、瀏覽等），是信息資源應用與發(fā)布的執(zhí)行者；結合密碼技術、安全技術，提供敏感信息業(yè)務數(shù)據(jù)采集和傳輸。

安全管理系統(tǒng)：包括身份認證子系統(tǒng)、密碼服務子系統(tǒng)、權限管理與訪問控制子系統(tǒng)、監(jiān)控與審計子系統(tǒng)等。其主要職責是完成敏感信息從產(chǎn)生、存儲到傳輸、發(fā)布、應用，直至數(shù)據(jù)銷毀全過程的數(shù)據(jù)訪問與使用安全。

客戶終端：是最終合法用戶使用信息系統(tǒng)平臺的認證密鑰，也是終端數(shù)據(jù)加密與存儲的密碼設備。通過客戶終端用戶完成自身的身份認證與合法資源獲取與本地數(shù)據(jù)的加密儲存和管理。

2.4業(yè)務實現(xiàn)

應用系統(tǒng)登錄：系統(tǒng)為每個用戶配備一個USB-key安全鑰匙，提供用戶身份鑒別和數(shù)據(jù)加解密存儲與傳輸功能。用戶必須插入自己的USB-key，通過安全PIN碼驗證，方可啟動客戶端應用，訪問系統(tǒng)資源，查看并使用加密文件。每個key代表一個操作用戶的操作身份及權限，登錄時根據(jù)key中的證書信息通過CA認證服務器進行證書有效性驗證，并根據(jù)應用服務器進行用戶權限信息核實獲取。

加密和解密：記者和編輯的PC機、筆記本、智能手機上安裝安全加固的信息采集客戶端，配合終端密碼安全設備進行稿件的采寫、存儲和傳輸。采寫的稿件數(shù)據(jù)可經(jīng)硬件加密后存儲在指定的安全目錄下（本地磁盤安全區(qū)或者移動安全密碼終端設備）；傳輸過程中，數(shù)據(jù)都是以密文方式傳送，稿件讀入內(nèi)存時通過USB-key進行解密，經(jīng)USB-key回寫于指定安全目錄或加密后傳輸，做到“明文不落盤”。數(shù)據(jù)以密文形式傳回后再對密文進行解密。

安全管理控制：總服務器端通過安全管理中心配置、分發(fā)、管理客戶端安全鑰匙，設定與下發(fā)終端安全策略；對用戶可訪問的信息進行細粒度的訪問控制，嚴格限制用戶可訪問的信息內(nèi)容，支持按用戶組、用戶角色、用戶進行訪問權限控制。審計中心記錄并保存（配合密碼硬件加密存儲）服務器端與客戶端系統(tǒng)平臺操作的全部記錄，以便日后管理、事件分析、責任追查等工作。

結語

云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興信息技術的快速推廣，給應用帶來了一定的安全隱患和風險，同時影響了相關領域的技術創(chuàng)新和產(chǎn)品研發(fā)。

作為計算機安全保密技術的基礎，PKI技術可廣泛應用于身份認證、信息傳輸、電子商務安全、電子政務安全、網(wǎng)上銀行、網(wǎng)上支付等領域。通過對PKI技術的研究和推廣，實現(xiàn)了以PKI技術為基礎架構的安全信息傳輸平臺，初步構建敏感信息的采集、匯聚、交流、服務架構，確保信息在采集、傳輸、存儲、處理、發(fā)布的全流程過程中的安全、保密、快捷，并在新華社記者、編輯中進行試點應用和推廣。

參考文獻

[1]陳軍.基于PKI 的身份認證協(xié)議的研究與實現(xiàn)[D].北京郵電大學碩士論文，2006（10）：27-37.

[2]丁偉倫.基于 PKI 的安全云計算的研究與應用[D].電子科技大學碩士論文，2013（6）：10-11.

[3]周亮.基于PKI的RSA加密算法研究.網(wǎng)絡安全技術與應用，2017（9）.