非對稱密鑰體制問題研究

耿琳瑩+趙廣超+陳登偉+郭明

【摘要】 本文通過分析非對稱密鑰體制中存在的問題，提出了非對稱密鑰安全解決方案，為非對稱密鑰體制的研究提供一定的借鑒。

【關鍵詞】 非對稱密鑰 問題 安全 解決方案

隨著信息技術的廣泛應用，信息安全已成為戰爭決定因素，加強信息安全管理、完善法規制度、創新技術手段，是確保信息保密性、真實性、完整性的重要途徑。非對稱密鑰體制不僅解決了傳統的信息加密技術中難以克服的密鑰傳送和保管問題，而且可以有效解決信息使用者的身份認證和數字簽名問題。

一、非對稱密鑰體制

1、非對稱密鑰的定義。非對稱密鑰體制是相對傳統體制而言的，傳統密鑰體制又稱密鑰體制，用于信息加密和解密的通信密鑰完全相同，如果任何一方密鑰泄露，都必須更換所有的密鑰，因此管理的難度相對較大，而且制密的周期因管理的好壞非周期性變化。加密密鑰公之于眾，解密密鑰只有解密人自己知道，分別成為公開密鑰和私有密鑰，用公開密鑰加密的信息，只有用對應的私有密鑰才能解開，而由公開密鑰推出私有密鑰卻是極其困難的。2、 非對稱密鑰體制架構。非對稱密鑰體制主要由認證中心、注冊機構、數字證書庫、密鑰備份及恢復系統、證書撤銷與更新系統、證書策略及認證組成[1]，它還包括一系列技術、協議和標準，還包括策略、準則等管理的要求。通過這套體制來確保網上身份認證、傳遞信息的保密性、完整性和信息源的不可否認性，從而保證網上活動的安全可靠。3、非對稱密鑰運行機制。在非對稱密鑰體制中實現數據完整性服務的主要方法是數字簽名；數據保密性服務是發送方使用接收方的公開密鑰加密，傳遞給對方，接收方使用私有密鑰將密文解密；不可否認服務主要是客戶端在向服務端發送信息時，要將信息用自己用于簽名的私有密鑰加密，服務端接收后由于用該用戶的公開密鑰就能把明文還原出來，所以用戶無法否認他發送了該信息，這就保證了信息的不可否認性。

二、非對稱密鑰體制中存在的問題

1、非對稱密鑰體制中信任度呈現出遞減。在非對稱密鑰運行機制中由于根CA不可能直接面對數目龐大的申請主體[2]，因此CA一般簽發證書給分支機構，這樣隨著CA和RA的增加，在相互簽署的信任鏈上，信任度是呈現出遞減趨勢的，這給整個非對稱密鑰的廣泛應用帶來了很大的局限性。比如：根CA下設二級域CA，二級域CA下設RA或三級域CA，但是在實踐中就不能等同于根CA可以99%的信任RA或三級域CA，信任鏈上逐漸呈現出遞減的趨勢。

2、非對稱密鑰體制并不能保證用戶身份和數字證書的完全相。CA的簽名僅能夠保證證書與簽發者的對應關系，但不能保證證書中信息與用戶身份的完全相符[3]。用戶的身份必須通過面對面的確認才能保證，而這依賴于身份審核員個人素質和認真態度，若稍有不慎，就導致非法用戶的入侵，很有可能導致嚴重的安全問題[4]。

3、非對稱密鑰體制在使用過程中對終端用戶缺乏保護。在非對稱密鑰體制結構的分析中，可以看出根CA是整個非對稱密鑰體制系統的運作核心和存儲核心，根CA中心的安全性一旦被突破，整個系統的保密性、真實性、完整性和不可否認性都無法保證。而非對稱密鑰體制是建立在終端用戶本地計算的基礎上，需要用戶自己管理私有密鑰和證書。而終端用戶網絡安全意識較低，通常會選擇簡單的口令并長期使用，存儲在終端用戶計算機上的私有密鑰和證書很容易被竊取或非法篡改，并且普通用戶計算機很容易感染病毒或被種上木馬程序，此時用戶很難檢測到私有密鑰是否被泄露或盜用，以至于無法確定應該在何時撤銷證書。

三、非對稱密鑰安全解決方案

1、完善認證中心的管理。如果在信任鏈中能做到每一個CA的信任度為100%，則至少可以消弱信任鏈傳遞過程中信任度的加速遞減[2]。這方面需要利用完善的法規制度來約束，并加強CA管理者的技術和安全培訓力度，爭取使每一個CA都能夠對自己發放的每一個證書負責，確保發出證書的真實性和可靠性。2、加強信息安全管理。一是可對各級CA中心的物理設備安裝門禁系統和防電磁輻射等安全設備。二是對局域網內采取劃分VIAN的方法，以消除不同安全級別的邏輯網段間竊聽的可能性；三是對于遠程網，采用加密機和VPN技術保證各個區域之間的安全通道。部署基于防火墻的網絡訪問控制體制、分布式入侵檢測系統、安全路由器、網絡病毒防護、漏洞和缺陷掃描設備等。四是對每一臺主機都進行主機防護，包括病毒防護、主機防火墻、主機審計等，加強對終端用戶網絡安全防護技能的培訓。3、加強安全管理。一是建立綜合管理中心，負責權限的設定，網絡的部署和日常管理。二是健全應急響應機制，以便能更好的處理緊急事件、數據備份和災難恢復。三是完善網絡安全審計制度，重點記錄系統內部和網絡的操作，以備將來發生問題的取證和認定工作。

參 考 文 獻

[1]蔣汝忠， 數字證書技術， 今日科技， 2001年3期

[2]李明 郝曉玲 張建，公開密鑰基礎設施體系及其缺陷分析，商業研究，2006年3期

[3]荀月鳳 王飛，PKI技術的應用及思考，成都電子機械高等?？茖W校學報，2006年4期

[4]李明 郝曉玲 張嵩，公開密鑰基礎設施體系脆弱性及其對策分析， 哈爾濱工業大學學報， 2007年4期