论文部分内容阅读
摘 要: 数字认证技术属于认证技术的范畴,它泛指使用现代计算机技术和网络技术进行的认证。数字认证的引入对文明的发展和社会的进步有很大帮助,数字认证可以减少运营成本和管理费用。主要阐述数字加密认证在烟草系统中的应用。
关键词: 数字加密;认证;烟草系统
中图分类号:TP309.7 文献标识码:A 文章编号:1671-7597(2011)0910142-01
对于计算机系统中传送、存储的重要文件、数据、信息等,一般需要有某种方式来确认其真实性。即接受者能够确认自己得到的信息确实是由该信息所声称的发送者发出的,而不是由非法入侵者伪造、冒充发出的,并且还要能够保证信息在传送、存储的过程中没有被恶意篡改,这样这份信息才能真实地反映发送方的意图。另外,对于发送方来说,如果发出一份信息,还必须有一定的措施阻止其否认自己发出信息的行为,即不可否认性。只有做到以上几点,一个信息的传送、存储系统才能够安全、可靠,其上所传送、存储的信息才是真实、值得相信的。
1 数字加密认证的原理
所谓认证,是指一个实体通过某种方式确认参与通信的另一个实体的身份,而且该实体确实参与了通信。认证技术可分为三种主要类型,第一种是预知信息认证。例如,标准的个人密码,个人信息数字和通过盘问口令、回复协议交换的私钥信息。第二种是信息拥有认证。例如,身份证,磁带卡,IC卡和手持个人密码产生器。第三种是继承信息认证。这种认证包括对个人物理信息的认证,包括对人的指纹,声音,基因甚至笔迹的认证。数字认证可以减少金融领域中的多重现金处理和现金欺诈。随着现代网络技术和计算机技术的发展,数字欺诈的现象越来越普遍,比如说,用户名下文件和资金传输会被伪造或更改。数字认证提供了一种彩制使用户能证明其发出信息来源的正确性和发出信息的完整性。
加密技术是以数据保密为目的,对存储或者传输的信息采取特殊的变换处理以防止非法接收者窃取信息的技术。被变换的信息称为“明文”(一段有意义的文字或数据);变换后的数据称为“密文”(表明上杂乱且没有意义的数据)。从“明文”到“密文”的变换过程称为“加密”(Encryption)。加密后在网络上公开传输的内容对于非法接收者来说是无意义的文字(密文),而对于合法的接收者,因为其掌握正确的密钥,可以通过解密过程得到原始数据(明文)。
2 数字加密认证技术
为了保证基于因特网的电子商务交易具有有效性、真实性、机密性、完整性、不可抵赖性、可审查性,即实现安全电子交易,需要利用第三方CA认证系统。认证中心(CA)就是承担网上安全虫子交易认证服务、签发数字证书并确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。认证中心依据“认证操作规定(Certification Practice Statement,CPS)”来实施服务操作。
2.1 常用安全协议
目前,国际上通行的电子支付安全协议有两种:1)SSL安全协议。SSL协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于因特网和内联网的服务器产品和客户端产品中。此外,微软公司和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)。该协议对SSL进行了轻微的改进。2)SET安全协议。SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司和RSA公司等。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来说是非常重要的。由于设计合理,SET得到了许多大公司的支持,已成为事实上的工业标准。目前,它已获得IETF标准的认可。
2.2 常用数据加密技术
加密技术是计算机系统采取的主要安全措施,双方可根据需要在信息交换的阶段使用。数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。在网络应用中一般采取两种加密形式:对称密钥和公开密钥。采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都是实际环境中需要考虑的。
对称密钥加密。其常见加密标准为DES等。当使用DES时,信息发送方和接受方采用64位密鑰对报文加密和解密。当对安全性有特殊要求时,则要采取IDEA和三重DES等标准。作为传统企业网络广泛应用的加密技术,它采用KDC来集中管理和分发密钥并以此为基础验证身份,具有较高的效率,但是并不适合因特网环境。
在因特网中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法,加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,作法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方分开密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合在因特网网上使用。
3 数字加密认证在烟草系统中的应用
为了实现烟草物流和价格的实时性,就必须采用网上烟草系统。开发的烟草物流和价格系统主要采用X.509认证系统来保证价格标书的保密性和不可抵赖性。在烟草物流和价格系统认证中心的实际应用中,公开密钥加密系统并没有完全取代对称密钥加密系统,这是因为公开密钥加密系统是基于尖端的数学难题,计算非常复杂,它的安全性更高,但它实现速度却远赶不上对称密钥加密系统。在实际应用中可利用二者的各自优点,采用对称加密系统加密文件,采用公开密钥加密系统加密“加密文件”的密钥(会话密钥),这就是混合加密系统,它较好地解决了运算速度问题和密钥分配管理问题。因此,公钥密码体制通常被用来加密关键性的、核心的机密数据,而对称密码体制通常被用来加密大量的数据。
随着烟草系统的不断发展,防范烟草系统中的欺诈行为,已成为不可回避的一个问题。因此采用最有效的安全技术在互联网中建立并维持一种令人信任的环境和机制和系统安全体系结构,已成为电子商务建设中迫切需要解决的问题。公钥基础设施PKI(Public Key Infrastructure)与认证机构CA(Certification Authority)的数字证书解决方案已被普遍采用。CA承担着网上安全电子交易的认证服务,是一个能签发数字证书并能确认用户身份的受信任的第三方机构。简单地说,PKI就是利用公钥理论和技术建立的提供信息安全服务的基础设施,它是一种遵循标准的密钥管理平台。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、E-mail等)捆绑在一起,在烟草系统上验证用户的身份。PKI体系结构把公钥密码和对称密码结合起来,在烟草系统上实现密钥的自动管理,保证网上数字信息传输的机密性、完整性、身份的真实性和不可抵赖性。通常,一个实用的PKI体系应该是安全的、易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。完整的PKI由策略管理、认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等功能模块组成。在一个PKI系统中,策略管理是非常重要的核心部分。策略制定的好坏很大程度上影响着整个PKI系统的性能。在PKI中,为了确保用户的身份及其所持有密钥的正确匹配,公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证机构CA,来确认公钥拥有人的真实身份。认证机构通过发放数字证书来证明用户的身份。这个数字证书包含了用户身份的部分信息及用户所持有的公钥,最后认证机构利用自身的私钥为数字证书加上数字签名。任何相信该CA的人,按照第三方信任原则,也都应当相信持有由该CA签发的数字证书的用户。CA是PKI的核心,负责发放和管理数字证书。构建一个具有较强安全性的CA至关重要,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活性也是CA能否得到市场认同的一个关键,它必须支持各种通用的国际标准。
4 结论
当人们充分认识到网络安全问题的严重性,如何制定完善的网络管理机制和采用有效的安全技术来保证在享受网络所带来的高效便利的同时,来减少或避免受到网络安全问题的威胁是必须考虑和解决的问题。本文通过分析数字加密认证技术在烟草系统中的应用,可以看出网络安全管理的紧迫性和必要性。
参考文献:
[1]刘华春、蒋志平编著,计算机网络安全技术教程,中国水利水电出版社,2010.04.
关键词: 数字加密;认证;烟草系统
中图分类号:TP309.7 文献标识码:A 文章编号:1671-7597(2011)0910142-01
对于计算机系统中传送、存储的重要文件、数据、信息等,一般需要有某种方式来确认其真实性。即接受者能够确认自己得到的信息确实是由该信息所声称的发送者发出的,而不是由非法入侵者伪造、冒充发出的,并且还要能够保证信息在传送、存储的过程中没有被恶意篡改,这样这份信息才能真实地反映发送方的意图。另外,对于发送方来说,如果发出一份信息,还必须有一定的措施阻止其否认自己发出信息的行为,即不可否认性。只有做到以上几点,一个信息的传送、存储系统才能够安全、可靠,其上所传送、存储的信息才是真实、值得相信的。
1 数字加密认证的原理
所谓认证,是指一个实体通过某种方式确认参与通信的另一个实体的身份,而且该实体确实参与了通信。认证技术可分为三种主要类型,第一种是预知信息认证。例如,标准的个人密码,个人信息数字和通过盘问口令、回复协议交换的私钥信息。第二种是信息拥有认证。例如,身份证,磁带卡,IC卡和手持个人密码产生器。第三种是继承信息认证。这种认证包括对个人物理信息的认证,包括对人的指纹,声音,基因甚至笔迹的认证。数字认证可以减少金融领域中的多重现金处理和现金欺诈。随着现代网络技术和计算机技术的发展,数字欺诈的现象越来越普遍,比如说,用户名下文件和资金传输会被伪造或更改。数字认证提供了一种彩制使用户能证明其发出信息来源的正确性和发出信息的完整性。
加密技术是以数据保密为目的,对存储或者传输的信息采取特殊的变换处理以防止非法接收者窃取信息的技术。被变换的信息称为“明文”(一段有意义的文字或数据);变换后的数据称为“密文”(表明上杂乱且没有意义的数据)。从“明文”到“密文”的变换过程称为“加密”(Encryption)。加密后在网络上公开传输的内容对于非法接收者来说是无意义的文字(密文),而对于合法的接收者,因为其掌握正确的密钥,可以通过解密过程得到原始数据(明文)。
2 数字加密认证技术
为了保证基于因特网的电子商务交易具有有效性、真实性、机密性、完整性、不可抵赖性、可审查性,即实现安全电子交易,需要利用第三方CA认证系统。认证中心(CA)就是承担网上安全虫子交易认证服务、签发数字证书并确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。认证中心依据“认证操作规定(Certification Practice Statement,CPS)”来实施服务操作。
2.1 常用安全协议
目前,国际上通行的电子支付安全协议有两种:1)SSL安全协议。SSL协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于因特网和内联网的服务器产品和客户端产品中。此外,微软公司和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)。该协议对SSL进行了轻微的改进。2)SET安全协议。SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司和RSA公司等。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来说是非常重要的。由于设计合理,SET得到了许多大公司的支持,已成为事实上的工业标准。目前,它已获得IETF标准的认可。
2.2 常用数据加密技术
加密技术是计算机系统采取的主要安全措施,双方可根据需要在信息交换的阶段使用。数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。在网络应用中一般采取两种加密形式:对称密钥和公开密钥。采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都是实际环境中需要考虑的。
对称密钥加密。其常见加密标准为DES等。当使用DES时,信息发送方和接受方采用64位密鑰对报文加密和解密。当对安全性有特殊要求时,则要采取IDEA和三重DES等标准。作为传统企业网络广泛应用的加密技术,它采用KDC来集中管理和分发密钥并以此为基础验证身份,具有较高的效率,但是并不适合因特网环境。
在因特网中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法,加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,作法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方分开密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合在因特网网上使用。
3 数字加密认证在烟草系统中的应用
为了实现烟草物流和价格的实时性,就必须采用网上烟草系统。开发的烟草物流和价格系统主要采用X.509认证系统来保证价格标书的保密性和不可抵赖性。在烟草物流和价格系统认证中心的实际应用中,公开密钥加密系统并没有完全取代对称密钥加密系统,这是因为公开密钥加密系统是基于尖端的数学难题,计算非常复杂,它的安全性更高,但它实现速度却远赶不上对称密钥加密系统。在实际应用中可利用二者的各自优点,采用对称加密系统加密文件,采用公开密钥加密系统加密“加密文件”的密钥(会话密钥),这就是混合加密系统,它较好地解决了运算速度问题和密钥分配管理问题。因此,公钥密码体制通常被用来加密关键性的、核心的机密数据,而对称密码体制通常被用来加密大量的数据。
随着烟草系统的不断发展,防范烟草系统中的欺诈行为,已成为不可回避的一个问题。因此采用最有效的安全技术在互联网中建立并维持一种令人信任的环境和机制和系统安全体系结构,已成为电子商务建设中迫切需要解决的问题。公钥基础设施PKI(Public Key Infrastructure)与认证机构CA(Certification Authority)的数字证书解决方案已被普遍采用。CA承担着网上安全电子交易的认证服务,是一个能签发数字证书并能确认用户身份的受信任的第三方机构。简单地说,PKI就是利用公钥理论和技术建立的提供信息安全服务的基础设施,它是一种遵循标准的密钥管理平台。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、E-mail等)捆绑在一起,在烟草系统上验证用户的身份。PKI体系结构把公钥密码和对称密码结合起来,在烟草系统上实现密钥的自动管理,保证网上数字信息传输的机密性、完整性、身份的真实性和不可抵赖性。通常,一个实用的PKI体系应该是安全的、易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。完整的PKI由策略管理、认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等功能模块组成。在一个PKI系统中,策略管理是非常重要的核心部分。策略制定的好坏很大程度上影响着整个PKI系统的性能。在PKI中,为了确保用户的身份及其所持有密钥的正确匹配,公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证机构CA,来确认公钥拥有人的真实身份。认证机构通过发放数字证书来证明用户的身份。这个数字证书包含了用户身份的部分信息及用户所持有的公钥,最后认证机构利用自身的私钥为数字证书加上数字签名。任何相信该CA的人,按照第三方信任原则,也都应当相信持有由该CA签发的数字证书的用户。CA是PKI的核心,负责发放和管理数字证书。构建一个具有较强安全性的CA至关重要,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活性也是CA能否得到市场认同的一个关键,它必须支持各种通用的国际标准。
4 结论
当人们充分认识到网络安全问题的严重性,如何制定完善的网络管理机制和采用有效的安全技术来保证在享受网络所带来的高效便利的同时,来减少或避免受到网络安全问题的威胁是必须考虑和解决的问题。本文通过分析数字加密认证技术在烟草系统中的应用,可以看出网络安全管理的紧迫性和必要性。
参考文献:
[1]刘华春、蒋志平编著,计算机网络安全技术教程,中国水利水电出版社,2010.04.