構(gòu)造實(shí)體身份與公鑰的有效綁定的研究

摘 要：在通常意義的公鑰密碼學(xué)中，公鑰被認(rèn)定為是借助于某個(gè)有效單向函數(shù)作用于私鑰上而產(chǎn)生的。這種公鑰具有一定的偶然性和隨機(jī)性，在公鑰使用申請(qǐng)時(shí)，用戶要想信用中心申請(qǐng)實(shí)體身份認(rèn)證，然后將身份與公鑰有效綁定，才能順利的運(yùn)用公鑰進(jìn)行信息傳輸，由于公鑰的隨機(jī)性，所以在表面層面上，無法知曉公鑰與終端用戶和發(fā)信端用戶的關(guān)聯(lián)關(guān)系，不通過信用中心也無法獲取公鑰與用戶身份之間的關(guān)聯(lián)關(guān)系，這樣就大大的保證了信息傳輸?shù)陌踩５绾螌?shí)現(xiàn)實(shí)體身份與公鑰的有效綁定是我們亟待解決的問題。

關(guān)鍵詞：公鑰；實(shí)體身份；綁定；安全

中圖分類號(hào)：TN918.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 （2013） 14-0000-01

在信息技術(shù)大爆炸的當(dāng)今時(shí)代，信息技術(shù)已經(jīng)廣泛應(yīng)用在了我們?nèi)粘Ｉ畹母鱾€(gè)方面，信息技術(shù)在給我們的生活帶來便利的同時(shí)，其信息安全保障問題也隨之凸顯了出來，密鑰技術(shù)就是在這一大背景下，為了保證信息安全被廣泛應(yīng)用的措施之一。密鑰是一種參數(shù)，它是從明文轉(zhuǎn)化為密文或從密文轉(zhuǎn)換成明文的算法中所使用的數(shù)據(jù)。密鑰可分為兩種：對(duì)稱密鑰和非對(duì)稱密鑰。隨著互聯(lián)網(wǎng)的普及，特別是電子商務(wù)的迅猛發(fā)展，越來越多的人開始利用互聯(lián)網(wǎng)進(jìn)行信息的傳輸和商務(wù)的往來，但是人們?cè)诶没ヂ?lián)網(wǎng)進(jìn)行信息流通和商務(wù)活動(dòng)時(shí)，其私密安全也理應(yīng)得到保護(hù)，眾所周知，互聯(lián)網(wǎng)是一個(gè)開放的網(wǎng)絡(luò)世界，無法對(duì)于這種隱私安全是提供保護(hù)，這樣就衍生出了一些信息安全中心機(jī)構(gòu)利用身份轉(zhuǎn)換的形式，為申請(qǐng)服務(wù)的用戶提供隱私保護(hù)。實(shí)體身份申請(qǐng)即證書驗(yàn)證申請(qǐng)就是在這一大背景下產(chǎn)生的。

一、實(shí)體身份認(rèn)證申請(qǐng)

在互聯(lián)網(wǎng)中，實(shí)體身份認(rèn)證申請(qǐng)實(shí)際上就是基于身份的證書認(rèn)證申請(qǐng)。所謂證書指的就是組成Web服務(wù)器的ssl安全功能的唯一數(shù)字標(biāo)識(shí)。這種數(shù)字標(biāo)識(shí)一般可通過彼此信任的第三方組織獲取，并為申請(qǐng)用戶提供驗(yàn)證身份服務(wù)，一般服務(wù)器證書包含詳細(xì)的身份驗(yàn)證信息，例如服務(wù)器內(nèi)容的詳細(xì)組織、頒發(fā)證書的相關(guān)組織、申請(qǐng)公用密鑰的唯一身份驗(yàn)證文件等。這也就意味著服務(wù)器證書能夠充分證明用戶與申請(qǐng)機(jī)構(gòu)關(guān)聯(lián)的安全性和可靠性。

（一）證書類別

大家通常將證書分為公鑰證書和數(shù)字證書兩種。

1.公鑰證書

公鑰證書普遍是指用戶的公鑰連同用戶身份的信息，由發(fā)布公鑰證書的證書認(rèn)證機(jī)構(gòu)的私鑰進(jìn)行加密使其不可偽造。公鑰證書最主要的功能就是實(shí)現(xiàn)了公鑰用戶的身份與公鑰建立了安全有效的綁定，通過第三方驗(yàn)明正身，CA簽名的應(yīng)用保證了信息的真實(shí)性和可靠性。

2.數(shù)字證書

數(shù)字證書實(shí)際上是人們對(duì)公鑰證書的一種通用的稱呼，所以在標(biāo)準(zhǔn)中并沒有使用這個(gè)稱為，但在實(shí)際互聯(lián)網(wǎng)環(huán)境中，人們會(huì)習(xí)慣性的將各種形式的公鑰證書統(tǒng)一稱為“數(shù)字證書”，故此如果沒有特殊的聲明，數(shù)字證書就是指符合x.509標(biāo)準(zhǔn)的公鑰證書。

（二）證書的作用

證書的實(shí)際用途是實(shí)現(xiàn)用戶與公鑰之間的安全有效的綁定與連接，也就是通過證書認(rèn)證，建立一個(gè)安全的HTTP連接。如果客戶端沒有相應(yīng)的證書認(rèn)證或者沒有申請(qǐng)相關(guān)的公鑰證書，則無法連接信息傳輸界面，也就無法實(shí)現(xiàn)登錄。

（三）證書的標(biāo)準(zhǔn)

證書標(biāo)準(zhǔn)分為x.500和x.509兩種。x.500標(biāo)準(zhǔn)是利用命名樹定義了一個(gè)命名標(biāo)準(zhǔn)，實(shí)現(xiàn)證書用戶名稱的唯一性。x.509標(biāo)準(zhǔn)則是在x.500標(biāo)準(zhǔn)的基礎(chǔ)之上，提供了信息的實(shí)體鑒別認(rèn)證系統(tǒng)，并制定了在實(shí)體鑒別認(rèn)證的過程中所使用的統(tǒng)一的證書語法和數(shù)據(jù)端口，真正實(shí)現(xiàn)了證書功能[2]。

（四）證書加密

在互聯(lián)網(wǎng)中較為常用的證書加密方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密兩種。

1.對(duì)稱密鑰加密

對(duì)稱密鑰是指信息的加密方和接收方使用同意密鑰去加密和解密數(shù)據(jù)，又被稱為私鑰加密或會(huì)話密鑰加密算法。由于對(duì)稱密鑰加密證書時(shí)所使用的是同一個(gè)密鑰，所以對(duì)稱密鑰在信息加密應(yīng)用中有著明顯的優(yōu)勢(shì)，它的加密或解密速度非常快，常用于大數(shù)據(jù)量加密中，但是對(duì)稱密鑰也有較為突出的缺陷，它的密鑰管理比較困難。

2.非對(duì)稱密鑰加密

非對(duì)稱密鑰是指在加密和解密操作中，需要使用不同的密鑰才能完成，一個(gè)密鑰公開發(fā)布，即公開密鑰，而另一個(gè)由用戶自己秘密保存，即私用密鑰。非對(duì)稱密鑰又被稱為公鑰密鑰加密。一般情況下，信息的發(fā)布者用公開密鑰加密傳輸?shù)男畔ⅲ畔⒔邮苷邉t用私用密鑰去進(jìn)行解密操作[1]。由于非對(duì)稱密鑰所使用的是兩個(gè)密鑰，所以在應(yīng)用中相對(duì)比較靈活，但是其加密和解密的操作速度要比對(duì)稱密鑰慢得多[3]。

二、實(shí)體身份與密鑰的綁定

在互聯(lián)網(wǎng)環(huán)境并不提供個(gè)人隱私的保護(hù)，網(wǎng)絡(luò)竊取者利用一定的手段，非常容易的截取通信數(shù)據(jù)，并獲知通信雙方的個(gè)人信息。因此，基于通信安全的需求，更多的人開始關(guān)注實(shí)體身份認(rèn)證和密鑰綁定的研究。首先，最先提出的一種方案是用戶申請(qǐng)臨時(shí)身份、虛擬身份或加密永久身份，來實(shí)現(xiàn)信息傳輸安全，但是如果長(zhǎng)期使用同一臨時(shí)身份、虛擬身份和加密永久身份，會(huì)暴露用戶信息活動(dòng)的軌跡，進(jìn)而暴露用戶不同活動(dòng)之間的聯(lián)系，信息安全受到威脅。其次，在此基礎(chǔ)上提出的另一種方案是利用基于證書認(rèn)證的公鑰系統(tǒng)，用戶可以通過第三方申請(qǐng)證書認(rèn)證，獲得使用公鑰傳輸信息的許可，但是這種方法也同樣存在通過獲取用戶的信息往來活動(dòng)軌跡，破譯證書和公鑰之間的聯(lián)系，進(jìn)而使得用戶的身份與信息安全受到威脅。最后，在互聯(lián)網(wǎng)電子商務(wù)活動(dòng)發(fā)展的大前提下，衍生出了另一種綁定方案，就是利用盲簽名技術(shù)，實(shí)現(xiàn)用戶的匿名申請(qǐng)綁定，但是盲簽名技術(shù)在實(shí)現(xiàn)保護(hù)用戶個(gè)人隱私的同時(shí)，也為犯罪行為的逃脫提供了便利。

因此，為了既保護(hù)用戶的個(gè)人隱私，又防止犯罪行為的無法追責(zé)，近期提出了基于實(shí)體身份的公鑰綁定系統(tǒng)。這種技術(shù)是建立在盲簽名的基礎(chǔ)之上的，利用基于身份的密碼系統(tǒng)，構(gòu)造一個(gè)基于身份的一次性公鑰體系，來解決互聯(lián)網(wǎng)上通信的匿名信息傳遞問題。在該系統(tǒng)中，用戶只需向可信中心提交一次性密鑰申請(qǐng)，并通過真實(shí)身份認(rèn)證，可信中心就可向用戶頒發(fā)一個(gè)一次性私鑰，而在用戶使用此私鑰進(jìn)行通信傳輸時(shí)，會(huì)隨機(jī)產(chǎn)生不同的公鑰，公鑰與私鑰之間可以采用對(duì)應(yīng)的簽名方案對(duì)信息進(jìn)行加密簽名，從而既保證了用戶通信的匿名性，又保證了用戶多次活動(dòng)的無聯(lián)系性。同時(shí)，如果有必要時(shí)，還可以通過第三方可信中心，調(diào)取用戶的真實(shí)身份，防止了犯罪活動(dòng)的可追責(zé)性[4]。

三、結(jié)語

為了保證用戶的信息傳輸安全可靠運(yùn)行，實(shí)體身份與公鑰有效綁定技術(shù)的應(yīng)用是我們目前最為有效的信息加密措施之一，然而在綁定技術(shù)應(yīng)用和管理的過程中，用戶身份信息的隱私安全問題也是不容忽視的方面，如果一旦管理不當(dāng)，就會(huì)造成用戶真實(shí)身份的暴露，進(jìn)而造成無法估計(jì)的損失。因此，在公鑰與實(shí)體身份綁定管理的過程中要嚴(yán)格按照操作的規(guī)程進(jìn)行加密保護(hù)，這是我們保護(hù)信息安全的有效保障。

參考文獻(xiàn)：

[1]宋育芳.Internet密鑰交換協(xié)議的安全性分析[J].計(jì)算機(jī)工程與應(yīng)用，2004，8：136-139.

[2]鄭曉林.基于身份加密的密鑰管理方案研究[J].計(jì)算機(jī)工程，2006，21：145-151.

[3]魯力.改進(jìn)的基于身份的公鑰加密[J].中國(guó)科學(xué)院研究生院學(xué)報(bào)，2005，11：751-760.

[4]張勝.一種基于身份一次性公鑰的構(gòu)造[J].電子與信息學(xué)報(bào)，2006（08）：1412-1414.