观点 | 新形势下数字证书的应用
再不点蓝字关注,机会就要飞走了哦
随着网上银行、网络购物的日益普及,电子商务已融入到人民大众的日常生活中。然而,在网上交易的过程中,交易双方无法通过传统面对面的方式确认对方的合法身份;同时,交易信息要通过互联网传输,存在被非法盗取、篡改的风险;另外,由于所有交易信息都以电子方式存在,无法进行传统的盖章和签字,所以一旦发生争议或纠纷,需要保证交易信息的不可抵赖性,必要时还要作为具有法律效力的证据。
此外,随着全社会信息化水平的不断提高,政府部门在开展日常办公、社会管理、公共服务等工作中,也开始利用互联网技术优化工作程序,提高办事效率。而在各类电子政务活动中,也存在着各应用主体及其行为的身份认证、授权管理和责任认定等问题,威胁到电子政务的安全性。同样地,在卫生、教育等领域,信息化医疗系统、远程医疗、远程教育等服务中也存在着授权管理和责任认定问题。
为了确保国家关键信息基础设施的安全,必须采取有效措施,从技术上保证以上信息交换过程中的安全性。经过多年的研究,目前国际上已经探索出了一套相对成熟的解决方案,即采用以数字证书为核心的 PKI/CA(Public Key Infrastructure/ Certificate Authority) 技术,对网络上传输的信息进行加密和解密、数字签名和签名验证。PKI/CA 解决方案已经普遍应用于全球范围的电子商务应用中,为电子商务的健康开展提供了安全保障。具体来说,基于数字证书的 PKI/CA 技术主要可以实现以下几方面的功能:
一、身份认证。通过数字证书,确认实体即为自己所声明的实体,从而鉴别身份真伪。依据身份认证的对象不同,数字证书可分为个人身份证书、企业或机构身份证书、服务器证书,分别证实其在网络活动中的身份,从而为网络上各实体间信息交换的安全性提供第一道防线。比如通过向服务器发放数字证书,可使网站用户能够使用该证书对网站的真实性进行检查,以免遭假冒网站窃取用户重要信息、甚至造成重大经济损失,从而保障网站用户的切身利益。
二、保护数据的完整性。通过基于数字证书的数字签名技术,既可以提供实体认证,又可以保障被签名数据的完整性,即确认数据无论是在传输或是在存储过程中经过检查确认没有被修改。其主要应用为代码签名证书,由CA签发给软件提供者(包括组织或个人),代码签名证书包含了软件提供者的身份信息、公钥及CA 的签名。软件提供者使用代码签名证书对软件进行签名后放到网上,当用户下载该软件时,将会得到提示,从而可以确信软件的来源,以及软件自签名后到下载前没有遭到修改或破坏。
三、确保数据的保密性。在实际应用中,服务器和浏览器之间的信息通过HTTP协议在互联网上以明文方式进行传输,容易被非法第三方窃取或篡改。服务器证书通过采用“数字信封”机制,将用户浏览器和服务器之间传输的信息加密,加密后的信息除了指定的实体外,其他未经授权的人不能读出或看懂该数据,从而保证了信息传输的私密性。
四、确保行为的不可否认性。用数字签名的方法,可以从技术上保证实体对其行为的诚实性,防止其对关键行为的否认。通过附加在数据单元上的一些数据,或是对数据单元作密码变换,数字签名允许数据单元的接收者确认数据单元的来源。由于只有发送数据单元者拥有私钥,所以其无法否认发送过该数据单元,从而防止交易中的抵赖发生。
近年来,随着移动互联网的迅猛发展,以及移动终端数量的爆发式增长,一些新兴应用领域中的信息安全问题也越来越突出。比如在车联网领域,安全问题已成为制约其发展的重要瓶颈之一。在车联网的安全问题中,行车中的人身安全问题又是重中之重。由于汽车连接到外部网络,有被外部的黑客侵入而造成安全事故的可能。此外,个人的隐私问题也是车联网安全的一个重要方面,车联网后生成的大数据有泄露个人隐私的风险,也会带来人身安全的风险,因此汽车的行车信息安全、驾驶员的个人信息(常用路线、行车习惯)安全等必须得到保障。而数字证书可以作为一种强身份认证技术,为车联网安全提供安全防护屏障。
类似地,随着工业互联网和物联网的发展、智慧城市的建设,以及智能家居的普及,其安全性问题也慢慢凸显。在这些应用领域,由于大部分的通信由服务器与终端,以及终端与终端之间的信息传递来完成,因此对服务器和终端的强身份认证、所传输数据的完整性和保密性、以及通信行为的不可否认性和可追溯性都有很高的要求,而上述问题都可以通过基于数字证书的PKI/CA技术有效解决。
此外,在医疗领域,借助于安全可信赖的信息化系统,可实现医疗服务的无纸化、医疗信息的统一化管理。通过在关键业务中引入符合电子签名法要求的可信数字签名,可更好地为无线应用系统如移动查房、移动办公提供安全保障。电子认证技术在医院信息化建设中发挥着越来越重要的作用,目前已有不少成功案例。
综上,基于数字证书的安全防护体系,能从技术上解决使用各种终端设备进行业务操作时的身份认证问题、安全传输问题、以及抗抵赖问题,从而为各种互联网应用筑起一道网络安全防线,为新兴产业的健康发展保驾护航。随着网络强国战略的实施和网络应用的不断拓展与深化,基于数字证书的安全防护技术将发挥越来越重要的作用。
作者简介
武小芳,北京航空航天大学通信与信息工程专业博士,现职业于中国信息通信研究院泰尔认证研究所。联系方式:wuxiaofang@caict.ac.cn。
李杰强,北京邮电大学电子与科学技术专业硕士,现就职于中国信息通信研究院泰尔认证研究所工作。联系方式:lijieqiang@caict.ac.cn。
推荐阅读
快,点击阅读原文,一起涨姿势~