身份验证出现问题

龙源期刊网

PKICA身份认证技术研究

作者：朱泉

来源：《网络空间安全》2016年第09期

【摘要】随着信息技术的不断发展，业务系统种类及数量的不断增加，暴露在互联网上

的信息系统面临着越来越多的挑战。尤其是在网络空间中的通信双方信息交互前的身份认证问

题，已经成信息安全方面重要问题之一。论文首先针对网络空间中因为身份认证环节出现问题

带来的损失，然后针对CA身份认证技术的定义进行阐述，后续对CA身份认证技术架构、功

能、作用进行简单阐述，最后对其推广技术应用进行期望。

【关键词】PKI；数字证书；信息安全；身份鉴别

【中图分类号】TP39

【文献标识码】A【DOI】10.3969/.1000-386x.2013.01.001

【Abstract】Abstractwiththedevelopmentofinformationtechnology，thevarietyand

quantityofthebusinesssystemareincreasing，theinformationsystemontheInternetisfacingmore

allyinthecommunicationnetworkinthespaceinformationinteractionof

bothpartiesbeforetheidentityauthentication，informationcurityhasbecomeoneoftheimportant

issues，thispaperfirstincyberspacebecauauthenticationlinkproblemsbroughtaboutbythe

loss，thenaccordingtothedefinitionofCAauthenticationtechnologyixpounded，thefollow-up

ofthetechnicalarchitecture，theCAidentityauthenticationfunctionandhascarriedonthesimple

elaboration，finallyexpectationsforitspromotionandapplication...

【Keywords】pkidigitalcertificate；informationcurity；identityauthentication

1引言

在目前建设的众多信息系统中，大多采用传统的用户名/密码方式来实现身份鉴别，但这

种方式早已被证明是不安全的。基于口令的认证方式是最常用的一种技术，是攻击者最容易攻

击的攻击目标，它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒

充。

2身份认证面临的威胁

2.1认证方式

在目前建设的众多信息系统中，大多采用传统的用户名/密码方式来实现，是一种单因素

的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒，充存在严重的系统安全隐患。

龙源期刊网

2.2口令管理

各个系统技术上缺少强制口令检查措施，造成口令泄漏，无法检测到弱口令，对用户的口

令没有强制定期修改策略，这些问题将导致系统安全受到威胁。

2.3完整性保护

目前用户在业务系统中进行的关键数据交换和关键操作，非常可能被恶意用户进行窃听或

非法篡改，无法保证数据的安全性、完整性和不可否认性，存在安全隐患。

3CAPKI技术

PKICA身份认证技术是一套目前比较成熟和完善的互联网安全解决方案，公钥基础设施

（PublicKeyInfrastructure，PKI）PKI技术采用证书管理公钥，通过第三方可信任机构——证

书机构（CertifcateAuthority，CA），把用户的公钥和用户的其他标识信息捆绑在一起，从而

在网络空间中验证用户的身份。

PKI公钥基础设施体系主要由密钥管理中心、CA认证机构、RA注册审核机构、证书/证

书撤销列表发布系统和PKI应用系统五部分组成。

CA是证书的签发机构，它是PKI的核心。要制定政策和具体步骤来验证、识别用户身

份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。

CA认证中心由根CA认证中心系统、管理CA中心系统、密钥管理中心系统、证书注册

审核中心系统、证书发布服务系统（目录服务）、安全认证网关系统、统一用户系统、终端安

全登录服务器系统组成。

4CAPKI安全框架设计

为企业提供信息化安全保障，必须建立企业统一的身份认证、授权管理平台，形成布局合

理、安全可供、责任界定、运行有序的网络信任体系。

4.1构建身份认证体系基础设施平台（CA认证中心）

以密码技术为核心，以法律法规、技术标准和基础设施为主要内容，以数字认证中心和密

钥管理中心为基础，利用公开密钥基础设施构建一套双中心（证书管理中心、密钥管理中

心），双证书（签名证书、加密证书）多级架构PKICA体系。通过PKICA系统为信息系统

内人员、设备、应用进行可信身份统一签发（实现网络实名制），统一身份认定、统一密钥分

配，从而构建安全可靠、责任可查、运行有序的身份认证体系。

4.2构建身份认证体系应用安全支撑平台

龙源期刊网

建立基于公钥基础设施的应用安全支撑体系，实现对于各类信息化应用提供统一的、标准

的安全保障服务，建立基于公钥基础设施的应用安全支撑体系是当前信息系统安全建设的重

点。

以PKICA技术为核心，结合国内外先进的产品架构设计，提供集中证书管理、集中账户

管理、集中授权管理、集中认证管理、单点登录等应用模块/服务。平台与应用系统、网络设

备、主机系统实现整合，确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用

户的权益，又能有效地保障信息系统安全可靠地运行。

4.3规范身份认证体系

具有用户群大、系统分布广、应用广泛并且复杂度高等特性，和安全基础平台只有遵循共

同的技术要求和相同的标准、规范。

5技术应用

身份认证系统最为核心的价值就是将其与业务系统进行“松耦合”结合。通过对基础设施进

行整合，将专业技术转换为标准接口，应用安全服务平台通过提供标准的API接口来与应用系

统进行整合，实现强身份认证、数据加密、完整性校验和防抵赖的功能。

本平台是综合性的信息安全服务平台，解决身份真实性、数据保密性、交易不可抵赖性问

题。为应用软件使用PKI技术提供支持，使应用软件的不必负责复杂的PKI技术和相关处理，

包括密钥管理和协商、加密解密、签名验证、证书编码解码、证书验证、算法调用等。只需要

确定使用的安全策略和简单的API调用，就可以在应用系统中使用PKI技术，从而实现应用系

统的机密性、完整性、身份认证和防抵赖。平台可以为应用系统提供多种安全应用模式和不同

封装层次的安全开发接口，向下提供统一的密码算法接口以及各种加密机、加密卡、智能卡等

硬件密码设备的调用接口。

6结束语

在传统的信息系统中，将传统密码学与信息技术结合，为应用提供安全、高效、稳定、易

适配的支撑平台，为信息系统中各个环节提供基于密码学为基础，以数字证书为媒介的高强度

身份鉴别、链路加密、信息完整性保护及抗抵赖服务。

参考文献

[1]苏星晔，徐方南.统一身份认证技术研究[J].中国新通信，2015（2）：58-58.

[2]崔久强，徐祺.移动互联网身份认证技术研究[J].信息安全与技术，2015，6（7）.

[3]李黎.浅谈网络安全中的身份认证技术[J].计算机与网络，2015（7）：55-55.

龙源期刊网

[4]吴燕，杨冬武.统一身份认证系统的技术研究[A].数字技术与应用，2015（5）：79-80.

[5]刘海龙.利用桥CA实现PKI域间互操作[J].信息网络安全，2005（1）：48-50.

[6]江为强，陈波.PKI/CA技术综述[J].兵工自动化，2003，22（6）：37-39.

[7]尹传勇，刘寿强，陈娇春.基于PKI/CA身份认证体系的应用研究[J].计算机安全，2003

（8）：9-11.

作者简介：

朱泉（1977-），男，汉族，湖北人，毕业于东华理工大学，硕士，核工业计算机应用研

究所战略与安全中心主任，高级工程师；主要研究方向和关注领域：网络及应用安全技术。