《PKICA在水利电子政务中的应用前景展望.doc》由会员分享,可在线阅读,更多相关《PKICA在水利电子政务中的应用前景展望.doc(6页珍藏版)》请在三一办公上搜索。
1、pkica在水利电子政务中的应用前景展望文章来源 毕业论文网 Normal07.8 磅02falsefalsefalseMicrosoftInternetExplorer4yjbys小编为您提供一篇行政管理毕业论文,是关于pkica在水利电子政务中的应用前景展望 的毕业论文,欢迎参考!/* Style Definitions */table.MsoNormalTablemso-style-name:普通表格;mso-tstyle-rowband-size:0;mso-tstyle-colband-size:0;mso-style-noshow:yes;mso-style-parent:”“;m
2、so-padding-alt:0cm 5.4pt 0cm 5.4pt;mso-para-margin:0cm;mso-para-margin-bottom:.0001pt;mso-pagination:widow-orphan;font-size:10.0pt;font-family:”Times New Roman”;mso-fareast-font-family:”Times New Roman”;mso-ansi-language:#0400;mso-fareast-language:#0400;mso-bidi-language:#0400; 一、PKI 相关技术介绍(一)公
3、钥加密理论PKI的基础是公钥加密理论和技术,与公钥加密技术对应的是对称密钥加密技术。加密就是对消息明文进行处理,使其不可读,通过对消息明文的隐藏,达到安全性的目的。密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数数据。 在公钥加密中,每个用户有两个密钥:公钥和私钥,这两个密钥之间存在着相互依存关系,即用其中任一个密钥加密的信息只能用另一个密钥进行解密。 虽然公钥与私钥是成对出现的,但却不能根据公钥计算出私钥。 在进行加密通信前,公钥必须先公开,信息的发送方用接收方的公钥完成对数据的加密,形成密文,接收方用自己的私钥完成对密文的解密,最终形成
4、明文。在传输过程中,即使密文被别人截获,也无法破解,因为该密文只有使用接收者的私钥才能完成解密,而私钥只有接收方一个人秘密掌握。非对称密钥加密技术有加密和认证两种模型。目前,国际上流行的公钥加密算法有 RSA、ElGam al等。 (二)散列函数散列函数也称为消息摘要(M essage Digest)、哈希(hash)函数或杂凑函数,它能将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值称为散列值或消息摘要。散列值是一段数据唯一且极其紧凑的数值表示形式。任意两个消息具有完全相同消息摘要的概率近于零,并且消息数据的任何一个微小的变化,都将导致散列值的显著变化。
5、;散列函数不是一种加密机制,它对要传输的数据进行运算生成消息摘要,确保数据在传输过程中没有被修改而变化,保证信息的完整性和不可抵赖性。常见的散列函数算法有 M D5、SH A-1 等。 (三)数字签名数字签名是公钥密码技术的一个重要应用,通过数字签名,可以保证在通信过程中数据信息的完整性和不可否认性。 数字签名包括对数据的签名和对签名的验证两个部分,其过程如图 1 所示。 数字签名和验证签名过程图作者简介:常俊超,男,36岁,河南省水利信息中心工程师,主要从事软件开发。河南水利与南水北调信息化HENAN47第一步,发送方 A 对待签名的文件做哈希运算,得到文件的哈
6、希值。 第二步,A 用他的私人密钥对文件的哈希值进行加密,得到文件的数字签名。 第三步,A 将文件和文件的数字签名一起发送给接收方 B。 第四步,B 用 A 发送的文件产生该文件的哈希值,同时用 A的公开密钥对该文件的数字签名做解密运算。若解密得到的哈希值与自己产生的哈希值匹配,就能确认该数字签名是发送方A 的,所传输的信息没有被篡改,确保了信息的完整性。 其中需要说明的是私钥只有发送方 A 拥有,因此其他人无法代替发送方 A 签名,这样发送方 A 就无法否认签名。而发送方 A 的公钥是公开的,签名算法无法对所签的文件进行保密,如果需要保密,可以先用发送
7、方 A 的私钥对文件进行签名,再用接收方 B 的公钥对文件进行加密,这也被称为二级加密。 由上述过程可以看出,数字签名可以对发送的文件信息进行鉴别和验证,防止文件信息在传输过程中被恶意篡改,保证文件信息在通信过程中的完整性和不可否认性。 (四)数字证书数字证书是一种权威性的电子文件,它就像网络计算环境中的一种身份证,证明某一主体(如人、服务器等)的身份及其公开密钥的合法性,又称为数字 ID,数字证书通过第三方权威认证,帮助各个实体识别对方身份并证明自己的身份,具有真实性和防抵赖功能。 数字证书包含用户身份信息、用户公钥信息以及第三方权威认证机构数字签名的数据,数字
8、证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。 数字证书的产生过程如下:申请者首先利用非对称密钥算法产生一对公钥和私钥;然后用证书申请算法把自己的标识和公钥变成数字证书申请文件,把数字申请文件传递给认证中心申请数字证书。认证中心首先核实申请者身份,以确信请求确实由用户发送而来,然后利用自己的私钥对证书申请文件、证书信息进行数字签名,形成申请者的数字证书,用户使用自己的数字证书进行各种相关网络活动。 二、P
9、KI 的体系结构PKI是由 PKI策略、软硬件系统、认证中心(CA)、注册机构(RA)、证书签发系统和 PKI应用等构成的安全体系,组成如图 2所示: 图2 PKI组成图认证机构 CA:CA(Certificate Authority)是 PKI的核心组成部分,是 PKI应用中权威的、可信任的、公正的第三方机构,它负责数字证书的签发、验证、更新、备份、吊销和密钥管理。 注册机构 RA:RA 是用户和 CA 的接口,它所获得的用户标识的正确性是 CA 颁发证书的关键。 RA 不仅支持面对面的登记,也可以支持远程登记,如通过电子邮件、浏览器等方式登记。 PK
10、I系统中可以没有 RA,此时 RA 的功能由 CA 来承担,最终用户直接和 CA 进行交互。 证书库:证书库是 CA 颁发证书和撤消证书的集中存放地,可供公众进行开放式的查询,用户可以从此处获得其他用户的证书和公钥。 三、当前应用系统的安全隐患河南省水利信息化经过多年建设,取得了一定的成果:建设了覆盖河南省水利系统各单位的计算机网络系统,实现了数据、语音和视频信息的互连互通,建设了公众服务系统、电子邮件系统、视频监控系统、综合办公等应用系统,由于没有采用 PKI相关技术,目前大部分应用系统存在如下安全隐患: 一是用户身份无法确认:由于各应用系统大多采用“用户名+ 口令”的方式进行用户身份认证,这种认证方式的口令容易被破解,通过登录的用户名无法有效判断系统用户的真实身份,导致非法用户可以伪造、假冒身份。 二是缺乏机密性保护:由于大多数应用系统通过 H TTP 协议进行信息传输,而 H TTP 协议是明文传输,敏感信息有可能在传输过程中被非法用户截取,从而导致数据失密。 三是缺乏完整性保护:信息在传输过程中有可能被恶意篡改或部分信息丢失。 四是缺乏抗抵赖性:信息收发双方如果对信息产生分歧,双方都无法出具对另一方相关行为进行仲裁的依据。
