PKI在网络办公安全中的应用

1、PKI 在网络办公安全中的应用摘要 :随着互联网的迅猛发展， 在各种上网工程的推动下，许多公司、企事业单位和政府机关纷纷筹建各自的办公网络系统。各单位通过自建的办公网络系统，利用互连网的开放性，加快了与外界的沟通、增强了内部管理，也提高了工作效率，但同时互联网上存在的各种安全隐患使的办公网络安全受到严重的威胁， 为此本文特提出基于 PKI 的网络办公系统，使得办公网络安全得以保障。关键词 :PKI ；办公系统；网络安全数据加密一、引言（一）现状分析对于办公网络的安全问题，目前很多单位的解决方式是采用防火墙等设备为网络构筑一个安全屏障，采用用户名 + 口令方式实现身份验证，通过各种设备自身的权限

2、控制功能实现权限控制，内部网络之间的信息传输都是明文。对于网上办公应用的延伸，如异地分支机构网上办公、移动办公以及客户合作伙伴的交互问题等，很多单位是采用在内部办公网上安装拨号服务器的方法来解决的。通过申请的电话线路，异地分支机构、 外出员工或合作伙伴使用计算机、Modem和拨号服务器相连接，实现对内部办公网的访问，对于身份认证和权限控制与内网方式相同，内外网间的信息通信也多是明文。上述方式虽然能在很大程度上解决异地、移动办公和交互问题及常见的安全问题，但是仍然存在很多的安全隐患：1、用户名口令的传统认证方式安全性较弱，用户口令易被窃取而导致损失用户为了便于记忆，设置的口令往往过于简单，易被猜

3、测、易泄露2、设备自身的权限控制功能不精确防火墙的权限控制无法精确到个人用户，仅仅针对机器，服务器权限控制仅仅针对自身应用系统，无法扩展。3、拨号服务器为内网增加了不安全通道和额外负担在内部网络防火墙后面架设拨号服务器相当于在防火墙上开了一条通道，而这条通道的防护很少，将成为系统安全最薄弱的环节。拨号访问的方式将增加日常办公开支，包括使用国内甚至国际长途电话的费用、电话线和中继线路的租用费用和拨号服务器的费用。可扩展性、灵活性较差，管理和使用都不方便4、各种信息在内网和外网上的明文传输使得信息很容易被窃听、篡改和伪造（二）办公网络的安全需求：网上办公系统的安全需求可以划分为以下几个方面：1、现

4、可以防假冒和抵赖的身份认证功能。2、据用户身份实现精确的用户权限控制功能。3、网络信息加密传输保证信息安全性。4、通过身份认证、权限控制和加密传输安全实现异地、移动办公以及交互问题的解决。针对办公网络系统的身份认证、权限控制、加密传输和异地办公的安全问题， 本文特提出基于 PKI 体系的解决办公网络安全问题。二、 PKI 简介所谓 PKI （ Public Key Infrastructure 的缩写）即“公开密钥体系”，是一种新的安全技术，它由公开密钥密码技术、数字证书、 证书发放机构 （ CA ）和关于公开密钥的安全策略等基本成分共同组成的。 PKI 是利用公钥技术实现电子商务、电子政务等

5、安全的一种体系，是一种基础设施，网络通讯、网上交易、网上办公是利用它来保证安全的。而PKI 最主要的安全技术包括两个方面：(一 )公钥加密技术由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术是主要的也是最常用保密安全措施。CA 的一个重要应用就是给文件加密解密，用某种算法将普通的文件和密钥相结合，生成不可理解得密文，保证数据在传输过程中的安全性，即使数据在传送过程中泄漏，得到也只是加密后无法识别的密文。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公开密钥（公钥），为一组

6、用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。如果用户需要发送加密数据，发送方需要使用接收方的数字证书（公开密钥）对数据进行加密，而接收方则使用自己的私有密钥进行解密，从而保证数据的安全保密性。当一位员工 A 想与另一位员工 B 进行通信时， 他的第一步就是获得它需要与之通信人的电子证书， 然后要检查 CRL 列表，确实该证书是否有效，如果证书仍然有效，在检查颁发证书的签名，确认证书。如图 1 所示：（二）数字签名技

7、术数字签名技术则提供了在网络通信之前相互认证的有效方法、在通信过程中保证信息完整性的可靠手段、以及在通信结束之后防止双方相互抵赖的有效机制。数字签名用于网络办公系统中，可以用来签发文件。当文件需要签名时，可以直接在计算机上用签名人的私钥签名。数字签名与书面文件签名有相同之处，采用数字签名，能确认以下两点：第一，信息是由签名者发送的；第二，信息自签发后到收到为止未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪，或冒用别人名义发送信息。或发出（收到）信件后又加以否认等情况发生。完整的PKI 办公网络系统如下图2 示如上图示 CA 服务器作为办公网络自己建立的 CA 中心，安放

8、在 DMZ 区，用户可以通过 443 端口以 HTTPS 方式访问服务器。它完成的功能是根据办公人员提交的个人信息，经过审核以后在线为用户签发数字证书。办公人员访问服务器以及获得证书的整个过程中的信息传输都是经过SSL 加密的安全通道完成的，保证安全性。办公人员需要将获得的用户证书存放到电子钥匙中，随身携带，以保证证书和私钥的安全性，作为办公人员不用记得和证书有关的任何信息，在使用方便的同时保证了安全性。SRAC 服务器作为直接连接办公应用服务器的机器，安放在内部网络的DMZ 区，配置两个IP 地址，一个为内部地址，一个为外部地址。它完成的功能是根据SRAC 服务器作为直接连接办公应用服务器的

9、机器， 安放在内部网络的DMZ区，配置两个 IP 地址，一个为内部地址，一个为外部地址。它完成的功能是根据 SRAC 服务器作为直接连接办公应用服务器的机器， 安放在内部网络的 DMZ 区，配置两个 IP 地址，一个为内部地址，一个为外部地址。它完成的功能是根据办公人员提交的用户证书确定办公人员的身份和使用权限，然后为办公人员建立符合用户身份可以访问的服务器之间的安全通道。在 SRAC 服务器和用户之间的通信都是经过SSL加密的安全通道进行传输的，保证信息传输的安全性。 同时，所有对服务器的访问必须通过SRAC 服务器， 这样即使系统受到攻击也是对 SRAC 服务器的攻击， 从而增强了对各应用

10、服务器的保护。提交的用户证书确定用户的身份和使用权限，然后为用户建立符合用户身份可以访问的服务器之间的安全通道。在 SRAC 服务器和用户之间的通信都是经过SSL加密的安全通道进行传输的，保证信息传输的安全性。 同时，所有对服务器的访问必须通过SRAC 服务器， 这样即使系统受到攻击也是对 SRAC 服务器的攻击， 从而增强了对各应用服务器的保护。提交的办公人员证书确定用户的身份和使用权限，然后为用户建立符合用户身份可以访问的服务器之间的安全通道。在 SRAC 服务器和用户之间的通信都是经过 SSL 加密的安全通道进行传输的，保证信息传输的安全性。同时，所有对服务器的访问必须通过SRAC 服务器，这样即使系统受到攻击也是对SRAC 服务器的攻击， 从而增强了对各应用服务器的保护。结束语：通过运用PKI 技术构筑的安全体系，使得网上政务办公安全得以保障。参考