构造实体身份与公钥的有效绑定的研究

摘 要：在通常意义的公钥密码学中，公钥被认定为是借助于某个有效单向函数作用于私钥上而产生的。这种公钥具有一定的偶然性和随机性，在公钥使用申请时，用户要想信用中心申请实体身份认证，然后将身份与公钥有效绑定，才能顺利的运用公钥进行信息传输，由于公钥的随机性，所以在表面层面上，无法知晓公钥与终端用户和发信端用户的关联关系，不通过信用中心也无法获取公钥与用户身份之间的关联关系，这样就大大的保证了信息传输的安全。但如何实现实体身份与公钥的有效绑定是我们亟待解决的问题。

关键词：公钥；实体身份；绑定；安全

中图分类号：TN918.1 文献标识码：A 文章编号：1674-7712 （2013） 14-0000-01

在信息技术大爆炸的当今时代，信息技术已经广泛应用在了我们日常生活的各个方面，信息技术在给我们的生活带来便利的同时，其信息安全保障问题也随之凸显了出来，密钥技术就是在这一大背景下，为了保证信息安全被广泛应用的措施之一。密钥是一种参数，它是从明文转化为密文或从密文转换成明文的算法中所使用的数据。密钥可分为两种：对称密钥和非对称密钥。随着互联网的普及，特别是电子商务的迅猛发展，越来越多的人开始利用互联网进行信息的传输和商务的往来，但是人们在利用互联网进行信息流通和商务活动时，其私密安全也理应得到保护，众所周知，互联网是一个开放的网络世界，无法对于这种隐私安全是提供保护，这样就衍生出了一些信息安全中心机构利用身份转换的形式，为申请服务的用户提供隐私保护。实体身份申请即证书验证申请就是在这一大背景下产生的。

一、实体身份认证申请

在互联网中，实体身份认证申请实际上就是基于身份的证书认证申请。所谓证书指的就是组成Web服务器的ssl安全功能的唯一数字标识。这种数字标识一般可通过彼此信任的第三方组织获取，并为申请用户提供验证身份服务，一般服务器证书包含详细的身份验证信息，例如服务器内容的详细组织、颁发证书的相关组织、申请公用密钥的唯一身份验证文件等。这也就意味着服务器证书能够充分证明用户与申请机构关联的安全性和可靠性。

（一）证书类别

大家通常将证书分为公钥证书和数字证书两种。

1.公钥证书

公钥证书普遍是指用户的公钥连同用户身份的信息，由公钥证书的证书认证机构的私钥进行加密使其不可伪造。公钥证书最主要的功能就是实现了公钥用户的身份与公钥建立了安全有效的绑定，通过第三方验明正身，CA签名的应用保证了信息的真实性和可靠性。

2.数字证书

数字证书实际上是人们对公钥证书的一种通用的称呼，所以在标准中并没有使用这个称为，但在实际互联网环境中，人们会习惯性的将各种形式的公钥证书统一称为“数字证书”，故此如果没有特殊的声明，数字证书就是指符合x.509标准的公钥证书。

（二）证书的作用

证书的实际用途是实现用户与公钥之间的安全有效的绑定与连接，也就是通过证书认证，建立一个安全的HTTP连接。如果客户端没有相应的证书认证或者没有申请相关的公钥证书，则无法连接信息传输界面，也就无法实现登录。

（三）证书的标准

证书标准分为x.500和x.509两种。x.500标准是利用命名树定义了一个命名标准，实现证书用户名称的唯一性。x.509标准则是在x.500标准的基础之上，提供了信息的实体鉴别认证系统，并制定了在实体鉴别认证的过程中所使用的统一的证书语法和数据端口，真正实现了证书功能[2]。

（四）证书加密

在互联网中较为常用的证书加密方法有对称密钥加密和非对称密钥加密两种。

1.对称密钥加密

对称密钥是指信息的加密方和接收方使用同意密钥去加密和解密数据，又被称为私钥加密或会话密钥加密算法。由于对称密钥加密证书时所使用的是同一个密钥，所以对称密钥在信息加密应用中有着明显的优势，它的加密或解密速度非常快，常用于大数据量加密中，但是对称密钥也有较为突出的缺陷，它的密钥管理比较困难。

2.非对称密钥加密

非对称密钥是指在加密和解密操作中，需要使用不同的密钥才能完成，一个密钥公开，即公开密钥，而另一个由用户自己秘密保存，即私用密钥。非对称密钥又被称为公钥密钥加密。一般情况下，信息的者用公开密钥加密传输的信息，而信息接受者则用私用密钥去进行解密操作[1]。由于非对称密钥所使用的是两个密钥，所以在应用中相对比较灵活，但是其加密和解密的操作速度要比对称密钥慢得多[3]。

二、实体身份与密钥的绑定

在互联网环境并不提供个人隐私的保护，网络窃取者利用一定的手段，非常容易的截取通信数据，并获知通信双方的个人信息。因此，基于通信安全的需求，更多的人开始关注实体身份认证和密钥绑定的研究。首先，最先提出的一种方案是用户申请临时身份、虚拟身份或加密永久身份，来实现信息传输安全，但是如果长期使用同一临时身份、虚拟身份和加密永久身份，会暴露用户信息活动的轨迹，进而暴露用户不同活动之间的联系，信息安全受到威胁。其次，在此基础上提出的另一种方案是利用基于证书认证的公钥系统，用户可以通过第三方申请证书认证，获得使用公钥传输信息的许可，但是这种方法也同样存在通过获取用户的信息往来活动轨迹，破译证书和公钥之间的联系，进而使得用户的身份与信息安全受到威胁。最后，在互联网电子商务活动发展的大前提下，衍生出了另一种绑定方案，就是利用盲签名技术，实现用户的匿名申请绑定，但是盲签名技术在实现保护用户个人隐私的同时，也为犯罪行为的逃脱提供了便利。

因此，为了既保护用户的个人隐私，又防止犯罪行为的无法追责，近期提出了基于实体身份的公钥绑定系统。这种技术是建立在盲签名的基础之上的，利用基于身份的密码系统，构造一个基于身份的一次性公钥体系，来解决互联网上通信的匿名信息传递问题。在该系统中，用户只需向可信中心提交一次性密钥申请，并通过真实身份认证，可信中心就可向用户颁发一个一次性私钥，而在用户使用此私钥进行通信传输时，会随机产生不同的公钥，公钥与私钥之间可以采用对应的签名方案对信息进行加密签名，从而既保证了用户通信的匿名性，又保证了用户多次活动的无联系性。同时，如果有必要时，还可以通过第三方可信中心，调取用户的真实身份，防止了犯罪活动的可追责性[4]。

三、结语

为了保证用户的信息传输安全可靠运行，实体身份与公钥有效绑定技术的应用是我们目前最为有效的信息加密措施之一，然而在绑定技术应用和管理的过程中，用户身份信息的隐私安全问题也是不容忽视的方面，如果一旦管理不当，就会造成用户真实身份的暴露，进而造成无法估计的损失。因此，在公钥与实体身份绑定管理的过程中要严格按照操作的规程进行加密保护，这是我们保护信息安全的有效保障。

参考文献：

[1]宋育芳.Internet密钥交换协议的安全性分析[J].计算机工程与应用，2004，8：136-139.

[2]郑晓林.基于身份加密的密钥管理方案研究[J].计算机工程，2006，21：145-151.

[3]鲁力.改进的基于身份的公钥加密[J].中国科学院研究生院学报，2005，11：751-760.

[4]张胜.一种基于身份一次性公钥的构造[J].电子与信息学报，2006（08）：1412-1414.