网络安全系统中认证方面的缺陷

【摘 要】在这个互联网的飞速发展时代,计算机网络系统的信息安全变得越来越重要,特别是随着网络的迅速发展,网络安全认证概念的重要性已经延伸至全世界范围,由于其涉及的范围广面积大,计算机网络安全系统中的认证缺陷也越来越明显.

【关 键 词】网络安全系统,认证,缺陷

一、网络安全系统中公钥加密安全系统的简介

计算机网络系统安全的重点是确保不被无关人员读取,以及信息不被修改不被传送给其他接收者.安全性的问题是处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题.网络安全性可以分为4个部分,这四个部分是相互联系密不可分,分别是:保密、鉴别、反拒认以及完整性控制.保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容.鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份,反拒认则主要与签名有关.

公钥加密非常适合于全球安全网络的某些部分,它不需传送私有密钥,需要的设施开销也小,易于管理.但它要过分依赖于最终用户的安全意识,表面上看公钥安全系统不需要可信的密钥管理机构,事实上密钥管理的负担落到了用户身上.用户必须积极地验证他所使用的每一个公钥的有效性(Validation)而且得不珍藏自己的私有密钥,这些任务远非一般用户所能胜任.非对称密钥管理无法由计算机全部自动地完成,一些安全细节如Root-key的有效性检查、通行字(Passphrase)的选择及用户端的物理安全性等都需要用户的介入.即使系统可以自动完成证书作废表(CertificateRovacationList)的查询,如果用户或开发商跳过了这些步骤(这很可能发生,因为CRL将始终是个瓶领),系统无法检测出这些疏忽也不可能审计其后果.在广域网中,具有层次结构的怎么写作器提供了一些怎么写作.如证书认证机构(CertificateAuthority)用来确定用户的公钥,目录(Directory)用来存放有效证书的公共访问数据库,证书作废表(CertificateRevocationList)用来存放作废证书的公共访问数据库.

二、认证方面的缺陷

(1)认证CA方面的缺陷.到目前为止,每个有关电子商务协议的论述都避而不谈RoogCA的公钥验证.常见的托辞是“超出本论述的范围”.公钥证书的签名都存放在其上一级机构所在的怎么写作器,在使用一个公钥证书前,用户不得不一级一级核对有关的数字签名.由于用户不能检查RootCA的公钥,因而不能确认RootCA是否被冒名顶替.(2)证书作废表(CRL)方面的缺陷.在使用一个公钥前,用户除需要检验CA的签名外,还得核对CRL表,以确保该公钥没有作废.CRL是公钥系统中帐户管理子系统的一部分,即使CRL非常安全且高度可用,也难以满足百万用户的频繁访问,CRL很容易成为瓶颈.另外,这种烦琐的过程促使用户避免查询CRL表而冒险使用一个公钥,给公钥加密系统的安全性造成损害.(3)认证用户方面的缺陷.由于用户每月或每年才拿到一次证书,用户访问CA的频率只是访问KDC(KeyDistributeCenter)的百分之一或千分之一.即使考虑到CA需要更大的加解密开销,理论上CA也能怎么写作上百万甚至更多的用户,问题在于CA不仅仅是计算一个数字签名,还要去发布证书.公钥证书是关于拥有私有密钥的用户身份的保证,正如用户不能依赖于以电子手段传送Roog-key,CA也不能依赖于电子手段来传送用户身份.理想情况下,CA系统管理员应约见新用户并当面验证他的身份材料如,驾照,护照,确认无误后再授权该用户拥有一对公开、私有密钥.与上百万相距遥远的用户进行面对面的确认并不现实,面对面的确认会大大增加证书的成本,吓跑大量潜在用户.如果允许用户通过电子手段提供身份信息,则公钥系统的安全度将大为降低.

三、公钥系统在转嫁管理负担方面的缺陷

与对称密钥系统相比,公钥系统的集中管理负担要小得多.另外公钥系统中CA,证书目录和作废证书表所在怎么写作器不必每次都介入安全通信,这不仅提高了网络性能而且更可靠,易管理.这些优势是以转嫁管理负担给用户为前提:第一个转嫁的负担是要求用户进行大量的的本地计算.用户尽量避免了许多网络上传输的延迟,但在这些时间里用户也不能等着,可以运行大数运算的执行程序,第二个转嫁的负担就是本文所涉及的,用户必须全力负责本地计算机的物理安全,高质量口令的选取和存放,积极检查每个证书的有效性,用户是否严格履行这些职责将决定公钥安全系统是否能有效运转.网络安全的实现是为了使广大用户受益,不应以加重用户的负担为前提,不能是安全上受益,行动上受制.将对称加密系统与公钥的加密系统结合起来,是既保证网络安全又不加重普通用户负担的可行之策,前者应用于用户平台上,后者用于怎么写作器间的安全通信.KDC负责用户的口令的选取质量,发布短周期密钥、检查怎么写作器公钥的有效性,以及管理作废证书表.基于对称密钥的签名系统为本地对称密钥的用户与远程非对称公钥的用户间的通信提供怎么写作.

现行的很多网络管理工具缺乏最基本的安全性,使整个网络系统都可能受到攻击和安全破坏,要达到其法定所有者甚至无法再重新控制它们的程度,必须认真改进并优化网络安全现存的缺陷.