摘要：为了提高网络通讯的安全性，提出一种基于PKI技术的平台。该平台利用USB加密机制，通过公钥、私钥相结合的方式，实现用户的身份验证，保证数据信息的安全传输，提高客户端访问权限的管理水平。针对该平台现有的TCP/IP通讯协议，对客户端与服务器之间的数据流程进行重新设计。客户端通过与证书服务器之间的传输，得到用户访问的私钥证书，并对访问控制服务器进行访问，最终完成客户端的访问、服务器中信息的调用和证书验证，以此提高网络平台的安全优化。不同于其他安全机制，提出的客户端的USB密码机，通过与客户端所在的计算机之间建立隔离，降低其被攻击的几率。网络攻击实验显示，PKI技术能提高网络平台的安全性，该平台的构建具有较高的实用价值，适用于目前国内网络平台安全性低，网络架构不完善的情况。

　　关键词：PKI技术；网络安全；平台构建；加密

　　Abstract:In order to improve the security of network communication,a platform based on PKI technology was proposed.The platform usedUSB encryption mechanism to realize user authentication through the combination of public key and private key,ensured the safe transmissionof data information,and improved the management level of client access rights.According to the existing TCP/IP communication protocol of theplatform,the data flow between the client and the server wasredesigned.Through the transmission between the client and the certificate server,the private key certificate accessed by the user was obtained,and the access control server was accessed.Finally,the access of the client,thecall of information in the server and the certificate verification were completed,so as to improve the security optimization of the network platform.Different from other security mechanisms,the USB password machine of the client proposed reduced the probability of being attackedby establishing isolation with the computer where the client was located.Network attack experiments show that PKI technology can improve thesecurity of the network platform.The construction of the platform has high practical value.It is suitable for the situation that the security of thedomestic network platform is low and the network architecture is imperfect.

　　Key words:PKI technology;network security;platform construction;encryption

　　0引言

　　计算机技术、App技术和网络平台技术的广泛应用，提高了信息的泄密几率，致使信息被黑客盗用事件频发[1]。因此，如何提高平台的整体安全性，增强平台对黑客攻击的防护能力，降低平台中关键信息的丢失率，是目前各网络平台亟待解决的问题，也是本文研究的目的。目前，国内网络平台存在安全水平低，网络架构不完善的问题，使其网络平台经常出现安全问题。有学者认为PKI技术作为一种公钥的基础设施，通过硬件、软件、人员、策略和规程的集合，为各个平台提供安全支持，并节约相应的安全管理成本[2]。也有学者认为，公钥密码机制、密钥证书的配发与管理，能够弥补网络安全平台安全构建的不足，增强平台的整体安全性[3]。另外，网络平台的安全机制属于基础层的构建，无法进行彻底性的改变，只有在原有平台基础上进行完善。因此，将PKI技术与网络平台融合，具有技术层面、理论层面的可行性，成为目前国内研究的热点。PKI技术自身具备完善的Internet安全解决方案，利用证书服务器，与各客户端进行公钥、私钥传递，进行安全证书的可信验证，有效地实现公钥与用户信息的捆绑。PKI技术能提高Internet通讯中的密钥管理水平，保证网上数据的机密性和完整性。基于此背景，本文构建基于PKI技术的网络安全平台，分析PKI安全传输的公钥、私钥传递过程，以及相关证书的验证机制，旨在提高现有平台的信息传输安全。

　　1 PKI网络安全平台的原理

　　PKI网络安全平台分为两部分，一部分是认证信息的初始化，网络平台与PKI融合后，可以获得证书服务器的公钥，并在访问控制服务器中进行验证。然后，系统平台会将所有私钥的密码发送到客户端[4]，存储于密码机中；另一部分是用户Internet访问的入网认证。平台利用SSL/TLS协议进行认证，但不是简单地认证叠加，而是依据安全要求进行协议调用。为了发挥USB密码机的安全优势，要将SSL/TLS协议进行动态调用[5]。虽然PKI网络的传输协议比较简单[6]，但是SSL中的v3记录协议，可以实现密码算法转换，将MAC算法转化为SA128算法，提高认证密码的安全等级。

　　2安全平台构建的主要模块

　　安全平台由3部分构成，分别为客户端(client)、访问服务器(Access server)和认证管理服务器(Authenti⁃cation management server)。整个平台的数据通讯采用TCP/IP协议[7]，并以SOCKET类被MFC封装[8]，平台的架构为CasyncSocket。客户端利用USB上的密码机随机产生私钥，与访问服务器进行数据通讯，以获得服务器的公钥。在得到认证管理服务器确认后，客户端与服务器之间实现安全通信。

　　2.1客户端的构建

　　客户端分为两部分，一部分是向访问服务器发送私钥，并获得服务器的公钥和身份验证；另一部分是支持现有的TCP/IP协议。平台可以在客户端设置PIN码[9]，以提高私钥的安全性，并定期对PIN进行自检，避免私钥被泄露。私钥自检完成后，客户端与服务器进行私钥传递，并获得身份验证。具体内容如图1所示。

　　密码机是存储于USB中的私钥生成器，客户端的计算机无法对密码机进行更改，所以密码机的PIN码的安全性更高。但是，在部分极端情况下，诸如，USB电压突然变化、人为破坏，密码就会出现数据丢失的问题，影响密码的安全[10]。因此，网络安全平台运行后，要对公私钥的完整程度进行验证。首先，密码机对私钥进行RSA加密，对公钥进行RSA解密。如果前后数字一致，代表密码机运行正常，并通过自检，否则将显示数据错误。由访问控制服务器直接转到证书管理服务器，以此完成客户端的请求验证信息验证。经过安全协议处理后，访问控制服务器与客户端完成连接，具体过程如图2所示。客户信息认证完成后，可以调用服务器中的数据和资源，实现相关数据的安全传输。

　　2.2访问控制服务器的实现

　　访问控制服务器依据客户端的调用要求，将外网的数据附上公钥，并发送给客户端，完成内外网的数据获取。访问数据库内设有权限数据库，依据用户的ID和权限[11]，分配其访问的资源和内容。客户端和访问控制服务器之间建立安全链接后，服务器会向客户端直接发送数据。客户端将自己的需求加密，由转发专线发送给访问控制服务器，并获得服务器的反馈数据。访问控制服务器对客户端的请求和权限进行判断，符合相关要求后，对数据进行加密并发送给客户端。

　　2.3证书管理服务器的实现

　　证书管理服务器(Certificate Management Server)的作用是向客户端发送安全证书，验证客户端和访问服务器的合法身份，并生成加密密钥。证书管理服务器中存储大量证书，可以对安全平台中的所有密码机进行有效验证。证书管理服务器的验证过程如图3所示。在证书管理服务器中还存在CRL地址，以提高证书的验证效率。由于证书存在于管理服务器和密码机两部分，所以CRL地址中的过期证书，要由管理员进行手动修改和删除。

　　3网络安全平台中数据库的设计

　　PKI技术下网络安全平台涉及4个数据库，分别为2个访问数据库和2个访问控制数据库。相对于其他数据库来说，PKI技术下网络安全平台的数据库相对较少[12]。由于安全平台并不是基于公众网络的平台，所以其访问用户量较小。为了提高安全平台的运行效率，可以采用Berkeley数据库系统。为了建立数据库中的应用程序，要对数据库的环境进行设置，所以要在Berkeley数据库系统中，采用不同的设置形式。目前，Berkeley数据库系统有2种设置形式，一种是独立的数据库应用程序，另一种是多函数连接的数据库应用程序。Berkeley数据库系统主要任务为，客户端数据的安全传输、防止数据通讯存在死锁、对各个客户端进行数据安全检查，数据库视图的自我维护、数据备份，以及平台日志的归档、删除。

　　数据库的操作接口函数被封装在函数数据库中，当认证服务启动后，会通过函数接口进行在线验证，完成相关证书的读取。在数据库与管理程序操作过程中，数据库服务器会依据客户端的请求、身份验证结果，进行数据发送。首先，服务器调用函数库中接口命令recor⁃dorder()，将数据发送给客户端；其次，在后台服务器中进行log日志记录、修改，并用closed()命令关闭服务器，断开与客户端的通讯。

　　4网络安全平台的系统分析

　　4.1 PKI技术下安全平台系统的优点

　　不同于其他安全平台，PKI具有以下优点。

　　(1)PKI技术下的安全平台具有双向认证系统

　　现有平台的惯性思维是加强客户端的安全等级，忽视服务器端的安全。部分用户会上传一些敏感信息，在缺乏服务器身份验证的情况下，会造成信息泄露或者其他不良影响。因此，增加安全平台的双向认证机制，对于系统安全具有十分重要的作用。

　　(2)PKI技术下的安全平台能有效隔离敏感信息

　　在以往的安全平台中，敏感数据服务器与访问服务器统一，并未进行有效的隔离，致使外网可以窃取服务器中的敏感信息。PKI技术下的安全平台能有效隔离敏感信息，如果服务器被攻击，也不会造成用户数据外流。因此，PKI技术下的安全平台具有维护成本低、安全性高，以及敏感信息少的优点。

　　(3)PKI技术下的安全平台所需硬件水平低

　　高等级安全平台对于硬件的要求较为苛刻，需要进行大成本的硬件铺设。PKI技术下的安全平台只是通过USB密码机进行认证，所需的密码都是由密码机随机完成，与整个计算机的硬件无关[13]。因此，PKI技术下的安全平台所需硬件水平较低，符合我国现有国情。

　　(4)PKI技术下的安全平台身份认证可靠性高

　　每一台计算机的USB密码机都含有启动的PIN值，其他计算机与密码机连接后，能够获得统一的随机密码。因此，拥有USB密码机的PIN号，才能完成整个的攻击操作。但是，USB密码机与计算机的隔离，大大降低了黑客攻击的成功率。

　　4.2 PKI技术下安全平台系统的缺点

　　(1)认证证书的发放需要用户在场

　　证书管理服务器是对USB密码机进行读写的唯一设备，所以在进行证书发放时，用户要将USB密码机带到证书管理服务器旁，才能完成密码机的证书放。部分用户由于工作、学习原因，无法按时到场，所以给用户带来一定的不便。另外，少部分用户缺乏安全意识，在进行USB密码机证书发放时，会被植入木马、蠕虫等病毒，降低通讯的安全率。

　　(2)PKI技术下安全平台的扩展性差

　　PKI技术下安全平台通过访问控制服务器，与外界进行信息交流和访问。虽然访问控制服务器能够有效地隔离外部攻击，但也限制了客户端的访问范围，无法实现不同安全平台间的信息共享。因此，扩展性差是PKI技术下安全平台的不足，减少了平台的功能。

　　(3)存在安全协议的公钥漏洞

　　由于PKI技术下安全平台主要是通过公钥进行认证，私钥与公钥联合后才能实现传输连接。公钥的有效保存对于平台的安全至关只要，而其自身的安全等级却比较低，所以容易出现公钥泄露的问题。另外，公钥在不同客户端间的传输，会被客户端中的木马盗用，致使整个安全平台的安全受到威胁。

　　(4)PKI技术下安全平台的效率低

　　PKI技术下安全平台适用于少量的高端客户认证，不适用大量客户的验证情况[14]。另外，USB密码机与计算机之间存在通讯效率的问题，USB口的传输速度对于平台的影响比较明显。

　　5结束语

　　我国的网络安全受到威胁，需要具有自主知识产权的网络产品。针对上述情况，本文利用TCP/IP协议，以及USB密码机，实现公钥、私钥的联合运用，提高平台的整体安全性。但是，PKI技术下的安全平台也存在自身的不足，有待于进一步的改善和增强。本文只是对PKI技术下的安全平台进行安全传输机制、安全传输技术进行分析，其他相关内容有待于进一步深入讨论。随着PKI技术的不断完善，未来PKI技术下的安全平台将会具备更高的安全性，增强自身的传输效率，提高扩展性，满足国内对网络安全平台的需要。

      参考文献：

　　[1]沈啸.计算机网络安全与数据完整性技术探究[J].无线互联科技,2021,18(20):98-99.

　　[2]陈芝.PKI技术在电子病历系统中的应用[J].福建电脑,2021,37(7):100-102.

　　[3]代锐锋.基于SSL虚拟技术的高校网络安全体系模型构建[J].计算机与现代化,2020,11(8):122-126.

　　[4]高振亭.网络安全技术在民航空管信息系统中应用的研究[J].电子世界,2019,10(19):175-176.

　　[5]康剑萍,王沈敏,杜竹青.PKI技术在信息安全中的应用[J].自动化仪表,2020,41(4):107-110.

　　[6]李艳.基于PKI技术的安全接入平台中接入认证的研究[J].科技传播,2020,12(22):131-133.

　　[7]刘那仁格日乐,王郝日钦.基于PKI技术的用户身份数据转发认证算法仿真[J].计算机仿真,2020,37(9):373-376.

　　[8]罗云.简谈基于PKI体系的统一身份认证技术设计与实现[J].云南科技管理,2021,34(5):62-64.

　　[9]龙赛琼,黄心深,李浩,等.微小型多旋翼无人机抗风能力测试平台的研发[J].机电工程技术,2021,50(12):159-160.

　　[10]祁凌.基于PKI技术下的电子商务信息安全研究[J].网络安全技术与应用,2020,6(12):127-129.

　　[11]乔明秋.赵振洲.数据加密与PKI技术混合式教学设计——以数字证书实现网站HTTPS访问为例[J].信息与电脑(理论版),2021,33(16):210-212.

　　[12]席洁.基于PKI技术的电子商务安全支付系统[J].科技创新导报,2020,17(9):141-142.

　　[13]于志勇.基于PKI技术的区域性网络安全认证平台建设研究[J].网络空间安全,2018,9(11):19-26.

　　[14]张丽,吴海军.基于PKI技术的电子病历系统安全研究[J].科技视界,2020,12(3):239-240.