专利名称:基于公钥基础设施的网络信息内容分级管理方法
技术领域:
本发明涉及一种互联网信息内容安全监管方法,具体地说,是关于基于PKI(公钥基础设施)的网络信息内容分级管理方法。
这种分级管理技术缺点在于很大程度上依赖于网络使用者的自觉自律。这种机制从根本上无法保证防止网页内容被篡改,无法对不实甚至假冒标签追究标签伪造者或标签发放者责任。传统分级管理技术本身存在的安全上的问题使得不可能据此对网络媒体内容进行有效的管理。
公钥基础设施PKI(Public Key Infrastructure)是基于互联网的电子商务和其它信息系统的安全基础设施,负责通信系统的安全可靠性。本质上来说,PKI是一个数字证书管理体系,对数字证书进行各种操作,同时还提供包括密钥托管、数字公证、时间戳等在内的许多服务。
分级管理的目的在于通过科技手段与配套措施,使互联网在确保有言论自由及不侵犯互联网使用者隐私权的前提下,让互联网使用者能容易的撷取其适合的信息,健全互联网的发展。
本发明要解决的技术问题是研究基于PKI技术体系的网络信息内容分级管理技术,通过PKI技术与内容分级标记技术的有机结合,来实现大范围的网络信息内容监管,确保我国互联网络空间的信息内容安全。
本发明的技术方案是基于PKI的分级管理主要可以从以下几方面体现1.签发标签机构的模型架构即在现有的CA体系架构的基础上研究签发标签机构的层级化结构组织模型,完成签发标签机构的全局定位与识别功能。
互联网内容分级管理体系主要组成实体有分级中心RA(Rating Agent)、内容监管中心CCA(Content Control Agent)、客户端过滤插件以及独立的或由RA维护的目录服务器Label Bureau组成。基于PKI的分级管理体系主要体现应用在分级中心RA上。RA由分级标准中心RSA(Rating StandardAgent)、标签管理中心LMA(Label Management Agent)以及标签添加中心LAA(Label Added Agent)共同构成,采取一种基于X.509标准所推荐的信任等级结构的管理方式。
整个结构为一种树状结构,分级标准中心RSA(根RA)是第一层;下面是几个一级RA——标签管理中心LMA,构成中间层;其一级RA下面可有若干个二级RA,二级RA下面可能还有三级RA,依次类推。每个父节点通过向其子节点发放数字证书(即作为CA行使功能)并将其纳入信任链(授权),来提供对分级服务应用的信任保证。最高点——分级标准中心RSA,负责制定整个分级系统的总策略,也是整个系统唯一的信任源点,是全部服务的信任基准。根据信任的传递特性,上下级信任服务机构构成单元信任服务链,即RSA←→LMA←→LAA←→分级标签。由于信任源点的唯一性,因而整个体系可构成立体交叉的网状信任链。
分级体系根证书(分级标准中心RSA)的建立步骤包括1)提出申请分级体系的根服务节点向国家主管单位提出证书申请并提交有关主管部门的业务许可文件。
2)证书受理申请方携带必要的证明文件(包括申请方的身份证明材料及其他所需的证明文件和许可文件)并填写相应的证书申请表格。
3)证书审核对申请方的证明材料、经济状况和信誉度等资质情况进行验证。
4)证书发放审核通过后,主管单位保留其填写的原始表格并为其发放证书,并将证书制作到移动介质上交给申请方,5)证书导入申请方将移动介质中的证书和加密私钥加载到本地系统的运行环境中,开始使用。
下属各级分级中心(标签管理中心LMA以及标签添加中心LAA)的设立步骤包括1)向上级分级中心填写证书申请表格;2)上级RA验证(通过相关机构的证明文件)该申请方的身份、民事责任能力和信誉等资质要素;3)验证通过后,上级RA保留申请方填写的信息,并为之发放数字证书;4)申请方将上级RA发放的数字证书及相关的密钥对复制到移动介质中,并将其带回;5)申请方从上级RA申请到的证书提供各类服务。
2.内容分级标签的安全防护机制利用PKI安全平台所提供的基本安全服务来完成对文件(网页或者网站)的内容标记以及带标记文件自身的安全保护,同时研究对无效标签和错误标签的责任追查机制,以及标记使用过程中的动态检测和验证机制,确保标记不会被篡改且真实有效。
在此分级体系中只有标签添加中心LAA负责给网站或者页面发放以及添加标签,其余各级分级中心无此功能。添加标签的过程如下(见附图二)LAA为网页或网站添加标签时,需要包含几个参量LAA本身私钥和系统时间。还可以酌情对网卡物理地址等这样的硬件设施也予以绑定。先用哈希算法对页面内容进行摘要以防止对页面内容的篡改。然后同时对摘要和以上参量,以及网页的等级用LAA的私钥进行加密以防止对标签的篡改。
分级体系在PKI一实体一证机制的基础上对各实体进行控制,确保只有授权的实体才能进行操作。这样就可以明确知道标签是哪个LAA在什么时间发出的,基本可以实现日后对责任的追究。
3.分级内容服务结合CA体系实现面向最终用户的分级内容信息服务,利用PKI安全平台的基础服务完成分级标记的检测、识别与过滤等处理。
在验证时,是根据网页上的明文的LAA的名称,查得其对应的公钥,然后验证此标签的有效性。监管中心可以据此来检验标签是否合法有效,客户端过滤可以依此判定网页等级。显著效果因为一般组织机构的管理体系(如政府部门)等都是层次结构,分级管理体系若采用基于PKI的等级层次模型,可在很大程度上参照现有行政体系划分标准。同时整个体系结构清晰,便于进行全局管理。
分级管理中对于任何密钥证书或签名(即授权)的验证,可以交由PKI进程完成,合理利用现有资源,大大减少了重复建设,简化了系统结构及实现。
对于扩大范围的内容安全分级管理,虽然不可能设立一个通用的根RA,但是可以尽量在格式和标准方面兼容。或者可以利用交叉验证,在小范围的根RA之间相互验证,发放交叉证书对实现。这一过程同样可以依赖PKI基础设施的实现。
基于这种结构的内容分级管理技术具有良好的安全保密性,不仅可以达到传统分级管理技术所要求的标准,同时还具有审查、追踪和防抵赖的功能,有效追究责任。不仅可以应用于互联网,也可以作为内部网、专用网等内部信息分级共享和安全保障的一种有效手段。如对于政府机要部门,可以通过添加标签的方式对敏感信息内容进行标识,通过身份验证的方法确认用户的权限,从而达到信息安全共享的目的。
图2是本发明中的添加标签示意图。
请参阅
图1,如图所示建立了一个基于PKI的分级管理中心体系,其中各部分组成的RA结构说明如下图中所示标号为1分级标准中心RSA 2(一级)标签管理中心LMA3(下级)标签管理中心LMA4;标签添加中心LAA5待分级网站 6待分级网页7授权 8分发添加标签从图中可看出本实施例的体系为一种树状结构,根节点为分级标准中心(RSA)1,是最高点,也是负责制定整个分级系统的总策略的机构,其下面是第一级的标签管理中心(LMA)2,该(LMA)2之下可以有其下级(LMA)3(这样的结构可以有多层),也可以直接是标签添加中心(LAA)4。该(RSA)1和(LMA)2都只给其下级RA授权7,确定发放标签的资格以及管理已发放的标签,而不直接为网站或者页面发放以及添加标签。LAA为结构的最低层,直接为网站5或网页6分发、添加标签8。
请参阅图2,本实施例中,它说明本发明的网页内容分级标签的安全防护机制,即在分级体系中只在标签添加中心(LAA)4负责给网站5或网页6发放以及添加标签,其余各级分级中心均无此功能。如图所示,具体的进程如下1)分级机器即标签添加中心(LAA)4获取网页6的内容;2)该标签添加中心4根据网页6内容使用哈希算法生成网页内容摘要数据41;3)该标签添加中心4根据对网页6内容所分的等级信息42,加上时间信息44,加上分级机器的物理地址45,摘要数据41使用代表分级设备的私有密钥加密,而形成META(元)标签46;4)再将以上信息添加至网页内容中,形成最终的标签网页,即分级后网页60;从上述的进程可以看出,本发明的分级体系在PKI——实体一验证机制的基础上对各实体进行控制,确保只有授权的实体才能进行操作,而且可以明确知道标签是哪一标签添加中心4在什么时间发的,便于日后对责任的追究。
权利要求
1.一种基于公钥基础设施的网络信息内容分级管理方法,其步骤包括(1)建立层级化的签发标签体系结构完成签发标签机构的全局定位与识别功能,(2)建立网络信息内容分级标签的安全防护机制,(3)建立分级内容服务机制。
2.根据权利要求1所述的基于公钥基础设施的网络信息内容分级管理方法,其特征在于,所说的层级化的签发标签体系结构,是一种树状结构,第一层是分级标准中心RSA,其下面是若干个标签管理中心LHA,构成中间层,中间层下面是若干个标签添加中心LAA,构成直接为网站或网页分发添加标签的最低层;整个树状结构的最高点是分级标准中心RSA,负责制定整个分级系统的总策略,也是整个系统唯一的信任源点上下级信任服务机构构成单元信任服务链,即RSA←→LMA←→LAA←→分级标签。
3.根据权利要求2所述的基于公钥基础设施的网络信息内容分级管理方法,其特征在于,该分级标准中心RSA的设立步骤依次为1)提出申请分级体系的根服务节点向国家主管单位提出证书申请并提交有关主管部门的业务许可文件。2)证书受理申请方携带必要的证明文件(包括申请方的身份证明材料及其他所需的证明文件和许可文件)并填写相应的证书申请表格。3)证书审核对申请方的证明材料、经济状况和信誉度等资质情况进行验证。4)证书发放审核通过后,主管单位保留其填写的原始表格并为其发放证书,并将证书制作到移动介质上交给申请方,5)证书导入申请方将移动介质中的证书和加密私钥加载到本地系统的运行环境中,开始使用。
4.根据权利要求2所述的基于公钥基础设施的网络信息内容分级管理方法,其特征在于,所说的中间层LAM,其可以是仅含由分级标准中心RSA直接授权的一层标签管理中心LMA,或该直接由分级标准中心RSA授权的标签管理中心LMA还有自己的下级LMA,而形成多级LMA结层,且它们依次授权而具上下级关系。
5.根据权利要求2所述的基于公钥基础设施的网络信息内容分级管理方法,其特征在于,标签管理中心LMA以及标签添加中心LAA的设立步骤包括1)向上级分级中心填写证书申请表格;2)上级RA验证(通过相关机构的证明文件)该申请方的身份、民事责任能力和信誉等资质要素;3)验证通过后,上级RA保留申请方填写的信息,并为之发放数字证书;4)申请方将上级RA发放的数字证书及相关的密钥对复制到移动介质中,并将其带回;
6.根据权利要求1所述的基于公钥基础设施的网络信息内容分级管理方法,其特征在于,所说的建立网络信息内容分级标准的安全防护机制,是指在标签体系中,仅标签添加中心具有给网站或网页发放以及添加标签的功能,而且该标签用哈希算法对接收页面内容进行摘要,之后,对形成的摘要和该标签添加中心本身的私钥、系统时间一起加密形成标签添加于网页而形成最终的标签网页。
7.根据权利要求1所述的基于公钥基础设施的网络信息内容分级管理方法,其特征在于,所说的分级内容服务机制是指结合CA体系实现面向最终用户的分级内容信息服务,利用职权PKI安全平台的基础服务完成分级标记的检测,识别与过滤处理。
全文摘要
一种基于公钥基础设施的网络信息内容分级管理方法,其步骤包括:(1)建立层级化的签发标签体系结构完成签发标签机构的全局定位与识别功能,(2)建立网络信息内容分级标签的安全防护机制,(3)建立分级内容服务机制。本发明具有良好的安全保密性,不仅可以达到传统分级管理技术所要求的标准,同时还具有审查、追踪和防抵赖的功能,有效追究责任,本发明可应用于互联网,也可以作为内部网、专用网等内部信息分级共享和安全保障的一种有效手段。如对于政府机要部门,可以通过添加标签的方式对敏感信息内容进行标识,通过身份验证的方法确认用户的权限,从而达到信息安全共享的目的。
文档编号H04L9/00GK1349327SQ0113901
公开日2002年5月15日 申请日期2001年12月3日 优先权日2001年12月3日
发明者李建华, 王明政, 施建俊 申请人:上海交通大学