[摘要] 隨著電子商務和電子政務的發(fā)展，保證電子文檔的安全可靠性已越發(fā)具有現(xiàn)實意義。本文通過對CA技術的介紹，全面分析了CA技術在電子印章管理系統(tǒng)中的應用，從而保證了電子文檔的安全。

[關鍵詞] CA電子印章數(shù)字證書

一、開發(fā)背景

隨著電子商務和電子政務的發(fā)展，保證電子文檔信息的安全性已成為網(wǎng)絡安全重要環(huán)節(jié)。筆者充分利用了PKI 框架下的CA技術，開發(fā)了電子印章管理系統(tǒng)（ESMS），全面分析了CA技術在系統(tǒng)中的應用過程。

二、 CA簡介

CA（Certification Authority）又稱為數(shù)字證書認證中心。它作為電子交易中受信任的第三方，負責為電子商務環(huán)境中各個實體頒發(fā)數(shù)字證書，以證明各實體身份的真實性，并負責在交易中驗證和管理證書。

１.CA的組成和功能。CA主要由證書簽發(fā)服務器、密鑰管理中心和目錄服務器組成。它的核心功能就是發(fā)放和管理數(shù)字證書。具體描述如下:(1)接收驗證證書的申請;(2)證書的審批;(3)向申請者頒發(fā)（或拒絕頒發(fā)）證書;(4)接收、處理用戶的數(shù)字證書更新、查詢和撤銷請求;(5)產生和發(fā)布證書的有效期;(6)數(shù)字證書、密鑰和歷史數(shù)據(jù)的歸檔。

2.數(shù)字證書。數(shù)字證書又稱CA證書，是由可信的第三方機構所簽發(fā)，是網(wǎng)上實體身份的證明。它符合X.509標準，按該標準規(guī)定其主要內容的邏輯表達式如下:CA《A》=CA{V，SN，AI，CA，UCA，A，UA，Ap，Ta}，從V到Ta是證書在標準域中的主要內容。

其中：CA《A》——CA為用戶A所頒發(fā)的證書；CA{， ， ，}——CA對花括弧內證書內容進行的數(shù)字簽名；V——證書版本號;SN——證書序列號;AI——用于對證書進行簽名的算法標識;CA——簽發(fā)證書的CA機構的名字;UCA——簽發(fā)證書的CA的惟一標識符;A——用戶A的名字;UA——用戶A的惟一標識;Ap——用戶A的公鑰;Ta——證書的有效期。

三、CA在電子印章管理系統(tǒng)中的應用

首先，建立CA服務器。利用CA技術建立自己的CA服務器用于管理數(shù)字證書，包括證書申請、頒發(fā)、驗證和撤消等服務。證書在ESMS中有兩個應用：放在ESMS數(shù)據(jù)庫中供驗章用戶查看；用于同私鑰、印章圖片及簽章用戶的信息一起制成簽章鑰匙盤作為電子印章的章來源。其次，CA證書的驗證。

圖1 應用CA技術的電子印章系統(tǒng)

１.在ESMS中建立CA服務器，利用其頒發(fā)的證書完成簽章鑰匙盤的制作。下面給出在ESMS中建立自己的CA服務器的過程。

(1)CA服務器的建立:以系統(tǒng)管理員身份登錄Window 2000 Server，啟動Windows 組件向導；在“組件”列表里，選擇“證書服務”的選項，以便安裝證書服務；設置證書授權類型。本系統(tǒng)中選擇獨立根CA;設置CA標識信息、指定證書數(shù)據(jù)庫的儲存位置、證書服務器設置信息的儲存位置、儲存證書撤銷列表的位置以及證書數(shù)據(jù)庫記錄文件的位置；如果這時候您的IIS還在運行階段，系統(tǒng)會要求您先停止IIS的運行，以便順利安裝證書服務器。確定后，系統(tǒng)便開始安裝證書服務器相關的組件以及程序。

CA服務器成功地安裝在系統(tǒng)服務器端所在的計算機上后就可以通過“管理工具”中的“證書頒發(fā)機構”來管理了。

(2)CA證書的申請和智能密碼鑰的制作。為了制成簽章智能密碼鑰匙，首先要完成證書的申請操作。過程是通過瀏覽器向CA服務器提出證書申請，CA服務器的管理員接收到證書申請后，經核實、批準后通過瀏覽器安裝CA證書。步驟如下：在ESMS服務器所在的計算機上打開證書頒發(fā)機構的證書發(fā)行網(wǎng)頁，同時把ESMS中準備用于簽章的鑰匙盤連接在該計算機上；選擇申請證書和高級申請后進入身份信息填寫，填上簽章用戶的身份信息和ESMS要求的密鑰算法，本系統(tǒng)中采用的是RSA和SHA-1算法；利用鑰匙盤里面的算法生成公私密鑰對后等待CA頒發(fā)證書；ESMS管理員運行CA服務器來頒發(fā)證書。證書申請者回到證書申請首頁，檢查掛起的證書，選擇并安裝證書。

2.CA證書的驗證在ESMS驗章子系統(tǒng)中通過驗證文檔的數(shù)字簽名來檢驗其真實、完整性；通過驗證CA證書來保證簽章的不可抵賴性。下面分析一下證書的驗證過程。查看CA證書可以通過訪問電子印章數(shù)據(jù)庫實現(xiàn)。徹底驗證CA證書則是通過訪問CA服務器實現(xiàn)的。在ESMS中對CA 證書的驗證主要涉及四個方面：

(1)證書必須包含一個有效的數(shù)字簽名，以此確定證書內容沒有被修改;(2)CA服務器的公開密鑰須可以用來驗證CA證書的數(shù)字簽名;(3)證書起止日期所指定的有效期必須表明證書是可用的。(4)證書必須沒有被撤消。

驗證過程：首先確定證書簽名者的身份，然后檢查證書的有效期，如沒有過期，就可從中取出用戶的公鑰來驗證證書的數(shù)字簽名了，即用公鑰解密由證書創(chuàng)建時CA服務器加密的摘要，導出摘要，并對CA證書作同樣哈希算法得一個新摘要，將兩個摘要的哈希值進行比較，結果相同則簽名得到驗證，否則簽名無效。下面給出驗證CA證書數(shù)字簽名的過程圖。

圖2驗證 CA證書數(shù)字簽名的過程

四、結束語

以CA 為核心的PKI體系結構以成為當前完善的互聯(lián)網(wǎng)安全的解決方案，它對于保證電子文檔的安全性從而促進電子商務和電子政務的發(fā)展起到了關鍵性的作用，電子印章管理系統(tǒng)就是它的一個很好的體現(xiàn)。