摘要:隨著互連網(wǎng)的普及，人們把越來(lái)越多的事務(wù)放到互連網(wǎng)上處理，如網(wǎng)上銀行、網(wǎng)上證券、電子商務(wù)等等。先進(jìn)的信息技術(shù)使人們處理日常業(yè)務(wù)變得更加高效，同時(shí)也帶來(lái)了安全問(wèn)題。因?yàn)榫W(wǎng)絡(luò)上很難確認(rèn)對(duì)方的真實(shí)身份，通過(guò)互聯(lián)網(wǎng)這個(gè)開放系統(tǒng)傳送的數(shù)據(jù)也存在被截取和利用的可能。使用數(shù)字認(rèn)證(CA認(rèn)證)可以有效地解決這個(gè)問(wèn)題。

關(guān)鍵詞:數(shù)字認(rèn)證;互聯(lián)網(wǎng)

1 什么是數(shù)字認(rèn)證

數(shù)字認(rèn)證是基于國(guó)際PKI(Public Key Infrastructure，即公鑰基礎(chǔ)設(shè)施)標(biāo)準(zhǔn)的網(wǎng)上身份認(rèn)證系統(tǒng)，數(shù)字證書相當(dāng)于網(wǎng)上的身份證，它以數(shù)字簽名的方式通過(guò)第三方權(quán)威認(rèn)證有效地進(jìn)行網(wǎng)上身份認(rèn)證，幫助各個(gè)實(shí)體識(shí)別對(duì)方身份和表明自身的身份。與物理身份證不同的是，數(shù)字證書還具有安全、保密、防篡改的特性，可對(duì)網(wǎng)上傳輸?shù)男畔⑦M(jìn)行有效保護(hù)和安全的傳遞。

1.1 數(shù)字證書的主要功能:身份認(rèn)證;過(guò)程加密;信息核對(duì);結(jié)果確認(rèn);法律證據(jù)。

1.2 數(shù)字證書的工作原理

數(shù)字證書采用公鑰體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶持有一把特定的僅為本人所有的密鑰(私鑰)，用它進(jìn)行解密和簽名;同時(shí)設(shè)定一把公共密鑰(公鑰)并由第三方認(rèn)證機(jī)構(gòu)公開，為一個(gè)或一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無(wú)誤地到達(dá)目的地了。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問(wèn)題，用戶可以公開其公鑰，而保留其私鑰。非對(duì)稱密鑰算法是絕對(duì)安全的，以現(xiàn)代計(jì)算機(jī)每秒運(yùn)算100萬(wàn)次的計(jì)算能力使用窮舉法攻擊1024-bit的非對(duì)稱密鑰所需時(shí)間超過(guò)1000年。

1.3 數(shù)字證書的發(fā)布

數(shù)字證書由獨(dú)立的證書發(fā)行機(jī)構(gòu)發(fā)布。數(shù)字證書頒發(fā)過(guò)程一般為:用戶首先產(chǎn)生自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來(lái)，然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書，該證書內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。

1.4 數(shù)字證書的種類

數(shù)字證書各不相同，每種證書可提供不同級(jí)別的可信度。目前的數(shù)字證書類型主要包括:個(gè)人數(shù)字證書、單

位數(shù)字證書、單位員工數(shù)字證書、服務(wù)器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書等。

2 數(shù)字證書的工作過(guò)程

在使用數(shù)字證書的過(guò)程中，通過(guò)運(yùn)用對(duì)稱和非對(duì)稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，能夠保證信息除發(fā)送方和接收方外不被其它人竊取;信息在傳輸過(guò)程中不被篡改;發(fā)送方能夠通過(guò)數(shù)字證書來(lái)確認(rèn)接收方的身份;發(fā)送方對(duì)于自己發(fā)送的信息不能抵賴。下面用一個(gè)完整的例子闡述證書的工作過(guò)程。

假定甲和乙都擁有相同認(rèn)證機(jī)構(gòu)頒發(fā)的個(gè)人數(shù)字證書。甲要把一封機(jī)密郵件發(fā)給乙。為保證安全送達(dá)，甲把郵件進(jìn)行加密，同時(shí)為了證明郵件是甲發(fā)出的，對(duì)郵件進(jìn)行了數(shù)字簽名。具體處理過(guò)程是:

先把郵件用哈希算法(是不可逆的算法)處理，得到哈希值，即摘要信息，然后用甲的私鑰把摘要信息進(jìn)行非對(duì)稱加密，實(shí)現(xiàn)數(shù)字簽名;隨機(jī)產(chǎn)生一個(gè)僅用于此次數(shù)據(jù)傳輸?shù)膶?duì)稱密鑰 (過(guò)程密鑰)，用這個(gè)過(guò)程密鑰對(duì)稱加密明文信息;把過(guò)程密鑰用乙的公鑰進(jìn)行非對(duì)稱加密;把這樣產(chǎn)生的三個(gè)文件發(fā)送給乙即可。如圖所示。

乙收到郵件后先用自己的私鑰把過(guò)程密鑰解出來(lái);用過(guò)程密鑰還原出明文;用甲的公鑰還原出信息摘要;用前面得到的明文進(jìn)行哈希算法，得到哈希值，并與還原得到的信息摘要比對(duì)是否一致。一致時(shí)證明收到的郵件確實(shí)是甲發(fā)出來(lái)的，同時(shí)內(nèi)容沒(méi)有被改動(dòng)過(guò);不一致時(shí)，證明郵件被改動(dòng)過(guò)。

3 數(shù)字認(rèn)證系統(tǒng)的構(gòu)成

PKI的基本機(jī)制是定義和建立身份、認(rèn)證和授權(quán)技術(shù)，然后分發(fā)、交換這些技術(shù)，在網(wǎng)絡(luò)之間解釋和管理這些信息。PKI對(duì)密鑰和認(rèn)證實(shí)施統(tǒng)一的集中化管理，支持證書持有者在網(wǎng)絡(luò)環(huán)境下建立和維護(hù)平等的信任關(guān)系，保證網(wǎng)上業(yè)務(wù)的安全。

4 天津港數(shù)字認(rèn)證系統(tǒng)的建立

4.1 隨著Internet的普及、各種電子商務(wù)活動(dòng)和電子政務(wù)活動(dòng)的飛速發(fā)展，數(shù)字證書可以廣泛地應(yīng)用到港口生產(chǎn)的各個(gè)領(lǐng)域之中，目前主要包括:發(fā)送安全電子郵件、訪問(wèn)安全站點(diǎn)、網(wǎng)上招標(biāo)投標(biāo)、網(wǎng)上簽約、網(wǎng)上訂購(gòu)、安全網(wǎng)上公文傳送、網(wǎng)上繳費(fèi)、網(wǎng)上繳稅和網(wǎng)上報(bào)關(guān)等。

目前，天津港信息中心以中國(guó)金融認(rèn)證中心(CFCA)為第三方認(rèn)證機(jī)構(gòu)建立了天津港的數(shù)字認(rèn)證體系。CFCA是人民銀行牽頭，十三家商業(yè)銀行(工、農(nóng)、中、建、交、中信、光大、華夏、招商、廣發(fā)、深發(fā)、民生)參加聯(lián)合共建的中國(guó)金融認(rèn)證中心。在銀行系統(tǒng)普遍采用，具有很高的權(quán)威性。天津港的數(shù)字認(rèn)證體系采用了托管RA方案。本方案是專門針對(duì)證書發(fā)放量不是特大，不適宜建RA系統(tǒng)的企業(yè)級(jí)用戶。其中，證書庫(kù)和RA服務(wù)器設(shè)立在CFCA，由CFCA負(fù)責(zé)維護(hù);企業(yè)方只需要安裝服務(wù)器證書即可。企業(yè)方擁有RA管理員權(quán)限，主要負(fù)責(zé)審核申請(qǐng)者的身份，并替客戶申請(qǐng)兩碼(參考號(hào)、授權(quán)碼)。用戶或RA管理員可以用這兩碼從CFCA指定的網(wǎng)站下載或制作證書(兩碼只能使用一次)。采取這種模式的企業(yè)方不需要再開發(fā)RA軟件和購(gòu)買相應(yīng)的RA硬件服務(wù)器，不但減小了用戶整體開發(fā)量和應(yīng)用成本，同時(shí)也減輕了企業(yè)級(jí)用戶的維護(hù)壓力。托管RA為B/S結(jié)構(gòu)，可通過(guò)專線或Internet兩種方式訪問(wèn)CFCA的RA，并與RA后臺(tái)進(jìn)行實(shí)時(shí)信息交互。

4.2 目前天津港CA認(rèn)證系統(tǒng)已成功應(yīng)用于天津港綜合物流信息服務(wù)平臺(tái)的運(yùn)行中。

該平臺(tái)的相關(guān)用戶，包括海關(guān)、船公司、船代、貨代企業(yè)、貨主企業(yè)等。天津港提供給他們各類關(guān)于業(yè)務(wù)的最新的業(yè)務(wù)數(shù)據(jù)，服務(wù)信息，電子商務(wù)資訊等。對(duì)海關(guān)提供的服務(wù)內(nèi)容包括數(shù)據(jù)共享、貨況跟蹤、海關(guān)查驗(yàn)等。對(duì)于其他普通用戶提供的主要服務(wù)內(nèi)容有:用戶電子商務(wù)(用戶通過(guò)發(fā)布和維護(hù)各類供求信息，來(lái)和相關(guān)的業(yè)務(wù)人員進(jìn)行前期的商務(wù)需求洽談)、用戶網(wǎng)上商店(用戶通過(guò)登錄物資公司的網(wǎng)上商店，來(lái)對(duì)各種物資進(jìn)行采購(gòu))、用戶參與競(jìng)拍(用戶通過(guò)登錄物資公司的網(wǎng)上積壓物資拍賣場(chǎng)來(lái)參與網(wǎng)上拍賣)、用戶業(yè)務(wù)數(shù)據(jù)查詢(為用戶提供海關(guān)，港務(wù)集團(tuán)相關(guān)物流數(shù)據(jù)的查詢)。

為了使應(yīng)用該系統(tǒng)平臺(tái)的用戶的身份能夠確認(rèn)，保障平臺(tái)的安全運(yùn)營(yíng)，同時(shí)也為了保護(hù)各方的經(jīng)濟(jì)利益，同時(shí)也為了使數(shù)字認(rèn)證技術(shù)的應(yīng)用得到普及，因此在天津港綜合物流信息服務(wù)平臺(tái)中使用了數(shù)字認(rèn)證技術(shù)。

4.3 用戶申請(qǐng)審批注冊(cè)程序

證書申請(qǐng)。用戶可直接從天津港物流信息網(wǎng)上下載證書申請(qǐng)表或到相關(guān)單位進(jìn)行領(lǐng)取。用戶填寫證書申請(qǐng)表格后，攜帶相關(guān)證件及復(fù)印件到相關(guān)單位提出申請(qǐng)，物資采供的用戶先要經(jīng)過(guò)天津港物資供應(yīng)公司的核準(zhǔn)。

證書審批。經(jīng)審核后，審核通過(guò)的證書申請(qǐng)信息發(fā)送給中國(guó)金融認(rèn)證中心(CFCA)，由CFCA簽發(fā)證書。證書的載體為加密認(rèn)證設(shè)備UsbKey。

用戶登錄網(wǎng)址http://www.tjportnet.com/tool/cfca/download.jsp下載兩個(gè)證書鏈到本地計(jì)算機(jī)并安裝即可。

用戶注冊(cè)。用戶在天津港物流信息網(wǎng)上注冊(cè)用戶。注冊(cè)信息要真實(shí)，網(wǎng)站管理人員對(duì)注冊(cè)信息進(jìn)行審核及授與相應(yīng)權(quán)限。用戶通過(guò)審核后，CA用戶通過(guò)用戶登錄與CA證書驗(yàn)證進(jìn)入天津港物流信息網(wǎng)，進(jìn)行權(quán)限以內(nèi)的操作。

結(jié)束語(yǔ)

CA數(shù)字認(rèn)證的應(yīng)用取得了良好的效果。與以往的\"用戶名+密碼\"的登陸方式不同的是，采用寫入了數(shù)字證書的key盤登陸，通過(guò)輸入key盤的密碼就可以直接登陸系統(tǒng)進(jìn)行操作，從數(shù)據(jù)的完整性、保密性、不可否認(rèn)性以及法律性等方面保障了網(wǎng)上交易的安全性。數(shù)字認(rèn)證技術(shù)還可以應(yīng)用到更多的應(yīng)用系統(tǒng)當(dāng)中。比如，正在開發(fā)的B/S結(jié)構(gòu)的人事系統(tǒng)就可以使用這種數(shù)字認(rèn)證技術(shù)來(lái)加強(qiáng)數(shù)據(jù)操作的安全性。在不久的將來(lái)，數(shù)字認(rèn)證技術(shù)的應(yīng)用將會(huì)越來(lái)越多，它的前景無(wú)限廣闊。