摘 要:針對當(dāng)前CA數(shù)字證書推廣問題以及CA安全平臺構(gòu)建實(shí)施難問題，提出了CA數(shù)字證書中間件技術(shù)安全平臺構(gòu)建方案。該方案支持多種CA證書體系、多個品牌型號的EKEY身份認(rèn)證設(shè)備;打破了傳統(tǒng)CA安全平臺實(shí)施方法，極大促進(jìn)CA數(shù)字證書的推廣和應(yīng)用，使CA安全平臺快速構(gòu)建。尤其結(jié)合陜西省機(jī)動車網(wǎng)絡(luò)交易平臺項目予以實(shí)施驗(yàn)證，具有良好的借鑒意義。

關(guān)鍵詞:CA數(shù)字證書;身份認(rèn)證;安全認(rèn)證;安全平臺;應(yīng)用中間件

中圖分類號:TP319 文獻(xiàn)標(biāo)識碼:A

文章編號:1004-373X(2010)03-049-03

Research of Security Platform Construction Based on CA Digital Certificate

GUO Jinsheng

(Shaanxi Provensional Information Center，Xi′an，710006，China)

Abstract:A solution of CA digital certificate promotion and construction which is to build a security platform based on CA digital certificate as application middleware is introduced.This solution supports various CA certificate systems and EKEY ID authentication device produced by different organizations and companies.It is a revolution of CA and improves the speed to construct CA security platform and promote CA digital certificate application.There is a significant meaning of this creative solution to be used in Automotive Trading System in Shaanxi Province for implementation and verification.

Keywords:CA digital certificate;identity authentication;security certification;security platform;application middleware

0 引 言

伴隨著Internet網(wǎng)絡(luò)的普及，電子商務(wù)、電子政務(wù)等計算機(jī)應(yīng)用技術(shù)在國民經(jīng)濟(jì)生活中的應(yīng)用和推廣。CA數(shù)字證書作為解決網(wǎng)絡(luò)安全、數(shù)字安全的一項重要技術(shù)，倍受各行各業(yè)的普遍關(guān)注。

所謂數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標(biāo)準(zhǔn)[1，2]。

使用數(shù)字證書，運(yùn)用對稱和非對稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，保證信息除發(fā)送方和接收方外不被其他人竊取;信息在傳輸過程中不被篡改;發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份;發(fā)送方對于自己的信息不能抵賴。 因此數(shù)字證書具有信息傳輸?shù)谋Ｃ苄浴?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性、交易者身份的確定性。

我國于2004年頒布了《電子簽名法》對數(shù)字證書等安全技術(shù)予以確立和保障;各級政府要求加強(qiáng)CA數(shù)字證書的應(yīng)用和推廣[3]。目前我國各省市都先后建立CA數(shù)字證書頒發(fā)和管理機(jī)構(gòu)，其中有全國性的CA體系:如中國電信CTCA、中國金融CFCA，地方性CA中心如上海數(shù)字證書認(rèn)證中心、陜西省數(shù)字證書中心等。

1 問題提出

當(dāng)前CA數(shù)字證書的應(yīng)用情況并不理想，其原因除了國內(nèi)普遍信息安全意識淡漠、用戶認(rèn)同程度低，更普遍的原因在于數(shù)字證書的頒發(fā)者和推廣者(CA中心)并沒有真正肩負(fù)起結(jié)合應(yīng)用的推廣工作，似乎CA數(shù)字證書就是發(fā)證的機(jī)構(gòu)。

要發(fā)揮它的價值，需要結(jié)合具體的應(yīng)用，需要CA數(shù)字證書中心與各軟件廠商進(jìn)行緊密合作，支持并引導(dǎo)軟件廠商采用CA數(shù)字證書設(shè)計系統(tǒng)安全方案。事實(shí)上絕大多數(shù)軟件廠商對于CA數(shù)字證書往往缺乏深入了解，并不完全掌握CA數(shù)字證書技術(shù)應(yīng)用;在沒有一定的技術(shù)積累和支持情況下，采用CA數(shù)字證書進(jìn)行系統(tǒng)實(shí)施，其成本和風(fēng)險是顯而易見的。

建立“CA數(shù)字證書應(yīng)用中間件”是解決問題的最佳途徑。軟件廠商不需要深入學(xué)習(xí)和掌握PKI等CA數(shù)字證書核心技術(shù)，只需通過CA數(shù)字證書應(yīng)用中間件的相關(guān)接口，直接實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)簽名加密等安全服務(wù)，軟件廠商只需將主要精力投入到應(yīng)用系統(tǒng)的開發(fā)。

2 解決方案

2.1 系統(tǒng)目標(biāo)

CA數(shù)字證書應(yīng)用中間件是CA數(shù)字證書與目標(biāo)應(yīng)用系統(tǒng)之間的橋梁，它實(shí)現(xiàn)了數(shù)字證書的管理、與目標(biāo)應(yīng)用系統(tǒng)的集成，并為目標(biāo)應(yīng)用系統(tǒng)提供集成CA數(shù)字證書的良好接口，實(shí)現(xiàn)集中調(diào)度[1，2，4-6]。在該中間件研究過程中，將涉及如下核心問題:

(1) 不同認(rèn)證中心的CA數(shù)字證書技術(shù)接口、標(biāo)準(zhǔn)，以及不同廠家的電子鑰匙的技術(shù)研究，并在此基礎(chǔ)上提出具有廣泛支持性的接口和標(biāo)準(zhǔn)。

(2) 對于各類應(yīng)用系統(tǒng)(如電子政務(wù)、電子商務(wù)、MIS應(yīng)用、企業(yè)信息化等)，無論其所采用的技術(shù)體系(無論是C/S，還是B/S)、操作系統(tǒng)(無論是Windows，還是Linux、UNIX)、實(shí)現(xiàn)技術(shù)(無論是C++，Delphi，VB，PB，還是ASP/ASP.Net，Java，PHP)、數(shù)據(jù)庫(Access，MS SQL，UDB，ORACLE，SYABSE，Informix，等)，本系統(tǒng)都能作為一個中間件系統(tǒng)，為其提供接口，以實(shí)現(xiàn)CA數(shù)字證書的實(shí)施。

2.2 設(shè)計方案

CA數(shù)字證書應(yīng)用中間件采用中間件設(shè)計思想，將有關(guān)CA數(shù)字證書的處理環(huán)節(jié)提煉并集成為一個獨(dú)立的中間件系統(tǒng)，獨(dú)立運(yùn)行，并負(fù)責(zé)支持各個應(yīng)用系統(tǒng)的CA數(shù)字證書服務(wù)。系統(tǒng)處理模型如圖1所示[1，2，4-7]。

圖1 CA數(shù)字證書應(yīng)用系統(tǒng)處理模型

從該模型圖中，CA數(shù)字證書應(yīng)用中間件系統(tǒng)將包含如下幾個部分:

(1) CA數(shù)字證書管理系統(tǒng)

基于數(shù)據(jù)庫管理，負(fù)責(zé)對CA數(shù)字證書的統(tǒng)一管理和維護(hù)，其功能包括:EKEY初始化處理、證書灌制系統(tǒng)、證書登記注冊、證書更新維護(hù)(修改、刪除、注銷)、證書導(dǎo)入、證書導(dǎo)出、證書分類查詢、證書綜合查詢、證書注銷管理、證書在線檢測等，為基礎(chǔ)管理系統(tǒng)。

(2) 證書服務(wù)伺服器

該系統(tǒng)運(yùn)行在CA數(shù)字證書服務(wù)器，負(fù)責(zé)與應(yīng)用系統(tǒng)的服務(wù)請求、調(diào)度，最終實(shí)現(xiàn)統(tǒng)一的CA數(shù)字證書服務(wù)相關(guān)服務(wù)處理。

(3) 證書服務(wù)接口

證書服務(wù)接口提供統(tǒng)一對外的證書輸入、輸出接口。能夠適應(yīng)無論Linux，Windows，C/S，B/S，JSP，ASP，VB/Delphi/C等多種環(huán)境、開發(fā)技術(shù)的接口。

對于Win32或者ASP等技術(shù)下的應(yīng)用系統(tǒng)，提供以DCOM組件方式以響應(yīng)。

對于Unix或者JSP等技術(shù)下的應(yīng)用系統(tǒng)，提供以WebService方式以響應(yīng)。

常用證書服務(wù)接口如表1所示。

表1 常用接口函數(shù)

接口函數(shù)功能

GetCertInfo獲取證書狀態(tài)信息:是否有效?是否存在?有效期?持證人信息

GetCertUserInfo獲取證書所對應(yīng)的應(yīng)用系統(tǒng)中用戶編號、名稱、用戶角色

GetOpRight獲取證書用戶在系統(tǒng)中所具有的操作權(quán)限

PubEncry數(shù)據(jù)加密處理，對原文進(jìn)行對稱加密并返回結(jié)果

PubUnEncry對用戶加密(對稱加密)過的密文進(jìn)行在線解密并返回結(jié)果

SignDataVerify對數(shù)據(jù)進(jìn)行簽名驗(yàn)證處理。

…………

(4) 證書安全套件[3]

證書安全套件主要應(yīng)用各個客戶端的CA數(shù)字證書處理，包括:

IE在線檢測安全件:即在IE瀏覽器上實(shí)時在線檢測EKEY插入狀態(tài)。

OCX安全控件:用于客戶端證書的讀取、判斷、及加密、簽名、驗(yàn)證等功能的實(shí)現(xiàn)。

實(shí)現(xiàn)個人證書的查看、檢測、導(dǎo)出、密碼修改、文件加解密等功能。

2.3 系統(tǒng)特點(diǎn)

(1) 基于PKI技術(shù)實(shí)現(xiàn)用戶身份認(rèn)證，同時支持客戶-服務(wù)器間的雙向身份認(rèn)證，消除了“用戶名+口令”的傳統(tǒng)登錄方式帶來的系統(tǒng)安全性問題，保證身份認(rèn)證的安全性和準(zhǔn)確性，所以是最安全和方便的身份認(rèn)證方式。

(2) 采用以數(shù)字證書為基礎(chǔ)的公鑰密碼系統(tǒng)(Certificate-based Public Key Cryptosystem)，通過可信的第三方(Trusted Third Party，TTP)來保證證書和公鑰的有效性。

(3) 系統(tǒng)安裝和使用都很簡單:本軟件將數(shù)字證書這一“復(fù)雜”的工具隱藏在系統(tǒng)后臺，使用者不需要了解關(guān)于CA的任何知識就能方便的使用。在系統(tǒng)的安裝上，普通的管理員按照說明書就能完成，極大地降低了技術(shù)門檻。

(4) 可以實(shí)現(xiàn)與系統(tǒng)代碼級的結(jié)合，并且適用于各種類型的應(yīng)用系統(tǒng)。

(5) 使用國密辦認(rèn)定的EKEY存儲介質(zhì)，具有安全性高、速度快、穩(wěn)定性高等特點(diǎn)[8-11]。

(6) 支持各種基于X.509標(biāo)準(zhǔn)的CA證書，包括中國電信CTCA、金融系統(tǒng)CFCA等[11]。

(7) 不改變用戶使用習(xí)慣，惟一的變化就在于用戶使用系統(tǒng)時，必須在計算機(jī)上插上代表自己身份的EKEY(USB接口)，其他沒有任何變化。

3 應(yīng)用案例——陜西省機(jī)動車交易CA數(shù)字證書安全平臺構(gòu)建

3.1 系統(tǒng)背景

陜西省機(jī)動車交易網(wǎng)絡(luò)平臺系統(tǒng)是我國國內(nèi)最早實(shí)現(xiàn)稅務(wù)、商務(wù)、公安等部門聯(lián)合監(jiān)管管理、實(shí)現(xiàn)全省各交易市場、評估公司、經(jīng)營公司網(wǎng)上聯(lián)合交易的網(wǎng)絡(luò)平臺系統(tǒng)。系統(tǒng)涉及到全省機(jī)動車交易、稅務(wù)等核心數(shù)據(jù)，涉及到全省多個不同的角色的應(yīng)用，因此整個系統(tǒng)的安全設(shè)計是非常重要的。

系統(tǒng)引用CTCA的陜西RA中心——陜西電子商務(wù)安全認(rèn)證中心頒發(fā)的CA數(shù)字證書，結(jié)合EKEY安全存儲設(shè)備構(gòu)建CA數(shù)字證書安全體系，通過數(shù)字證書實(shí)現(xiàn)用戶身份認(rèn)證以及系統(tǒng)核心數(shù)據(jù)的加密簽名傳輸，確保整個系統(tǒng)的應(yīng)用安全。

應(yīng)用系統(tǒng)技術(shù)體系:ASP/Delphi+MS SQL Server

3.2 構(gòu)建思路

系統(tǒng)采用了“CA數(shù)字證書安全中間件”體系，即通過該中間件以及相關(guān)接口迅速實(shí)現(xiàn)整個系統(tǒng)的安全要求，參見圖2。

圖2 陜西省機(jī)動車交易網(wǎng)絡(luò)平臺系統(tǒng)

CA數(shù)字證書平臺構(gòu)建模型圖

機(jī)動車交易網(wǎng)絡(luò)系統(tǒng)的部署和系統(tǒng)后臺保持不變;設(shè)立獨(dú)立的CA數(shù)字證書服務(wù)器，安裝和運(yùn)行CA數(shù)字證書安全中間件系統(tǒng)(證書服務(wù)伺服務(wù)器和CA數(shù)字證書管理系統(tǒng)等子系統(tǒng))，實(shí)現(xiàn)CA數(shù)字證書灌制、用戶登記、權(quán)限設(shè)置，以及證書服務(wù)的(CORBA服務(wù)器)運(yùn)行。

其二、對機(jī)動車交易網(wǎng)絡(luò)系統(tǒng)身份認(rèn)證和關(guān)鍵數(shù)據(jù)傳輸部分代碼中加入證書服務(wù)相應(yīng)接口代碼，實(shí)現(xiàn)相關(guān)服務(wù)請求，CA處理技術(shù)細(xì)節(jié)則交由中間件相關(guān)服務(wù)中。該程序改造工作大約1~2天時間便可完成。

3.3 應(yīng)用效果

整個CA數(shù)字證書安全平臺搭建、集成僅用3天時間，速度非常之快。經(jīng)過近一周的證書發(fā)放及反復(fù)測試，確認(rèn)系統(tǒng)無誤后便正式推廣應(yīng)用。目前整個CA數(shù)字證書安全應(yīng)用在該項目中的稅務(wù)管理、商務(wù)部門的監(jiān)管管理以及機(jī)動車網(wǎng)絡(luò)鑒定評估中得到了充分應(yīng)用。

4 結(jié) 語

限于篇幅，本文沒有深入介紹和分析CA數(shù)字證書應(yīng)用中間件更多的技術(shù)實(shí)現(xiàn)細(xì)節(jié)，只能拋磚引玉，提供一個概要的設(shè)計方案，為CA數(shù)字證書的應(yīng)用提供參考。

參考文獻(xiàn)

[1]何寧，鄭偉，常春.基于SSL協(xié)議的訪問控制體系的分析與設(shè)計[J].控制工程，2004，11(2):118-120，189.

[2]楊宏宇，高亮，宋敏.民航信息安全通報平臺CA Manager模型[J].吉林大學(xué)學(xué)報:信息科學(xué)版，2008，26(3):287-294.

[3]中華人民共和國電子簽名法[S].2004.

[4]張凱，王喻，袁時金.一個安全異步Web服務(wù)應(yīng)用平臺的實(shí)現(xiàn)方案[J].計算機(jī)工程，2004，30(5):25-26.

[5]趙偉，劉云.Ad Hoc網(wǎng)絡(luò)的兩種分布式CA安全方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007(10):67-68.

[6]熊焰，苗付友，張偉超，等.移動自組網(wǎng)中基于多跳步加密簽名函數(shù)簽名的分布式認(rèn)證 [J].電子學(xué)報，2003，31(2):161-165.

[7]劉培超，楊浩，周熙.一種移動Ad Hoc網(wǎng)絡(luò)的安全路由認(rèn)證系統(tǒng)[J].通信技術(shù)，2008(11):60-62.

[8]國家密碼管理局.商用密碼科研管理規(guī)定[S].2005.

[9]國家密碼管理局.商用密碼產(chǎn)品生產(chǎn)管理規(guī)定[S].2005.

[10]國家密碼管理局.商用密碼產(chǎn)品銷售管理規(guī)定[S].2005.

[11]何麗，蔡小剛，周利華.基于USBKey的X.509身份認(rèn)證[J].計算機(jī)與現(xiàn)代化，2003(4):58-60.

[12]公安部.互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定[S].2005.