楊景淇

摘 要 隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速，信息安全顯得日益重要。本文從CA認(rèn)證的角度闡述了該技術(shù)在電子政務(wù)上的應(yīng)用。本文介紹了CA認(rèn)證技術(shù)、CA認(rèn)證系統(tǒng)和技術(shù)方面應(yīng)用的實例——CA認(rèn)證中心在EDI系統(tǒng)中的應(yīng)用。論文最后重點(diǎn)闡述了數(shù)字證書實現(xiàn)身份認(rèn)證在電子政務(wù)中的應(yīng)用。

關(guān)鍵詞 安全 CA認(rèn)證中心 身份認(rèn)證 數(shù)字證書 PKI

中圖分類號：D63 文獻(xiàn)標(biāo)識碼：A

1CA認(rèn)證概述

隨著Internet的發(fā)展，電子商務(wù)的興起，經(jīng)常需要在開放網(wǎng)絡(luò)環(huán)境中不明身份的實體之間通信，安全問題也因此日益突出。為確保網(wǎng)上電子商務(wù)交易的順利進(jìn)行，必須在通信網(wǎng)絡(luò)中建立并維持一種可信任的安全環(huán)境和機(jī)制。一個完整的電子商務(wù)系統(tǒng)主要包括商家、支付系統(tǒng)和認(rèn)證機(jī)構(gòu)，而認(rèn)證機(jī)構(gòu)是整個電子商務(wù)系統(tǒng)的關(guān)鍵。認(rèn)證機(jī)構(gòu)主要通過發(fā)放數(shù)字證書來識別網(wǎng)上參與交易各方的身份，并通過加密證書對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，從而保證信息的安全性、完整性和交易的不可抵賴性。

為了解決在Internet上開展電子商務(wù)的安全問題，切實保障網(wǎng)上交易和支付的安全，世界各國在經(jīng)過多年研究后，初步形成了一套完整的解決方案，其中最重要的內(nèi)容就是建立一套完整的電子商務(wù)安全認(rèn)證體系。電子商務(wù)安全認(rèn)證體系的核心機(jī)構(gòu)就是認(rèn)證中心（CA）。認(rèn)證中心作為一個權(quán)威、公正、可信的第三方機(jī)構(gòu)，它的建設(shè)是電子商務(wù)最重要的基礎(chǔ)設(shè)施之一，也是電子商務(wù)大規(guī)模發(fā)展的根本保證。

所謂CA（Certificate Authority）認(rèn)證中心，它是采用PKI（Public key Infrastructure）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)，它的作用就像我們現(xiàn)實生活中頒發(fā)證件的公司，如護(hù)照辦理機(jī)構(gòu)。目前國內(nèi)的CA認(rèn)證中心主要分為區(qū)域性CA認(rèn)證中心和行業(yè)性CA認(rèn)證中心兩大類。

一個典型的CA系統(tǒng)包括安全服務(wù)器、注冊機(jī)構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫服務(wù)器等。

2CA認(rèn)證技術(shù)在電子政務(wù)上的應(yīng)用

網(wǎng)絡(luò)認(rèn)證技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。其基本思想是通過驗證被認(rèn)證對象的屬性來達(dá)到確認(rèn)被認(rèn)證對象是否真實有效的目的，被認(rèn)證對象的屬性可以是口令、數(shù)字簽名或者像指紋、聲音、視網(wǎng)膜這樣的生理特征。以下介紹CA認(rèn)證系統(tǒng)的有關(guān)技術(shù)及其典型應(yīng)用。

2.1公鑰基礎(chǔ)設(shè)施PKI

公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）又叫公鑰體系，是一種利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范，從廣義上講，所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，都可以叫做PKI系統(tǒng)。PKI的主要目的是通過自動管理密鑰和數(shù)字證書，來為用戶建立起一個安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性、有效性。PKI由公開密鑰加密技術(shù)、數(shù)字證書、認(rèn)證機(jī)構(gòu)CA及相關(guān)的安全策略等基本成分共同組成。一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)包含如下幾個部分：（1）CA認(rèn)證機(jī)構(gòu)，（2）X.500目錄服務(wù)器，（3）具有高強(qiáng)度密碼算法（如SSL）的安全www服務(wù)器，（4）Web安全通信平臺，（5）自行開發(fā)的安全應(yīng)用系統(tǒng)，綜上所述，在PKI中最重要的核心部分就是認(rèn)證機(jī)構(gòu)CA。

CA身份認(rèn)證系統(tǒng)基于PKI理論體系構(gòu)建，由認(rèn)證服務(wù)器、管理服務(wù)器、客戶端安全認(rèn)證組件和SecurSecureKey（USB智能卡）組成，支持B/S結(jié)構(gòu)和C/S結(jié)構(gòu)的應(yīng)用系統(tǒng)。系統(tǒng)中每一個用戶發(fā)一個SecurSecureKey，其中存儲有代表用戶身份的數(shù)字證書和私鑰文件，用戶在登錄系統(tǒng)時，插上SecurSecureKey，通過安全加密通訊信道與遠(yuǎn)程身份認(rèn)證服務(wù)器通訊，由認(rèn)證服務(wù)器完成對用戶身份的認(rèn)證，并得到當(dāng)前用戶的身份以及系統(tǒng)的授權(quán)信息。

（1）用戶在計算機(jī)USB接口上插入包含自己證書和私鑰的SecurSecureKey，訪問系統(tǒng)登錄頁面。

（2）服務(wù)器接受登錄請求，并產(chǎn)生一個臨時隨機(jī)數(shù)，發(fā)送到客戶端。

（3）用戶輸入SecurSecureKey訪問口令，點(diǎn)擊“登錄”按鈕。

（4）客戶端對服務(wù)器發(fā)來的隨機(jī)數(shù)以及用戶的身份信息利用SecurSecureKey硬件進(jìn)行加密，并對加密結(jié)果做數(shù)字簽名，將結(jié)果發(fā)送到服務(wù)器。

（5）應(yīng)用服務(wù)器接收到客戶端發(fā)來的數(shù)據(jù)后，執(zhí)行驗證過程。

（6）應(yīng)用服務(wù)器根據(jù)認(rèn)證服務(wù)器的返回結(jié)果決定登錄是否成功。

2.2系統(tǒng)功能特點(diǎn)

（1）安全有效的身份認(rèn)證

（2）易于操作和使用

（3）自動檢測并加密指定關(guān)鍵信息

2.3 CA認(rèn)證技術(shù)在電子政務(wù)中應(yīng)用

在某區(qū)電子政務(wù)的一站式訪問系統(tǒng)中，網(wǎng)上申請駕照、網(wǎng)上申請準(zhǔn)生證等模塊，都用到了基于CA認(rèn)證技術(shù)實現(xiàn)身份認(rèn)證的技術(shù)。

（1）基于CA認(rèn)證技術(shù)實現(xiàn)身份認(rèn)證的前提條件

首先要有認(rèn)證中心CA實施的支持，即交易各方能夠申請到自己的數(shù)字證書，能夠從認(rèn)證中心獲得證書庫信息和證書撤銷列表，并對其進(jìn)行有效性和完整性驗證，交易各方面都能夠支持系統(tǒng)所需的加密算法，摘要算法等。

（2）建立通信模型

在傳輸文件前，首先進(jìn)行身份認(rèn)證和密鑰協(xié)商、身份認(rèn)證，一是驗證對方的證書是否有效，即證書是否過期，是否已被撤銷等；二是要評估當(dāng)前用戶，在文件傳輸中的訪問權(quán)限。

（3）加載數(shù)字證書身份認(rèn)證模塊的程序設(shè)計

對于安全認(rèn)證系統(tǒng)來說，在程序設(shè)計中加載數(shù)字證書，來實現(xiàn)其通信各方面的身份認(rèn)證和發(fā)送者行為的時候無法否認(rèn)性，在如下方案中采用了安全套接層（SSL）傳輸方式。

加載數(shù)字證書的身份認(rèn)證模塊：

①創(chuàng)建會話連接使用的協(xié)議。

②申請SSL會話的環(huán)境CTX。

③SSL使用TCP協(xié)議，需要把SSL attach捆綁到已經(jīng)連接的套接層上。

④SSL握手協(xié)議。

⑤握手成功后，得到對方的數(shù)字證書，與從認(rèn)證中心CA獲得的數(shù)字證書比較。兩個證書如果不同，斷開連接請求，結(jié)束會話；如果相同，對方的身份得到確認(rèn)。

⑥通訊結(jié)束后，需要釋放前面申請的SSL資源。

（4）系統(tǒng)安全認(rèn)證分析（單向認(rèn)證）

①通信身份的認(rèn)證

通信過程開始時，服務(wù)器向瀏覽器發(fā)送自己的數(shù)字證書，瀏覽器從認(rèn)證中心CA獲取數(shù)字證書，瀏覽器使用認(rèn)證中心CA系統(tǒng)的公開密鑰解開服務(wù)器的數(shù)字證書，從而得到服務(wù)器的身份和公開密鑰，二者進(jìn)行比較后，確認(rèn)服務(wù)器是否為真，完成身份認(rèn)證。

②不可否認(rèn)性

通信過程中，信息的摘要要是使用發(fā)送方自己的私有密鑰進(jìn)行簽字的，除發(fā)送者自己以外，其他人無法知道簽名者的私有密鑰，所以確定了發(fā)送的行為無法再事后否認(rèn)。

3結(jié)論

從上述CA的實例中，我們可以看到目前國內(nèi)的CA已經(jīng)不再是簡單地買賣證書了，而是更多地開始為客戶提供不同領(lǐng)域的解決方案，以及開發(fā)一些相關(guān)的安全系統(tǒng)，將本身的業(yè)務(wù)拓展開來。而且在技術(shù)上，也考慮了與國際標(biāo)準(zhǔn)的接軌。

作為電子商務(wù)安全管理中極其重要的一個環(huán)節(jié)，我國CA建設(shè)的道路不是那么的平坦。要在我國建立起一個權(quán)威的根CA，實現(xiàn)國內(nèi)所有CA的交叉認(rèn)證，還有很長的路要走，需要政府以及各個CA的密切配合，更需要借鑒國外成功的經(jīng)驗，在實踐中找到適合我國現(xiàn)狀的解決方案，只有做好了CA的建設(shè)，才能更加高效地為電子商務(wù)平臺提供安全保障，為我國的電子商務(wù)保駕護(hù)航。