电信行业数字认证中心（CA）建设策略报告.doc

电信行业数字认证中心（CA）建设策略报告 1 前言 1.1研究背景 目前,随着移动增值业务飞速发展, 各类数字业务（图片、音频、视频、KJAVA等）很好满足用户对于丰富多彩的内容需求，提升用户的业务体验增值服务的运作技术和运作方式都已经日趋成熟《电子签名法》指用户登录系统的用户名和口令是一次性产生，在使用过程中总是固定的动态口令是对传统的静态口令技术的改进，它采用双因数认证的原理，即用户既要拥有一些如系统颁发的token，又要知道一些如启用token的口令。比口令的认证方法具有更好的安全性，在一定程度上解决了基于静态口令的认证方法所面临的威胁。SSL协议 现在，都支持SSL协议(The Secure Sockets Layer)。这是一个在传输层和应用层之间的安全通信层，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。保证用户输入的机密信息从用户端浏览器到服务器之间的传输是高强度加密传输的，从而有效地防止了银行卡信息、网上购物帐号、密码和交易数据不会在传输过程中被非法窃取和篡改，保证了机密信息的机密性和完整性SSL协议不能提供对性的支持这部分的工作必须由数字证书完成SSL协议运行的是对客户信息保密的承诺。SSL协议有利于而不利于客户。认证客户是必要的，但整个过程中，缺少了客户对的认证。在电子商务的开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加，对的认证问题越来越突出，SSL协议的缺点完全暴露出来。??也就是说，只解决了服务器端安全问题，而整个系统中最薄弱的环节 — 客户端安全问题并没有解决。Infrastructure，公钥基础设施)安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，用它来管理在移动网络环境中使用的公开密钥和数字证书，有效建立安全和值得信赖的无线网络环境。 WPKI并不是一个全新的PKI标准，它是传统的PKI技术应用于无线环境的优化扩展。它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。它同样采用证书管理公钥，通过第三方的可信任机构——认证中心(CA)验证用户的身份，从而实现信息的安全传输。 目前，国际上很多国家都在研究WPKI技术，美国、日本和欧洲各国都已发展出自己的信息安全技术和产业，WPKI领域的主流体系有如下几种：WAP FORUM制定的WAP PKI）；日本NTT的I-MODE的安全体系；美国PALM公司的安全体系；这些组织的WPKI体系均具备自己完整的协议体系，并且已经在无线数据业务中得到实际应用。既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系从字面上理解，PKI就是利用公钥理论和技术为网络建立的提供安全服务的基础设施是互联网信息安全技术的核心。PKI的核心是信任关系的管理。第三方信任和直接信任是所有网络安全产品实现的基础。所谓第三方信任是指两个人可以通过第三方间接地达到彼此信任。当两个陌生人都和同一个第三方彼此信任并且第三方也担保他们的可信度时，这两个陌生人就可以做到彼此信任。在任何大规模的网络里，基于第三方的信任是必要并且有效的。当在很多人中建立第三方信任时，就需要有一个权威来确保信任度。 不能实现信息的加密和签名，无法保证信息传输的安全 不支持抗抵赖性 具有单点故障隐患，认证服务器出问题，整个系统就不可用 客户端和服务器需要严格的同步 不支持抗抵赖性 客户端安全未解决 具有单双向身份认证功能； 高强度的加/解密机制，保证信息不泄漏 保证传输过程信息的完整性，不被恶意窜改 支持抗抵赖性 具有良好的安全审计功能 技术成熟性 技术成熟 技术成熟 技术成熟 技术成熟 使用方便性 不方便，有多个系统时，用户需要记住多个口令 不方便 方便 方便 扩展性 差，多平台使用同一套口令将存在巨大的安全隐患 差，每个系统需要单独配置 较好 是基础设施，具有很强的扩展性 兼容性 好，支持多种平台 好，支持多种平台 好，支持多种平台 好，支持多种平台 法律支持 无法律支持 无法律支持 无法律支持 已经出台的《电子签名法》法律支持环境已经建立 3国内CA现状分析 3.1 国内CA行业分析 2000到2001年，国内掀起了CA建设热潮。众多地方政府和诸多行业纷纷建成了各自的数字证书认证中心。而CA建设市场更是高达7亿元人民币。根据各自的经营领域和背景，逐渐形成了三类CA运营商：行业CA、地方CA和商业CA。 行业CA主要服务于国家重点行业的日常业务，以电子政务为主要服务市场。如中国电信CA（CTCA）、商务部CA、金税CA、海关CA等。行业CA多服务于行业内部应用，保障行业信息系统的访问安全。行业CA由于拥有良好的应用基