国家现代服务业服务交互支撑平台.docVIP

PAGE PAGE 4 国家现代服务业服务交互支撑平台 CA安全认证共性服务 中国国际电子商务中心 国家现代服务业服务交互支撑平台课题组 一、CA安全认证在现代服务业中的必要性 随着信息网络技术的飞速发展，从日常生活、企业运营到政府行政管理对网络的依赖程度越来越高，而网络安全问题成为我们迫切需要解决的问题，一些重要数据、文件在网上被窃取、篡改，网络欺诈、网络攻击等问题不断增多。在数据应用层面主要面临的安全问题有： 假冒身份：由于网络本身的开放性，使得非法用户可伪造、假冒应用和用户的身份，从事非法活动。因此，需要明确网络用户的电子身份，以维护网络的稳定秩序。 数据窃听：系统通过开放网络在传输敏感信息时，有可能在传输过程中截取，被非法用户加以利用。因此，需要通过密码技术保证数据的机密性。 数据恶意篡改：通过开放网络，敏感数据在传输过程中很可能遭受恶意篡改。因此，需要通过信息安全技术保证数据的完整性。 数据抵赖：数据业务操作往往关系到信用度，在交易过程中可能出现对已经发送或提交的信息数据非法抵赖现象。因此，需要有一种技术手段，提供数据不可抵赖性服务。 因此，在快速发展的电子商务、电子政务等现代服务业交易过程中，迫切需要一种成熟的技术或产品来解决以上问题。目前，以PKI为基础的依托于数字证书的电子认证技术已被证明为一种成熟可靠的技术方案而被广泛应用，以解决数据应用的安全隐患。 PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制。在PKI 中，为了确保用户的身份及他所持有密钥的正确匹配，公开密钥系统需要一个值得信赖而且独立的第三方CA（Certification Authority，CA）机构充当认证中心，来确认声称拥有公开密钥的人的真正身份，这个包含了用户身份的部分信息及用户所持有的公开密钥文件被称为数字证书。 数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的信息技术。可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全。 二、CA安全认证的功能 CA安全认证服务的前提条件是拥有数字证书。企业或个人通过CA中心颁发了数字身份证书后，可利用数字证书实现数字签名、数字签名验证、加密、解密、时间戳，身份认证等一系列的安全服务。 CA安全认证服务包括Web服务访问方式和接口函数包等形式。 （1） Web服务方式 系统通过发布各种安全服务的web服务接口，企业或个人在进行数据传递或在线交易时，通过web服务进行数据的加密、签名、获取身份票据、获取精准时间等信息。 （2） 接口函数包 系统提供各种形式的函数包：如DLL 链接库函数包及JAVA JAR函数包等，使用户可通过接口函数的调用将各种安全服务以模块化的方式集成到业务信息系统中，从而实现如签名、加密、证书验证、安全登录等功能。 具体的功能包括： 身份认证 使用数字证书登录是证书应用中一个最基本的应用方式，其应用的可靠性是基于证书的不可伪造、唯一且不可否认。 采用证书进行登录主要有两种方式：SSL登录和挑战响应登录方式。 1、SSL方式登录 采用SSL登录主要是利用了SSL的客户认证功能。如果一个SSL连接被设定为需要客户端出示证书进行认证，当建立SSL连接时，服务器端将需要客户端出示其数字证书，并且会对证书合法性进行校验，而当证书被认定为合法时，SSL连接才能够建立成功。应用系统通过取得客户端的数字证书，可以对客户端的身份进行校验，对通过身份校验的用户，可以与应用系统中ACL（Access Control List，访问权限列表）中的用户建立起对应关系，实现登录的功能。 在B/S模式下的应用系统中，如果需要实现SSL登录，只需要为Web Server申请和安装好服务器证书和私钥，并配置SSL为需要客户端证书模式，同时在需要登录的客户端浏览器上，申请和安装好数字证书及其私钥即可。当客户机需要访问服务器时，浏览器通过SSL方式连接Web Server，并出示其证书以验证身份，服务器通过客户端证书判别它是与哪台客户机进行通信，并赋予相应的权限。对于C/S模式的应用系统，实现SSL登录方式的一个简单的方法是通过SSL套接字与服务器端基于SSL的Web Service连接判别身份。 2、挑战响应登录方式 采用挑战响应登录方式是一种很通用的身份确认方式，许多基于智能卡的安全系统应用的就是采用这种方