电信行业数字认证中心(CA)建设策略报告.pdfVIP

1 前言 目前,随着移动增值业务飞速发展, 各类数字业务（图片、音频、视频、KJAVA 游戏等）很好的满足了用户对于丰富多彩的内容的需求，提升了用户的业务体验。 增值服务的运作技术和运作方式都已经日趋成熟。但是,在对数字内容版权和网 络安全方面(机密性,完整性,真实身份认证,交易的不可抵赖性)没有得到足够的 支持。为了解决以上问题,需要一个数字证书认证中心.即CA(Certification Authority)作为受信任的第三方,为电子商务环境中各个实体颁发数字证书, 以 证明各实体身份的真实性，并负责在交易中检验和管理证书。 2005年4月1 日,国家开始实施 《中华人民共和国电子签名法》，信息产业 部也出台了与之相匹配的 《电子认证服务管理办法》。在法规中对CA数字认证 中心提出了具体的要求和规范。现国内已取得资质的认证中心大概有二十家左 右。关于CA 认证中心的相关法规也正在进一步完善中。 本文的编写目的，就是探讨中国网通在开展3G业务时,主要是在开展DRM, 支付,OTA下载等业务方面如何建设CA 的方案和策略建议。分析和解答应用中可 能面临的各种问题，提出策略性的建议，为中国网通未来3G业务中CA 的建设选 择提供依据。 首先，介绍了目前存在的多种电子安全解决方案,并对其进行了比较。 其次, 分析了当前国内CA建设的现状,对CA建设涉及的相关法规,标准,及相关 组织关系进行了研究。 再次, 重点提出了CA不同建设方案的模式,对各种建设模式的优缺点进行比较。 然后, 分析各个运营商CA建设现状。 最后就中国网通CA建设解决方案以及实施策略提出了可行性建议。  中国网通作为未来的3G 业务运营商，应该在部分 3G 业务中逐渐采用基于 PKI/CA体系的数字认证解决方案。  建议中国网通在业务开展初期采用联合建设或者托管的方式来建设 CA 系 统，以便节省投资，降低投资风险，同时还可以向第三方CA 机构学习 CA 运营和维护的经验。等到业务开展比较成熟，用户对CA认证的需求增大时， 此时中国网通已经积累了一些运营和管理CA系统的经验，可考虑在初期建 设的CA系统基础上自建CA系统，脱离第三方CA机构。  中国网通应该在全国范围内建设CA系统，由全国中心CA 中心统一管理各 省的RA 中心。  中国网通应该独立建设CA系统，和其他业务系统在逻辑上和物理上完全分 开，把对其他业务系统的影响降低到最小。  中国网通应该和终端厂商、服务器提供商、卡商提前签署合作协议，在终端、 卡和服务器出厂前就灌装网通CA 中心的根数字证书。  建议用户通过较为安全的方式获得用户数字证书。（终端或者卡出厂前预装、 PUSH方式、通过验证登陆门户后下载、营业厅办理等方式）。  在业务开展中期，中国网通需要自建CA系统时，中国网通应该注册成立独 立的网通控股的CA运营公司。这样CA系统即符合国家政策法规，又可以 面向其他行业来盈利。  建议中国网通在DRM系统、移动支付系统、SP认证管理中最先使用CA认 证。对于其他业务系统可根据运营时的用户需求来确定是否使用CA认证。 2 电子安全解决方案比较 2.1 用户账号加密码 （1） 静态口令认证技术是指用户登录系统的用户名和口令是一次性产生，在使 用过程中总是固定不变的，用户输入用户名和口令，用户名和口令通过网 络传输给服务器，服务器提取用户名和口令，与系统中保存的用户名和口 令进行匹配，检查是否一致，系统从而实现对用户的身份验证。静态口令 靠口令本身的复杂度来保证认证的安全强度，但是复杂的口令没有规律、 不易记忆；并且静态口令在网络中传输的时候很容易被截取。 （2） 动态口令认证技术是对传统的静态口令技术的改进，它采用双因数认证的 原理，即用户既要拥有一些信息，如系统颁发的token，又要知道一些信 息，如启用token的口令。动态口令的安全强度要高于静态口令，用户每 次通过某种方式重新获得口令，口令是变化不定的；但是口令的动态变化 必须依靠增加硬件设备来实现。动态口令比静态口令的认证方法具有更好 的安全性，在一定程度上解决了基于静态口令的认证方法所面临的威胁。 2.2 SSL 协议 现在，大部分的WEB服务器和浏览器都支持SSL协议(The Secure Sockets Layer)。这是一个在传输层和