認(rèn)證機構(gòu)CA及其在我國的發(fā)展
安時 |
01-7-23 下午 02:38:07
|
| 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和Internet的不斷普及,上網(wǎng)人數(shù)也越來越多,,網(wǎng)絡(luò)正以前所未有的速度滲透到人們的生活,、工作和學(xué)習(xí)之中。而基于網(wǎng)絡(luò),,特別是Internet的電子商務(wù)技術(shù)的發(fā)展,,更是體現(xiàn)了網(wǎng)絡(luò)對人們生活的巨大影響,真正實現(xiàn)了了足不出戶,,全球購物的夢想,。在所有的電子交易系統(tǒng)環(huán)節(jié)中,最關(guān)鍵和最重要的因素是安全,,包括交易方的身份認(rèn)證和交易信息的安全傳輸?shù)?。目前,,保障電子交易網(wǎng)絡(luò)安全比較成熟的技術(shù),是以PKI安全體系為基礎(chǔ),,以CA中心為核心的信息加密和簽名技術(shù),,通過使用簽名、加密技術(shù)來實現(xiàn)交易雙方傳遞信息的保密性,、完整性,、有效性和不可抵賴性。在電子交易系統(tǒng)中,,所有交易方均擁有一個由可信CA中心簽發(fā)的數(shù)字證書,,該證書在向接收方證明自己身份的同時,也捆綁了證書持有者的公鑰信息,。另外,,通過證書與用戶身份和權(quán)限的綁定,可以有效地控制用戶對網(wǎng)絡(luò)資源的使用和存取,。證書機制是電子交易系統(tǒng)賴以生存的基礎(chǔ),。 |
| 因此,以高度安全為建設(shè)目標(biāo)的網(wǎng)絡(luò)電子交易系統(tǒng),,必須建立在CA認(rèn)證系統(tǒng)的基礎(chǔ)之上,。而認(rèn)證中心機制還能推廣到很多其它場合,如其他場合的身份認(rèn)證,、密鑰協(xié)商等,。從整體上講,,證書機制為很多應(yīng)用場合提供了身份認(rèn)證方面完整的安全保障,,可以保證網(wǎng)上支付、網(wǎng)上交易過程等服務(wù)平臺的安全,。 |
| 所以,,在電子商務(wù)應(yīng)用中,要想實現(xiàn)真正意義上的網(wǎng)上交費,、網(wǎng)絡(luò)商品銷售和相關(guān)的增值服務(wù),,首先必須解決敏感信息(如信用卡號、密碼和交費信息等)在交易和管理時存在的安全問題,,尤其是用戶和網(wǎng)站之間的身份認(rèn)證問題,,而CA認(rèn)證系統(tǒng)正是為實現(xiàn)交易雙方的身份認(rèn)證而建立的。 |
| 由于網(wǎng)上交易的人們不可能都互相認(rèn)識,,為了確保交易的順利進行,,必須在互聯(lián)通信網(wǎng)絡(luò)中建立并維持一種令人可以信任的環(huán)境和機制。應(yīng)用最有效的安全技術(shù),,建立電子商務(wù)安全體系結(jié)構(gòu),,成為電子商務(wù)建設(shè)中首先需要解決的問題,。國際上提出了基于公開密鑰體制(PKI)的數(shù)字證書解決方案,現(xiàn)已被普遍采用,。電子商務(wù)中安全措施的實現(xiàn)主要圍繞數(shù)字證書展開的,。數(shù)字證書(Certificate)提供的是網(wǎng)絡(luò)上的身份證明。數(shù)字證書擁有者可以將其證書提供給其他人,、Web站點及網(wǎng)絡(luò)資源,,以證實他的合法身份,并且與對方建立加密的,、可信的通信,。證書除了用來向其它實體證明自己的身份外,還同時起著公鑰分發(fā)的作用,,每份證書都攜帶著持有人的公鑰,,簽名證書攜帶的是簽名公鑰,信息加密證書攜帶的是信息加密公鑰,。所有實體的證書是由一個權(quán)威機構(gòu)——CA機構(gòu)(Certificate Authority)發(fā)行的,,人們可以在交往中用它來識別對方的身份。電子商務(wù)CA先行,,沒有一個足夠穩(wěn)固,、健全的CA,一切網(wǎng)上的交易都沒有安全保障,。CA是保證電子商務(wù)安全的關(guān)鍵,。 |
| CA是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書,、并能確認(rèn)用戶身份的服務(wù)機構(gòu),。CA通常是企業(yè)性的服務(wù)機構(gòu),主要任務(wù)是受理數(shù)字證書的申請,、簽發(fā)及對數(shù)字證書的管理,。作為受信任的第三方權(quán)威機構(gòu),CA負(fù)責(zé)產(chǎn)生,、分配并管理用戶的數(shù)字證書,,使網(wǎng)上通信的各方能互相確認(rèn)身份。它的基本功能有:接收注冊請求,,處理,、拒絕/批準(zhǔn)請求,頒發(fā)證書,。在實際運作中,,CA可由大家都信任的第三方來擔(dān)當(dāng)。 |
| 數(shù)字證書是一種數(shù)字標(biāo)識,,可以說是Internet上的安全護照或身份證明,。當(dāng)人們到其他國家旅行時,用戶護照可以證實其的身份,,并被獲準(zhǔn)進入這個國家,。數(shù)字證書提供的是網(wǎng)絡(luò)上的身份證明。 |
| 數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件,。最簡單的證書包含一個公開密鑰,、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時間,,發(fā)證機關(guān)(證書授權(quán)中心)的名稱,,該證書的序列號等信息,證書的格式遵循ITUT X.509國際標(biāo)準(zhǔn),。 |
| 一個標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容: |
| 證書的序列號,每個證書都有一個唯一的證書序列號,; |
| 證書的發(fā)行機構(gòu)名稱,命名規(guī)則一般采用X.500格式,; |
| 證書的有效期,,從什么時候開始有效,到什么時候結(jié)束 |
| 證書所有人的名稱,,命名規(guī)則一般采用X.500格式,; |
| 證書機構(gòu)CA(certification authority)用于創(chuàng)建和發(fā)布證書,,它通常為一個稱為安全域(security domain)的有限群體發(fā)放證書,。創(chuàng)建證書的時候,,CA系統(tǒng)首先獲取用戶的請求信息,,其中包括用戶公鑰(公鑰一般由用戶端產(chǎn)生,如電子郵件程序或瀏覽器等),,CA將根據(jù)用戶的請求信息產(chǎn)生證書,,并用自己的私鑰對證書進行簽名。其他用戶,、應(yīng)用程序或?qū)嶓w將使用CA的公鑰對證書進行驗證,。如果一個CA系統(tǒng)是可信的,則驗證證書的用戶可以確信,,他所驗證的證書中的公鑰屬于證書所代表的那個實體,。 |
| CA還負(fù)責(zé)維護和發(fā)布證書廢除列表CRL(certificate revocation lists,,又稱為證書黑名單)。當(dāng)一個證書,,特別是其中的公鑰因為其他原因無效時(不是因為到期),,CRL提供了一種通知用戶和其他應(yīng)用的中心管理方式。CA系統(tǒng)生成CRL以后,,要么是放到LDAP服務(wù)器中供用戶查詢或下載,,要么是放置在Web服務(wù)器的合適位置,以頁面超級連接的方式供用戶直接查詢或下載,。 |
| 一個典型的CA系統(tǒng)包括安全服務(wù)器,、注冊機構(gòu)RA、CA服務(wù)器,、LDAP目錄服務(wù)器和數(shù)據(jù)庫服務(wù)器等,。如圖2所示。 |
| 安全服務(wù)器:安全服務(wù)器面向普通用戶,,用于提供證書申請,、瀏覽、證書撤消列表以及證書下載等安全服務(wù),。安全服務(wù)器與用戶的的通信采取安全信道方式(如SSL的方式,,不需要對用戶進行身份認(rèn)證)。用戶首先得到安全服務(wù)器的證書(該證書由CA頒發(fā)),,然后用戶與服務(wù)器之間的所有通信,,包括用戶填寫的申請信息以及瀏覽器生成的公鑰均以安全服務(wù)器的密鑰進行加密傳輸,只有安全服務(wù)器利用自己的私鑰解密才能得到明文,,這樣可以防止其他人通過竊聽得到明文,。從而保證了證書申請和傳輸過程中的信息安全性。 |
| CA服務(wù)器:CA服務(wù)器使整個證書機構(gòu)的核心,,負(fù)責(zé)證書的簽發(fā),。CA首先產(chǎn)生自身的私鑰和公鑰(密鑰長度至少為1024位),然后生成數(shù)字證書,,并且將數(shù)字證書傳輸給安全服務(wù)器,。CA還負(fù)責(zé)為操作員、安全服務(wù)器以及注冊機構(gòu)服務(wù)器生成數(shù)字證書,。安全服務(wù)器的數(shù)字證書和私鑰也需要傳輸給安全服務(wù)器,。CA服務(wù)器是整個結(jié)構(gòu)中最為重要的部分,存有CA的私鑰以及發(fā)行證書的腳本文件,,出于安全的考慮,,應(yīng)將CA服務(wù)器與其他服務(wù)器隔離,任何通信采用人工干預(yù)的方式,確保認(rèn)證中心的安全,。 |
| 注冊機構(gòu)RA:登記中心服務(wù)器面向登記中心操作員,,在CA體系結(jié)構(gòu)中起承上啟下的作用,一方面向CA轉(zhuǎn)發(fā)安全服務(wù)器傳輸過來的證書申請請求,,另一方面向LDAP服務(wù)器和安全服務(wù)器轉(zhuǎn)發(fā)CA頒發(fā)的數(shù)字證書和證書撤消列表,。 |
| LDAP服務(wù)器:LDAP服務(wù)器提供目錄瀏覽服務(wù),負(fù)責(zé)將注冊機構(gòu)服務(wù)器傳輸過來的用戶信息以及數(shù)字證書加入到服務(wù)器上,。這樣其他用戶通過訪問LDAP服務(wù)器就能夠得到其他用戶的數(shù)字證書,。 |
| 數(shù)據(jù)庫服務(wù)器:數(shù)據(jù)庫服務(wù)器是認(rèn)證機構(gòu)中的核心部分,用于認(rèn)證機構(gòu)中數(shù)據(jù)(如密鑰和用戶信息等),、日志合統(tǒng)計信息的存儲和管理,。實際的的數(shù)據(jù)庫系統(tǒng)應(yīng)采用多種措施,如磁盤陣列,、雙機備份和多處理器等方式,,以維護數(shù)據(jù)庫系統(tǒng)的安全性、穩(wěn)定性,、可伸縮性和高性能,。 |
| 為促進電子商務(wù)在中國的順利開展,,一些行業(yè)都已建成了自己的一套CA體系,,如中國電信CA安全認(rèn)證體系(CTCA)、中國金融認(rèn)證中心(CFCA)等,;還有一些行政區(qū)也建立了或正在建立區(qū)域性的CA體系,,如上海電子商務(wù)CA認(rèn)證中心(SHECA)、廣東省電子商務(wù)認(rèn)證中心(CNCA),、海南省電子商務(wù)認(rèn)證中心(CNCA),、云南省電子商務(wù)認(rèn)證中心(CNCA)等。 |
| 1. 中國電信CA安全認(rèn)證系統(tǒng)(CTCA) |
| 中國電信自1997年底,,開始在長沙進行電子商務(wù)試點工作,,由長沙電信局負(fù)責(zé)組織。CTCA是國內(nèi)最早的CA中心,。1999年8月3日,,中國電信CTCA安全認(rèn)證系統(tǒng)通過國家密碼委員會和信息產(chǎn)業(yè)部的聯(lián)合鑒定,并獲得國家信息產(chǎn)品安全認(rèn)證中心頒發(fā)的認(rèn)證證書,,成為首家允許在公網(wǎng)上運營的CA安全認(rèn)證系統(tǒng),。目前,,中國電信可以在全國范圍內(nèi)向用戶提供CA證書服務(wù)?,F(xiàn)在中國電信已經(jīng)為用戶發(fā)放了6萬多張CTCA證書。 |
| 中國電信CTCA系統(tǒng)有一套完善的證書發(fā)放體系和管理制度。體系采用三級管理結(jié)構(gòu):全國CA安全認(rèn)證中心,,(包括全國CTCA中心,、CTCA湖南備份中心),省級RA中心以及地市業(yè)務(wù)受理點,,在2000年6月形成覆蓋全國的CA證書申請,、發(fā)放、管理的完整體系,。系統(tǒng)為參與電子商務(wù)的不同用戶提供個人證書,、企業(yè)證書和服務(wù)器證書。同時,,中國電信還組織制定了《中國電信電子商務(wù)總體技術(shù)規(guī)范》,、《中國電信CTCA接口標(biāo)準(zhǔn)》、《網(wǎng)上支付系統(tǒng)的接口標(biāo)準(zhǔn)》,、《中國電信電子商務(wù)業(yè)務(wù)管理辦法》等,,而且中國電信向社會免費公布CTCA系統(tǒng)接口標(biāo)準(zhǔn)和API軟件包,為更多的電子商務(wù)應(yīng)用開發(fā)商提供CTCA系統(tǒng)的支持與服務(wù),。 |
| 中國電信已經(jīng)與銀行,、證券、民航,、工商,、稅務(wù)等多個行業(yè)聯(lián)合開發(fā)出了網(wǎng)上安全支付系統(tǒng)、電子繳費系統(tǒng),、電子銀行系統(tǒng),、電子證券系統(tǒng)、安全電子郵件系統(tǒng),、電子訂票系統(tǒng),、網(wǎng)上購物系統(tǒng)、網(wǎng)上報稅等一系列基于中國電信CTCA安全認(rèn)證系統(tǒng)的電子商務(wù)應(yīng)用,,已經(jīng)初步建立起中國電信電子商務(wù)平臺,。 |
| 中國金融認(rèn)證中心(CFCA)是由中國人民銀行牽頭,聯(lián)合中國工商銀行,、中國農(nóng)業(yè)銀行,、中國銀行、中國建設(shè)銀行,、交通銀行,、招商銀行、中信實業(yè)銀行,、華夏銀行,、廣東發(fā)展銀行、深圳發(fā)展銀行、光大銀行,、民生銀行等十二家商業(yè)銀行共同建設(shè)了中國金融認(rèn)證中心(China Financial Certificate Authority ,,簡稱CFCA)。中國金融認(rèn)證中心的項目包括建設(shè)SET CA和Non-SET CA兩套系統(tǒng),,工程于1999年8月30日開始實施,。SET CA由IBM公司負(fù)責(zé)承建,Non-SET CA由Entrust公司,、SUN和得達(dá)創(chuàng)新聯(lián)合建設(shè),。 |
| Non-SET CA系統(tǒng)于2000年1月19日發(fā)放了第一批試驗證書,SET系統(tǒng)于2000年3月30日試發(fā)了第一批證書,。于2000年6月20日通過了由國家密碼管理委員會和人民銀行支付科技司聯(lián)合主持的密碼產(chǎn)品本地化工作的安全性審查,。于2000年6月29日開始對社會各界提供證書服務(wù),系統(tǒng)進入運行狀態(tài),。 |
| 中國金融認(rèn)證中心(CFCA-China Finance Certificate Authority)專門負(fù)責(zé)為金融業(yè)的各種認(rèn)證需求提供證書服務(wù),,包括電子商務(wù)、網(wǎng)上銀行,、網(wǎng)上證券交易,、支付系統(tǒng)和管理信息系統(tǒng)等,為參與網(wǎng)上交易的各方提供安全的基礎(chǔ),,建立彼此信任的機制,。 |
| CFCA在建設(shè)過程中,因為技術(shù)上的問題,,使得正式發(fā)證的時間比以前計劃的時間大大推遲,。因為在操作上、證書申請的方式上還存在一些問題,,因此發(fā)放的證書不多,。 |
| 3. 國富安電子商務(wù)安全認(rèn)證中心 |
| 國富安電子商務(wù)安全認(rèn)證中心是中國國際電子商務(wù)中心(屬外經(jīng)貿(mào)部) 下屬的專業(yè)從事電子商務(wù)及信息安全的公司。根據(jù)國家“金關(guān)工程”網(wǎng)絡(luò)發(fā)展的需要,,負(fù)責(zé)建立,、維護、管理,、運營中國國際電子商務(wù)安全認(rèn)證中心,,并向社會提供數(shù)字證書服務(wù)。“商業(yè)電子信息安全認(rèn)證系統(tǒng)”已于1999年2月通過國家科技部和國家密碼管理委員會的技術(shù)鑒定,。 |
| 據(jù)了解,,國富安電子商務(wù)安全認(rèn)證中心的建立借助了國外公司的力量完成的,國富安電子商務(wù)安全認(rèn)證中心自己本身的開發(fā)力量一直不強,,因此,,在它的電子商務(wù)證書基礎(chǔ)上還沒有較多的成功應(yīng)用,,國富安本身在數(shù)字證書的基礎(chǔ)上也沒有完整的應(yīng)用軟件。外經(jīng)貿(mào)部在網(wǎng)上的電子交易很多,,但是,,其認(rèn)證系統(tǒng)也沒有采用國富安的證書系統(tǒng),。因此其發(fā)證量一直比較少,。 |
| 4. 上海市電子商務(wù)安全證書管理中心(SHECA) |
| 上海市電子商務(wù)安全證書管理中心由上海市電子商務(wù)安全證書管理中心有限公司(簡稱SHECA)負(fù)責(zé)經(jīng)營管理。上海市電子商務(wù)安全證書管理中心屬于上海市政府,。 |
| SHECA在上海市政府的大力推廣之下,,目前發(fā)證量相對來說比較多。并且,,在199年和2000年,,SHECA進行了一些比較成功的推廣應(yīng)用。 |
| 比如,,東方航空公司網(wǎng)上安全售票系統(tǒng),;上海熱線的安全電子郵件服務(wù); 基于SHECA認(rèn)證的港澳上證證券之星網(wǎng)上證券交易系統(tǒng),;上海銀行卡網(wǎng)絡(luò)服務(wù)中心支付網(wǎng)關(guān),;上海網(wǎng)上化工交易中心;基于SHECA安全認(rèn)證的企業(yè)名錄進入,;并且在上海市政府的介入下,,要求上海的各家銀行采用SHECA頒發(fā)的證書。因此SHECA在上海得到了比較好的應(yīng)用,。 |
| 另外,,還有一些其它的省級電子商務(wù)認(rèn)證中心,如北京市電子商務(wù)認(rèn)證中心,、天津市電子商務(wù)認(rèn)證中心,、云南省電子商務(wù)認(rèn)證中心(在建)、山東省電子商務(wù)認(rèn)證中心,、湖南省電子商務(wù)認(rèn)證中心,、湖北省電子商務(wù)認(rèn)證中心、廣東省電子商務(wù)認(rèn)證中心,、廣西電子商務(wù)認(rèn)證中心,、海南省電子商務(wù)認(rèn)證中心、山西省電子商務(wù)認(rèn)證中心,、吉林省電子商務(wù)認(rèn)證中心,、福建省電子商務(wù)認(rèn)證中心(在建)和深圳市電子商務(wù)認(rèn)證中心(在建)等。另外,,我國還有其他一些省市和企業(yè)機關(guān)也在著手建立自己的電子商務(wù)認(rèn)證中心,,特別是一些大型企業(yè)和事業(yè)單位,,也使用CA和證書機制來對企業(yè)用戶的身份和權(quán)限進行認(rèn)證和管理。 |
| 目前,,我國的CA建設(shè)還處于一個起步的階段,,沒有完整的統(tǒng)籌和協(xié)調(diào),CA的發(fā)展還是各自為政,,獨立發(fā)展的混亂局面,,沒有建立一個政策上固定的全國性根CA(如美國的郵政CA),這對處于權(quán)威認(rèn)證機構(gòu)的CA來說不僅是基礎(chǔ)設(shè)施的浪費,,也對電子商務(wù)中的身份認(rèn)證帶來一系列問題,,如交叉認(rèn)證的互不兼容等。相信經(jīng)過若干年的發(fā)展,,我國的CA建設(shè)在積累經(jīng)驗和教訓(xùn)的基礎(chǔ)上,,一定會形成一個全國性的、完整的和層次性合理的CA基礎(chǔ)設(shè)施,,真正為我國的電子商務(wù)發(fā)展保駕護航,。 |
| 數(shù)字證書是網(wǎng)絡(luò)中標(biāo)識實體身份的憑據(jù),,是用戶在網(wǎng)絡(luò)的虛擬世界中表明自己身份的最有效的方法,,而認(rèn)證機構(gòu)CA則是頒發(fā)數(shù)字證書的權(quán)威機構(gòu)。CA作為數(shù)字證書的頒發(fā)和維護機構(gòu),,其作用和性質(zhì)同頒發(fā)護照和身份證的政府機關(guān)和權(quán)威機關(guān)類似,,在很大程度上不是取決于技術(shù),而是取決于CA的策略和管理機制,。所以,,建設(shè)和維護CA的一個很重要方面就是制定完備的證書策略,根據(jù)不同的需要和不同的實體類型,,來頒發(fā)不同的證書,,并建立相應(yīng)的證書廢除機制。 |
|
