CA認證技術(shù)在電子政務(wù)上的應(yīng)用研究

楊景淇

摘 要 隨著信息化進程的深入和互聯(lián)網(wǎng)的迅速，信息安全顯得日益重要。本文從CA認證的角度闡述了該技術(shù)在電子政務(wù)上的應(yīng)用。本文介紹了CA認證技術(shù)、CA認證系統(tǒng)和技術(shù)方面應(yīng)用的實例——CA認證中心在EDI系統(tǒng)中的應(yīng)用。論文最后重點闡述了數(shù)字證書實現(xiàn)身份認證在電子政務(wù)中的應(yīng)用。

關(guān)鍵詞 安全 CA認證中心 身份認證 數(shù)字證書 PKI

中圖分類號：D63 文獻標(biāo)識碼：A

1CA認證概述

隨著Internet的發(fā)展，電子商務(wù)的興起，經(jīng)常需要在開放網(wǎng)絡(luò)環(huán)境中不明身份的實體之間通信，安全問題也因此日益突出。為確保網(wǎng)上電子商務(wù)交易的順利進行，必須在通信網(wǎng)絡(luò)中建立并維持一種可信任的安全環(huán)境和機制。一個完整的電子商務(wù)系統(tǒng)主要包括商家、支付系統(tǒng)和認證機構(gòu)，而認證機構(gòu)是整個電子商務(wù)系統(tǒng)的關(guān)鍵。認證機構(gòu)主要通過發(fā)放數(shù)字證書來識別網(wǎng)上參與交易各方的身份，并通過加密證書對傳輸?shù)臄?shù)據(jù)進行加密，從而保證信息的安全性、完整性和交易的不可抵賴性。

為了解決在Internet上開展電子商務(wù)的安全問題，切實保障網(wǎng)上交易和支付的安全，世界各國在經(jīng)過多年研究后，初步形成了一套完整的解決方案，其中最重要的內(nèi)容就是建立一套完整的電子商務(wù)安全認證體系。電子商務(wù)安全認證體系的核心機構(gòu)就是認證中心（CA）。認證中心作為一個權(quán)威、公正、可信的第三方機構(gòu)，它的建設(shè)是電子商務(wù)最重要的基礎(chǔ)設(shè)施之一，也是電子商務(wù)大規(guī)模發(fā)展的根本保證。

所謂CA（Certificate Authority）認證中心，它是采用PKI（Public key Infrastructure）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認證服務(wù)，負責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機構(gòu)，它的作用就像我們現(xiàn)實生活中頒發(fā)證件的公司，如護照辦理機構(gòu)。目前國內(nèi)的CA認證中心主要分為區(qū)域性CA認證中心和行業(yè)性CA認證中心兩大類。

一個典型的CA系統(tǒng)包括安全服務(wù)器、注冊機構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫服務(wù)器等。

2CA認證技術(shù)在電子政務(wù)上的應(yīng)用

網(wǎng)絡(luò)認證技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。其基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的，被認證對象的屬性可以是口令、數(shù)字簽名或者像指紋、聲音、視網(wǎng)膜這樣的生理特征。以下介紹CA認證系統(tǒng)的有關(guān)技術(shù)及其典型應(yīng)用。

2.1公鑰基礎(chǔ)設(shè)施PKI

公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）又叫公鑰體系，是一種利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范，從廣義上講，所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，都可以叫做PKI系統(tǒng)。PKI的主要目的是通過自動管理密鑰和數(shù)字證書，來為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性、有效性。PKI由公開密鑰加密技術(shù)、數(shù)字證書、認證機構(gòu)CA及相關(guān)的安全策略等基本成分共同組成。一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)包含如下幾個部分：（1）CA認證機構(gòu)，（2）X.500目錄服務(wù)器，（3）具有高強度密碼算法（如SSL）的安全www服務(wù)器，（4）Web安全通信平臺，（5）自行開發(fā)的安全應(yīng)用系統(tǒng)，綜上所述，在PKI中最重要的核心部分就是認證機構(gòu)CA。

CA身份認證系統(tǒng)基于PKI理論體系構(gòu)建，由認證服務(wù)器、管理服務(wù)器、客戶端安全認證組件和SecurSecureKey（USB智能卡）組成，支持B/S結(jié)構(gòu)和C/S結(jié)構(gòu)的應(yīng)用系統(tǒng)。系統(tǒng)中每一個用戶發(fā)一個SecurSecureKey，其中存儲有代表用戶身份的數(shù)字證書和私鑰文件，用戶在登錄系統(tǒng)時，插上SecurSecureKey，通過安全加密通訊信道與遠程身份認證服務(wù)器通訊，由認證服務(wù)器完成對用戶身份的認證，并得到當(dāng)前用戶的身份以及系統(tǒng)的授權(quán)信息。

（1）用戶在計算機USB接口上插入包含自己證書和私鑰的SecurSecureKey，訪問系統(tǒng)登錄頁面。

（2）服務(wù)器接受登錄請求，并產(chǎn)生一個臨時隨機數(shù)，發(fā)送到客戶端。

（3）用戶輸入SecurSecureKey訪問口令，點擊“登錄”按鈕。

（4）客戶端對服務(wù)器發(fā)來的隨機數(shù)以及用戶的身份信息利用SecurSecureKey硬件進行加密，并對加密結(jié)果做數(shù)字簽名，將結(jié)果發(fā)送到服務(wù)器。

（5）應(yīng)用服務(wù)器接收到客戶端發(fā)來的數(shù)據(jù)后，執(zhí)行驗證過程。

（6）應(yīng)用服務(wù)器根據(jù)認證服務(wù)器的返回結(jié)果決定登錄是否成功。

2.2系統(tǒng)功能特點

（1）安全有效的身份認證

（2）易于操作和使用

（3）自動檢測并加密指定關(guān)鍵信息

2.3 CA認證技術(shù)在電子政務(wù)中應(yīng)用

在某區(qū)電子政務(wù)的一站式訪問系統(tǒng)中，網(wǎng)上申請駕照、網(wǎng)上申請準(zhǔn)生證等模塊，都用到了基于CA認證技術(shù)實現(xiàn)身份認證的技術(shù)。

（1）基于CA認證技術(shù)實現(xiàn)身份認證的前提條件

首先要有認證中心CA實施的支持，即交易各方能夠申請到自己的數(shù)字證書，能夠從認證中心獲得證書庫信息和證書撤銷列表，并對其進行有效性和完整性驗證，交易各方面都能夠支持系統(tǒng)所需的加密算法，摘要算法等。

（2）建立通信模型

在傳輸文件前，首先進行身份認證和密鑰協(xié)商、身份認證，一是驗證對方的證書是否有效，即證書是否過期，是否已被撤銷等；二是要評估當(dāng)前用戶，在文件傳輸中的訪問權(quán)限。

（3）加載數(shù)字證書身份認證模塊的程序設(shè)計

對于安全認證系統(tǒng)來說，在程序設(shè)計中加載數(shù)字證書，來實現(xiàn)其通信各方面的身份認證和發(fā)送者行為的時候無法否認性，在如下方案中采用了安全套接層（SSL）傳輸方式。

加載數(shù)字證書的身份認證模塊：

①創(chuàng)建會話連接使用的協(xié)議。

②申請SSL會話的環(huán)境CTX。

③SSL使用TCP協(xié)議，需要把SSL attach捆綁到已經(jīng)連接的套接層上。

④SSL握手協(xié)議。

⑤握手成功后，得到對方的數(shù)字證書，與從認證中心CA獲得的數(shù)字證書比較。兩個證書如果不同，斷開連接請求，結(jié)束會話；如果相同，對方的身份得到確認。

⑥通訊結(jié)束后，需要釋放前面申請的SSL資源。

（4）系統(tǒng)安全認證分析（單向認證）

①通信身份的認證

通信過程開始時，服務(wù)器向瀏覽器發(fā)送自己的數(shù)字證書，瀏覽器從認證中心CA獲取數(shù)字證書，瀏覽器使用認證中心CA系統(tǒng)的公開密鑰解開服務(wù)器的數(shù)字證書，從而得到服務(wù)器的身份和公開密鑰，二者進行比較后，確認服務(wù)器是否為真，完成身份認證。

②不可否認性

通信過程中，信息的摘要要是使用發(fā)送方自己的私有密鑰進行簽字的，除發(fā)送者自己以外，其他人無法知道簽名者的私有密鑰，所以確定了發(fā)送的行為無法再事后否認。

3結(jié)論

從上述CA的實例中，我們可以看到目前國內(nèi)的CA已經(jīng)不再是簡單地買賣證書了，而是更多地開始為客戶提供不同領(lǐng)域的解決方案，以及開發(fā)一些相關(guān)的安全系統(tǒng)，將本身的業(yè)務(wù)拓展開來。而且在技術(shù)上，也考慮了與國際標(biāo)準(zhǔn)的接軌。

作為電子商務(wù)安全管理中極其重要的一個環(huán)節(jié)，我國CA建設(shè)的道路不是那么的平坦。要在我國建立起一個權(quán)威的根CA，實現(xiàn)國內(nèi)所有CA的交叉認證，還有很長的路要走，需要政府以及各個CA的密切配合，更需要借鑒國外成功的經(jīng)驗，在實踐中找到適合我國現(xiàn)狀的解決方案，只有做好了CA的建設(shè)，才能更加高效地為電子商務(wù)平臺提供安全保障，為我國的電子商務(wù)保駕護航。