CA認證技術在電子政務上的應用研究

楊景淇

摘 要 隨著信息化進程的深入和互聯(lián)網的迅速，信息安全顯得日益重要。本文從CA認證的角度闡述了該技術在電子政務上的應用。本文介紹了CA認證技術、CA認證系統(tǒng)和技術方面應用的實例——CA認證中心在EDI系統(tǒng)中的應用。論文最后重點闡述了數(shù)字證書實現(xiàn)身份認證在電子政務中的應用。

關鍵詞 安全 CA認證中心 身份認證 數(shù)字證書 PKI

中圖分類號：D63 文獻標識碼：A

1CA認證概述

隨著Internet的發(fā)展，電子商務的興起，經常需要在開放網絡環(huán)境中不明身份的實體之間通信，安全問題也因此日益突出。為確保網上電子商務交易的順利進行，必須在通信網絡中建立并維持一種可信任的安全環(huán)境和機制。一個完整的電子商務系統(tǒng)主要包括商家、支付系統(tǒng)和認證機構，而認證機構是整個電子商務系統(tǒng)的關鍵。認證機構主要通過發(fā)放數(shù)字證書來識別網上參與交易各方的身份，并通過加密證書對傳輸?shù)臄?shù)據進行加密，從而保證信息的安全性、完整性和交易的不可抵賴性。

為了解決在Internet上開展電子商務的安全問題，切實保障網上交易和支付的安全，世界各國在經過多年研究后，初步形成了一套完整的解決方案，其中最重要的內容就是建立一套完整的電子商務安全認證體系。電子商務安全認證體系的核心機構就是認證中心（CA）。認證中心作為一個權威、公正、可信的第三方機構，它的建設是電子商務最重要的基礎設施之一，也是電子商務大規(guī)模發(fā)展的根本保證。

所謂CA（Certificate Authority）認證中心，它是采用PKI（Public key Infrastructure）公開密鑰基礎架構技術，專門提供網絡身份認證服務，負責簽發(fā)和管理數(shù)字證書，且具有權威性和公正性的第三方信任機構，它的作用就像我們現(xiàn)實生活中頒發(fā)證件的公司，如護照辦理機構。目前國內的CA認證中心主要分為區(qū)域性CA認證中心和行業(yè)性CA認證中心兩大類。

一個典型的CA系統(tǒng)包括安全服務器、注冊機構RA、CA服務器、LDAP目錄服務器和數(shù)據庫服務器等。

2CA認證技術在電子政務上的應用

網絡認證技術是網絡安全技術的重要組成部分之一。其基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的，被認證對象的屬性可以是口令、數(shù)字簽名或者像指紋、聲音、視網膜這樣的生理特征。以下介紹CA認證系統(tǒng)的有關技術及其典型應用。

2.1公鑰基礎設施PKI

公鑰基礎設施PKI（Public Key Infrastructure）又叫公鑰體系，是一種利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規(guī)范，從廣義上講，所有提供公鑰加密和數(shù)字簽名服務的系統(tǒng)，都可以叫做PKI系統(tǒng)。PKI的主要目的是通過自動管理密鑰和數(shù)字證書，來為用戶建立起一個安全的網絡運行環(huán)境，使用戶可以在多種應用環(huán)境下方便地使用加密和數(shù)字簽名技術，從而保證網上數(shù)據的機密性、完整性、有效性。PKI由公開密鑰加密技術、數(shù)字證書、認證機構CA及相關的安全策略等基本成分共同組成。一個典型、完整、有效的PKI應用系統(tǒng)至少應包含如下幾個部分：（1）CA認證機構，（2）X.500目錄服務器，（3）具有高強度密碼算法（如SSL）的安全www服務器，（4）Web安全通信平臺，（5）自行開發(fā)的安全應用系統(tǒng)，綜上所述，在PKI中最重要的核心部分就是認證機構CA。

CA身份認證系統(tǒng)基于PKI理論體系構建，由認證服務器、管理服務器、客戶端安全認證組件和SecurSecureKey（USB智能卡）組成，支持B/S結構和C/S結構的應用系統(tǒng)。系統(tǒng)中每一個用戶發(fā)一個SecurSecureKey，其中存儲有代表用戶身份的數(shù)字證書和私鑰文件，用戶在登錄系統(tǒng)時，插上SecurSecureKey，通過安全加密通訊信道與遠程身份認證服務器通訊，由認證服務器完成對用戶身份的認證，并得到當前用戶的身份以及系統(tǒng)的授權信息。

（1）用戶在計算機USB接口上插入包含自己證書和私鑰的SecurSecureKey，訪問系統(tǒng)登錄頁面。

（2）服務器接受登錄請求，并產生一個臨時隨機數(shù)，發(fā)送到客戶端。

（3）用戶輸入SecurSecureKey訪問口令，點擊“登錄”按鈕。

（4）客戶端對服務器發(fā)來的隨機數(shù)以及用戶的身份信息利用SecurSecureKey硬件進行加密，并對加密結果做數(shù)字簽名，將結果發(fā)送到服務器。

（5）應用服務器接收到客戶端發(fā)來的數(shù)據后，執(zhí)行驗證過程。

（6）應用服務器根據認證服務器的返回結果決定登錄是否成功。

2.2系統(tǒng)功能特點

（1）安全有效的身份認證

（2）易于操作和使用

（3）自動檢測并加密指定關鍵信息

2.3 CA認證技術在電子政務中應用

在某區(qū)電子政務的一站式訪問系統(tǒng)中，網上申請駕照、網上申請準生證等模塊，都用到了基于CA認證技術實現(xiàn)身份認證的技術。

（1）基于CA認證技術實現(xiàn)身份認證的前提條件

首先要有認證中心CA實施的支持，即交易各方能夠申請到自己的數(shù)字證書，能夠從認證中心獲得證書庫信息和證書撤銷列表，并對其進行有效性和完整性驗證，交易各方面都能夠支持系統(tǒng)所需的加密算法，摘要算法等。

（2）建立通信模型

在傳輸文件前，首先進行身份認證和密鑰協(xié)商、身份認證，一是驗證對方的證書是否有效，即證書是否過期，是否已被撤銷等；二是要評估當前用戶，在文件傳輸中的訪問權限。

（3）加載數(shù)字證書身份認證模塊的程序設計

對于安全認證系統(tǒng)來說，在程序設計中加載數(shù)字證書，來實現(xiàn)其通信各方面的身份認證和發(fā)送者行為的時候無法否認性，在如下方案中采用了安全套接層（SSL）傳輸方式。

加載數(shù)字證書的身份認證模塊：

①創(chuàng)建會話連接使用的協(xié)議。

②申請SSL會話的環(huán)境CTX。

③SSL使用TCP協(xié)議，需要把SSL attach捆綁到已經連接的套接層上。

④SSL握手協(xié)議。

⑤握手成功后，得到對方的數(shù)字證書，與從認證中心CA獲得的數(shù)字證書比較。兩個證書如果不同，斷開連接請求，結束會話；如果相同，對方的身份得到確認。

⑥通訊結束后，需要釋放前面申請的SSL資源。

（4）系統(tǒng)安全認證分析（單向認證）

①通信身份的認證

通信過程開始時，服務器向瀏覽器發(fā)送自己的數(shù)字證書，瀏覽器從認證中心CA獲取數(shù)字證書，瀏覽器使用認證中心CA系統(tǒng)的公開密鑰解開服務器的數(shù)字證書，從而得到服務器的身份和公開密鑰，二者進行比較后，確認服務器是否為真，完成身份認證。

②不可否認性

通信過程中，信息的摘要要是使用發(fā)送方自己的私有密鑰進行簽字的，除發(fā)送者自己以外，其他人無法知道簽名者的私有密鑰，所以確定了發(fā)送的行為無法再事后否認。

3結論

從上述CA的實例中，我們可以看到目前國內的CA已經不再是簡單地買賣證書了，而是更多地開始為客戶提供不同領域的解決方案，以及開發(fā)一些相關的安全系統(tǒng)，將本身的業(yè)務拓展開來。而且在技術上，也考慮了與國際標準的接軌。

作為電子商務安全管理中極其重要的一個環(huán)節(jié)，我國CA建設的道路不是那么的平坦。要在我國建立起一個權威的根CA，實現(xiàn)國內所有CA的交叉認證，還有很長的路要走，需要政府以及各個CA的密切配合，更需要借鑒國外成功的經驗，在實踐中找到適合我國現(xiàn)狀的解決方案，只有做好了CA的建設，才能更加高效地為電子商務平臺提供安全保障，為我國的電子商務保駕護航。