淺談網絡安全核心技術-CA技術

淺談網絡安全核心技術-CA技術

[摘要] 隨著電子商務、電子政務和Internet的日益普及，上網人數也越來越多，網絡正以前所未有的速度滲透到人們的生活、工作和學習之中。一些重要數據、文件在傳輸過程中被竊取篡改、網絡欺詐、網絡攻擊等問題也隨之出現，只有建立網絡安全保障體系，網上活動才能得以完善，CA技術就是保障網絡安全的核心技術。本文從CA的概述及其組成、CA的工作機制、CA的未來三個方面來對網絡安全核心技術-CA技術做一闡述。
[關鍵字]CA,網絡安全，CA認證
[引言] 電子商務的迅速崛起，使網絡成為國際競爭的新戰場。然而，由于網絡技術本身的缺陷，使得網絡社會的脆性大大增加，一旦計算機網絡受到攻擊不能正常運作時，整個社會就會陷入危機。然而這時CA技術就非常重要了,CA認證中心就是承擔網上安全電子交易認證服務、發放證書，并能確認用戶身份的服務機構。為了保證電子政府的安全運行，除了制定和遵循上述幾項主要策略外，還要設計并研制操作性和應用性非常強的措施與手段。目前應用的措施有很多，其中，建立電子政務ca安全認證體系是關鍵性的一環。ca安全認證起初是應用在電子商務活動之中的，目的是為了確保電子交易的安全、正常開展。隨著我國政府上網的興起，電子政務逐步展開。電子政務活動同樣需要有力的安全手段做保障。具有普遍性的ca安全認證就成了當然之選。因此，以高度安全為建設目標的網絡電子交易系統，必須建立在CA認證系統的基礎之上。 本文從CA的概述及其組成、CA的工作機制、CA的未來三個方面來對網絡安全核心技術-CA技術進行了一些探索。
  一、CA的概述及其組成
 1、當前我國的CA技術
 1.1CA的定義
    認證中心（CA─Certificate Authority）作為權威的、可信賴的、公正的第三方機構，專門負責發放并管理所有參與網上交易的實體所需的數字證書叫做CA。它作為一個權威機構，對密鑰進行有效地管理，頒發證書證明密鑰的有效性，并將公開密鑰同某一個實體聯系在一起。它的作用就像我們現實生活中頒發證件的公司，如護照辦理機構。隨著CA中心的出現，使得開放網絡的安全問題得以迎刃而解。
 CA安全認證系統是用來解決公鑰密碼中公開密鑰的分發和其合法性檢驗的問題。CA中心為每個是用CA的用戶發放一個數字證書。數字安全證書就是參與網上交易活動的各方（如持卡人、商家、支付網關） 身份的代表，每次交易時，都要通過數字安全證書對各方的身份進行驗證。數字證書是經過授權中心數字簽名的，它包含公開密鑰的擁有者信息以及公開密鑰的數據文件，相當于用戶在網絡中的身份證，用來向系統中的其他實體證明自己的身份。一般情況下證書中還包括密鑰的有效時間，發證機關 (證書授權中心)的名稱，該證書的序列號等信息發放。
    1.2我國目前的CA
     目前國內的CA認證中心主要分為兩大類：第一區域性ca認證中心；第二行業性ca認證中心。廣東省電子商務認證有限公司是由廣東省人民政府批準建立的國內較為著名的一家區域性認證機構。
     隨著電子商務對網絡安全的要求，不僅推動著互聯網交易秩序和交易環境的建設，同時也帶來了巨大的商業利潤從2004年8月8日《中華人民共和國電子簽名法》頒布以后，已被信息產業部審批的合法CA機構已有22家。其中一些行業建成了自己的一套CA體系,然而中國金融認證中心（CFCA）就是其中之一。該機構于2000年6月建設完畢并開始運營，成為我國第一家支持網上金融業務權威而公正的第三方認證機構。目前中國金融CA系統主要由SET CA和Non－SET CA兩部分構成。SET CA是為了消費者在網上購物時使用的一種特定的銀行卡來進行結算類型的業務建立，這種業務安全性及可靠性高。Non－SET對于業務應用的范圍沒有嚴格的定義，結合電子商務具體的條件和實際情況的應用，根據每個應用的風險程度不同可分為低風險值和高風險值這兩類證書（即個人/普通證書和高級/企業證書）。　　中國金融認證中心的成立可以說是中國CA認證工作的奠基石，我國目前證書的使用對象主要是網上銀行，已經有大多數銀行使用證書進行網上支付和轉賬，如建設銀行、中信實業銀行、光大銀行、華夏銀行等都已開始使用中國金融認證中心證書，證券行業從2002年起也開始使用CA證書進行網上交易。
    目前全國對CA認證系統的建設投入的資金已經超過5億元，從事CA運營人員已達2000人，但是2002年全國證書發放量不超過30萬張（包含測試證書），業務總收入不超過1500萬元。目前CA認證市場主要由各大行業或地方政府部門組成的認證機構構成，如中國電信CA安全認證體系（CTCA）、上海電子商務CA認證中心（SHECA）、廣東省電子商務認證中心（CNCA）等。由此看來，中國的CA市場還沒有真正意義上的形成，它處于市場培育階段。                                                  
 
 2、CA中心的組成
   CA中心的組成包含以下五點：
 2.1、CA：負責發放并管理所有參與網上交易的實體所需的數字證書叫做CA。
 2.2、審核授權部門：審核授權部門簡稱RA（registry authority），它負責對證書的申請者進行資格審查，并決定是否同意給申請者發放證書。同時，還承擔因審核錯誤而引起的、為不滿足資格的人發放了證書而引起的一切后果，它應該由能夠勝任并承擔這些責任的機構擔任。
 2.3、證書操作部門：證書操作部門CP（certification processor）為已被授權的申請者制作、發放和管理證書，并承擔因操作運營錯誤所產生的一切后果，包括失密和為沒有獲得授權的人發放了證書等，它可由RA自己擔任，也可委托給第三方擔任。
 2.4、密鑰管理部門：密鑰管理部門是專門負責產生實體的加密鑰對，并對其解密私鑰提供托管服務。
 2.5、證書存儲地：包括網上所有的證書目錄。
 二、CA的工作機制
    CA系統是一個相對獨立的應用系統，為電子商務各業務系統提供統一的安全認證機制，包括數字簽名技術、加密/解密技術、證書認證技術、數字信封技術，從而保證數據的安全性、數據的完整性、身份認證、交易的不可抵賴性。 在CA認證體系中，各組成部分彼此之間的認證關系一般如下：
（1）用戶與RA(審核授權部門)之間：用戶請求RA進行審核，當用戶需要得到安全證書的時候，用戶就會得到CA認證中心的證表后便對用戶的身份進行審核，證實個人或者企業身份確實、資信可靠后，RA書申請表和相關協議，同意協議后用戶就應該將自己的正確完整的身份信息提交給RA，RA收到申請便安全地將該用戶信息轉給CA，傳給CA后就到了第二個認證關系。RA與CA
（2）RA（審核授權部門）與CA（證書認證中心）之間：RA其實就是CA中心的一個代理收集中心，RA應該以一種安全可靠的方式把用戶的身份識別信息傳送給CA。在CA得到準確，可信的RA客戶資料后，CA便通過審核為用戶簽發證書,簽發的證書將會以安全可行的方式(制作證書卡或灌制磁盤,以郵寄等方式)將用戶的數字證書傳送給RA或直接送給用戶。也就是說它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。
（3）用戶與DIR（證書存儲地）之間：DIR與現實中的存儲工具一樣,它就是一個大型或者中型的數據庫,它儲存著來自CA的所有證書,只要用戶記得自己的一些當初提交給RA的資料信息或者CA簽發的證書序列號及密碼就可以在DIR中查詢、撤銷證書列表和數字證書。
（4）DIR與CA（證書認證中心）之間：證書存儲地的目的就是保存好CA傳給自己的所有證書資料,必將自己收到的證書資料讓CA以目錄的形式傳過來,DIR就以CA發給自己的目錄形式的所有證書進行亂碼的方式進行存儲,在目錄中登記數字證書要求用戶鑒別和訪問控制。
（5）用戶與KM（密鑰管理部門）之間：KM接受用戶委托，代表用戶生成加密密鑰對；用戶所持證書的加密密鑰必須委托密鑰管理中心生成；用戶可以申請解密私鑰恢復服務；KM應該為用戶提供解密私鑰的恢復服務。用戶的解密私鑰必須統一在密鑰管理中心托管。
（6）CA（證書認證中心）KM（密鑰管理部門）之間：這二者之間的通訊必須是保密、安全的。要求它們之間用通訊證書來保證安全性。通訊證書是認證機關與密鑰管理中心、上級或下級認證機關進行通訊時使用的計算機設備證書。這些專用的計算機設備必須申請并安裝認證機構所發布的專用通訊證書，同時，還必須安裝密鑰管理中心、上級或下級認證機構專用通訊計算機設備所持有的通訊密鑰證書和認證機構的根證書。
     其實在當今網絡商業時代，有誰會不知道網絡安全，CA認證呢？當每一位用戶或者消費者在利用網絡進行平臺注冊；網上采購：網絡銷售：網銀支付；消費進度查詢等等。一系列的操作，都與CA的認證有著密切的關系！
      驗證并標識公開密鑰信息提交認證的實體的身份；確保用于產生數字證書的非對稱密鑰對的質量；保證認證過程和用于簽名公開密鑰信息的私有密鑰的安全； 確保兩個不同的實體未被賦予相同的身份，以便把它們區別開來； 管理包含于公開密鑰信息中的證書材料信息，例如數字證書序列號、認證機構標識等；維護并發布撤銷證書列表；指定并檢查證書的有效期；通知在公開密鑰信息中標識的實體，數字證書已經發布； 記錄數字證書產生過程的所有步驟等CA在網絡交易安全上所擔負的職責。
總而言之網絡安全光僅僅依靠CA來完善網絡安全是不現實也是不可能的。但我們應該相信有了CA做看門將，網絡交易將會從CA認證這一關的安全得到保障。相信網絡貿易將會更具有可靠性和實用性。

[參考文獻]
    1、李廣建：《電子商務技術》，2005年4月
    2、徐亮：《電子商務法叢書》，武漢大學出版社。2005年2月
    3、2007年6月，中國信息報
    4、電腦報2007年第12期
    5、王利明主編：《電子商務法研究》，中國法制出版社2003年版
    6、唐禮勇,陳鐘編寫. 電子商務技術及其安全問題. 計算機工程與應用 2000
    7、《網絡支付與結算》 柯新生 編著