浅谈网络安全核心技术-CA技术

浅谈网络安全核心技术-CA技术

[摘要] 随着电子商务、电子政务和Internet的日益普及，上网人数也越来越多，网络正以前所未有的速度渗透到人们的生活、工作和学习之中。一些重要数据、文件在传输过程中被窃取篡改、网络欺诈、网络攻击等问题也随之出现，只有建立网络安全保障体系，网上活动才能得以完善，CA技术就是保障网络安全的核心技术。本文从CA的概述及其组成、CA的工作机制、CA的未来三个方面来对网络安全核心技术-CA技术做一阐述。
[关键字]CA,网络安全，CA认证
[引言] 电子商务的迅速崛起，使网络成为国际竞争的新战场。然而，由于网络技术本身的缺陷，使得网络社会的脆性大大增加，一旦计算机网络受到攻击不能正常运作时，整个社会就会陷入危机。然而这时CA技术就非常重要了,CA认证中心就是承担网上安全电子交易认证服务、发放证书，并能确认用户身份的服务机构。为了保证电子政府的安全运行，除了制定和遵循上述几项主要策略外，还要设计并研制操作性和应用性非常强的措施与手段。目前应用的措施有很多，其中，建立电子政务ca安全认证体系是关键性的一环。ca安全认证起初是应用在电子商务活动之中的，目的是为了确保电子交易的安全、正常开展。随着我国政府上网的兴起，电子政务逐步展开。电子政务活动同样需要有力的安全手段做保障。具有普遍性的ca安全认证就成了当然之选。因此，以高度安全为建设目标的网络电子交易系统，必须建立在CA认证系统的基础之上。 本文从CA的概述及其组成、CA的工作机制、CA的未来三个方面来对网络安全核心技术-CA技术进行了一些探索。
  一、CA的概述及其组成
 1、当前我国的CA技术
 1.1CA的定义
    认证中心（CA─Certificate Authority）作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书叫做CA。它作为一个权威机构，对密钥进行有效地管理，颁发证书证明密钥的有效性，并将公开密钥同某一个实体联系在一起。它的作用就像我们现实生活中颁发证件的公司，如护照办理机构。随着CA中心的出现，使得开放网络的安全问题得以迎刃而解。
 CA安全认证系统是用来解决公钥密码中公开密钥的分发和其合法性检验的问题。CA中心为每个是用CA的用户发放一个数字证书。数字安全证书就是参与网上交易活动的各方（如持卡人、商家、支付网关） 身份的代表，每次交易时，都要通过数字安全证书对各方的身份进行验证。数字证书是经过授权中心数字签名的，它包含公开密钥的拥有者信息以及公开密钥的数据文件，相当于用户在网络中的身份证，用来向系统中的其他实体证明自己的身份。一般情况下证书中还包括密钥的有效时间，发证机关 (证书授权中心)的名称，该证书的序列号等信息发放。
    1.2我国目前的CA
     目前国内的CA认证中心主要分为两大类：第一区域性ca认证中心；第二行业性ca认证中心。广东省电子商务认证有限公司是由广东省人民政府批准建立的国内较为著名的一家区域性认证机构。
     随着电子商务对网络安全的要求，不仅推动着互联网交易秩序和交易环境的建设，同时也带来了巨大的商业利润从2004年8月8日《中华人民共和国电子签名法》颁布以后，已被信息产业部审批的合法CA机构已有22家。其中一些行业建成了自己的一套CA体系,然而中国金融认证中心（CFCA）就是其中之一。该机构于2000年6月建设完毕并开始运营，成为我国第一家支持网上金融业务权威而公正的第三方认证机构。目前中国金融CA系统主要由SET CA和Non－SET CA两部分构成。SET CA是为了消费者在网上购物时使用的一种特定的银行卡来进行结算类型的业务建立，这种业务安全性及可靠性高。Non－SET对于业务应用的范围没有严格的定义，结合电子商务具体的条件和实际情况的应用，根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书（即个人/普通证书和高级/企业证书）。　　中国金融认证中心的成立可以说是中国CA认证工作的奠基石，我国目前证书的使用对象主要是网上银行，已经有大多数银行使用证书进行网上支付和转账，如建设银行、中信实业银行、光大银行、华夏银行等都已开始使用中国金融认证中心证书，证券行业从2002年起也开始使用CA证书进行网上交易。
    目前全国对CA认证系统的建设投入的资金已经超过5亿元，从事CA运营人员已达2000人，但是2002年全国证书发放量不超过30万张（包含测试证书），业务总收入不超过1500万元。目前CA认证市场主要由各大行业或地方政府部门组成的认证机构构成，如中国电信CA安全认证体系（CTCA）、上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）等。由此看来，中国的CA市场还没有真正意义上的形成，它处于市场培育阶段。                                                  
 
 2、CA中心的组成
   CA中心的组成包含以下五点：
 2.1、CA：负责发放并管理所有参与网上交易的实体所需的数字证书叫做CA。
 2.2、审核授权部门：审核授权部门简称RA（registry authority），它负责对证书的申请者进行资格审查，并决定是否同意给申请者发放证书。同时，还承担因审核错误而引起的、为不满足资格的人发放了证书而引起的一切后果，它应该由能够胜任并承担这些责任的机构担任。
 2.3、证书操作部门：证书操作部门CP（certification processor）为已被授权的申请者制作、发放和管理证书，并承担因操作运营错误所产生的一切后果，包括失密和为没有获得授权的人发放了证书等，它可由RA自己担任，也可委托给第三方担任。
 2.4、密钥管理部门：密钥管理部门是专门负责产生实体的加密钥对，并对其解密私钥提供托管服务。
 2.5、证书存储地：包括网上所有的证书目录。
 二、CA的工作机制
    CA系统是一个相对独立的应用系统，为电子商务各业务系统提供统一的安全认证机制，包括数字签名技术、加密/解密技术、证书认证技术、数字信封技术，从而保证数据的安全性、数据的完整性、身份认证、交易的不可抵赖性。 在CA认证体系中，各组成部分彼此之间的认证关系一般如下：
（1）用户与RA(审核授权部门)之间：用户请求RA进行审核，当用户需要得到安全证书的时候，用户就会得到CA认证中心的证表后便对用户的身份进行审核，证实个人或者企业身份确实、资信可靠后，RA书申请表和相关协议，同意协议后用户就应该将自己的正确完整的身份信息提交给RA，RA收到申请便安全地将该用户信息转给CA，传给CA后就到了第二个认证关系。RA与CA
（2）RA（审核授权部门）与CA（证书认证中心）之间：RA其实就是CA中心的一个代理收集中心，RA应该以一种安全可靠的方式把用户的身份识别信息传送给CA。在CA得到准确，可信的RA客户资料后，CA便通过审核为用户签发证书,签发的证书将会以安全可行的方式(制作证书卡或灌制磁盘,以邮寄等方式)将用户的数字证书传送给RA或直接送给用户。也就是说它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。
（3）用户与DIR（证书存储地）之间：DIR与现实中的存储工具一样,它就是一个大型或者中型的数据库,它储存着来自CA的所有证书,只要用户记得自己的一些当初提交给RA的资料信息或者CA签发的证书序列号及密码就可以在DIR中查询、撤销证书列表和数字证书。
（4）DIR与CA（证书认证中心）之间：证书存储地的目的就是保存好CA传给自己的所有证书资料,必将自己收到的证书资料让CA以目录的形式传过来,DIR就以CA发给自己的目录形式的所有证书进行乱码的方式进行存储,在目录中登记数字证书要求用户鉴别和访问控制。
（5）用户与KM（密钥管理部门）之间：KM接受用户委托，代表用户生成加密密钥对；用户所持证书的加密密钥必须委托密钥管理中心生成；用户可以申请解密私钥恢复服务；KM应该为用户提供解密私钥的恢复服务。用户的解密私钥必须统一在密钥管理中心托管。
（6）CA（证书认证中心）KM（密钥管理部门）之间：这二者之间的通讯必须是保密、安全的。要求它们之间用通讯证书来保证安全性。通讯证书是认证机关与密钥管理中心、上级或下级认证机关进行通讯时使用的计算机设备证书。这些专用的计算机设备必须申请并安装认证机构所发布的专用通讯证书，同时，还必须安装密钥管理中心、上级或下级认证机构专用通讯计算机设备所持有的通讯密钥证书和认证机构的根证书。
     其实在当今网络商业时代，有谁会不知道网络安全，CA认证呢？当每一位用户或者消费者在利用网络进行平台注册；网上采购：网络销售：网银支付；消费进度查询等等。一系列的操作，都与CA的认证有着密切的关系！
      验证并标识公开密钥信息提交认证的实体的身份；确保用于产生数字证书的非对称密钥对的质量；保证认证过程和用于签名公开密钥信息的私有密钥的安全； 确保两个不同的实体未被赋予相同的身份，以便把它们区别开来； 管理包含于公开密钥信息中的证书材料信息，例如数字证书序列号、认证机构标识等；维护并发布撤销证书列表；指定并检查证书的有效期；通知在公开密钥信息中标识的实体，数字证书已经发布； 记录数字证书产生过程的所有步骤等CA在网络交易安全上所担负的职责。
总而言之网络安全光仅仅依靠CA来完善网络安全是不现实也是不可能的。但我们应该相信有了CA做看门将，网络交易将会从CA认证这一关的安全得到保障。相信网络贸易将会更具有可靠性和实用性。

[参考文献]
    1、李广建：《电子商务技术》，2005年4月
    2、徐亮：《电子商务法丛书》，武汉大学出版社。2005年2月
    3、2007年6月，中国信息报
    4、电脑报2007年第12期
    5、王利明主编：《电子商务法研究》，中国法制出版社2003年版
    6、唐礼勇,陈钟编写. 电子商务技术及其安全问题. 计算机工程与应用 2000
    7、《网络支付与结算》 柯新生 编著