论文部分内容阅读
【摘 要】21世纪以来,信息技术的飞速发展以及互联网的不断普及,给电子商务的发展提供了良好环境,如何在交易的过程中保证敏感数据的保密性、完整性、不可否认性,以及如何确认交易双方的真实身份就非常重要。认证中心(Certification Authority,CA)是一个专门负责对参与电子商务的各个实体进行身份验证并发放电子证书的独立机构,该CA系统提供对证书从申请、审核到发放、撤销的全部生命周期管理,其颁发的数字证书可对安全电子邮件、安全Web服务和数字印章等企业内部应用提供有力支撑。该CA系统设计并实现了CA系统各个实体的关键数据结构、数据库和用户界面,实现了CA系统各个实体的功能,以及各个实体的操作员的权限管理。
【关键词】实名制;数字证书;认证中心;全生命周期管理
由于互联网具有开放性、共享性及全球性等显著特点,这些特点在便利人们信息获取的同时,也给一些不法分子提供了恶意攻击的机会,进而加大了重要信息在网络上安全传送的难度,很难辨别某条信息是否是由某个确定的实体发出的,以及在信息的传送过程中是否曾经被非法篡改。[1]因此,我国诸多一线城市都相继着手CA认证中心的建设,如重庆、北京、上海等,旨在提供给本地通信网络优质的安全服务。
使用者在数字证书的帮助下,能够获得以下保证:其他人无法窃取或是篡改传输的相关信息;在数字证书的帮助下,发送方能够更好对接收方的身份进行确认;发送方不能抵赖自身所传输的信息;从数字签名到完成接收为止,信息不会受到任何的修改,保证签发文件的真实性。数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息,用户获得证书之后就可以使用自己的数字证书进行相关的各种活动。
“实名认证”是对用户资料真实性和合规性进行验证审核的方式。面对互联网和电子商务等领域的虚拟性和复杂性,采取有效的措施防范和化解风险,维护企业及个人用户的利益安全。目前,国家已对诸多行业明确提出实名认证合规性要求,如金融、贷款、担保、法律、O2O、物流、旅游、保险、电商、人力资源、租赁、游戏等行业。如果企业没有进行实名认证,就无法规避很多风险,比如企业数据的机密性得不到保障,很难去辨别信息在传送过程中是否有被人非法篡改以及信息传递安全等灾难性问题。
(一)CA系统
数字证书认证中心即为CA系统,其主要是解决公钥体系中公钥出现的合法性问题,是电子商务交易中的重要第三方。针对所有使用公开密钥的用,CA系统会进行一个数字证书的发放,如此做法的目的是,保证证书中列出的用户名称能够对应列出的公开密钥。在数字签名的约束下,攻击者无法对数字证书进行篡改或是伪造。在认证数字证书的时候,作为最为值得信赖、公正以及权威的第三方,证书认证中心发挥了不可或缺的作用。简单来讲,认证中心就是负责管理及发放数字证书的一个机构,拥有极高的权威性。并且,CA允许管理员在CRL中增加新项目周期性发布,同时能将发放的数字证书撤销[2]。
(二)生命周期管理
CA系统提供对证书从申请到撤销的生命周期管理,提供对基于各种用途的证书密钥的生命周期管理,提供外部安全应用的证书服务支持以及查询支持,对电子令牌iKey提供良好支持等。全生命周期管理是一种新型项目管理理念,强调统筹管理,下文主要围绕全生命周期实名制证书管理方法加以分析。
1、证书申请
首先是提交申请,终端用户从RA处取得用户证书申请表,填写完成后将申请表和相关的身份证明信息一同交给RA的信息录入员,信息录入员将申请信息录入RA的终端用户申请信息库中,录入完成后系统产生一个用户身份确认码和口令,该身份确认码和口令通过保密信封打印后给终端用户,或者通过用户的电子邮件地址发送到用户的邮箱里,完成终端用户申请信息的录入工作,这时终端用户的申请信息的状态为“未处理”。
2、审核信息
然后是信息审核,由RA的信息审核员对已经提交的、状态未“未处理”的用户申请信息进行审核,以确定用户提交的信息是真实有效的。对于如何确定用户信息的有效性不是本系统需要实现的,因此不做进一步的研究。对审核通过的申请信息,将其状态设置为“审核通过”,否则设置为“审核未通过”。对于“审核通过”的申请信息需要等待进一步的处理,而“审核未通过”的申请信息,需要通知终端用户,然后删除相应数据。
3、制作证书
由RA的证书制作员从状态为“审核通过”的申请信息中选择一个,根据用户提交的信息,生成证书请求,然后使用密钥存储设备生成用户的公钥私钥对,将公钥信息添加到证书请求中,而私钥则保存在密钥存储设备中。之后RA使用自身的私钥对证书请求进行签名,并将签名后的证书请求发送到CA进行签名。CA接收到数据后,首先验证数据的有效性(是否是合法RA提交的数据,是否是证书请求或证书吊销请求),然后制作证书,并将证书立即返回给RA。RA在收到CA发回的证书后,将证书保存到密钥存储设备中,并将用户的申请信息状态置为“完成”,表明已为该用户制作了证书。
4、证书发放
终端用户在提交证书申请后的规定时间后,到RA领取证书。领取证书时需要用户输入在提交申请信息时获得的身份确认码和口令进行身份验证,验证的目的是防止第三者恶意冒领他人的证书,如果输入的身份确认码和口令都正确无误,RA就将相应的密钥存储设备发放给终端用户,完成证书的申请过程。
5、证书发布
证书发布包括,发布根证书、发布运营CA的证书、发布终端用户证书。而RA证书作为系统内部身份确认用,而不需要发布。对于根证书和运营CA证书的发布可以采用将证书放在认证中心的Web页面上供用户下载,而对于用户的证书使用目录服务器发布。当需要查询某个用户的证书时,连接目录服务器,输入需要查询用户的名称或Email地址,如果存在该用户的证书,系统自动下载并安装。
6、吊销证书
对于认证中心签发的证书,除了要发送给提出申请的RA外,在认证中心的证书库中也要保留一个副本。认证中心能够对证书库中的证书所做的操作是备份过期的证书和强制吊销用户证书,对于备份过期的证书主要考证书库的备份功能来实现。而强制吊销用户证书是在证书的有效期内,认证中心有足够理由相信某证书所包含的信息不再有效时,不经过證书的所有者同意直接吊销证书的操作。对于相同的部分不再赘述,不同的是:在用户信息审核界面中,当选择某个用户申请信息后可用的操作是“审核通过”和“审核不通过”,在证书管理界面中显示的可用操作是“吊销选中的证书”。
综上所述,企业使用数字证书可以提高用户对企业的可信度,同时在认证使用者身份期间,使用者的敏感个人数据是不会被传输到证书持有者的网络系统上的。用户使用了数字证书可以确保网上传递信息的机密性和完整性,即使用户发送的信息被他人截获甚至丢失了个人账户及密码信息等,仍可保证用户的账户和资金安全。
参考文献:
[1]王欢.构建全生命周期的容器安全防护体系[J].数字通信世界,2020,191(11):160-161.
[2]杨迪,叶鹏,黄敬林.CA认证支撑下的电子文件可信服务研究[J].数字技术与应用,2017(05):63-65.
【关键词】实名制;数字证书;认证中心;全生命周期管理
由于互联网具有开放性、共享性及全球性等显著特点,这些特点在便利人们信息获取的同时,也给一些不法分子提供了恶意攻击的机会,进而加大了重要信息在网络上安全传送的难度,很难辨别某条信息是否是由某个确定的实体发出的,以及在信息的传送过程中是否曾经被非法篡改。[1]因此,我国诸多一线城市都相继着手CA认证中心的建设,如重庆、北京、上海等,旨在提供给本地通信网络优质的安全服务。
一、现阶段使用实名制数字证书的重要性
使用者在数字证书的帮助下,能够获得以下保证:其他人无法窃取或是篡改传输的相关信息;在数字证书的帮助下,发送方能够更好对接收方的身份进行确认;发送方不能抵赖自身所传输的信息;从数字签名到完成接收为止,信息不会受到任何的修改,保证签发文件的真实性。数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息,用户获得证书之后就可以使用自己的数字证书进行相关的各种活动。
“实名认证”是对用户资料真实性和合规性进行验证审核的方式。面对互联网和电子商务等领域的虚拟性和复杂性,采取有效的措施防范和化解风险,维护企业及个人用户的利益安全。目前,国家已对诸多行业明确提出实名认证合规性要求,如金融、贷款、担保、法律、O2O、物流、旅游、保险、电商、人力资源、租赁、游戏等行业。如果企业没有进行实名认证,就无法规避很多风险,比如企业数据的机密性得不到保障,很难去辨别信息在传送过程中是否有被人非法篡改以及信息传递安全等灾难性问题。
二、如何去管理实名制证书
(一)CA系统
数字证书认证中心即为CA系统,其主要是解决公钥体系中公钥出现的合法性问题,是电子商务交易中的重要第三方。针对所有使用公开密钥的用,CA系统会进行一个数字证书的发放,如此做法的目的是,保证证书中列出的用户名称能够对应列出的公开密钥。在数字签名的约束下,攻击者无法对数字证书进行篡改或是伪造。在认证数字证书的时候,作为最为值得信赖、公正以及权威的第三方,证书认证中心发挥了不可或缺的作用。简单来讲,认证中心就是负责管理及发放数字证书的一个机构,拥有极高的权威性。并且,CA允许管理员在CRL中增加新项目周期性发布,同时能将发放的数字证书撤销[2]。
(二)生命周期管理
CA系统提供对证书从申请到撤销的生命周期管理,提供对基于各种用途的证书密钥的生命周期管理,提供外部安全应用的证书服务支持以及查询支持,对电子令牌iKey提供良好支持等。全生命周期管理是一种新型项目管理理念,强调统筹管理,下文主要围绕全生命周期实名制证书管理方法加以分析。
1、证书申请
首先是提交申请,终端用户从RA处取得用户证书申请表,填写完成后将申请表和相关的身份证明信息一同交给RA的信息录入员,信息录入员将申请信息录入RA的终端用户申请信息库中,录入完成后系统产生一个用户身份确认码和口令,该身份确认码和口令通过保密信封打印后给终端用户,或者通过用户的电子邮件地址发送到用户的邮箱里,完成终端用户申请信息的录入工作,这时终端用户的申请信息的状态为“未处理”。
2、审核信息
然后是信息审核,由RA的信息审核员对已经提交的、状态未“未处理”的用户申请信息进行审核,以确定用户提交的信息是真实有效的。对于如何确定用户信息的有效性不是本系统需要实现的,因此不做进一步的研究。对审核通过的申请信息,将其状态设置为“审核通过”,否则设置为“审核未通过”。对于“审核通过”的申请信息需要等待进一步的处理,而“审核未通过”的申请信息,需要通知终端用户,然后删除相应数据。
3、制作证书
由RA的证书制作员从状态为“审核通过”的申请信息中选择一个,根据用户提交的信息,生成证书请求,然后使用密钥存储设备生成用户的公钥私钥对,将公钥信息添加到证书请求中,而私钥则保存在密钥存储设备中。之后RA使用自身的私钥对证书请求进行签名,并将签名后的证书请求发送到CA进行签名。CA接收到数据后,首先验证数据的有效性(是否是合法RA提交的数据,是否是证书请求或证书吊销请求),然后制作证书,并将证书立即返回给RA。RA在收到CA发回的证书后,将证书保存到密钥存储设备中,并将用户的申请信息状态置为“完成”,表明已为该用户制作了证书。
4、证书发放
终端用户在提交证书申请后的规定时间后,到RA领取证书。领取证书时需要用户输入在提交申请信息时获得的身份确认码和口令进行身份验证,验证的目的是防止第三者恶意冒领他人的证书,如果输入的身份确认码和口令都正确无误,RA就将相应的密钥存储设备发放给终端用户,完成证书的申请过程。
5、证书发布
证书发布包括,发布根证书、发布运营CA的证书、发布终端用户证书。而RA证书作为系统内部身份确认用,而不需要发布。对于根证书和运营CA证书的发布可以采用将证书放在认证中心的Web页面上供用户下载,而对于用户的证书使用目录服务器发布。当需要查询某个用户的证书时,连接目录服务器,输入需要查询用户的名称或Email地址,如果存在该用户的证书,系统自动下载并安装。
6、吊销证书
对于认证中心签发的证书,除了要发送给提出申请的RA外,在认证中心的证书库中也要保留一个副本。认证中心能够对证书库中的证书所做的操作是备份过期的证书和强制吊销用户证书,对于备份过期的证书主要考证书库的备份功能来实现。而强制吊销用户证书是在证书的有效期内,认证中心有足够理由相信某证书所包含的信息不再有效时,不经过證书的所有者同意直接吊销证书的操作。对于相同的部分不再赘述,不同的是:在用户信息审核界面中,当选择某个用户申请信息后可用的操作是“审核通过”和“审核不通过”,在证书管理界面中显示的可用操作是“吊销选中的证书”。
三、结语
综上所述,企业使用数字证书可以提高用户对企业的可信度,同时在认证使用者身份期间,使用者的敏感个人数据是不会被传输到证书持有者的网络系统上的。用户使用了数字证书可以确保网上传递信息的机密性和完整性,即使用户发送的信息被他人截获甚至丢失了个人账户及密码信息等,仍可保证用户的账户和资金安全。
参考文献:
[1]王欢.构建全生命周期的容器安全防护体系[J].数字通信世界,2020,191(11):160-161.
[2]杨迪,叶鹏,黄敬林.CA认证支撑下的电子文件可信服务研究[J].数字技术与应用,2017(05):63-65.