CA数字证书安全平台构建与研究

　　摘 要:针对当前CA数字证书推广问题以及CA安全平台构建实施难问题,提出了CA数字证书中间件技术安全平台构建方案。该方案支持多种CA证书体系、多个品牌型号的EKEY身份认证设备;打破了传统CA安全平台实施方法,极大促进CA数字证书的推广和应用,使CA安全平台快速构建。尤其结合陕西省机动车网络交易平台项目予以实施验证,具有良好的借鉴意义。
　　关键词:CA数字证书;身份认证;安全认证;安全平台;应用中间件
　　中图分类号:TP319 文献标识码:A
　　文章编号:1004-373X(2010)03-049-03
　　
　　Research of Security Platform Construction Based on CA Digital Certificate
　　GUO Jinsheng
　　(Shaanxi Provensional Information Center,Xi′an,710006,China)
　　Abstract:A solution of CA digital certificate promotion and construction which is to build a security platform based on CA digital certificate as application middleware is introduced.This solution supports various CA certificate systems and EKEY ID authentication device produced by different organizations and companies.It is a revolution of CA and improves the speed to construct CA security platform and promote CA digital certificate application.There is a significant meaning of this creative solution to be used in Automotive Trading System in Shaanxi Province for implementation and verification.
　　Keywords:CA digital certificate;identity authentication;security certification;security platform;application middleware
　　
　　0 引 言
　　
　　伴随着Internet网络的普及,电子商务、电子政务等计算机应用技术在国民经济生活中的应用和推广。CA数字证书作为解决网络安全、数字安全的一项重要技术,倍受各行各业的普遍关注。
　　所谓数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准[1,2]。
　　使用数字证书,运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,保证信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。 因此数字证书具有信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。
　　我国于2004年颁布了《电子签名法》对数字证书等安全技术予以确立和保障;各级政府要求加强CA数字证书的应用和推广[3]。目前我国各省市都先后建立CA数字证书颁发和管理机构,其中有全国性的CA体系:如中国电信CTCA、中国金融CFCA,地方性CA中心如上海数字证书认证中心、陕西省数字证书中心等。
　　
　　1 问题提出
　　
　　当前CA数字证书的应用情况并不理想,其原因除了国内普遍信息安全意识淡漠、用户认同程度低,更普遍的原因在于数字证书的颁发者和推广者(CA中心)并没有真正肩负起结合应用的推广工作,似乎CA数字证书就是发证的机构。
　　要发挥它的价值,需要结合具体的应用,需要CA数字证书中心与各软件厂商进行紧密合作,支持并引导软件厂商采用CA数字证书设计系统安全方案。事实上绝大多数软件厂商对于CA数字证书往往缺乏深入了解,并不完全掌握CA数字证书技术应用;在没有一定的技术积累和支持情况下,采用CA数字证书进行系统实施,其成本和风险是显而易见的。
　　建立“CA数字证书应用中间件”是解决问题的最佳途径。软件厂商不需要深入学习和掌握PKI等CA数字证书核心技术,只需通过CA数字证书应用中间件的相关接口,直接实现身份认证和数据签名加密等安全服务,软件厂商只需将主要精力投入到应用系统的开发。
　　
　　2 解决方案
　　
　　2.1 系统目标
　　CA数字证书应用中间件是CA数字证书与目标应用系统之间的桥梁,它实现了数字证书的管理、与目标应用系统的集成,并为目标应用系统提供集成CA数字证书的良好接口,实现集中调度[1,2,4-6]。在该中间件研究过程中,将涉及如下核心问题:
　　(1) 不同认证中心的CA数字证书技术接口、标准,以及不同厂家的电子钥匙的技术研究,并在此基础上提出具有广泛支持性的接口和标准。
　　(2) 对于各类应用系统(如电子政务、电子商务、MIS应用、企业信息化等),无论其所采用的技术体系(无论是C/S,还是B/S)、操作系统(无论是Windows,还是Linux、UNIX)、实现技术(无论是C++,Delphi,VB,PB,还是ASP/ASP.Net,Java,PHP)、数据库(Access,MS SQL,UDB,ORACLE,SYABSE,Informix,等),本系统都能作为一个中间件系统,为其提供接口,以实现CA数字证书的实施。
　　2.2 设计方案
　　CA数字证书应用中间件采用中间件设计思想,将有关CA数字证书的处理环节提炼并集成为一个独立的中间件系统,独立运行,并负责支持各个应用系统的CA数字证书服务。系统处理模型如图1所示[1,2,4-7]。
　　图1 CA数字证书应用系统处理模型
　　从该模型图中,CA数字证书应用中间件系统将包含如下几个部分:
　　(1) CA数字证书管理系统
　　基于数据库管理,负责对CA数字证书的统一管理和维护,其功能包括:EKEY初始化处理、证书灌制系统、证书登记注册、证书更新维护(修改、删除、注销)、证书导入、证书导出、证书分类查询、证书综合查询、证书注销管理、证书在线检测等,为基础管理系统。
　　(2) 证书服务伺服器
　　该系统运行在CA数字证书服务器,负责与应用系统的服务请求、调度,最终实现统一的CA数字证书服务相关服务处理。
　　(3) 证书服务接口
　　证书服务接口提供统一对外的证书输入、输出接口。能够适应无论Linux,Windows,C/S,B/S,JSP,ASP,VB/Delphi/C等多种环境、开发技术的接口。
　　对于Win32或者ASP等技术下的应用系统,提供以DCOM组件方式以响应。
　　
　　对于Unix或者JSP等技术下的应用系统,提供以WebService方式以响应。
　　常用证书服务接口如表1所示。
　　表1 常用接口函数
　　接口函数功能
　　GetCertInfo获取证书状态信息:是否有效?是否存在?有效期?持证人信息
　　GetCertUserInfo获取证书所对应的应用系统中用户编号、名称、用户角色
　　GetOpRight获取证书用户在系统中所具有的操作权限
　　PubEncry数据加密处理,对原文进行对称加密并返回结果
　　PubUnEncry对用户加密(对称加密)过的密文进行在线解密并返回结果
　　SignDataVerify对数据进行签名验证处理。
　　…………
　　(4) 证书安全套件[3]
　　证书安全套件主要应用各个客户端的CA数字证书处理,包括:
　　IE在线检测安全件:即在IE浏览器上实时在线检测EKEY插入状态。
　　OCX安全控件:用于客户端证书的读取、判断、及加密、签名、验证等功能的实现。
　　实现个人证书的查看、检测、导出、密码修改、文件加解密等功能。
　　2.3 系统特点
　　(1) 基于PKI技术实现用户身份认证,同时支持客户-服务器间的双向身份认证,消除了“用户名+口令”的传统登录方式带来的系统安全性问题,保证身份认证的安全性和准确性,所以是最安全和方便的身份认证方式。
　　(2) 采用以数字证书为基础的公钥密码系统(Certificate-based Public Key Cryptosystem),通过可信的第三方(Trusted Third Party,TTP)来保证证书和公钥的有效性。
　　(3) 系统安装和使用都很简单:本软件将数字证书这一“复杂”的工具隐藏在系统后台,使用者不需要了解关于CA的任何知识就能方便的使用。在系统的安装上,普通的管理员按照说明书就能完成,极大地降低了技术门槛。
　　(4) 可以实现与系统代码级的结合,并且适用于各种类型的应用系统。
　　(5) 使用国密办认定的EKEY存储介质,具有安全性高、速度快、稳定性高等特点[8-11]。
　　(6) 支持各种基于X.509标准的CA证书,包括中国电信CTCA、金融系统CFCA等[11]。
　　(7) 不改变用户使用习惯,惟一的变化就在于用户使用系统时,必须在计算机上插上代表自己身份的EKEY(USB接口),其他没有任何变化。
　　
　　3 应用案例——陕西省机动车交易CA数字证书安全平台构建
　　
　　3.1 系统背景
　　陕西省机动车交易网络平台系统是我国国内最早实现税务、商务、公安等部门联合监管管理、实现全省各交易市场、评估公司、经营公司网上联合交易的网络平台系统。系统涉及到全省机动车交易、税务等核心数据,涉及到全省多个不同的角色的应用,因此整个系统的安全设计是非常重要的。
　　系统引用CTCA的陕西RA中心——陕西电子商务安全认证中心颁发的CA数字证书,结合EKEY安全存储设备构建CA数字证书安全体系,通过数字证书实现用户身份认证以及系统核心数据的加密签名传输,确保整个系统的应用安全。
　　应用系统技术体系:ASP/Delphi+MS SQL Server
　　3.2 构建思路
　　系统采用了“CA数字证书安全中间件”体系,即通过该中间件以及相关接口迅速实现整个系统的安全要求,参见图2。
　　图2 陕西省机动车交易网络平台系统
　　 CA数字证书平台构建模型图
　　机动车交易网络系统的部署和系统后台保持不变;设立独立的CA数字证书服务器,安装和运行CA数字证书安全中间件系统(证书服务伺服务器和CA数字证书管理系统等子系统),实现CA数字证书灌制、用户登记、权限设置,以及证书服务的(CORBA服务器)运行。
　　其二、对机动车交易网络系统身份认证和关键数据传输部分代码中加入证书服务相应接口代码,实现相关服务请求,CA处理技术细节则交由中间件相关服务中。该程序改造工作大约1~2天时间便可完成。
　　3.3 应用效果
　　整个CA数字证书安全平台搭建、集成仅用3天时间,速度非常之快。经过近一周的证书发放及反复测试,确认系统无误后便正式推广应用。目前整个CA数字证书安全应用在该项目中的税务管理、商务部门的监管管理以及机动车网络鉴定评估中得到了充分应用。
　　
　　4 结 语
　　
　　限于篇幅,本文没有深入介绍和分析CA数字证书应用中间件更多的技术实现细节,只能抛砖引玉,提供一个概要的设计方案,为CA数字证书的应用提供参考。
　　
　　参考文献
　　[1]何宁,郑伟,常春.基于SSL协议的访问控制体系的分析与设计[J].控制工程,2004,11(2):118-120,189.
　　[2]杨宏宇,高亮,宋敏.民航信息安全通报平台CA Manager模型[J].吉林大学学报:信息科学版,2008,26(3):287-294.
　　[3]中华人民共和国电子签名法[S].2004.
　　[4]张凯,王喻,袁时金.一个安全异步Web服务应用平台的实现方案[J].计算机工程,2004,30(5):25-26.
　　[5]赵伟,刘云.Ad Hoc网络的两种分布式CA安全方案[J].网络安全技术与应用,2007(10):67-68.
　　[6]熊焰,苗付友,张伟超,等.移动自组网中基于多跳步加密签名函数签名的分布式认证 [J].电子学报,2003,31(2):161-165.
　　[7]刘培超,杨浩,周熙.一种移动Ad Hoc网络的安全路由认证系统[J].通信技术,2008(11):60-62.
　　[8]国家密码管理局.商用密码科研管理规定[S].2005.
　　[9]国家密码管理局.商用密码产品生产管理规定[S].2005.
　　[10]国家密码管理局.商用密码产品销售管理规定[S].2005.
　　[11]何丽,蔡小刚,周利华.基于USBKey的X.509身份认证[J].计算机与现代化,2003(4):58-60.
　　[12]公安部.互联网安全保护技术措施规定[S].2005.