數字認證技術及其在天津港的應用

摘要:隨著互連網的普及，人們把越來越多的事務放到互連網上處理，如網上銀行、網上證券、電子商務等等。先進的信息技術使人們處理日常業務變得更加高效，同時也帶來了安全問題。因為網絡上很難確認對方的真實身份，通過互聯網這個開放系統傳送的數據也存在被截取和利用的可能。使用數字認證(CA認證)可以有效地解決這個問題。

關鍵詞:數字認證;互聯網

1 什么是數字認證

數字認證是基于國際PKI(Public Key Infrastructure，即公鑰基礎設施)標準的網上身份認證系統，數字證書相當于網上的身份證，它以數字簽名的方式通過第三方權威認證有效地進行網上身份認證，幫助各個實體識別對方身份和表明自身的身份。與物理身份證不同的是，數字證書還具有安全、保密、防篡改的特性，可對網上傳輸的信息進行有效保護和安全的傳遞。

1.1 數字證書的主要功能:身份認證;過程加密;信息核對;結果確認;法律證據。

1.2 數字證書的工作原理

數字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶持有一把特定的僅為本人所有的密鑰(私鑰)，用它進行解密和簽名;同時設定一把公共密鑰(公鑰)并由第三方認證機構公開，為一個或一組用戶所共享，用于加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。公開密鑰技術解決了密鑰發布的管理問題，用戶可以公開其公鑰，而保留其私鑰。非對稱密鑰算法是絕對安全的，以現代計算機每秒運算100萬次的計算能力使用窮舉法攻擊1024-bit的非對稱密鑰所需時間超過1000年。

1.3 數字證書的發布

數字證書由獨立的證書發行機構發布。數字證書頒發過程一般為:用戶首先產生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然后，認證中心將發給用戶一個數字證書，該證書內包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息。

1.4 數字證書的種類

數字證書各不相同，每種證書可提供不同級別的可信度。目前的數字證書類型主要包括:個人數字證書、單

位數字證書、單位員工數字證書、服務器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書等。

2 數字證書的工作過程

在使用數字證書的過程中，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，能夠保證信息除發送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對于自己發送的信息不能抵賴。下面用一個完整的例子闡述證書的工作過程。

假定甲和乙都擁有相同認證機構頒發的個人數字證書。甲要把一封機密郵件發給乙。為保證安全送達，甲把郵件進行加密，同時為了證明郵件是甲發出的，對郵件進行了數字簽名。具體處理過程是:

先把郵件用哈希算法(是不可逆的算法)處理，得到哈希值，即摘要信息，然后用甲的私鑰把摘要信息進行非對稱加密，實現數字簽名;隨機產生一個僅用于此次數據傳輸的對稱密鑰 (過程密鑰)，用這個過程密鑰對稱加密明文信息;把過程密鑰用乙的公鑰進行非對稱加密;把這樣產生的三個文件發送給乙即可。如圖所示。

乙收到郵件后先用自己的私鑰把過程密鑰解出來;用過程密鑰還原出明文;用甲的公鑰還原出信息摘要;用前面得到的明文進行哈希算法，得到哈希值，并與還原得到的信息摘要比對是否一致。一致時證明收到的郵件確實是甲發出來的，同時內容沒有被改動過;不一致時，證明郵件被改動過。

3 數字認證系統的構成

PKI的基本機制是定義和建立身份、認證和授權技術，然后分發、交換這些技術，在網絡之間解釋和管理這些信息。PKI對密鑰和認證實施統一的集中化管理，支持證書持有者在網絡環境下建立和維護平等的信任關系，保證網上業務的安全。

4 天津港數字認證系統的建立

4.1 隨著Internet的普及、各種電子商務活動和電子政務活動的飛速發展，數字證書可以廣泛地應用到港口生產的各個領域之中，目前主要包括:發送安全電子郵件、訪問安全站點、網上招標投標、網上簽約、網上訂購、安全網上公文傳送、網上繳費、網上繳稅和網上報關等。

目前，天津港信息中心以中國金融認證中心(CFCA)為第三方認證機構建立了天津港的數字認證體系。CFCA是人民銀行牽頭，十三家商業銀行(工、農、中、建、交、中信、光大、華夏、招商、廣發、深發、民生)參加聯合共建的中國金融認證中心。在銀行系統普遍采用，具有很高的權威性。天津港的數字認證體系采用了托管RA方案。本方案是專門針對證書發放量不是特大，不適宜建RA系統的企業級用戶。其中，證書庫和RA服務器設立在CFCA，由CFCA負責維護;企業方只需要安裝服務器證書即可。企業方擁有RA管理員權限，主要負責審核申請者的身份，并替客戶申請兩碼(參考號、授權碼)。用戶或RA管理員可以用這兩碼從CFCA指定的網站下載或制作證書(兩碼只能使用一次)。采取這種模式的企業方不需要再開發RA軟件和購買相應的RA硬件服務器，不但減小了用戶整體開發量和應用成本，同時也減輕了企業級用戶的維護壓力。托管RA為B/S結構，可通過專線或Internet兩種方式訪問CFCA的RA，并與RA后臺進行實時信息交互。

4.2 目前天津港CA認證系統已成功應用于天津港綜合物流信息服務平臺的運行中。

該平臺的相關用戶，包括海關、船公司、船代、貨代企業、貨主企業等。天津港提供給他們各類關于業務的最新的業務數據，服務信息，電子商務資訊等。對海關提供的服務內容包括數據共享、貨況跟蹤、海關查驗等。對于其他普通用戶提供的主要服務內容有:用戶電子商務(用戶通過發布和維護各類供求信息，來和相關的業務人員進行前期的商務需求洽談)、用戶網上商店(用戶通過登錄物資公司的網上商店，來對各種物資進行采購)、用戶參與競拍(用戶通過登錄物資公司的網上積壓物資拍賣場來參與網上拍賣)、用戶業務數據查詢(為用戶提供海關，港務集團相關物流數據的查詢)。

為了使應用該系統平臺的用戶的身份能夠確認，保障平臺的安全運營，同時也為了保護各方的經濟利益，同時也為了使數字認證技術的應用得到普及，因此在天津港綜合物流信息服務平臺中使用了數字認證技術。

4.3 用戶申請審批注冊程序

證書申請。用戶可直接從天津港物流信息網上下載證書申請表或到相關單位進行領取。用戶填寫證書申請表格后，攜帶相關證件及復印件到相關單位提出申請，物資采供的用戶先要經過天津港物資供應公司的核準。

證書審批。經審核后，審核通過的證書申請信息發送給中國金融認證中心(CFCA)，由CFCA簽發證書。證書的載體為加密認證設備UsbKey。

用戶登錄網址http://www.tjportnet.com/tool/cfca/download.jsp下載兩個證書鏈到本地計算機并安裝即可。

用戶注冊。用戶在天津港物流信息網上注冊用戶。注冊信息要真實，網站管理人員對注冊信息進行審核及授與相應權限。用戶通過審核后，CA用戶通過用戶登錄與CA證書驗證進入天津港物流信息網，進行權限以內的操作。

結束語

CA數字認證的應用取得了良好的效果。與以往的\"用戶名+密碼\"的登陸方式不同的是，采用寫入了數字證書的key盤登陸，通過輸入key盤的密碼就可以直接登陸系統進行操作，從數據的完整性、保密性、不可否認性以及法律性等方面保障了網上交易的安全性。數字認證技術還可以應用到更多的應用系統當中。比如，正在開發的B/S結構的人事系統就可以使用這種數字認證技術來加強數據操作的安全性。在不久的將來，數字認證技術的應用將會越來越多，它的前景無限廣闊。