CA數字證書安全平臺構建與研究

摘 要:針對當前CA數字證書推廣問題以及CA安全平臺構建實施難問題，提出了CA數字證書中間件技術安全平臺構建方案。該方案支持多種CA證書體系、多個品牌型號的EKEY身份認證設備;打破了傳統CA安全平臺實施方法，極大促進CA數字證書的推廣和應用，使CA安全平臺快速構建。尤其結合陜西省機動車網絡交易平臺項目予以實施驗證，具有良好的借鑒意義。

關鍵詞:CA數字證書;身份認證;安全認證;安全平臺;應用中間件

中圖分類號:TP319 文獻標識碼:A

文章編號:1004-373X(2010)03-049-03

Research of Security Platform Construction Based on CA Digital Certificate

GUO Jinsheng

(Shaanxi Provensional Information Center，Xi′an，710006，China)

Abstract:A solution of CA digital certificate promotion and construction which is to build a security platform based on CA digital certificate as application middleware is introduced.This solution supports various CA certificate systems and EKEY ID authentication device produced by different organizations and companies.It is a revolution of CA and improves the speed to construct CA security platform and promote CA digital certificate application.There is a significant meaning of this creative solution to be used in Automotive Trading System in Shaanxi Province for implementation and verification.

Keywords:CA digital certificate;identity authentication;security certification;security platform;application middleware

0 引 言

伴隨著Internet網絡的普及，電子商務、電子政務等計算機應用技術在國民經濟生活中的應用和推廣。CA數字證書作為解決網絡安全、數字安全的一項重要技術，倍受各行各業的普遍關注。

所謂數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標準[1，2]。

使用數字證書，運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，保證信息除發送方和接收方外不被其他人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對于自己的信息不能抵賴。 因此數字證書具有信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。

我國于2004年頒布了《電子簽名法》對數字證書等安全技術予以確立和保障;各級政府要求加強CA數字證書的應用和推廣[3]。目前我國各省市都先后建立CA數字證書頒發和管理機構，其中有全國性的CA體系:如中國電信CTCA、中國金融CFCA，地方性CA中心如上海數字證書認證中心、陜西省數字證書中心等。

1 問題提出

當前CA數字證書的應用情況并不理想，其原因除了國內普遍信息安全意識淡漠、用戶認同程度低，更普遍的原因在于數字證書的頒發者和推廣者(CA中心)并沒有真正肩負起結合應用的推廣工作，似乎CA數字證書就是發證的機構。

要發揮它的價值，需要結合具體的應用，需要CA數字證書中心與各軟件廠商進行緊密合作，支持并引導軟件廠商采用CA數字證書設計系統安全方案。事實上絕大多數軟件廠商對于CA數字證書往往缺乏深入了解，并不完全掌握CA數字證書技術應用;在沒有一定的技術積累和支持情況下，采用CA數字證書進行系統實施，其成本和風險是顯而易見的。

建立“CA數字證書應用中間件”是解決問題的最佳途徑。軟件廠商不需要深入學習和掌握PKI等CA數字證書核心技術，只需通過CA數字證書應用中間件的相關接口，直接實現身份認證和數據簽名加密等安全服務，軟件廠商只需將主要精力投入到應用系統的開發。

2 解決方案

2.1 系統目標

CA數字證書應用中間件是CA數字證書與目標應用系統之間的橋梁，它實現了數字證書的管理、與目標應用系統的集成，并為目標應用系統提供集成CA數字證書的良好接口，實現集中調度[1，2，4-6]。在該中間件研究過程中，將涉及如下核心問題:

(1) 不同認證中心的CA數字證書技術接口、標準，以及不同廠家的電子鑰匙的技術研究，并在此基礎上提出具有廣泛支持性的接口和標準。

(2) 對于各類應用系統(如電子政務、電子商務、MIS應用、企業信息化等)，無論其所采用的技術體系(無論是C/S，還是B/S)、操作系統(無論是Windows，還是Linux、UNIX)、實現技術(無論是C++，Delphi，VB，PB，還是ASP/ASP.Net，Java，PHP)、數據庫(Access，MS SQL，UDB，ORACLE，SYABSE，Informix，等)，本系統都能作為一個中間件系統，為其提供接口，以實現CA數字證書的實施。

2.2 設計方案

CA數字證書應用中間件采用中間件設計思想，將有關CA數字證書的處理環節提煉并集成為一個獨立的中間件系統，獨立運行，并負責支持各個應用系統的CA數字證書服務。系統處理模型如圖1所示[1，2，4-7]。

圖1 CA數字證書應用系統處理模型

從該模型圖中，CA數字證書應用中間件系統將包含如下幾個部分:

(1) CA數字證書管理系統

基于數據庫管理，負責對CA數字證書的統一管理和維護，其功能包括:EKEY初始化處理、證書灌制系統、證書登記注冊、證書更新維護(修改、刪除、注銷)、證書導入、證書導出、證書分類查詢、證書綜合查詢、證書注銷管理、證書在線檢測等，為基礎管理系統。

(2) 證書服務伺服器

該系統運行在CA數字證書服務器，負責與應用系統的服務請求、調度，最終實現統一的CA數字證書服務相關服務處理。

(3) 證書服務接口

證書服務接口提供統一對外的證書輸入、輸出接口。能夠適應無論Linux，Windows，C/S，B/S，JSP，ASP，VB/Delphi/C等多種環境、開發技術的接口。

對于Win32或者ASP等技術下的應用系統，提供以DCOM組件方式以響應。

對于Unix或者JSP等技術下的應用系統，提供以WebService方式以響應。

常用證書服務接口如表1所示。

表1 常用接口函數

接口函數功能

GetCertInfo獲取證書狀態信息:是否有效?是否存在?有效期?持證人信息

GetCertUserInfo獲取證書所對應的應用系統中用戶編號、名稱、用戶角色

GetOpRight獲取證書用戶在系統中所具有的操作權限

PubEncry數據加密處理，對原文進行對稱加密并返回結果

PubUnEncry對用戶加密(對稱加密)過的密文進行在線解密并返回結果

SignDataVerify對數據進行簽名驗證處理。

…………

(4) 證書安全套件[3]

證書安全套件主要應用各個客戶端的CA數字證書處理，包括:

IE在線檢測安全件:即在IE瀏覽器上實時在線檢測EKEY插入狀態。

OCX安全控件:用于客戶端證書的讀取、判斷、及加密、簽名、驗證等功能的實現。

實現個人證書的查看、檢測、導出、密碼修改、文件加解密等功能。

2.3 系統特點

(1) 基于PKI技術實現用戶身份認證，同時支持客戶-服務器間的雙向身份認證，消除了“用戶名+口令”的傳統登錄方式帶來的系統安全性問題，保證身份認證的安全性和準確性，所以是最安全和方便的身份認證方式。

(2) 采用以數字證書為基礎的公鑰密碼系統(Certificate-based Public Key Cryptosystem)，通過可信的第三方(Trusted Third Party，TTP)來保證證書和公鑰的有效性。

(3) 系統安裝和使用都很簡單:本軟件將數字證書這一“復雜”的工具隱藏在系統后臺，使用者不需要了解關于CA的任何知識就能方便的使用。在系統的安裝上，普通的管理員按照說明書就能完成，極大地降低了技術門檻。

(4) 可以實現與系統代碼級的結合，并且適用于各種類型的應用系統。

(5) 使用國密辦認定的EKEY存儲介質，具有安全性高、速度快、穩定性高等特點[8-11]。

(6) 支持各種基于X.509標準的CA證書，包括中國電信CTCA、金融系統CFCA等[11]。

(7) 不改變用戶使用習慣，惟一的變化就在于用戶使用系統時，必須在計算機上插上代表自己身份的EKEY(USB接口)，其他沒有任何變化。

3 應用案例——陜西省機動車交易CA數字證書安全平臺構建

3.1 系統背景

陜西省機動車交易網絡平臺系統是我國國內最早實現稅務、商務、公安等部門聯合監管管理、實現全省各交易市場、評估公司、經營公司網上聯合交易的網絡平臺系統。系統涉及到全省機動車交易、稅務等核心數據，涉及到全省多個不同的角色的應用，因此整個系統的安全設計是非常重要的。

系統引用CTCA的陜西RA中心——陜西電子商務安全認證中心頒發的CA數字證書，結合EKEY安全存儲設備構建CA數字證書安全體系，通過數字證書實現用戶身份認證以及系統核心數據的加密簽名傳輸，確保整個系統的應用安全。

應用系統技術體系:ASP/Delphi+MS SQL Server

3.2 構建思路

系統采用了“CA數字證書安全中間件”體系，即通過該中間件以及相關接口迅速實現整個系統的安全要求，參見圖2。

圖2 陜西省機動車交易網絡平臺系統

CA數字證書平臺構建模型圖

機動車交易網絡系統的部署和系統后臺保持不變;設立獨立的CA數字證書服務器，安裝和運行CA數字證書安全中間件系統(證書服務伺服務器和CA數字證書管理系統等子系統)，實現CA數字證書灌制、用戶登記、權限設置，以及證書服務的(CORBA服務器)運行。

其二、對機動車交易網絡系統身份認證和關鍵數據傳輸部分代碼中加入證書服務相應接口代碼，實現相關服務請求，CA處理技術細節則交由中間件相關服務中。該程序改造工作大約1~2天時間便可完成。

3.3 應用效果

整個CA數字證書安全平臺搭建、集成僅用3天時間，速度非常之快。經過近一周的證書發放及反復測試，確認系統無誤后便正式推廣應用。目前整個CA數字證書安全應用在該項目中的稅務管理、商務部門的監管管理以及機動車網絡鑒定評估中得到了充分應用。

4 結 語

限于篇幅，本文沒有深入介紹和分析CA數字證書應用中間件更多的技術實現細節，只能拋磚引玉，提供一個概要的設計方案，為CA數字證書的應用提供參考。

參考文獻

[1]何寧，鄭偉，常春.基于SSL協議的訪問控制體系的分析與設計[J].控制工程，2004，11(2):118-120，189.

[2]楊宏宇，高亮，宋敏.民航信息安全通報平臺CA Manager模型[J].吉林大學學報:信息科學版，2008，26(3):287-294.

[3]中華人民共和國電子簽名法[S].2004.

[4]張凱，王喻，袁時金.一個安全異步Web服務應用平臺的實現方案[J].計算機工程，2004，30(5):25-26.

[5]趙偉，劉云.Ad Hoc網絡的兩種分布式CA安全方案[J].網絡安全技術與應用，2007(10):67-68.

[6]熊焰，苗付友，張偉超，等.移動自組網中基于多跳步加密簽名函數簽名的分布式認證 [J].電子學報，2003，31(2):161-165.

[7]劉培超，楊浩，周熙.一種移動Ad Hoc網絡的安全路由認證系統[J].通信技術，2008(11):60-62.

[8]國家密碼管理局.商用密碼科研管理規定[S].2005.

[9]國家密碼管理局.商用密碼產品生產管理規定[S].2005.

[10]國家密碼管理局.商用密碼產品銷售管理規定[S].2005.

[11]何麗，蔡小剛，周利華.基于USBKey的X.509身份認證[J].計算機與現代化，2003(4):58-60.

[12]公安部.互聯網安全保護技術措施規定[S].2005.