[转载]PKI/CA技术在宁夏的应用状况和面临的问题
文章作者:杨平强 刘洁宁夏回族自治区组织机构代码中心,宁夏电信公司 宁夏 750000
PKI/CABased Internet Application In Ningxia,Ningxia 750000
Yang Pingqiang LiuJie Abstract:PKI/CA Based Internet has already applied in e-business,electronic government,elec- tronic affairs in the numerous fields in Ningxia.
KeyWords:PKI;CA,Internet
摘要:国际上提出了基于公钥基础结构(PKI—Public Key lnfrastructuce)的 PKI/CA数字证书解决方案,被有效地应用到互联网上业务—的安全管理。确保网上交易信息的安全性和完整性,交易双方身份的合法性和不可抵赖性。
关键词:PKl, CA技术应用
前言
PKI/CA在宁夏的应用已覆盖了从安全电子邮件、虚拟专用网络(VPN)、Web交互安全到电子商务、电子政务、电子事务安全的众多领域,显而易见,PKI/CA是一种普遍适用的网络安全基础设施,是目前公认的保障网络社会安全的最佳体系,许多企业和个人已经从PKI/CA技术的应用中获得了巨大的收益。
目前,全国大多数区域性CA中心已经出现后续发展资金匮乏,网上应用开发难度增大、业务无法拓展,服务无法保障的困境。因此,如何规范PKI/CA建设,推广网上应用业务开展,加强系统之间、部门之间,国家之间PKI/CA体系的互通互联,已经成为亟待解决的重要问题。
PKI/CA的发展趋势是国际化,商业化和集中化,在CA中心自身的权威性要求下,需要运作规范,技术、资金实力雄厚,并能适应国际化趋势的大型CA中心来为社会服务。
1 PKI/CA技术体系
安全问题是人们在开展网上业务时所关心的最主要的问题,如何保证网上业务的公正性和安全性,保证业务双方身份的真实性,保证传递信息的完整性以及业务的不可抵赖性,国际上提出了基于公钥基础结构的PKI/CA数字证书解决方案,现已被普遍采用。
PKI就是利用公钥理论和技术提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和数字证书。PKI是通过公开密钥签名算法来实现身份认证的。它的突出特点是确保网上交易信息的安全性和完整性,交易双方身份的合法性和不可抵赖性。
公开密钥加密也称为非对称加密,由一组加密/解密密钥构成,也称公钥/私钥。用公钥进行加密,用私钥将加密信息解密还原为原文,优点是密钥的分发安全,不需要一把共享的通用密钥,用于解密的私钥不发往任何地方,即使公钥被截获没有与其相匹配的私钥也是无用的。缺点是对于海量的数据加密速度慢。
数字签名指在网上业务的过程中,发送方利用自己的私钥对传送的文件进行加密,接受方用发送方公钥解密,从而确保文件发送者的身份,这种技术叫数字签名。数字签名是公开密钥算法和单向散列函数的结合。
数字信封指在网上进行信息传递时,利用接受方的公钥加密文件,接受方用私钥解密还原传给他的文件,通过这种方式确保接收者的正确无误和信息的安全传送,这种技术叫数字信封。
CA中心是一个权威的第三方身份认证和证书签发机构,CA的主要任务是受理数字证书的申请、签发数字证书及对数字证书进行管理,例如,公钥密码证书管理黑名单的发布和管理密钥的备份和恢复、自动更新密钥、 自动管理历史密钥、支持交叉认证.
数字证书是由签证机构CA签发的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息。证书的格式遵循ITUT X.509国际标准。数字证书采用的加密体系是公开密钥体系。
2 PKI/CA在宁夏的推广应用状况
宁夏商务厅首先把PKI/CA技术用在进出口贸易管理中。目前,已经有230多家出口企业使用证书登录国家商务部网站办理经营许可证、年审、经营资格管理等政务,由北京国富安公司开发的证书。
宁夏统计局2000年9月在房地产企业联网直报报表项目中使用数字证书确认企业身份和数据加密,由上海格尔软件公司承担国家统计局行业性PKI体系建设。通过使用CA证书,认证身份后进入统计数据库,可以远程填报统计报表,极大地提高了统计工作效率。
2001年9月,西北证券公司开通网上证券业务,为了保障网上交易的安全性,交易软件编程中嵌入中国电信CTCA安全认证接口,采用CTCA数字证书进行身份确认和信息传送加密。西北证券公司网上证券业务开通两年来,已经有3000多用户办理CTCA证书,使用网上证券业务,网上交易额已经达到了120多亿元,给证券商带来了巨大的利润,也给股民带来便利.
2002年12月银川晚报、宁夏工商银行和宁夏电信合作,成功开通网上订报和银行在线支付业务。网上订报系统采用中国工商银行网上银行B2C子系统商户接口,通过调用工行提供的签名API,用商户自己的私钥对交易数据和商户信息数据进行数字签名,产生签名结果,保证了客户订单数据以及商户信息不被恶意篡改。工行接收到商户提交过来的支付请求后,验证商户的数字签名,同时取出商户证书中的ID,核对该ID是否与商户代码相同 ,防止了假冒商户的行为.
客户从工行网站上向工行提交支付表单,并在工行网站上输入本人的卡号和密码,该卡号和密码向工行服务器提交时,采用了128位的SSL安全加密,客户的卡号和密码不为商户所知,保证了客户的账户信息安全。
采用PKI/CA技术的工行网上银行开通账户查询、账户转账、外汇买卖、个人汇款、代缴学费、质押贷款、网上购物、集团理财、网上结算等业务。在工行网上银行开通3年来,已经完成交易额180多亿元,7000多户用户使用了网上银行业务。
宁夏其他银行系统也陆续应用PKI/CA技术开通网上银行业务,网上银行不受时空地域限制、随时随地可以上网办理银行业务,不仅避免了在银行柜台办业务的拥挤和等待,节省人力、财力、物力,并提高了安全性和办公效率。
2002年10月13日由吉大正元开发建设的中国西部电子商务(宁夏)证书认证中心,通过了国家密码管理委员会办公室组织的安全性审查。2003年5月开始向社会发放CA证书,目前主要服务于网上医药招标、电子公文传送,网上教育等项目中。
宁夏组织机构代码中心,为了推进组织机构代码的网上应用, 2003年3月开始推广DMCA数字证书。DM代表组织机构代码,是强制性国家标准赋予每个机构(包括国家机关企事业单位和社会团体等)在全国范围内惟一的,始终不变的法定代码标识。DMCA数字证书,是将CA证书植入组织机构代码证IC卡中,将代码和数字证书的功能合二为一,实现了组织机构代码身份认证信息与数字证书信息同卡并存,节约成本和许多中间环节,IC卡本身拥有便于携带、抗复制、低成本,不易损坏及保密性好等特点,另外组织机构代码证IC卡本身所具有的防伪性、安全性、可靠性、信息存储量大和使用方便等特点比计算机软盘等其他存储介质具有明显的优势,是目前较为理想的数字证书的存储介质。DMCA为有关业务部门的网上应用提供了单位身份查验依据,主要应用领域有:
(1)税务部门的税收征管业务;
(2)车管部门的新车入户、车辆过户、年检等10项业务;
(3)人民银行的贷款证和开户许可证管理;
(4)工商部门的企业登记管理;
(5)统计部门的统计年报和普查:
(6)民政部门的社团和民办非企业组织管理;
(7)海关电子口岸入网;
(8)财政部门的国有资产管理;
(9)社会保险和医疗保险;
(10)国家外汇管理;
(11)外经贸业务管理;
(12)质监部门的生产许可证管理、制造计量器具许可证。标准备案 、质量监督检验、质量认证。安全证管理等。
使用DMCA可以体现身份认证的权威性和合理性,组织机构代码的权威性和推广力度,极大地降低了CA认证运作的成本和风险性,利于国家对网上业务的控制和管理。随着代码证书应用领域扩大, DMCA在同上业务中一定能够发挥巨大的作用。
PKI/CA在宁夏的应用已覆盖了从安全电子邮件、虚拟专用网络 (VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域,显而易见,PKI/CA是一种普遍适用的网络安全基础设施,是目前公认的保障网络社会安全的最佳体系,许多企业和个人已经从PKI/ CA技术的应用中获得了巨大的收益。
3发展PKI/CA所面临的问题
但是,在PKI/CA建设之初,需要投入大量的资金和进行相当标准的硬件环境建设,在CA中心运行之后,需要解决用户规模、用户信任,保险赔付以及保障中心长期运行的资金等一系列问题,是一个高成本、高风险、高技术要求的服务体系。
PKI/CA是基于互联网应用的安全系统,它的作用是为互联网上应用提供数据加密、数据的完整、身份认证和不可抵赖,就其最基本的效益而言,是拥有最广的信任范围,即用户的数字证书能够随处可用,如现实生活中的手迹、印章那样。如果没有网上应用,皮之不存,毛将焉附,盲目建设PKI/CA,网上应用的开发无人问津,会产生本末倒置,造成巨额资金浪费。
由于缺乏对PKI/CA理性的分析,政府、行业之间缺乏沟通、协作和配合、相关法律和行业性规范尚未形成。结果,国内PKI/CA建设出现,重建设、轻业务;重形象,轻实效的误区。就是管理的缺位助长了CA认证中心数量的膨胀,据中国信息安全测评认证中心掌握的数据,国内大约有50多家CA认证中心。
不同CA的证书要通过交叉认证来确认,太多的CA认证将会降低网上业务处理速度,增加网上业务开发的复杂度,制约网上业务的发展。
用户手中持有太多的CA证书,既不方便也不安全,各自所发证书互不认证,使PK,/CA技术的发展又走上了计划经济时期条块分割和地方保护主义的老路,与信息社会的开放性和跨地域性背道而驰,形成网络割据,造成数字鸿沟,这恰恰破坏了PKI/CA最基本的应用需求。
目前,全国大多数区域性CA中心已经出现后续发展资金匮乏,网上应用开发难度增大,业务无法拓展。服务无法保障的困境。因此,如何规范PKI/CA建设,推广网上应用业务开展,加强系统之间、部门之间,国家之间PKI/CA体系的互通互联.已经成为亟待解决的重要问题。
4 PKI/CA技术的发展趋势
PKI/CA在国内酌研究机构有信息安全国家重点实验室 、国家信息安全基地、中科院软件所等。PKI/CA产业组成主要分为两部分,一部分是PKI产品提供商,例如吉大正元;另一部分是服务商,例如各类CA中心。这些CA中心主要分为两大类:行业性的和区域性的。行业CA有金融、外经贸,国家统计局等。区域性CA大多以地方政府为背景,以公司机制来运作。例如上海CA认证中心,广东CA认证中心、海南CA认证中心、中国西部电子商务(宁夏)证书认证中心等等,另外,还有一些商业性CA和跨国CA的代理机构,例如:天威诚信公司,亚洲诚信等按照技术来源划分。
国外PKI/CA技术的发展分为商业和政府两条路线。商业路线主要根据用户的需求进行技术研究和产品开发,有偿提供用户使用。国际上能够开发PKI产品的公司有很多,比较有影响力的是Baltimore, Entrust,VeriSign等公司。全世界大部分国家的PKI/CA产品都来自这三个公司的技术。政府主要是联合各部门共同研究,建立自上而下的 PKI/CA管理体系。例如,美国联邦PKI筹委会由政府信息技术服务部。国家航空航天总署、国家标准技术研究所、国家安全部,国防部、交通部、财政部、农业部、劳动统计局和联邦网络委员会等20个部、署共同组建而成。首先成功的在各联邦机构中分别使用了公开密钥密码技术,为网上交易提供全面解决方案,有效地提高了政府机构的工作效率,降低了办公成本。
PKl/CA的发展趋势是国际化、商业化和集中化,在CA中心自身的权威性要求下,需要运作规范、技术、资金实力雄厚,并能适应国际化趋势的大型CA中心来为社会服务。因此建议,国家要正确控制和引导PKI/CA建设,避免重复性、盲目性、泛滥性。要加紧相关法律和行业性规范研究,制定行业的服务标准和从业资质,保证产品的服务质量和体系建设的科学性、合理性。要理顺关系,加大网上应用业务的投入,选择优质的PKI/CA产品和服务提供商。这样,才能促使PKI/CA行业重组,优胜劣汰,保障网上业务的快速健康发展,体现PKI/CA保驾护航的网上业务巨大的优越性。使人类方便安全地使用信息高速公路,降低交通事故减少汽车污染和公路维护,把足不出户、无纸办公的完美境界变为现实。
[参考文献]
[1]胡红钢《中国PKI的现状及面临的问题》《信息网络安全》2002年第3期
[2]龙毅宏《国外PKI/CA体系发展状况的研究》
作者简介:杨平强(1956-).男,宁夏回族自治区组织机构代码管理中心,高级工程师
刘洁(1955-),女.宁夏电信互联网业务部,高级工程师。
页:
[1]