基于VPN的全国档案信息网络用户CA认证研究,本文主要内容关键词为:信息网络论文,档案论文,用户论文,全国论文,VPN论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、CA介绍
CA(Certification Authority,认证中心)又称为数字证书认证中心,作为电子商务及电子政务中受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。CA认证中心为每个使用公开密钥的客户发放数字证书,数字证书的作用是证明客户合法拥有证书中列出的公开密钥。CA认证中心的数字签名使得第三者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书,因此是安全电子信息交换的核心。CA认证所签发的数字证书包括个人数字证书、企业数字证书、服务器身份证书、安全Web站点证书、代码签名证书、安全电子邮件证书等。被广泛的应用于电子商务、电子政务、网上银行等众多领域。同样CA允许管理员撤销发放的数字证书,在CRL(Certificate Revocation Lists,证书废止表)中添加新项并周期性地发布这一数字签名的CRL。
一个完整的CA认证中心还应该包括RA(Registration Authority,注册机构),它是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘、USB-key或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。
二、CA认证在国内的发展应用及存在问题
1999年8月3日成立了我国第一家CA认证中心——中国电信CA安全认证系统,标志着中国正式开始了CA的认证工作。目前我国已有140多家CA认证机构,主要分为三类:行业性CA、区域性CA以及企业CA。其中,行业性的CA包括中国金融认证中心(CFCA)、中国电信认证中心(CTCA)、海关认证中心(SCCA)、中国邮政认证中心、外经贸委认证中心、泰康CA 认证中心、中国银行、中国工商银行、中国建设银行、招商银行的CA等等。其中CFCA和CTCA又是行业性CA中影响最大的两个。区域性CA大多以地方政府为背景,以公司机制来运作,如上海、广东、海南、大连、山西等CA认证中心。目前这两类CA认证中心还在不断增长。企业CA多为自主筹资,如德达创新、天威诚信等公司。
行业CA认证以中国电信认证中心(CTCA)为例,中国电信CA安全认证系统(CTCA)于1999年8月3日通过中国密码管理委员会和信息产业部的联合鉴定,并通过国家信息产品安全认证中心的认证,获得国家信息产品安全认证中心颁发的认证证书,成为首家获得公网运营权的CA安全认证系统。目前,中国电信已完成了全国31个省(市)的证书发放审核中心(RA中心)的建设,可以为全国用户提供CA证书服务。截止2005年CTCA已经发放个人证书、企业证书、服务器证书共20万余张,基于CTCA系统开发的电子商务应用项目有15类,是目前覆盖最广、用户最多的、应用项目最多的认证系统。中国电信还组织制定了《中国电信电子商务总体技术规范》、《中国电信CTCA接口标准》、《网上支付系统的接口标准》、《中国电信电子商务业务管理办法》等,而且中国电信向社会免费公布CTCA系统接口标准和API软件包,为更多的电子商务应用开发商提供CTCA系统的支持与服务。
区域性CA以上海市数字证书认证中心(SHECA)为例,上海市数字证书认证中心是由上海市政府授权建立,上海市唯一从事数字证书的签发和管理业务的权威性认证中心,它联合了北京、山东、安徽、天津和无锡、昆明等地的CA认证机构,成立了全国性的认证联合体——协卡认证体系(United Certification Authority),并在全国各个省、市、自治区设有近400家证书受理机构,为遍布全国的客户提供了复杂多样、满足需要的信息化安全解决方案和网络安全信任服务。截止2007年7月,累计发放数字证书突破90万张。
企业CA以北京天威诚信电子商务服务有限公司(iTrus China)为例,北京天威诚信电子商务服务有限公司成立于2000年9月,是经信息产业部批准的第一家开展商业PKI/CA试点工作的企业。天威诚信公司以数字签名、加密技术为依托,可解决诸如核心数据电子签名、登录系统安全身份认证等客户信息系统间安全协作和集成应用问题,保障客户Web站点、Email、OA、ERP、CRM、资金管理、网上支付、网上交易、网上报税、网上社保等企业内部应用安全,全面实现电子商务和电子政务的数据真实性、完整性、不可抵赖性的安全诉求。天威诚信公司已在上海、深圳、成都、西安、南京、杭州、河南设立全国性的认证服务网络。
虽然我国的CA认证行业经过近10年的发展,得到了长足的进步,但是,还存在着诸多的问题。
1.CA认证市场条块分割且行业内区域内同质竞争严重
据不完全统计,目前我国有CA认证机构140多家,并且还有增建的趋势,但是在分布格局上,这些CA认证机构存在明显的地域性与行业性,CA建设处于一种无序状态,重复建设现象相当严重。而国内电子商务、电子政务市场对CA认证的需求远远小于这些CA认证机构的供给量。大量的CA认证中心并不存在完全的不可替代性,所以这些CA机构大多还处于同质竞争阶段。
2.CA认证行业缺乏有效的监管
我国已颁布了《中华人民共和国认证认可条例》、《电子签名法》以及《电子认证服务管理办法》等法律法规,特别是《电子签名法》的实施,为国内CA机构设定了准入门槛,对人员、设备等都做出了明确的规定。目前,部分CA机构已经开始了规范化、合法化的进程。但是,相关的法律法规还很不健全,需要制定进一步的监管实施规章和细则,以增强CA行业监管的可操作性。
3.CA认证缺少统一的总体规划与技术标准
国内至今尚无明确的CA管理机构,也未出台任何指导CA建设的总体规划和管理指南,常导致CA建设目的不明、性质不清。在技术层面上也未形成统一的标准,既有国际通行标准,又有自主研发标准。即便是同样的标准,其核心内容也有所偏差,这就造成了多种技术标准共存的局面,也是目前我国众多CA中心各方割据、难以互联互通的一个主要原因。
三、档案网络共享采用CA认证的必要性和可行性
档案信息共享需要极高的安全要求,是由档案信息的特殊性决定的。档案信息利用的划控性和部分档案信息的高敏感性要求国家必须坚持对电子政务相关信息进行统一管理,实行全程电子化运行,全程监督,实现信息采集、流程监控、自动预警、绩效评估、异常处理以及实时报送等功能。
从技术上看,作为电子商务与电子政务信息安全的关键和基础性技术的PKI逐步得到了许多国家政府和企业的广泛重视,PKI技术已由理论研究进入到商业化应用阶段。IETF、ISO等机构陆续颁布了X.509、PKIX等PKI应用相关标准。Microsoft、Novel、Sun等厂商也都开始在自己的网络基础设施产品中支持PKI功能。但是,随着互联网的广泛应用,电子政务、电子商务的迅速发展,重要数据、文件在网上被窃取、篡改等事件时有发生,网络欺诈、网络攻击等网络犯罪持续增加,给政治社会稳定和经济发展带来了极大危害。做好档案信息和网络安全保障工作,创建安全可靠的档案信息网络环境,更是促进经济发展、维护社会稳定、保障国家安全、保护公众利益的一项重要工作。在档案信息安全保障工作中,使用数字证书、实施安全认证,是在信息交换中确定身份、控制权限、认定责任,保证信息源真实性、完整性和信息发送不可抵赖性的重要技术手段,是建立网络信任体系的重要基础,对网络防泄密、抗侵入、拒黑客、识真伪、保安全有着不可替代的重要作用。
从建设环境上看,各级政府部门、各类业务系统,其中也包括档案部门,经过多年的信息化建设及相关培训,行业网络已初具规模,安全体系也逐步建立起来,同时也培养出一批比较有经验和能力的技术队伍,为建立和管理CA系统创造了必要的条件。关键是在实际工作中各部门包括档案部门都对建立CA认证体系有着迫切要求,有相当数量的各级部门都在等待国家相关CA体系规划的出台和实施,因此CA体系建设具有良好的环境。
四、全国档案信息网络用户的分类
在档案信息网络中,不同身份的用户,所获得的授权差别很大。权限管理一旦出现偏差,轻者造成档案信息的滥用,重者导致网络系统的瘫痪。为此,对于访问档案信息网络的用户需要进行身份识别与认证。根据登记认证要求的不同,档案网络用户分为普通访客、注册用户、一般验证用户和第三方验证用户等层级。
普通访客是随意访问共享网络的用户,其实际身份未加验证,俗称“匿名”用户,唯一识别其“身份”的是其登录所用的IP地址和MAC地址。普通访客被授予最低级别的访问权限,仅能共享免费的、开放的档案信息资源。系统对普通访客的管理仅限于审计追踪和利用统计。
注册用户需要事先在线或通过线下方式向网络提供有关其身份背景的注册信息,系统存入注册信息库。登录时系统采集用户提供的相关信息,与原注册信息进行比对,以确认其身份。注册验证,特别是采用在线注册是一种低信度的身份控制,不能确保用户的真实身份,因此,注册用户可获得的授权也比较有限,一般仅限于对开放性档案信息的有偿利用等。
一般验证用户需要事先至规定的档案机构验明其身份,由档案机构采集信息后当面赋予其标识信息和验证工具(如用户名、密码、智能验证卡等),由于是网下当面验证,并辅以验证工具,可信度较高。一般验证用户可获得大部分授权,包括网络管理权限。网络管理者在验证等级上至少是一般验证用户。
第三方验证用户是指通过专门的CA机构验证后,获得其颁发的数字证书,因而可以通过数字签名在线确认其真实身份的用户。数字签名确保了用户身份的真实性、传输信息的保密性、完整性和不可变性,因而获得数字证书的档案用户,可拥有信息系统高级别的权限。反之,拥有高级权限的网络管理者,出于安全考虑应经过第三方验证。
目前,大部分应用系统采用基于用户名和密码的身份验证机制。这种机制的主要缺陷是密码容易遗忘或泄漏,窃取密码已成为黑客或内部攻击者的重要手段。鉴于档案信息利用的划控性和部分档案信息的高敏感性,档案信息网络需要借助CA认证机制来实现高级授权用户的身份验证。本文讨论的网络用户CA认证方案主要是针对第三方验证用户的。
五、基于VPN的全国档案信息网络用户CA认证方案
1.全国档案信息网络用户CA认证中心体系建设模式选择
CA认证中心体系建设模式的选择直接关系到CA认证中心系统的使用、管理、维护、安全性以及该系统为档案部门各项业务提供安全平台的安全程度。目前国内CA认证中心体系的建设一般有三种模式:
(1)公共认证机构模式。采用国内已有面向公众服务的商业性数字认证机构。该模式在短期应用、系统需要少量证书的情况下,前期建设成本较低,无需建立维护、培训和支持团队,无需自己定义管理和安全策略。但这种做法更适合单一业务或分散的没有关联业务的应用。采用社会上的认证中心后,信息化建设在很多方面都比较被动,缺少自主应用和管理的灵活性。系统的可管理性和升级扩展的空间很小;证书管理策略依赖于服务商,业务可靠性、稳定性依赖于外部服务,风险较高。长期来看,采用社会上的认证系统购买服务投入较大,成本较高。
(2)自建认证机构模式。自行购买一整套PKI软件,组建一整套相关服务体系。该模式要求部门参与建立、维护、培训和运营整个PKI过程,并对系统、通信、数据库以及物理安全、网络安全配置、高可靠的冗余系统、灾难恢复等所有事务负责,对人员管理要求也比较高。同时系统建设初期成本较高,需建立自主维护、培训和支持的人员,需要信息主管部门制定信息系统的设计规范和安全策略。但从长期来看,自行建设行业自己的认证体系,更易于针对行业内应用进行定制,从而更好地配合行业内部的业务系统管理模式。同时完全自主管理,在长期运行、发放大批量证书的情况下更节省费用,也更适合全国范围内具有多种业务相关的关键信息系统的应用。
(3)基于服务的托管自建模式。这是一种介于上述两种模式之间的一种方式,是指客户配置一套集成的PKI软件,在客户本地建设面向最终用户的系统前台——证书注册中心(RA中心),直接利用第三方PKI服务提供商的CA服务,作为系统的核心后台——认证中心(CA中心),共同为最终用户提供安全认证服务。尽管关键设备托管在外部,但不同于第一种模式,它仍然是建立的自己的PKI/CA体系。在这种模式下,复杂、专业的PKI核心服务、维护工作和安全保障交由托管的数字认证中心完成,不需更多的专业人员,只需要对其内部相关人员进行简单培训即可,也不需承担由数字认证中心带来的任何技术风险。但是,由于服务的质量和可靠性完全依赖托管方提供的服务质量和环境,托管方提供的安全策略、维护质量等可能不能满足关键业务的需求;密钥和服务器硬件在托管方维护,存在潜在的安全问题;另外需要支付托管服务费用,成本较高。
上述三种建设模式虽然是目前国内各行业CA认证中心体系建设最常见的做法,但是这三种建设模式都是CA认证在国内发展起步阶段的产物和标志,恰恰是这些比较成熟的,采用较多的建设模式,导致了目前国内CA认证行业诸多的问题。例如,各行业最认可的自建认证机构模式,虽然可以为本行业建立可行、实用、可靠并且扩展性很强的用户认证管理机制,但是,庞大的资金、人员投入与程度不同的回报的比值也是每个行业都需要仔细计算的。而由此产生的重复建设、同质竞争以及缺少统一规划与技术标准等问题,更是给各行业的可持续良性发展带来了巨大的困惑。
基于前文所述目前国内CA认证行业现状及存在问题,全国档案信息网络不应当独立的考虑其用户的CA认证工作,而应当用一种全局的视野,将其放到全国电子政务CA认证的大环境中去研究。一个高效的CA认证体系应当是有序互通的,现实中的行业垄断并不能构成互联网上的优势地位,某一行业内的单根认证中心也不利于电子政务的健康发展。即使在电子商务、电子政务很发达的美国,也只有两三个大型的认证中心。只有基于一个最高级别的根CA(国家电子政务根CA)、由多个真正第三方CA构成的多根认证中心才能为各个行业、各区域的用户提供便利和专业性的服务,从而避免各方在协调和服务过程中出现互相牵扯和不相容。而档案CA认证中心正是这些第三方CA认证中心中的一员。如图1。
可喜的是,目前国内已经出现CA行业的联合整合趋势,以上海CA(SHECA)倡导建立的UCA认证体系为例,SHECA联合北京、天津、山东、安徽、昆明、无锡等地的CA认证机构,成立了全国性互通的CA认证体系——中国协卡认证体系(United Certificate Authority),简称UCA,实现了跨地区、跨行业的认证,使协卡体系成为全国范围内的互联网安全信任服务提供商。档案信息网络也可借鉴SHECA的做法,在国家电子政务根CA的框架内,建立一个全国性的档案行业CA认证中心。由于CA中心的建设涉及国家的主权和利益,CA中心既要拥有自主知识产权,又要具有透明性、社会性和公正性,因此,整个电子政务CA认证体系应当由政府部门出资并设立专门机构负责建设、运行和维护。尽量减少各地区各行业分散自行建设的行为。
2.档案信息网络CA认证系统总体结构设计
为了保证档案信息网络CA认证系统的安全性、可靠性、高效性和可扩展性,档案信息网络CA认证体系应设计为多级结构,至少包括一个根CA和多个二级CA(子CA)。体系结构如图2所示。
全国档案信息网络的用户CA认证体系需要建立一个档案信息根CA,负责签发和管理整个认证体系的各级CA的证书、制定和审批总体政策,与其他根CA进行交叉认证并制定具体政策、管理制度和运作规范等。为保证档案信息网络CA的安全,CA认证体系中的根CA设计为离线操作,该CA无需频繁发证,仅在签发下级CA证书时开启,信息和文件(申请书、证书、CRL)的传递以离线形式操作。
二级CA指全国各省级子CA,其证书由档案信息根CA签发,负责最终用户证书的申请和签发、冻结和解冻、作废、更新和查询、证书管理事件的审计、发布最终用户证书和证书废止列表(CRL),以及其他的辅助功能。二级CA需要经常发证并且要响应迅速,所以二级CA必须在线操作。
RA作为CA的注册审核机构,完成证书用户的证书注册申请、审核、证书发放,以及证书更新、作废等管理工作。根据目前档案行业的管理模式,可在各省级子CA建设RA,负责各省档案用户证书的管理。
多级结构的优点。多级CA体系是由中国档案信息根CA对各二级CA进行有效的控制,这样可以保证整个档案行业信任体系的统一,提高整个CA系统的安全性,使之具有很好的灵活性和可扩展性;可降低国家根CA的工作压力。
3、基于VPN的全国档案信息网络用户CA认证系统详细设计
系统由CA服务主机、公钥证书服务器、数据库服务器、授权控制网关、档案信息网关以及档案用户网关所组成,如图3所示。
档案信息网关、档案用户网关与授权控制网关通过档案VPN网络相连,组成广域网上的三方拓扑结构。档案信息网关主要接收各级档案部门传输的档案信息,经CA中心认证授权后,根据档案用户的申请,安全准确地将档案信息发送给档案用户网关,同时记录发送情况;档案用户网关根据档案用户的信息需求,向授权控制网关发送申请。获得授权后,与档案信息网关建立信任关系并索取相应站点的档案信息,提交给档案用户。授权控制网关根据档案用户的需求,对档案用户申请进行授权。当用户需要档案信息时,只需将所需站点编号发送给授权网关,在确认授权的情况下,网关会将档案信息网关的IP地址、服务端口以及RSA数据加密公钥证书发送给用户。
CA服务主机、公钥证书服务器、数据库服务器和授权控制网关,通过交换机组成局域网的拓扑结构。CA服务主机主要完成生成和发布CA根钥、用户数字证书、证书吊销列表以及维护和管理证书库等功能;公钥证书服务器存储用户公钥证书,以便获取其他用户公钥证书;数据库服务器主要由公私钥证书数据库和档案用户数据库组成,前者负责存储CA签发的所有用户公钥证书和私钥证书,在用户公钥或私钥证书发生损坏或丢失时,提供用户原始证书;后者主要存储所有档案用户信息。
整个CA的体系结构可以方便地进行纵向扩展。向下扩展时,每一个CA都可以作为下级CA的上级CA,能够为下级CA签发一张可用于签发证书的CA证书。向上扩展时,该CA本身具有为自己申请证书的功能,同时还具备下载上级CA证书的功能。
整个CA体系还具备树状交叉认证功能。树状认证是指所有的CA都统一在一个根CA下,其他CA按其重要性和所在的地位可以分别处于二级CA或者三级CA上,如图4。每一个CA都仅有一个上级CA,这使得证书路径的建立相对容易,不同CA的用户通过数字证书同根下的信任链追溯就可以实现相互的认证。这是一种上下级关系的交叉认证方式。在这种情况下,下层CA所发出的证书要想被使用者所采用,就必须满足该下层CA的有效证书路径可追溯至该根CA中。下层CA是不被允许发出自己所签发的证书,根CA是唯一的证书发放单位,然后由上层CA审核发送凭证给下层CA,基本上为单向的交互认证方式,树状交互认证模式尤其适合于组织阶层定义明确的环境,如政府的档案部门。
标签:ca认证中心论文; 数字证书论文; 电子政务论文; ca中心论文; 安全证书论文; 电子商务证书论文; 电子商务论文; 电子商务环境论文; 信息安全论文; 档案管理员论文; 网络安全论文; pki论文;