解决方案
电话:
0898-66668096
0898-66664947
传真:
0898-66724750
基于PKI体系数字证书安全解决方案
随着信息化在全球迅猛发展,电子政务、电子商务正在世界各国蓬勃兴起,利用信息技术加强政府的组织和管理,提高政府的信息化管理水平,有利于提高政府的管理的效率和透明度,也有利于提高政府公共服务的质量和水平,是带动国民经济发展和社会信息化的一项重要战略措施。
互联网的开放性在给人们带来便利的同时也带来了安全上的隐患:身份假冒,窃取篡改信息,否认抵赖等严重的制约着网上业务的发展,业务办理和交易的双方存在着较大的不安全感。如何解决这些问题将是电子政务/电子商务能否快速发展的一个重要环节。
现有的互联网电子政务/电子商务系统网络基础设施和系统安全解决方案通过防火墙、入侵检测、漏洞扫描、网络隔离等技术和设备,解决了病毒、系统漏洞、黑客攻击、非法访问等安全威胁,却没有很好地满足以下四个信息安全需求。例如:业务流的完整性保护、业务数据的保密与鉴别、业务实体的身份鉴别、业务交往的防抵赖等。
概括起来就是以下信息应用层安全的四个基本要求:
1) 认证:认证就是确认实体就是他自己所申明的。通常包括对实体的身份进行鉴别以及对信息或数据的来源进行鉴别。认证可以保证信息是被经过确认的发送者所传送,并且还要避免以前的数据被重复发送。
2) 机密性:保证没有经过授权的用户,实体或进程无法窃取信息。在一个开放的网络环境里,维护信息机密是全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
3) 完整性:保证没有经过授权的用户不能改变或者删除信息,从而信息在传送的过程中不会被偶然或故意破坏,保持信息的完整、统一。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复。
4) 防止抵赖:保证信息的发送者不能抵赖或否认对信息的发送,当然信息发送前需要对发送者进行安全认证。要在信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
从我们的角度理解,必须建立统一的、标准的信息安全框架体系。事实上,国务院办公厅、科技部、国信办早在2001年就组织实施了基于PKI安全体系保障的电子政务示范工程。正是基于这样的标准,我们来规划和建设数字证书认证体系。
如果把信息安全体系看作一个木桶,那么防火墙、入侵检测、VPN、安全网关等就是木桶的壁板,身份认证就相当于木桶底。可以说,身份认证用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据,而防火墙等技术针对数字身份进行权限管理,解决数字身份能干什么的问题。 由此可见,身份认证是整个信息安全体系的基础。
通过技术手段保证物理身份与数字身份相对应的手段有如下几种:
用户名/密码方式
动态口令
生物特征认证
基于PKI技术的USB KEY认证
同时,基于PKI技术的公私密钥对加解密互逆的原理以及双证书优势,USB KEY和数字证书技术可以提供数据的机密性和数据的完整性及不可抵赖性服务。
数据加密
对于关键数据发送方使用接收方的加密公钥进行加密,传输后由接收方用其私钥进行解密,可以确保传输过程中数据不被窃取,只有接收方才能对数据解密,从而确保数据机密性。
数字签名
对于敏感数据发送方使用自己的签名私钥进行签名,传输后由接收方用发送方的签名公钥进行解密,可以确保传输过程中数据不被篡改,同时发送方不能对自己的签名数据进行抵赖。
以上这两点也都是其他身份认证技术无法或很难做到的,是基于PKI技术USB KEY能提供的更完善全面的安全服务功能。
基于PKI(Public Key Infrastructure,公钥基础设施)构架的数字证书认证方式可以有效保证用户的身份安全和数据安全。数字证书是由可信任的第三方认证机构颁发的一组包含用户身份信息(密钥)的数据结构,PKI体系通过采用加密算法构建了一套完善的流程,保证数字证书持有人的身份安全。然而,数字证书本身也是一种数字身份,还是存在被复制的危险。使用USB Key可以保障数字证书无法被复制,所有密钥运算由USB Key实现,用户密钥不在计算机内存出现也不在网络中传播,只有USB Key的持有人才能够对数字证书进行操作,安全性有了保障。由于USB Key具有安全可靠,便于携带、使用方便、成本低廉的优点,加上PKI体系完善的数据保护机制,使用USB Key存储数字证书的认证方式已经成为目前主要的认证模式。
未来,身份认证技术将朝着更加安全、易用、多种技术手段相结合的方向发展。基于PKI/CA体系的USB Key将会成为身份认证的主要发展方向,USB Key的运算能力和易用性也将不断提高。随着指纹识别技术的不断成熟和成本降低,USB Key将会使用指纹识别技术以保证硬件本身的安全性。
数字证书是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在网络上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。简单的说我们可以使用数字证书来保证:信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖。
数字证书采用公钥密码体制,即每个实体都有一对互相匹配的密钥:公开密钥(公钥)和私有密钥(私钥)。每个用户拥有一把仅为本人所掌握的私钥,用它进行解密和签名;另外还拥有一把公钥并可以对外公开,用于加密和验证签名。以下有两个例子。
例子1:当小张发送一份保密文件给李处长时,小张使用李处长的公钥对数据加密,而李处长则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。这就是加密和解密。
用户也可以采用自己的私钥对信息加以处理,由于私钥仅为本人所有,这样就产生了别人无法生成,也无法修改的文件,这就形成了数字签名。
例子2:当李处长要给小张批覆一份公文时,用自己的私钥对公文进行签名再发送过去,小张收到后用李处长的公钥进行验签,公文没有被修改过且签名是有效的就会通过验签。这就是签名和验签。
数字证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。
数字证书的安全应用领域包括以下几个方面:
网上办公的主要内容包括:文件的传送、信息的交互、公告的发布、通知的传达、工作流控制、员工培训以及财务人事等其他方面的管理。
网上办公主要涉及到的问题是安全传输、身份识别和权限管理。组织机构代码卡结合数字证书的使用可以完美地解决这些问题,使网上办公顺畅实现。
随着网上政务各类应用的增多,原来必须指定人员到政府各部门窗口办理的手续都可以在网上实现。如:网上注册申请、申报、注册、网上纳税、网上审批、指派任务等。
数字证书可以保证网上政务应用中身份识别和文档安全传输的实现。
网上交易主要包括网上谈判、网上采购、网上销售、网上支付等方面。网上交易极大地提高了交易效率,降低了成本,但也受到了网上身份无法识别、网上信用难以保证等难题的困扰。数字证书可以解决网上交易的这些难题。
PKI体系建设本着统一规划,分步实施的指导思想,将在充分利用各部门现有资源的基础上,进行新系统和公共基础平台的开发和建设。
在PKI安全基础设施应用上配置安全应用支撑服务器,向各个应用服务提供基于PKI数字证书安全功能的密码运算服务,包括身份认证、数据加解密、数字签名等;以支持信息的机密性、完整性、不可抵赖性、身份认证和有效授权。
上一篇:电子印章解决方案
下一篇:
版权所有:海南省数字证书认证中心
技术支持:海南信息岛技术服务中心
琼ICP备09000918号
地址:海口市国贸路22号国机海南大厦二楼西区 邮编:570125 电话:0898-66664947、66668096 传真:0898-66724750 |