張?zhí)m蘭

創(chuàng)新數(shù)字證書認證系統(tǒng)

伴隨著互聯(lián)網(wǎng)的普及，諸多互聯(lián)網(wǎng)應(yīng)用如電子郵件、網(wǎng)上購物等得到了飛速發(fā)展。有關(guān)數(shù)據(jù)顯示，截至2014年底，中國網(wǎng)民規(guī)模達 6.49 億，互聯(lián)網(wǎng)普及率為 47.9%，中國已經(jīng)成為互聯(lián)網(wǎng)大國。伴隨著互聯(lián)網(wǎng)的飛速發(fā)展，信息安全也正在成為至關(guān)重要的關(guān)卡。而今不論是電子郵件還是網(wǎng)上購物，它們都離不開一個重要的安全認證措施——數(shù)字證書。

數(shù)字證書就是網(wǎng)絡(luò)通訊中標志各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗證身份的方式，類似于司機的駕駛證或日常生活中的身份證，可在網(wǎng)上用于識別對方身份。

數(shù)字證書為實現(xiàn)雙方安全通信提供了電子認證。數(shù)字證書主要應(yīng)用于以下五個方面：安全的電子郵件、安全終端保護、可信網(wǎng)站、代碼簽名保護、授權(quán)身份管理，從而保證郵件安全、保護用戶終端和數(shù)據(jù)、鑒別釣魚網(wǎng)站和假冒網(wǎng)站、驗證軟件供應(yīng)商的身份以保護移動端APP安全、管理對實體（用戶、程序）的授權(quán)。一般情況下，證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名，證書中還包括密鑰的有效時間、發(fā)證機關(guān)的名稱、證書序列號等信息，證書的格式遵循 ITUT X.509國際標準。

可以看出，數(shù)字證書的關(guān)鍵作用在于信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認性、交易者身份的確定性。通過CA這個權(quán)威的第三方機構(gòu)認證后，互聯(lián)網(wǎng)上可以建立起一種信任機制，信息交互雙方都能確認對方/自己擁有合法的身份，并在網(wǎng)上能夠有效無誤地被數(shù)字證書進行驗證。

得安數(shù)字證書認證系統(tǒng)采用雙證書機制，利用PKI技術(shù)提供數(shù)字證書的簽發(fā)、驗證、注銷、更新等功能，將個人信息或單位信息及密鑰、密碼算法集合在一起，提供在虛擬的互聯(lián)網(wǎng)世界可用的“網(wǎng)上身份證”，簡稱CA系統(tǒng)。數(shù)字證書認證系統(tǒng)平臺分層設(shè)計，構(gòu)件化開發(fā)，各模塊可靈活增加或裁減，以便適應(yīng)用戶的不同需求；采用完整性驗證、身份驗證、權(quán)限分割機制、獨立日志審計、自主高強度SSL加密模塊等措施來保障自身安全，保證系統(tǒng)內(nèi)所有構(gòu)件與構(gòu)件之間的通訊數(shù)據(jù)滿足數(shù)據(jù)的機密性（Confidentiality）、數(shù)據(jù)完整性（Integrity）、身份的真實可用性（Authentication）、授權(quán)的合法性（Authorization）和不可抵賴性（Non-repudiation）等要求。

其特點明顯，提供對生命周期內(nèi)的數(shù)字證書進行全過程管理的功能，提供7天× 24小時× 365天× 10年的可靠的和安全的證書服務(wù)，可簽發(fā)千萬量級張證書：用戶注冊管理、證書/證書注銷列表的生成與簽發(fā)、證書/證書注銷列表的存儲與發(fā)布、證書狀態(tài)的查詢、密鑰的生成與管理以及安全管理等。同時基于證書系統(tǒng)可以實現(xiàn)文件加密傳輸、郵件安全傳輸、VPN虛擬專用網(wǎng)產(chǎn)品、單點登錄授權(quán)、數(shù)據(jù)訪問控制、時間戳等上層的應(yīng)用與服務(wù)。

2005年其獲得商用密碼產(chǎn)品型號SRQ24，2008年和2011年，產(chǎn)品先后兩次完成升級，獲得型號SRQ24-A、SZT1106。

突破難點 優(yōu)勢顯著

數(shù)字證書對于保障互聯(lián)網(wǎng)安全起著極為重要的作用，它可以確保用戶與他們訪問的網(wǎng)站之間有一條安全、加密的直接連接。但是，從數(shù)字證書誕生的那天起，針對它的攻擊就一刻沒有停止過。

其一，數(shù)字證書的私鑰泄露和被破解。如果沒有采取足夠的安全措施對私鑰進行安全保護，則有可能給不法分子偽造合法證書、偽裝成為目標對象、騙取使用者信任的機會。

其二，有效的數(shù)字證書誤簽發(fā)給了假冒者。這是一種由于證書認證機構(gòu)工作出現(xiàn)疏忽，流程不完善而出現(xiàn)的證書被錯誤簽發(fā)的情形。

其三，最常見的是利用可信的SSL服務(wù)器證書進行中間人攻擊。假設(shè)攻擊者通過某種途徑獲得了一個與某網(wǎng)站域名完全相同的SSL證書，且該證書被用戶的瀏覽器信任，則該攻擊者就有可能在位于用戶與網(wǎng)站之間的網(wǎng)絡(luò)通路上，偽裝為中間人進行攻擊，竊取用戶的私密信息。

針對各種安全隱患，得安突破難點，提高安全水平，完善平臺建設(shè)，優(yōu)勢突出顯著。

安全可靠 提供高等級的物理安全、環(huán)境安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、協(xié)議及流程安全。滿足用戶多應(yīng)用、多業(yè)務(wù)需求。

開放性及可擴展性 系統(tǒng)選型采用主流軟、硬件設(shè)備，結(jié)構(gòu)上滿足動態(tài)擴展的需要。遵循標準：SM2密碼使用規(guī)范、SM2加密簽名消息語法規(guī)范、基于SM2密碼算法的數(shù)字證書格式規(guī)范等，提供證書查詢及下載、CRL查詢及下載、服務(wù)器及客戶端密碼服務(wù)、業(yè)務(wù)處理流程、數(shù)據(jù)庫訪問等二次開發(fā)接口，提供證書模板定制功能。

實用性及易操作性 認證系統(tǒng)滿足業(yè)務(wù)系統(tǒng)對數(shù)字證書管理的基本需求，功能齊全、結(jié)構(gòu)合理，具有較強的實用性。RA系統(tǒng)采用B/S結(jié)構(gòu)，客戶端均為Windows平臺，以頁面形式訪問系統(tǒng)，易于用戶操作。

易維護性 CA系統(tǒng)的體系結(jié)構(gòu)以自動方式提供許多管理功能。備份和恢復過程支持恢復到備份點和完全恢復，出現(xiàn)系統(tǒng)故障和災(zāi)難時，系統(tǒng)將進行計劃內(nèi)的數(shù)據(jù)備份，并支持數(shù)據(jù)恢復。CA系統(tǒng)采用模塊化設(shè)計，在軟件設(shè)計中提供對系統(tǒng)和軟件故障的定位功能，詳細的日志系統(tǒng)為提供足夠的信息進行故障排除。

得安數(shù)字證書認證系統(tǒng)應(yīng)用廣泛，其中廣東省數(shù)字證書認證中心項目中，于2007年對CA進行升級改造，保障中國華南地區(qū)政府、銀行、企業(yè)安全地使用信息資源，支持國家信息基礎(chǔ)設(shè)施，對電子政務(wù)的發(fā)展起到積極推動作用。 2011年，得安數(shù)字證書認證系統(tǒng)成功中標廣東數(shù)字證書認證中心有限公司證書認證系統(tǒng)SM2升級項目，建設(shè)SM2橢圓曲線密碼算法、數(shù)字認證系統(tǒng)標準等技術(shù)規(guī)范的數(shù)字認證系統(tǒng)。新系統(tǒng)集成了SM2證書系統(tǒng)和RSA證書系統(tǒng)，因此完全兼容老系統(tǒng)；新系統(tǒng)、老系統(tǒng)并行運行一段時間，保證平穩(wěn)過渡。