何為認證中心（CA）
清華大學--黃偉

------------------------

----政府上網和電子商務是今年計算機應用領域的兩大熱點。要推廣這兩方面的應用，解決網絡安全是其中十分關鍵的一環(huán)，例如不久前中國人民銀行籌建的金融認證中心（RootCA）就是為建設我國電子商務提供安全保障的基礎設施。

----那么，到底什么是認證中心呢？在回答這個問題之前，我們首先需要介紹數字證書的概念。

----數字證書就是網絡通信中標志通信各方身份信息的一系列數據，其作用類似于現實生活中的身份證。它是由一個權威機構發(fā)行的，人們可以在交往中用它來識別對方的身份。數字證書的格式一般采用X.509國際標準。一個標準的X.509數字證書包含以下一些內容：

證書的版本信息；
證書的序列號，每個用戶都有一個唯一的證書序列號；
證書所使用的簽名算法；
證書的發(fā)行機構名稱，命名規(guī)則一般采用X.400格式；
證書的有效期，現在通用的證書一般采用UTC時間格式，它的計時范圍為1950～2049；
證書所有人的名稱，命名規(guī)則一般采用X.400格式；
證書所有人的公開密鑰（關于公開密鑰的信息詳見非對稱密碼算法的有關內容）；
證書發(fā)行者對證書的簽名。
----此外，X.509證書格式還預留了擴展，用戶可以根據自己的需要進行擴展。目前比較典型的擴展如：MicrosoftIE的擴展、Netscape的擴展和SET（SecureElectronicTransaction）的擴展等。

----我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其他人竊取；信息在傳輸過程中不被篡改；發(fā)送方能夠通過數字證書來確認接收方的身份；發(fā)送方對于自己發(fā)送的信息不能抵賴。

----認證中心就是一個負責發(fā)放和管理數字證書的權威機構。對于一個大型的應用環(huán)境，認證中心往往采用一種多層次的分級結構，各級的認證中心類似于各級行政機關，上級認證中心負責簽發(fā)和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。處在最高層的是金融認證中心（RootCA），它是所有人公認的權威，如人民銀行總行的CA。認證中心的系統(tǒng)結構如下圖所示。


----認證中心主要有以下幾種功能：

----證書的頒發(fā)

----中心接收、驗證用戶（包括下級認證中心和最終用戶）的數字證書的申請，將申請的內容進行備案，并根據申請的內容確定是否受理該數字證書申請。如果中心接受該數字證書申請，則進一步確定給用戶頒發(fā)何種類型的證書。新證書用認證中心的私鑰簽名以后，發(fā)送到目錄服務器供用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應答信息都要使用認證中心的簽名。

----證書的更新

----認證中心可以定期更新所有用戶的證書，或者根據用戶的請求來更新用戶的證書。

----證書的查詢

----證書的查詢可以分為兩類，其一是證書申請的查詢，認證中心根據用戶的查詢請求返回當前用戶證書申請的處理過程；其二是用戶證書的查詢，這類查詢由目錄服務器來完成，目錄服務器根據用戶的請求返回適當的證書。

----證書的作廢

----當用戶的私鑰由于泄密等原因造成用戶證書需要申請作廢時，用戶需要向認證中心提出證書作廢請求，認證中心根據用戶的請求確定是否將該證書作廢。

----另外一種證書作廢的情況是證書已經過了有效期，認證中心自動將該證書作廢。認證中心通過維護證書作廢列表(CertificateRevocationList，CRL)來完成上述功能。

----證書的歸檔

----證書具有一定的有效期，證書過了有效期之后就將被作廢，但是我們不能將作廢的證書簡單地丟棄，因為有時我們可能需要驗證以前的某個交易過程中產生的數字簽名，這時我們就需要查詢作廢的證書。基于此類考慮，認證中心還應當具備管理作廢證書和作廢私鑰的功能。

----總的說來，基于認證中心的安全方案應該很好地解決網上用戶身份認證和信息安全傳輸問題。一般一個完整的安全解決方案包括以下幾個方面：

----認證中心的建立；

----密碼體制的選擇，現在一般都采用混合密碼體制（即對稱密碼和非對稱密碼的結合）；

----安全協議的選擇，目前較常用的安全協議有：SSL（SecureSocketLayer）、S－HTTP（SecureHTTP）和SET等。

----其中，認證中心的建立是實現整個網絡安全解決方案的關鍵和基礎，它的建立對Internet上電子商務與政府上網應用的開展具有非常重要的意義。

幾個著名的
電子商務協議
中國科學院數學研究所
周龍驤

--------------------------------------------------------------------------------

一Digicash
----Digicash是一個匿名的數字現金協議。所謂匿名是指消費者在消費中不會暴露其身份，例如現金交易(雖然鈔票有號碼，但交易中一般不會加以記錄)。該協議的步驟如下：
消費者從銀行取款，他收到一個加密的數字錢幣(Token)，此Token可當錢用；
消費者對該Token作加密變換，使之仍能被商家檢驗其有效性，但已不能追蹤消費者的身份；
消費者在某商家消費即使用該Token以購物或購買服務，消費者進一步對該Token用密碼變換以納入商家的身份；
商家檢驗該Token以確認以前未收到過此Token；
商家給消費者發(fā)貨；
商家將該電子Token送銀行；
銀行檢驗該Token的唯一性。至此消費者的身份仍保密。除非銀行查出該Token被消費者重復使用，則消費者的身份將會被暴露，消費者的欺詐行為也暴露了。
----在以上的第3步若發(fā)生了通信故障，則消費者無法判斷商家究竟是否已收到該電子Token。此時消費者有兩種選擇：

將其電子Token返回給銀行或到另一商家處消費。如果消費者這樣做了，而商家事實上在第3步已收到了該Token，則當商家去銀行將該Token兌現時會發(fā)現該Token的重復使用。
消費者不采取行動，既不另行消費也不退還給銀行。如果消費者這樣做了，而商家在第3步事實上未收到該Token，則商家自然不會發(fā)貨。這樣一來，消費者既未收到所購之物，也未花費該電子錢幣，肯定受到了損失。
----可見該數字現金協議是有缺陷的。

二FirstVirtual
----FirstVirtual允許客戶自由地購買商品，然后FirstVirtual使用E�瞞ail同客戶證實每一筆交易。FirstVirtual對通信安全持懷疑態(tài)度并采取某種加密形式，并將每個電子商務交易轉換為信用卡交易。FirstVirtual比Digicash要好一些，但比其他電子商務系統(tǒng)要差。
三SSL
----Netscape的安全套接層方法(SecureSocketLayer，SSL)使用加密的辦法建立一個安全的通信通道以便將客戶的信用卡號傳送給商家。它等價于使用一個安全電話連接將用戶的信用卡通過電話讀給商家。這一協議當然不能防止心術不正的商家的欺詐，因為該商家掌握了客戶的信用卡號。商家欺詐是信用卡業(yè)所面臨的最嚴重的問題之一。
四SET
----SET(SecureElectronicTransaction)是Visa和MasterCard聯合開發(fā)的一個協議，它具有很強的安全性。該協議由若干以前發(fā)表的協議形成，它們是：STT(Visa/Microsoft)、SEPP(MasterCard)和iKP協議族(IBM)。SET及其適合的諸協議是基于安全信用卡協議的一個例子。按照SET，客戶將采購請求和價格進行數字簽名，然后用銀行公共密鑰將付款信息(例如信用卡號)加密。商家認可該采購并將該請求傳給銀行。銀行加工該請求，若價格匹配，則銀行對客戶的帳號扣款并指令商家完成該筆買賣。
----SET的安全性超過SSL，它可防止商家欺詐。值得指出的是，SET協議不同尋常地復雜，該協議的描述有好幾百頁之多!

----SET顯式地允許開一“后門”，商家可通過它獲取客戶的信用卡，這是否是一個安全問題？著實值得考究。

五Netbill
----卡內基·梅隆大學(現加州大學克利分校)的J.D.Tygar教授的研究組開發(fā)了Netbill協議，并正和CyberCash、MellonBank和VisaInternational一起在卡內基·梅隆開發(fā)Netbill的Alpha版。該協議已獲得CyberCash的商業(yè)用途許可，CyberCash的CyberCoin協議也使用Netbill的方法。
----Netbill協議涉及三方：客戶、商家及Netbill服務器。客戶持有的Netbill帳號等價于一個虛擬電子信用卡帳號。協議步驟如下：

客戶向商家查詢某商品價格；
商家向該客戶報價；
客戶告知商家他接受該報價；
商家將所請求的信息商品(例如一個軟件或一首歌曲)用密鑰K加密后發(fā)送給客戶；
客戶準備一份電子采購訂單(ElectronicPurchaseOrder，EPO)，即三元式（價格、加密商品的密碼單據、超時值）的數字簽名值，客戶將該已數字簽名的EPO發(fā)送給商家。
商家會簽該EPO，商家也簽上K的值，然后將此二者送給Netbill服務器；
Netbill服務器驗證EPO簽名和會簽。然后檢查客戶的帳號，保證有足夠的資金以便批準該交易，同時檢查EPO上的超時值看是否過期。確認沒有問題時，Netbill服務器即從客戶的帳號上將相當于商品價格的資金劃往商家的帳號上，并存貯密鑰K和加密商品的密碼單據。然后準備一份包含值K的簽好的收據，將該收據發(fā)給商家；
商家記下該收據單傳給客戶，然后客戶將第4步收到的加密信息商品解密。
----Netbill協議就這樣傳送信息商品的加密拷貝，并在Netbill服務器的契據中記下解密密鑰。

構架認證中心
信息產業(yè)部信息化推進司
王宏

--------------------------------------------------------------------------------

----對于在Internet上進行交易的雙方來說，數字證書對他們之間建立信任是至關重要的。Internet從一個公共信息交換平臺變?yōu)橐粋�可信賴的商務載體，并成為電子化的、開放的市場，實現這種轉變的非常重要的一個條件是數字證書的廣泛應用。雖然有許多各種類型的組織或公司都想成為提供數字證書服務的認證中心(CA)，但它們很少真正認識和能夠承擔認證中心，以及一個可信任的、發(fā)布和管理數字證書的組織機構所應起的作用和承擔的責任，同時也并不具備建立、運行和維護一個認證中心所必需的大量投資和專業(yè)隊伍。本文根據國際上知名的認證機構VeriSign公司的情況，介紹認證中心所應具備的基本構架。

數字證書的作用

----IDG最近的研究顯示，商家和消費者對Internet最關心的是安全問題。商家擔心由假冒購買者而產生的非法購買和欺詐行為，消費者則更擔憂他們個人隱私信息的安全。目前較為有效的解決辦法是采用數字證書。
----一般來說，數字證書用于確認計算機信息網絡上個人或組織的身份和相應的權限，用以解決網絡信息安全問題。隨著Internet電子商務的廣泛應用，數字證書以及認證機構的重要性日益突出。

----大體上說，數字證書可以用于以下目的：

證實在電子商務或信息交換中參加者的身份；
授權交易，如信用卡支付；
授權接入重要信息庫，以替換口令或其他傳統(tǒng)的進入方式；
提供經過Internet發(fā)送信息的不可抵賴性的證據；
驗證通過Internet交換的信息的完整性。
----數字證書是實現電子商務的必備條件，是參與網上電子商務的通行證，它本身的可信任程度就更加重要。數字證書是由認證中心發(fā)放和管理的，因此數字證書的可信任程度與發(fā)放證書、提供與證書相對應的整套服務的認證中心的可信任程度有直接的關系，認證中心的可信程度和可靠性與其所必須具備的基本構成和組織密切相關。

認證中心的基本構架

----數字證書的可信程度是建立在認證中心的可靠、安全和服務質量基礎之上的，而對于認證中心的這些要求則體現在認證中心的構成和具備的條件。概括起來，一個認證中心必須由技術方案、基礎設施和運作管理這三個基本成份組成。
----1．技術方案

----認證中心所采用的技術方案是建立認證中心的基礎，正確的技術方案可使數字證書可靠和容易使用，并容易被普遍接受。

----加密技術是數字證書的核心。所采用的加密技術應考慮先進性、業(yè)界標準和普遍性。目前，較流行的是RSA數據安全加密技術，用1024位的加密算法。為保證加密體系和數字證書的互操作性，公鑰加密系統(tǒng)和X.509也是廣泛采用的標準，以實現認證中心的統(tǒng)一體系。

----數字證書的有效周期管理對于數字證書是必須的，包括數字證書的發(fā)布、更新、作廢的整個管理過程。數字證書的管理必須跟上證書持有的組織或個人情況的變化，及時更新或作廢，對數字證書進行全過程的管理。此外，還有一些附加的對數字證書的管理，如證書目錄查詢、證書時間戳和證書管理情況的定期報告等。

----為使數字證書在廣泛應用領域內實現可互操作，數字證書需要與主要的Internet安全協議兼容，以支持應用環(huán)境，成為安全協議中所嵌入的數字證書。這些協議有安全電子交易協議(SET)、安全多用途Internet郵件擴展協議(S/MIME)和安全套層協議(SSL)等。

----2．基礎設施

----這里的基礎設施專指認證中心的安全設施、信息處理和網絡的可靠性措施以及為客戶服務的呼叫中心等。對于一個有長遠規(guī)劃的認證中心來說，無論是為公眾還是為專用社團組織提供服務，都需要在基礎設施方面進行周密的考慮和必要的投資。基礎設施對于提高客戶信任度、吸引潛在的客戶、開展電子商務來說都是必需的。

----安全設施用來保護認證中心的財富——計算機通信系統(tǒng)、證書簽字單元、認證機構用于對每份證書進行數字簽字的唯一私人密鑰和客戶的信息。為了使認證中心處于非常安全的環(huán)境，并使消費者相信他們的數字信息處于最高水平的保護之下，安全設施應設有多個關卡，進入認證中心的人員必須通過這些關卡。這些關卡應有警衛(wèi)人員24小時值班。此外，還應有視頻監(jiān)視器、防護圍欄和具有雙向進入控制的安全系統(tǒng)來加強認證中心的安全程度。更為重要的是，只有可信任的、經過審查的認證中心人員才能接觸和操作認證中心的設施。認證中心技術裝備應是高可用性的，計算機系統(tǒng)、通信網絡和呼叫中心必須是堅固的，使客戶的需求隨時得到滿足。通信、數據處理和電源系統(tǒng)應通過多冗余備份系統(tǒng)來保證。網絡安全應包括最新防火墻技術、通向最終用戶的安全加密線路、IP欺騙檢測、可靠的安全協議和專家指揮系統(tǒng)。呼叫中心提供由專家支持的客戶服務，并在任何時間都可以通過在線服務終端進行查詢。

----3．運作管理

----運作管理是認證中心發(fā)揮認證功能的核心。運作管理包括數字認證的有關政策、認證過程的控制、責任的承擔和對認證中心本身的定期檢查。

----認證政策為數字認證過程建立行為準則，是認證中心的對外宣言，應包括在認證中心開始運作時對外公布的文件里。認證政策應在數字認證過程中，隨著技術的進步和應用的發(fā)展適時地進行調整。

----認證過程控制是認證政策的實施。認證機構必須有公正的、經過深思的運作控制，來管理數字認證過程。認證標準控制是重要的，它是認證一致性的保障。對于認證中心的工作人員必須提出要求，即證書是由經過訓練的專業(yè)人員簽發(fā)的，這些專業(yè)人員必須經過安全部門的檢查，從而給客戶以信心。

----此外，認證機構應盡量使用數字證書的工業(yè)標準，比如由WWW協會、國家技術標準局和國際工程任務組等國際標準組織推薦的標準。

----承擔責任是一種需要，它幫助消費者確信他們的數字財富受到仔細的保護。如果因為某種原因，在認證機構保護下的消費者密鑰丟失了，認證機構需要處理此事，并承擔責任。責任保險是必須的，它能確保消費者的利益。

----檢查是一種重要手段，包括定期自我檢查和接受第三方檢查，它體現了認證中心對客戶負責的精神。