李瑤

【摘 要】21世紀以來，信息技術的飛速發(fā)展以及互聯(lián)網(wǎng)的不斷普及，給電子商務的發(fā)展提供了良好環(huán)境，如何在交易的過程中保證敏感數(shù)據(jù)的保密性、完整性、不可否認性，以及如何確認交易雙方的真實身份就非常重要。認證中心（Certification Authority，CA）是一個專門負責對參與電子商務的各個實體進行身份驗證并發(fā)放電子證書的獨立機構，該CA系統(tǒng)提供對證書從申請、審核到發(fā)放、撤銷的全部生命周期管理，其頒發(fā)的數(shù)字證書可對安全電子郵件、安全Web服務和數(shù)字印章等企業(yè)內部應用提供有力支撐。該CA系統(tǒng)設計并實現(xiàn)了CA系統(tǒng)各個實體的關鍵數(shù)據(jù)結構、數(shù)據(jù)庫和用戶界面，實現(xiàn)了CA系統(tǒng)各個實體的功能，以及各個實體的操作員的權限管理。

【關鍵詞】實名制；數(shù)字證書；認證中心；全生命周期管理

由于互聯(lián)網(wǎng)具有開放性、共享性及全球性等顯著特點，這些特點在便利人們信息獲取的同時，也給一些不法分子提供了惡意攻擊的機會，進而加大了重要信息在網(wǎng)絡上安全傳送的難度，很難辨別某條信息是否是由某個確定的實體發(fā)出的，以及在信息的傳送過程中是否曾經被非法篡改。[1]因此，我國諸多一線城市都相繼著手CA認證中心的建設，如重慶、北京、上海等，旨在提供給本地通信網(wǎng)絡優(yōu)質的安全服務。

一、現(xiàn)階段使用實名制數(shù)字證書的重要性

使用者在數(shù)字證書的幫助下，能夠獲得以下保證：其他人無法竊取或是篡改傳輸?shù)南嚓P信息；在數(shù)字證書的幫助下，發(fā)送方能夠更好對接收方的身份進行確認；發(fā)送方不能抵賴自身所傳輸?shù)男畔?；從?shù)字簽名到完成接收為止，信息不會受到任何的修改，保證簽發(fā)文件的真實性。數(shù)字證書頒發(fā)過程一般為：用戶首先產生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后，將執(zhí)行一些必要的步驟，以確信請求確實由用戶發(fā)送而來，然后，認證中心將發(fā)給用戶一個數(shù)字證書，該證書內包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息，用戶獲得證書之后就可以使用自己的數(shù)字證書進行相關的各種活動。

“實名認證”是對用戶資料真實性和合規(guī)性進行驗證審核的方式。面對互聯(lián)網(wǎng)和電子商務等領域的虛擬性和復雜性，采取有效的措施防范和化解風險，維護企業(yè)及個人用戶的利益安全。目前，國家已對諸多行業(yè)明確提出實名認證合規(guī)性要求，如金融、貸款、擔保、法律、O2O、物流、旅游、保險、電商、人力資源、租賃、游戲等行業(yè)。如果企業(yè)沒有進行實名認證，就無法規(guī)避很多風險，比如企業(yè)數(shù)據(jù)的機密性得不到保障，很難去辨別信息在傳送過程中是否有被人非法篡改以及信息傳遞安全等災難性問題。

二、如何去管理實名制證書

（一）CA系統(tǒng)

數(shù)字證書認證中心即為CA系統(tǒng)，其主要是解決公鑰體系中公鑰出現(xiàn)的合法性問題，是電子商務交易中的重要第三方。針對所有使用公開密鑰的用，CA系統(tǒng)會進行一個數(shù)字證書的發(fā)放，如此做法的目的是，保證證書中列出的用戶名稱能夠對應列出的公開密鑰。在數(shù)字簽名的約束下，攻擊者無法對數(shù)字證書進行篡改或是偽造。在認證數(shù)字證書的時候，作為最為值得信賴、公正以及權威的第三方，證書認證中心發(fā)揮了不可或缺的作用。簡單來講，認證中心就是負責管理及發(fā)放數(shù)字證書的一個機構，擁有極高的權威性。并且，CA允許管理員在CRL中增加新項目周期性發(fā)布，同時能將發(fā)放的數(shù)字證書撤銷[2]。

（二）生命周期管理

CA系統(tǒng)提供對證書從申請到撤銷的生命周期管理，提供對基于各種用途的證書密鑰的生命周期管理，提供外部安全應用的證書服務支持以及查詢支持，對電子令牌iKey提供良好支持等。全生命周期管理是一種新型項目管理理念，強調統(tǒng)籌管理，下文主要圍繞全生命周期實名制證書管理方法加以分析。

1、證書申請

首先是提交申請，終端用戶從RA處取得用戶證書申請表，填寫完成后將申請表和相關的身份證明信息一同交給RA的信息錄入員，信息錄入員將申請信息錄入RA的終端用戶申請信息庫中，錄入完成后系統(tǒng)產生一個用戶身份確認碼和口令，該身份確認碼和口令通過保密信封打印后給終端用戶，或者通過用戶的電子郵件地址發(fā)送到用戶的郵箱里，完成終端用戶申請信息的錄入工作，這時終端用戶的申請信息的狀態(tài)為“未處理”。

2、審核信息

然后是信息審核，由RA的信息審核員對已經提交的、狀態(tài)未“未處理”的用戶申請信息進行審核，以確定用戶提交的信息是真實有效的。對于如何確定用戶信息的有效性不是本系統(tǒng)需要實現(xiàn)的，因此不做進一步的研究。對審核通過的申請信息，將其狀態(tài)設置為“審核通過”，否則設置為“審核未通過”。對于“審核通過”的申請信息需要等待進一步的處理，而“審核未通過”的申請信息，需要通知終端用戶，然后刪除相應數(shù)據(jù)。

3、制作證書

由RA的證書制作員從狀態(tài)為“審核通過”的申請信息中選擇一個，根據(jù)用戶提交的信息，生成證書請求，然后使用密鑰存儲設備生成用戶的公鑰私鑰對，將公鑰信息添加到證書請求中，而私鑰則保存在密鑰存儲設備中。之后RA使用自身的私鑰對證書請求進行簽名，并將簽名后的證書請求發(fā)送到CA進行簽名。CA接收到數(shù)據(jù)后，首先驗證數(shù)據(jù)的有效性（是否是合法RA提交的數(shù)據(jù)，是否是證書請求或證書吊銷請求），然后制作證書，并將證書立即返回給RA。RA在收到CA發(fā)回的證書后，將證書保存到密鑰存儲設備中，并將用戶的申請信息狀態(tài)置為“完成”，表明已為該用戶制作了證書。

4、證書發(fā)放

終端用戶在提交證書申請后的規(guī)定時間后，到RA領取證書。領取證書時需要用戶輸入在提交申請信息時獲得的身份確認碼和口令進行身份驗證，驗證的目的是防止第三者惡意冒領他人的證書，如果輸入的身份確認碼和口令都正確無誤，RA就將相應的密鑰存儲設備發(fā)放給終端用戶，完成證書的申請過程。

5、證書發(fā)布

證書發(fā)布包括，發(fā)布根證書、發(fā)布運營CA的證書、發(fā)布終端用戶證書。而RA證書作為系統(tǒng)內部身份確認用，而不需要發(fā)布。對于根證書和運營CA證書的發(fā)布可以采用將證書放在認證中心的Web頁面上供用戶下載，而對于用戶的證書使用目錄服務器發(fā)布。當需要查詢某個用戶的證書時，連接目錄服務器，輸入需要查詢用戶的名稱或Email地址，如果存在該用戶的證書，系統(tǒng)自動下載并安裝。

6、吊銷證書

對于認證中心簽發(fā)的證書，除了要發(fā)送給提出申請的RA外，在認證中心的證書庫中也要保留一個副本。認證中心能夠對證書庫中的證書所做的操作是備份過期的證書和強制吊銷用戶證書，對于備份過期的證書主要考證書庫的備份功能來實現(xiàn)。而強制吊銷用戶證書是在證書的有效期內，認證中心有足夠理由相信某證書所包含的信息不再有效時，不經過證書的所有者同意直接吊銷證書的操作。對于相同的部分不再贅述，不同的是：在用戶信息審核界面中，當選擇某個用戶申請信息后可用的操作是“審核通過”和“審核不通過”，在證書管理界面中顯示的可用操作是“吊銷選中的證書”。

三、結語

綜上所述，企業(yè)使用數(shù)字證書可以提高用戶對企業(yè)的可信度，同時在認證使用者身份期間，使用者的敏感個人數(shù)據(jù)是不會被傳輸?shù)阶C書持有者的網(wǎng)絡系統(tǒng)上的。用戶使用了數(shù)字證書可以確保網(wǎng)上傳遞信息的機密性和完整性，即使用戶發(fā)送的信息被他人截獲甚至丟失了個人賬戶及密碼信息等，仍可保證用戶的賬戶和資金安全。

參考文獻：

[1]王歡.構建全生命周期的容器安全防護體系[J].數(shù)字通信世界，2020，191（11）：160-161.

[2]楊迪，葉鵬，黃敬林.CA認證支撐下的電子文件可信服務研究[J].數(shù)字技術與應用，2017（05）：63-65.