电信行业数字认证中心CA建设策略报告.docx
- 文档编号:8914771
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:46
- 大小:932.73KB
电信行业数字认证中心CA建设策略报告.docx
《电信行业数字认证中心CA建设策略报告.docx》由会员分享,可在线阅读,更多相关《电信行业数字认证中心CA建设策略报告.docx(46页珍藏版)》请在冰点文库上搜索。
电信行业数字认证中心CA建设策略报告
1前言
目前,随着移动增值业务飞速发展,各类数字业务(图片、音频、视频、KJAVA游戏等)很好的满足了用户对于丰富多彩的内容的需求,提升了用户的业务体验。
增值服务的运作技术和运作方式都已经日趋成熟。
但是,在对数字内容版权和网络安全方面(机密性,完整性,真实身份认证,交易的不可抵赖性)没有得到足够的支持。
为了解决以上问题,需要一个数字证书认证中心.即CA(CertificationAuthority)作为受信任的第三方,为电子商务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。
2005年4月1日,国家开始实施《中华人民共和国电子签名法》,信息产业部也出台了与之相匹配的《电子认证服务管理办法》。
在法规中对CA数字认证中心提出了具体的要求和规范。
现国内已取得资质的认证中心大概有二十家左右。
关于CA认证中心的相关法规也正在进一步完善中。
本文的编写目的,就是探讨中国网通在开展3G业务时,主要是在开展DRM,支付,OTA下载等业务方面如何建设CA的方案和策略建议。
分析和解答应用中可能面临的各种问题,提出策略性的建议,为中国网通未来3G业务中CA的建设选择提供依据。
首先,介绍了目前存在的多种电子安全解决方案,并对其进行了比较。
其次,分析了当前国内CA建设的现状,对CA建设涉及的相关法规,标准,及相关组织关系进行了研究。
再次,重点提出了CA不同建设方案的模式,对各种建设模式的优缺点进行比较。
然后,分析各个运营商CA建设现状。
最后就中国网通CA建设解决方案以及实施策略提出了可行性建议。
●中国网通作为未来的3G业务运营商,应该在部分3G业务中逐渐采用基于PKI/CA体系的数字认证解决方案。
●建议中国网通在业务开展初期采用联合建设或者托管的方式来建设CA系统,以便节省投资,降低投资风险,同时还可以向第三方CA机构学习CA运营和维护的经验。
等到业务开展比较成熟,用户对CA认证的需求增大时,此时中国网通已经积累了一些运营和管理CA系统的经验,可考虑在初期建设的CA系统基础上自建CA系统,脱离第三方CA机构。
●中国网通应该在全国范围内建设CA系统,由全国中心CA中心统一管理各省的RA中心。
●中国网通应该独立建设CA系统,和其他业务系统在逻辑上和物理上完全分开,把对其他业务系统的影响降低到最小。
●中国网通应该和终端厂商、服务器提供商、卡商提前签署合作协议,在终端、卡和服务器出厂前就灌装网通CA中心的根数字证书。
●建议用户通过较为安全的方式获得用户数字证书。
(终端或者卡出厂前预装、PUSH方式、通过验证登陆门户后下载、营业厅办理等方式)。
●在业务开展中期,中国网通需要自建CA系统时,中国网通应该注册成立独立的网通控股的CA运营公司。
这样CA系统即符合国家政策法规,又可以面向其他行业来盈利。
●建议中国网通在DRM系统、移动支付系统、SP认证管理中最先使用CA认证。
对于其他业务系统可根据运营时的用户需求来确定是否使用CA认证。
2电子安全解决方案比较
2.1用户账号加密码
(1)静态口令认证技术是指用户登录系统的用户名和口令是一次性产生,在使用过程中总是固定不变的,用户输入用户名和口令,用户名和口令通过网络传输给服务器,服务器提取用户名和口令,与系统中保存的用户名和口令进行匹配,检查是否一致,系统从而实现对用户的身份验证。
静态口令靠口令本身的复杂度来保证认证的安全强度,但是复杂的口令没有规律、不易记忆;并且静态口令在网络中传输的时候很容易被截取。
(2)动态口令认证技术是对传统的静态口令技术的改进,它采用双因数认证的原理,即用户既要拥有一些信息,如系统颁发的token,又要知道一些信息,如启用token的口令。
动态口令的安全强度要高于静态口令,用户每次通过某种方式重新获得口令,口令是变化不定的;但是口令的动态变化必须依靠增加硬件设备来实现。
动态口令比静态口令的认证方法具有更好的安全性,在一定程度上解决了基于静态口令的认证方法所面临的威胁。
2.2SSL协议
现在,大部分的WEB服务器和浏览器都支持SSL协议(TheSecureSocketsLayer)。
这是一个在传输层和应用层之间的安全通信层,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。
SSL协议保证用户输入的机密信息从用户端浏览器到服务器之间的传输是高强度加密传输的,从而有效地防止了银行卡信息、网上购物帐号、密码和交易数据不会在传输过程中被非法窃取和篡改,保证了机密信息的机密性和完整性。
SSL协议的也有其局限性,首先它不能提供对抗抵赖性的支持(这部分的工作必须由数字证书完成)。
其次SSL协议运行的立足点是业务系统对客户信息保密的承诺。
因此SSL协议有利于服务器端而不利于客户端。
服务器端认证客户端是必要的,但整个过程中,缺少了客户端对服务器端的认证。
在电子商务的开始阶段,由于参与电子商务的公司大都是一些大公司,信誉较高,这个问题没有引起人们的重视。
随着电子商务参与的厂商迅速增加,对服务器的认证问题越来越突出,SSL协议的缺点就完全暴露出来。
也就是说,单纯的SSL协议只解决了服务器端的安全问题,而整个系统中最薄弱的环节—客户端安全问题并没有解决。
2.3WPKI
WPKI即“无线公开密钥体系”,它是将互联网电子商务中PKI(PublicKeyInfrastructure,公钥基础设施)安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全和值得信赖的无线网络环境。
WPKI并不是一个全新的PKI标准,它是传统的PKI技术应用于无线环境的优化扩展。
它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。
它同样采用证书管理公钥,通过第三方的可信任机构——认证中心(CA)验证用户的身份,从而实现信息的安全传输。
目前,国际上很多国家都在研究WPKI技术,美国、日本和欧洲各国都已发展出自己的信息安全技术和产业,WPKI领域的主流体系有如下几种:
WAPFORUM制定的WAPPKI(已经并入OMA);日本NTT的I-MODE的安全体系;美国PALM公司的安全体系;这些组织的WPKI体系均具备自己完整的协议体系,并且已经在无线数据业务中得到实际应用。
WAPFORUM的WPKI标准早在2000年就已经被提出,OMA组织将其并入后在2002年发布了最新版本OMA-WPKI-V1.0,但WPKI目前在国内并没有得到长足的进展,主要原因是WPKI的提出年代较早,在那时,无线终端的资源有限,处理能力低,存储能力小,无线信道资源短缺,带宽成本高,时延长,连接可靠性较低,国内并没有基于WPKI的合适的应用,而且当时我国没有正式颁布有关数字签名、电子文档及认证中心等方面的法律法规,使得数字签名得不到法律的保护,这些影响了WPKI技术的应用和普及。
2.4PKI/CA
基于PKI/CA的认证技术是目前所知的最安全、最完善的身份认证技术,我们简称其为“CA认证技术”,它是构建在成熟的PKI技术和体系之上。
PKI是PublicKeyInfrastructure的缩写,它是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,从字面上理解,PKI就是利用公钥理论和技术为网络建立的提供安全服务的基础设施,是互联网信息安全技术的核心。
PKI的核心是信任关系的管理。
第三方信任和直接信任是所有网络安全产品实现的基础。
所谓第三方信任是指两个人可以通过第三方间接地达到彼此信任。
当两个陌生人都和同一个第三方彼此信任并且第三方也担保他们的可信度时,这两个陌生人就可以做到彼此信任。
在任何大规模的网络里,基于第三方的信任是必要并且有效的。
当在很多人中建立第三方信任时,就需要有一个权威的第三方机构来确保信任度。
认证中心(CA:
CertificateAuthority)作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。
CA作为一个权威机构,对密钥进行有效地管理,颁发证书证明密钥的有效性,并将公开密钥同某一个实体(消费者、商户、银行)联系在一起,用数字证书代表这些实体在网络上的身份。
利用数字证书、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的加解密和身份认证系统,确保电子交易有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性);发送方确信接收方不是假冒的(身份认证);发送方不能否认自己的发送行为(不可抵赖性)。
采用CA认证技术不但可以实现用户与应用系统之间的单向或双向身份认证,而且可以实现应用系统的信息机密性、完整性、抗抵赖等安全需求。
2.5方案比较
比较项目
静态口令认证技术
动态口令认证技术
SSL
CA认证技术
安全功能
✧只能进行单向认证,认证级别很低
✧不能实现信息的加密和签名,无法保证信息传输的安全
✧不支持抗抵赖性
✧只能进行单向认证
✧不能实现信息的加密和签名,无法保证信息传输的安全
✧不支持抗抵赖性
✧具有单点故障隐患,认证服务器出问题,整个系统就不可用
✧客户端和服务器需要严格的同步
✧不支持抗抵赖性
✧客户端安全未解决
✧具有单双向身份认证功能;
✧高强度的加/解密机制,保证信息不泄漏
✧保证传输过程信息的完整性,不被恶意窜改
✧支持抗抵赖性
✧具有良好的安全审计功能
技术成熟性
✧技术成熟
✧技术成熟
✧技术成熟
✧技术成熟
使用方便性
✧不方便,有多个系统时,用户需要记住多个口令
✧不方便
✧方便
✧方便
扩展性
✧差,多平台使用同一套口令将存在巨大的安全隐患
✧差,每个系统需要单独配置
✧较好
✧是基础设施,具有很强的扩展性
兼容性
✧好,支持多种平台
✧好,支持多种平台
✧好,支持多种平台
✧好,支持多种平台
法律支持
✧无法律支持
✧无法律支持
✧无法律支持
✧已经出台的《电子签名法》法律支持环境已经建立
3国内CA现状分析
3.1国内CA行业分析
2000到2001年,国内掀起了CA建设热潮。
众多地方政府和诸多行业纷纷建成了各自的数字证书认证中心。
而CA建设市场更是高达7亿元人民币。
根据各自的经营领域和背景,逐渐形成了三类CA运营商:
行业CA、地方CA和商业CA。
行业CA主要服务于国家重点行业的日常业务,以电子政务为主要服务市场。
如中国电信CA(CTCA)、商务部CA、金税CA、海关CA等。
行业CA多服务于行业内部应用,保障行业信息系统的访问安全。
行业CA由于拥有良好的应用基础和行业背景,因此,目前普遍经营状况良好。
然而,受行业约束等因素的影响,目前仅有少数企业,如北京国富安、CFCA等进入公众服务市场。
大部分CA仍服务于行业内部,但因为有较好的资金、经验积累,一旦进入公众服务,具有较强的竞争实力。
地方CA主要由各省市地方政府建设,主要服务于当地电子政务、电子商务需求。
地方CA也是三类CA中数量最多的一类。
几乎各个省均建有自己的CA,如北京CA、广东CA、上海CA等;很多地方CA的建设并非基于市场需求,而更多的是政绩的需要。
因此,当很多CA系统上马之后,长期找不到合适的市场应用,使得地方CA整体经营状况较差,大部分处于亏损状态。
地方CA由于受当地政府的扶持,因此在地方项目中仍占据一定的优势。
但目前资金匮乏和运营经验的不足,使这一类CA大部分难以进入公众服务市场。
商业CA多由民营企业创办,面向广大公众提供数字证书服务。
如天威诚信等。
由于国内CA认证市场仍主要集中在电子政务领域,而商业CA多不具备政府背景,因此在电子政务CA市场中不具较强竞争实力。
但由于商业CA建设伊始就立足于向公众提供服务,因此,在电子商务需求高速增长的未来,仍具有很强的竞争实力。
随着《电子签名法》颁布和实施,截止目前为止,全国共有19家CA认证机构通过了信息产业部的认可,获得了《电子认证服务许可证》,如下所示:
单位名称
许可证号
山东省数字证书认证管理
ECP37010205001
银联金融认证中心
北京天威诚信电子商务服务
陕西省数字证书认证中心有限责任公司
ECP61011305004
国投安信数字证书认证
ECP22010405005
广东省电子商务认证
ECP44010605006
广东数字证书认证中心
ECP44010205007
上海市数字证书认证中心
ECP31011505008
北京数字证书认证中心
辽宁数字证书认证管理
ECP21010205010
湖北省数字证书认证管理中心
ECP42010605011
颐信科技
江苏省电子商务证书认证中心有限责任公司
ECP32011105013
重庆市数字证书认证中心
ECP50010705014
浙江省数字安全证书管理
ECP33010305015
福建省数字安全证书管理
ECP35010506016
新疆数字证书认证中心()
ECP65010106017
河南省数字证书有限责任公司
ECP41010206018
北京国富安电子商务安全认证
3.2CA建设涉及到的相关标准及比较
根据国密办发布的《证书认证系统密码及其相关安全技术规范》的要求,并充分参考国际相关标准,在CA系统建设时应遵照以下标准执行:
一、认证系统主要技术标准
密码算法和标准:
加密:
SSF33密码算法(国家强制性算法,不对外公开;国际较为通行的是3DES及AES等)
数字签名:
散列函数:
SHA-1,符合美国FIPSPUB180-1和ANSIX9.30(第二部分)
密钥管理:
数据格式和协议:
证书和证书注销表格式:
第3版证书和证书扩展,符合ITU-Trec.X.509(1997)和公用标准ISO/IEC9594-8(1997)
证书注销表和证书注销表扩展,符合IETFPKIX-1概况表技术规范
文件包封格式:
基于因特网RFC1421(PEM)的标准文件包封格式
安全文件包封技术,符合PKCS#7和S/MIME
安全会话格式:
使用简单公钥机制(SPKM),符合因特网RFC2025;SPKM实体验证,符合FIPS196
目录协议:
轻量目录存取协议(LDAP),符合RFC1777
PKI操作协议:
符合PKIX-2
二、认证系统密码及其相关安全技术规范
《证书认证系统密码及其相关安全技术规范》国家密码管理局
三、物理环境建设标准
(一)建设参照标准规范
GB50174-93《电子计算机机房设计规范》
GB2887-89《计算站场地技术条件》
GB9361-88《计算站场地安全要求》
GB6650-1986《计算机机房用活动地板技术条件》
GB50034-1992《工业企业照明设计标准》
GB5054-95《低压配电装置及线路设计规范》
GBJ19-87《采暖通风与空气调节设计规范》
GB157《建筑防雷设计规范》
GBJ79-85《工业企业通信接地设计规范》
(二)可验收标准规范
GBJ232-83《电气装置安装工程及验收规范》
GB50045-95《高层民用建筑设计防火规范》
GBJ16-87《建筑设计防火规范》
GB50222-95《建筑内部装修设计防火规范》
GBJ116-88《火灾自动报警系统设计规范》
GB50263-97《气体灭火系统施工及验收规范》
(三)可检测标准规范
GB8702-88《电磁辐射防护规则》
GB-12190《高性能屏蔽室屏蔽效能的测量方法》
GJBZ20219-94《军用电磁屏蔽室通用技术要求和检测方法》C级标准
BMB3-1999《处理保密信息的电磁屏蔽室的技术要求和测试方法》
四、认证系统安全认证标准(参考,暂不作为要求))
GB/T18336—2001《信息技术安全技术信息技术安全性评估准则》
ISO/IEC17799—2000《信息技术信息安全管理实施细则》
3.3CA建设涉及到的相关法规及说明
2005年4月1日正式颁布实施的《电子签名法》
经2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过,自2005年4月1日正式施行的《电子认证服务管理办法》
由国家密码管理局颁布,自2005年4月1日正式施行的《电子认证服务密码管理办法》
国家密码管理局根据国家密码管理政策法规和密码安全的技术要求《证书认证系统密码及其相关安全技术规范》
符合《CA认证机构建设和运营管理规范》
注:
相关法规详细说明见附件
3.4CA建设涉及到的相关组织
信息产业部
随着《电子签名法》的颁布和实施,明确了信息产业部作为信息产业的主管部门,负责商业性PKI/CA中心运营资质的审批。
负责审查商业性PKI/CA中心场地建设、运营管理流程、安全保障等等是否符合信息产业部《电子认证服务管理办法》的要求。
同时对从事对外公众服务的PKI/CA认证中心颁发《电子认证服务许可证》。
国家密码管理局(简称国密局)
凡是涉及商用密码的CA软件产品和PKI/CA中心必须经过国密局的立项、安全性审查及鉴定,其中安全性审查时必须的。
安全性审查通过之后,国密局正式颁发安全性审查通过的批复文件,PKI/CA中心可正式提供服务。
在此前提下,PKI/CA运营商准备好相应的文件,在适当的时间向国密局提出鉴定申请。
鉴定是对产品、系统技术水平的一个认可过程(如国内领先、国际先进等),鉴定过程并不影响CA厂商合法的市场和销售行为。
另外,如果要建设并运营CA认证中心,需要通过国密局的安审,并办法《密码使用许可证书》,只有获得国密局的密码使用许可,才能申请信息产业部的电子认证服务许可证。
公安部
公安部负责签发“计算机信息系统安全专用产品销售许可证”,PKI/CA产品只有经过公安部的测评,获得公安部颁发的相应销售许可证之后,才能在市场上合法的销售。
中国国家信息安全测评认证中心(简称测评中心)
测评中心是国家对信息安全产品与系统进行测评认证的权威机构。
经过测评中心测试及检验合格的PKI/CA运营中心是符合国家颁布的GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》和ISO/IEC17799-2000《信息技术信息安全管理实施细则》标准的要求,同时也满足最严格的ISO国际规范,可以获得国家信息安全认证系统安全性证书。
只有通过测评中心测评认证通过的PKI/CA认证系统,才能确保证书发放体系的整体安全,并保证服务的提供者自身系统的安全。
才可以对外提供服务。
在获得了以上资质以后,PKI/CA中心必须将其《证书业务声明CPS》公布于其提供对外服务的网页之上,以供管理部门备案及证书的使用者随时察看。
因为《证书业务声明CPS》相当于CA中心的宪法,因此CA中心必须严格遵守其业务声明所列出的各项要求,并有义务随时接受管理部门的审查。
4CA不同建设方案的模式分析与比较
4.1运营商自建自维护CA
运营商可自己筹建或由有经验的第三方CA机构协助运营商建设一个独立的,完整的CA系统(包括CA系统软件,系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统和灾难恢复等方面的建设),并且运营商自己维护这套CA系统。
运营商可根据自身的业务需求自主制定其运营政策并可自主发放证书。
运营商自建自维护CA,无论从技术、管理、硬件投入、维护等各方面都需投入很大的成本。
并需要制定相应的管理规范,成立专门的运营团队和技术支持团队,还要涉及到CA运营资质申请的问题。
完全自建是指网通购买单独的PKI/CA软件,建设一个独立的PKI/CA系统,除了购买系统软件之外,还包括系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统和灾难恢复等方面的建设。
对于完全自建的PKI/CA系统,网通需要考虑系统的后期运营和维护,建立完整的运营管理体系,并负责系统的日常维护和升级等。
网通可以利用第三方认证中心的运营管理经验和提供的运营管理咨询服务,来建设自己的运营管理体系。
可以借助PKI/CA软件提供商提供的维护和升级服务,对系统进行日常维护和升级。
4.2运营商和第三方机构联合建设CA
这种方式简称托管自建,建设模式和自建没有太大的区别,只是通过将自建的CA由第三方来负责运营维护。
通过联合的方式,由第三方机构(通常是获得信息产业部电子认证服务许可证的CA机构)提供CA软件系统、物理场地、系统运营维护人员,运营商提供所需要的服务器、数据库等系统硬件上的投入,共同建设一套完整的CA认证系统,并运营维护在第三方机构。
而对于业务方面的运营由运营商负责,即证书的发放、吊销、更新等生命周期管理由运营商负责。
由于这种模式在系统建设上和自建没有太大的区别,因此下面的比较,将参照完全自建的模式,只是在商业运作方面和自建存在不同。
4.3使用第三方提供的CA(托管)
托管方式A(CNC作为虚拟的CA运行商)
这种方式是指配置一个集成的PKI平台,依靠第三方认证中心提供的托管建设服务联合共建PKI/CA系统。
利用第三方认证中心建设的高可靠性、高稳定性和高安全性的认证中心,将PKI/CA系统的核心后台——认证中心(CA)托管建设在第三方认证中心,在企业本地建设面向最终用户提供证书管理服务的PKI前置平台——注册中心(RA)和对PKI平台进行全权管理的CA管理端。
采用托管建设模式,企业将不需要建设并维护PKI/CA核心后台所必须的庞大机房及设备,不需要维持PKI/CA核心后台所必须的运营管理队伍,不需要考虑PKI/CA核心后台必须考虑的安全性、可靠性和稳定性等方面的建设。
企业对托管型PKI/CA进行全权管理,包括对认证体系、证书发放策略、证书生命周期和用户数据等进行管理。
托管方式B(完全使用第三方机构的CA系统)
在此模式下运营商完全使用第三方机构的CA系统,运营商的最终用户直接到第三方CA机构申请和领取证书,运营商只负责在应用系统中校验证书的有效性。
此模式下运营商在CA系统的初期投入上成本最低,且无须管理。
但若长期大量需要申请证书,则费用会是长期问题。
4.4针对不同业务使用不同的CA模块
初期不打算建设CA系统的一种过渡解决方案,可用在DRM等必须需要CA的业务系统中,一般由相关业务系统设备提供厂家来实现。
这种方案初期投资少,但实现方式采用私有标准,且在政策上有一定的风险。
如果在多个业务系统中采用,则需要多个CA模块,用户需要下多张数字证书,用户体验也不好。
而且支持这种解决方案的厂商较少。
4.5使用国外CA机构的根实现超管CA
由全球通用的支持所有浏览器、服务器和移动终端的根证书颁发机构Verisign或GeoTrust颁发一个子根给运营商,这样,运营商的CA的根证书还是自己管理,但继承了上级根证书的信任属性,所以也支持所有联网设备。
用户证书链是这样的:
国外第三方机构CA-网通CA-用户CA
自建或托管情况下CA颁发的数字证书不支持浏览器和OUTLOOK等,而且用户可能需要自己安装私用CA的根证书(可在终端出厂前预装),非常麻烦,而且用户每次使用浏览器和电子邮件时,浏览器和OUTLOOK都会不友好地提示用户说此证书由不可信任的机构颁发,往往会影响用户的使用和信任;
目前大部分Web服务器和部分终端内部都已经部署了Verisign或GeoTrust的全球通用的支持所有浏览器的根证书,可以解决这一问题。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电信行业 数字 认证 中心 CA 建设 策略 报告