互联网的发展和信息技术的普及,给人们的工作和生活带来了前所未有的便利。但网络安全问题几乎是随着网络的产生而与生俱来。传统的身份认证采用了“用户名 口令”的方式,由于受到长度和保存方式的限制很容易被破解,也因此逐渐被基于密码技术的证书认证方式所替代。 信息安全的关键技术、基础技术的PKI技术,对其体系的研究受到各国的重视。从90年代初期以来,美国、加拿大、英国、德国、日本和新加坡等相继开展了证书认证系统的研究和建设工作。 图6-1国外证书认证系统法规政策现状图 国内CA发展现状和中国电子认证服务业的法律法规,也对证书认证系统提出了更高要求。CA市场的规范化、淘汰制、重组机制也迫切要求建立一个功能完善、技术先进、安全可靠、服务领先的证书认证系统。对于人口基数大、网络用户飞速增加、宽带发展相对滞后的中国而言,有效地提高证书认证系统系统服务质量、服务效率,更有利于中国信息安全产业的发展。 证书认证系统为各行各业提供基础性服务,在电子政务领域、电子商务领域已广泛应用,具体良好的前景。证书认证系统市场增值分析见图6-2。 图6-2 证书认证系统市场增值分布图 下面以电子商务及其社会化增值服务为例说明证书认证系统的市场潜力。 (1)电子商务业务包括 Ø 电子商务(B to B)(B to C) (CtoC):网上商城、网上定票、网上物流等。 Ø 企业信息化:OA、ERP、CRM等。 Ø 其他社会化应用:ASP、数字家庭、数字社区、证券交易、移动无线、数据灾备、公共邮箱等。 (2)市场机会 从全国规模来看,截止2006年底全国企业数量已达到2640万家,网上B2B交易行为的企业数量已经达到198万家,互联网上网人数超过1亿,曾经经过电子商业业务的有5325万人次,宽带接入用户已经超过3010万户。预计到2007年这一数字将会达到约198万。以后每年增长率将保持在13.5%左右。中国参与B2B交易行为的企业数量变化,参考图6-3。 图6-3 中国B2B交易行为的企业数量增加图 随着各类社会化应用的逐步普及,网络应用势必延伸到无限的市场空间,给予数字证书市场源源不断的补充。 本文讨论了证书认证系统的设计与实现,从KMC子系统、CA子系统、RA子系统、OCSP/LDAP子系统几个方面进行阐述;本文运用了PKI关键技术,实现了一个功能完善、技术先进、安全可靠、服务领先的证书认证系统;本文通过证书模板机制面对复杂的现实应用。 目前证书认证系统同授权管理系统(PMI)、单点登录系统、统一用户管理系统的集成应用成为行业热点。2007年国家密码管理局及相关安全部门为了国家安全性考虑,要求各密码产品厂商对密码产品进行升级,以支持国家标准的ECC密码算法。证书认证系统对国家标准的ECC密码算法的应用支持也将成为行业的另一热点。 由于本人水平有限,设计中错误和不足之处在所难免,恳请各位专家、同行批评指正。 感谢培养我的公司,研究所。 。。。 。。。 感谢家人、朋友、同学们的多年来的关心、支持和鼓励。 再次谢谢你们! [1]关振胜.公钥基础设施PKI及其应用.电子工业出版社.2007. [2]Andrew Nash,William Duane,Celia Joseph,Derek Brink. PKIImplementing and Managing E-Secuity.McGraw-Hill Education.2001. [3]RFC 3280, Internet X.509 Public KeyInfrastructure Certificate andCertificate Revocation List (CRL) Profile, April 2002. [4]Baltimore Technologies PLC,BaltimoreKey tools Product Overview, September2000. [5]RSA Laboratories,PKCS #7 v1.5: CryptographicMessage Syntax Standard.1993. [6]李明柱,单肃,赵先启.Visual C 最新编程实践与技巧.北京航空航天大学出版社.2000. [7]王志海等.OpenSSL与网络信息安全--基础、结构和指令.华大学出版社与北京交通大学出版社.2007. [8]Dierks,C Allen.The TLS Protocalverison 1.0. RFC2246. 1999. [9]金仑,谢俊元.基于SSL协议的可信应用及实现.计算机应用研究.2006年第一期. [10]尹文平,兰雨晴,高静.基于LDAP的用户统一身份认证管理系统的设计与实现.计算机应用研究.2005年第10期. [11]南开创元.南开创元目录服务系统技术白皮书ITEC-IDS3.3. 2004. [12] RFC2560, X.509 Internet Public Key InfrastructureOnline Certificate Status Protocol-OCSP, June l999. [13]陈彦学.信息安全理论与实务.中国铁道出版社.2001. [14]国家密码管理局.证书认证系统密码及其相关安全技术规范.2005. [15]山东得安信息技术有限公司.SRQ24数字证书认证系统产品技术白书.2005. [16]程印春.Windows安全应用策略和实施方案手册.人民邮电出版社.2005. [17]CCITT.Recommendation X.208: Specification of AbstractSyntax Notation One (ASN.1). 1988. [18] CCITT. Recommendation X.209: Specification of BasicEncoding Rules for Abstract Syntax Notation One (ASN.1).1988. [19][美]汉森著,傅蓉等. C语言接口与实现--创建可重用软件的技术. 机械工业出版社.2004. [20]王保山.C语言接口与实现--创建可重用软件的技术.计算机应用. 2006年第15卷第五期. [21]天夜创作室编著. Linux网络编程技术.人民邮电出版社.2001. [22]天威诚信数字认证中心.证书应用开发套件.2005. [23]常晓波,杨剑峰译.安全体系结构的设计、部署与操作.清华大学出版社.2003. [24]谢东青,冷健.PKI原理与技术.清华大学出版社.2004. [25]冯登国著.计算机通信网络安全.清华大学出版社.2001. [26] Gian-Paolo D.Musumeci,Mike Loukides著, 邢飞,甄广启译.系统性能优化(第二版).中国电力出版社.2004. [27] 陈捷,祝世雄.网格安全分析及安全措施.信息安全与通讯保密. 2007年第6期. [28]陈福莉,谭兴烈. 信息安全管理平台及其应用.信息安全与通讯保密. 2006年第12期. [29]张茜,朱艳琴、罗喜召. OCSP协议的改进与实现.计算机工程. 2008年第23期. [30]金仑,谢俊元. 基于SSL协议的可信应用即实现.计算机应用研究. 2006年第1期. [31]刘明良,涂航. 基于应用集成的电子政务统一认证系统研究.微型计算机应用. 2007年第12期. [32] 李景峰,潘恒,祝跃飞. 基于单向散列链的公钥证书撤销机制小微型计算机系统. 2006年第24期. [33]谢鸿波,冯军,周明天.基于证书的单点访问模型.电子科技大学学报. 2006年第1期. [34]孟桂娥,董玮文,杨宇航.公钥基础设施PKI的设计.计算机工程. 2001年第6期. |
|