壹、產品背景
開放網絡上的電子商務要求為信息安全提供有效的、可靠的保護機制。這些機制必須提供機密性、身份驗證特性(使交易的每壹方都可以確認其它各方的身份)、不可否認性(交易的各方不可否認它們的參與)。這就需要依靠壹個可靠的第三方機構來驗證,而認證中心(CA,Certification Authority)專門提供這種服務。
證書機制是目前被廣泛采用的壹種安全機制,使用證書機制的前提是建立CA(Certification Authority ——認證中心)以及配套的RA(Registration Authority_註冊審批機構)系統。
CA中心,又稱為數字證書認證中心,作為電子商務交易中受信任的第三方,專門解決公鑰體系中公鑰的合法性問題。CA中心為每個使用公開密鑰的用戶發放壹個數字證書,數字證書的作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應。CA中心的數字簽名使得攻擊者不能偽造和篡改數字證書。認證中心的數字證書,通過運用對稱、非對稱密碼體制,及數字簽名、數字信封等密碼技術建立起壹套嚴密的身份認證系統(身份識別)和資源訪問和權限控制系統(訪問控制),以確保電子交易順利、安全地進行。從而使信息除發送方和接收方外,不被其他人知悉(安全性,數據加密); 傳輸過程中不被篡改(數據完整);發送方能確信接收方不是假冒的(不可偽裝); 發送方不能否認自己的發送行為(防止否認,不可抵賴性)。
在數字證書認證的過程中,證書認證中心(CA)作為權威的、公正的、可信賴的第三方,其作用是至關重要的。認證中心就是壹個負責發放和管理數字證書的權威機構。同樣CA允許管理員撤銷發放的數字證書,在證書廢止列表(CR)中添加新項並周期性地發布這壹數字簽名的CR。具體地說,CA有4大職能:證書發放、證書更新、證書撤銷和證書驗證。
RA(Registration Authority),數字證書註冊審批機構。RA系統是CA的證書發放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發放等工作(安全審計)。同時,對發放的證書完成相應的管理功能(安全管理)。RA系統是整個CA中心得以正常運營不可缺少的壹部分。
二、系統概述
2.1設計目的
為了加強網上證券、網上銀行等安全的網上交易系統中的個人身份認證、通訊的安全,並且方便銀行或券商進行個人證書的申請、審批、證書的發放,易初公司設計開發出壹套RA(Registry Authority)系統。
通過該系統對開通網上交易的申請人進行資格審查,並決定是否同意給該申請者發放證書。系統不僅在信息傳輸過程中采用了更強的加密手段,而且引進了權威的、可信賴的、公正的第三方認證機制,使網上交易的各方能夠相互確認身份並留存不可改變紀錄,較好地解決了網上信息傳輸安全和信用問題。
2.2功能描述
系統的RA服務器安裝在總部,RA的客戶端則安裝在各營業網點,用於錄入申請信息,並進行初步審核,然後將數據傳送到RA服務器;另外,還可以有壹個在Internet上的RS(Registry Server)服務器,該服務器和WEB服務器整合在壹起,提供網上在線申請證書功能,申請人可以到網上填寫證書申請表;審批員再對申請信息進行資格審查,並將通過審查的記錄發送到CA中心申請發放證書,如果CA同意申請,則用戶可以下載證書;如果申請被拒絕,則申請人需要重新申請。
系統的操作分為不同的角色,不同的角色擁有不同的權限,操作員的所有活動都將記入日誌,以備日後查詢。
整個RA系統的客戶端和服務器端的連接采用加密通訊機制,以保證通訊安全。數據庫中的關鍵數據也通過加密存放,以保證用戶數據的安全。
三、功能特點
l本著高效、安全、先進的原則,系統完成了證書的申請、審核、簽發、廢止、更新、審計、歸檔、備份以及密鑰管理、LDAP、OCSP發布等功能;
l系統基於客戶端/服務器方式,采用SSL 3.0協議,建立高強度加密通道,以保證通訊中數據安全;
l提供網上申請功能:可配置壹個RS(Registry Server)服務器,以供網上在線申請證書;
l系統的操作按角色分配,不同的角色擁有不同的權限,防止越權操作;
l提供管理控制臺,方便的配置並管理系統,實時監控系統狀態;
l完備的詳盡的操作日誌,以備日後查詢。
l具有強大的處理能力,很好的開放性、實用性和可擴展性;
l提供完善的圖形化用戶界面,具有易操作性、易維護性和易升級性。
四、技術特點
易初網上銀行/證券RA系統設計具有如下技術特點:
依托成熟的UCA證書體系,采用國內先進的加密技術和CA技術,系統功能完善、安全可靠;
系統采用層次式CA認證結構,方便系統的擴充和系統效率的提高。既可滿足客戶RA系統內部的需求,也可以滿足日後與國內外及其他行業CA之間交叉認證的需求;
使用的PKI體系支持多種應用,證書的擴展域可以靈活地進行定制,滿足不同應用系統的需要;
系統設計采用多模塊化結構,方便系統功能的擴充;
系統設計充分考慮了伸縮性,能方便地通過對系統硬件的升級來適應系統負荷的增大;
管理方式靈活,可以根據客戶RA系統的管理策略和證書認證策略對系統進行靈活的設置;
系統中的所有通信均采用高強度加密通信,保證信息安全;
網絡系統采用了多層防火墻設置、嚴格的網段劃分和端口控制。
五、系統架構
六、運行平臺
系統的軟硬件平臺如下:
服務器系統平臺:
?PC服務器
?MS Windows 2000 Server中文版
?MS SQL Server 2000
客戶端
?PC兼容機
?MS Windows 98中文版
/roll/2007-11-23/1053497007.shtml