得安:数字证书认证系统保障信息安全

 创新数字证书认证系统

  伴随着互联网的普及,诸多互联网应用如电子邮件、网上购物等得到了飞速发展,有关数据显示截至2014年底中国网民规模达 6.49 亿,互联网普及率为 47.9%。中国已经成为互联网大国。伴随着互联网的飞速发展,信息安全也正在成为至关重要的关卡。而今不论是电子邮件还是网上购物它们都离不开一个重要的安全认证措施——数字证书。

  数字证书就是网络通讯中标志各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式,类似于司机的驾驶证或日常生活中的身份证。它是由一个由权威机构—–CA机构,又称为证书授权中心发行的,可在网上用它来识别对方的身份。

  数字证书为实现双方安全通信提供了电子认证。数字证书主要应用于以下五个方面:安全的电子邮件、安全终端保护、可信网站、代码签名保护、授权身份管理,从而保证邮件安全、保护用户终端和数据、鉴别钓鱼网站和假冒网站、验证软件供应商的身份以保护移动端APP安全、管理对实体(用户、程序)的授权。

  一般情况下,证书包含一个公开密钥、名称以及证书授权中心的数字签名,证书中还包括密钥的有效时间、发证机关的名称、证书序列号等信息,证书的格式遵循 ITUT X.509国际标准。

  可以看出,数字证书的关键作用在于信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。通过CA这个权威的第三方机构认证后,互联网上可以建立起一种信任机制,信息交互双方都能确认对方/自己拥有合法的身份,并在网上能够有效无误地被数字证书进行验证。

  得安数字证书认证系统采用双证书机制,利用PKI技术提供数字证书的签发、验证、注销、更新等功能,将个人信息或单位信息及密钥、密码算法集合在一起,提供在虚拟的互联网世界可用的“网上身份证”,简称CA系统。

  数字证书认证系统平台分层设计,构件化开发,各模块可灵活增加或裁减,以便适应用户的不同需求;采用完整性验证、身份验证、权限分割机制、独立日志审计、自主高强度SSL加密模块等措施来保障自身安全,保证系统内所有构件与构件之间的通讯数据满足数据的机密性(Confidentiality)、数据完整性(Integrity)、身份的真实可用性(Authentication)、授权的合法性(Authorization)和不可抵赖性(Non-repudiation)等要求。

  其特点明显,提供对生命周期内的数字证书进行全过程管理的功能,提供7天X 24小时X 365天X 10年的可靠的和安全的证书服务,可签发千万量级张证书:用户注册管理、证书/证书注销列表的生成与签发、证书/证书注销列表的存储与发布、证书状态的查询、密钥的生成与管理以及安全管理等。同时基于证书系统可以实现文件加密传输、邮件安全传输、VPN虚拟专用网产品、单点登录授权、数据访问控制、时间戳等上层的应用与服务。并于2005年获得商用密码产品型号SRQ24,2008年和2011年,产品先后两次完成升级,获得型号SRQ24-A、SZT1106。

  突破难点 优势显著

  数字证书对于保障互联网安全起着极为重要的作用,它可以确保用户与他们访问的网站之间有一条安全、加密的直接连接。但是,从数字证书诞生的那天起,针对它的攻击就一刻没有停止过。

  其一,数字证书的私钥泄露和被破解。如果没有采取足够的安全措施对私钥进行安全保护,则有可能导致私钥被泄露或被破解,从而给不法分子伪造合法证书、伪装成为目标对象、骗取使用者信任的机会。因此,私钥保护通常执行最为严格苛刻的安全管理措施和技术手段。

  其二,有效的数字证书误签发给了假冒者。这是一种由于证书认证机构工作出现疏忽、流程不完善而出现的证书被错误签发的情形。其主要原因是证书认证机构没有鉴别出证书申请者提交的身份信息的真伪,把一个合法有效的证书签发给了假冒者。假冒者就可以利用用户对服务器证书的信任进行如网站钓鱼、网络仿冒等一系列网络欺诈活动。

  其三,最常用的是利用可信的SSL服务器证书进行中间人攻击。中间人攻击是一种最为典型的攻击方式,假设攻击者通过某种途径获得了一个与某网站域名完全相同的SSL证书(即适用于https网页浏览协议的数字证书),且该证书被用户的浏览器信任,即从证书验证的角度它是一个“合法、有效”的证书,则该攻击者就有可能在位于用户与网站之间的网络通路上,伪装为中间人进行攻击,窃取用户的私密信息。

  针对各种安全隐患,得安突破难点,提高安全水平,完善平台建设,优势突出显著。

  安全可靠 提供高等级的物理安全、环境安全、网络安全、系统安全、协议及流程安全。满足用户多应用、多业务需求。

  开放性及可扩展性 系统选型采用主流软、硬件设备,结构上满足动态扩展的需要。遵循标准:SM2密码使用规范、SM2加密签名消息语法规范、基于SM2密码算法的数字证书格式规范等,提供证书查询及下载、CRL查询及下载、服务器及客户端密码服务、业务处理流程、数据库访问等二次开发接口,提供证书模板定制功能。

  实用性及易操作性 认证系统满足业务系统对数字证书管理的基本需求,功能齐全、结构合理,具有较强的实用性。RA系统采用B/S结构,客户端均为Windows平台,以页面形式访问系统,易于用户操作。

  易维护性 CA系统的体系结构以自动方式提供许多管理功能。备份和恢复过程支持恢复到备份点和完全恢复,出现系统故障和灾难时,系统将进行计划内的数据备份,并支持数据恢复。CA系统采用模块化设计,在软件设计中提供对系统和软件故障的定位功能,详细的日志系统为提供足够的信息进行故障排除。