和谐电力建设对CA认证体系建设的思考.pdf

和谐电力建设对CA认证体系建设的思考 马仙菊 (国网直流工程建设有限公司，北京100005) 摘要：保障网络安全比较成熟的技术，是以PKI安全体系为基础，以CA认证为核心的信息加密和签名技 术，通过使用签名、加密技术来实现传递信息的必威体育官网网址性、完整性、有效性和不可抵赖性。介绍了数字证书的功 能和用途及类型，同时介绍了CA认证系统的基本原理和现状，并对CA认证体系的完全托管模式、本地托管 模式和自建型CA模式3个建设方案进行了讨论，以供各单位参考。 关键词：数字证书；CA认证系统；信息安全 随着信息技术的发展，信息网络国际化、社会 上公文传送、网上办公等网上的安全电子事务处理 化、开放化和个人化的特点，在给人们带来方便、高 和安全电子交易活动。 效和信息共享的同时，也给信息安全带来许多问 数字证书一般由具有权威性和公正性的中立 题?特别是近，L年来，各种信息泄漏事件的发牛， 的认汪中心签发。认证中心(Certificate Authority) 信息安全已成为因家和企业关注的问题。困务院 承担网上安全电子交易认证服务、签发数字证书。 147了17-I令、中办[2003]27号和公通字[2007]43号文 1．2类型 件，明确提盯r信息系统安全保护—F作的要求。目 前，保障网络安全比较成熟的技术，是以PKI安全体 目前的数字证书类型主要包括：个人数字证 系为基础，以CA认证为核心的信息加密和签名技 书、单位数字证书、单位员工数字证书、服务器证 术，通过使用签名、加密技术来实现传递信息的保 书、VPN证书、WAP证书、代码签名证书和表单签名 密性、完整性、有效性和不可抵赖性。 证书。 1 数字证书 2认证中心(Certificate Authority) 数字证书是一种数字标识，是InteJ’net上的身 认证中心(CA)是一家能向用户签发数字证书 份证明。，数字证书是·个经证书授权中心数：≠签 以确认用户身份的管理机构。为了防止数字凭证 名的包含公开密钥拥有者信息以及公开密钥的文 的伪造，认证中心的公共密钥必须是可靠的，认证 件。最简单的证书包含一个公开密钥、名称以及证 中心必须公布其公共密钥或由更高级别的认证中 书授权中心的数字签名。一般情况下证书中还包 心提供一一个电子凭证来证明其公共密钥的有效性。 括密钥的有效时问，发证机关(证书授权中心)的名 数字证书颁发过程如下：用户首先产生自己的 称，该证书的序列号等信息。在使用数字证书的过 密钥对，并将公共密钥及部分个人身份信息传送给 程中，通过运用对称和-1Ex寸称密码体制等密码技术认证中心。认证中心在核实身份后，将执行一些必 建立起一套严密的身份认证系统，能够保证：信息 要的步骤，以确信请求确实由用户发送而来，然后， 除发送方和接收方外不被其他人窃取；信息在传输 认证中心将发给用户一个数字证书，该证书内包含 过程中不被篡改；发送方能够通过数字证书来确认 用户的个人信息和公钥信息，同时还附有认证中心 接收方的身份；发送方对于自己发送的信息不能 的签名信息。用户就可以使用自己的数字证书进 抵赖。 行相关的各种活动。 1．1 功能和用途 2．1 CA认证系统的基本原理 数字证书可用于发送安全电子邮件、访问安