电信行业数字认证中心CA建设策略报告.doc

1 前言 1.1研究背景 目前,随着移动增值业务飞速发展, 各类数字业务（图片、音频、视频、KJAVA 游戏等）很好的满足了用户对于丰富多彩的内容的需求，提升了用户的业务体验。增值服务的运作技术和运作方式都已经日趋成熟。但是,在对数字内容版权和网络安全方面(机密性,完整性,真实身份认证,交易的不可抵赖性)没有得到足够的支持。为了解决以上问题,需要一个数字证书认证中心.即CA(Certification Authority)作为受信任的第三方,为电子商务环境中各个实体颁发数字证书, 以证明各实体身份的真实性，并负责在交易中检验和管理证书。 2005年4月1日,国家开始实施《中华人民共和国电子签名法》，信息产业部也出台了与之相匹配的《电子认证服务管理办法》。在法规中对CA数字认证中心提出了具体的要求和规范。现国内已取得资质的认证中心大概有二十家左右。关于CA 认证中心的相关法规也正在进一步完善中。 1.2研究目的 本文的编写目的，就是探讨中国网通在开展3G业务时,主要是在开展DRM,手机支付,OTA下载等业务方面如何建设CA的方案和策略建议。分析和解答应用中可能面临的各种问题，提出策略性的建议，为中国网通未来3G业务中CA的建设选择提供依据。 1.3分析方法 首先，介绍了目前存在的多种电子安全解决方案,并对其进行了比较。 其次, 分析了当前国内CA建设的现状,对CA建设涉及的相关法规,标准,及相关组织关系进行了研究。 再次, 重点提出了CA不同建设方案的模式,对各种建设模式的优缺点进行比较。 然后, 分析各个运营商CA建设现状。 最后就中国网通CA建设解决方案以及实施策略提出了可行性建议。 1.4主要结论 中国网通作为未来的3G业务运营商，应该在部分3G业务中逐渐采用基于PKI/CA体系的数字认证解决方案。 建议中国网通在业务开展初期采用联合建设或者托管的方式来建设CA系统，以便节省投资，降低投资风险，同时还可以向第三方CA机构学习CA运营和维护的经验。等到业务开展比较成熟，用户对CA认证的需求增大时，此时中国网通已经积累了一些运营和管理CA系统的经验，可考虑在初期建设的CA系统基础上自建CA系统，脱离第三方CA机构。 中国网通应该在全国范围内建设CA系统，由全国中心CA中心统一管理各省的RA中心。 中国网通应该独立建设CA系统，和其他业务系统在逻辑上和物理上完全分开，把对其他业务系统的影响降低到最小。 中国网通应该和终端厂商、服务器提供商、卡商提前签署合作协议，在终端、卡和服务器出厂前就灌装网通CA中心的根数字证书。 建议用户通过较为安全的方式获得用户数字证书。（终端或者卡出厂前预装、PUSH方式、通过验证登陆门户后下载、营业厅办理等方式）。 在业务开展中期，中国网通需要自建CA系统时，中国网通应该注册成立独立的网通控股的CA运营公司。这样CA系统即符合国家政策法规，又可以面向其他行业来盈利。 建议中国网通在DRM系统、移动支付系统、SP认证管理中最先使用CA认证。对于其他业务系统可根据运营时的用户需求来确定是否使用CA认证。 2 电子安全解决方案比较 2.1 用户账号加密码 静态口令认证技术是指用户登录系统的用户名和口令是一次性产生，在使用过程中总是固定不变的，用户输入用户名和口令，用户名和口令通过网络传输给服务器，服务器提取用户名和口令，与系统中保存的用户名和口令进行匹配，检查是否一致，系统从而实现对用户的身份验证。静态口令靠口令本身的复杂度来保证认证的安全强度，但是复杂的口令没有规律、不易记忆；并且静态口令在网络中传输的时候很容易被截取。 动态口令认证技术是对传统的静态口令技术的改进，它采用双因数认证的原理，即用户既要拥有一些信息，如系统颁发的token，又要知道一些信息，如启用token的口令。动态口令的安全强度要高于静态口令，用户每次通过某种方式重新获得口令，口令是变化不定的；但是口令的动态变化必须依靠增加硬件设备来实现。动态口令比静态口令的认证方法具有更好的安全性，在一定程度上解决了基于静态口令的认证方法所面临的威胁。 2.2 SSL协议 现在，大部分的WEB服务器和浏览器都支持SSL协议(The Secure Sockets Layer)。这是一个在传输层和应用层之间的安全通信层，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。SSL协议保证用户输入的机密信息从用户端浏览器到服务器之间的传输是高强度加密传输的，从而有效地防止了银行卡信息、网上购物帐号、密码和交易数据不会在传输过程中被非法窃取和篡改，保证了机密信息的机密性和完整性。 SSL协议的也有其局限性，首先它不能提供对抗抵赖性的支持（这部分的工作必须由数字证书完成）。其次SSL协议运行的立足点是业务系统对客户信息必威体育官网网址的承诺