天威诚信——广西CA合作模式报告书

为了推进广西壮族自治区信息化的发展,为电子商务、电子政务及其他信息化应用提供安全可靠的保障,经广西壮族自治区信息产业主管部门同意,广西壮族自治区数字证书认证中心有限公司(简称广西CA)与北京天威诚信电子商务服务有限公司(简称天威诚信)经过认真协商,决定进行技术合作,采用基于托管的模式建设广西数字证书认证系统。2003年7月项目正式启动,2004年10月,系统建设顺利完成。通过一年多的建设,广西CA完成了数字证书认证系统的功能建设、物理建设以及人事管理、运营管理、监督和审核规范制度建设等工作,构建了较完善的广西CA的证书认证系统。该系统能够签发个人身份证书、企业证书、服务器证书和代码签名证书等四类证书,具有同时处理100个RA中心业务申请、签发100万张数字证书和20年证书保存期的能力,基本满足数字证书应用和提供安全保障的需要。依托天威诚信从技术、管理到运营等方面的有力支持,广西CA在数字证书认证系统顺利建设完成后,着手大力推进数字证书在广西电子政务和电子商务领域的应用,并取得了较好的成绩。2004年3月,自治区信息产业局与自治区质量技术监督局联合下发了《关于开展数字证书与组织机构代码IC卡合一工作的通知》(桂信联发[2004]19号文),在自治区内开展了数字证书与组织机构代码证电子副本两证合一的工作,发证工作已于8月份开始全面启动;2005年4月起,根据自治区旅游局与信息产业局联合下发的《关于广西旅游行业启用网络数字认证系统的通知》(桂旅[2005]28号文),广西CA在全区旅游系统信息化建设中进行了数字证书的推广工作;2005年6月,广西CA与广西医科大学一附院签订了在医院信息化管理系统中全面使用数字证书的合同并着手实施,从而开创了数字证书应用于医疗信息系统的先河;2005年11月,自治区人民医院的HIS系统全面使用广西CA的数字证书。同时,与自治区工商行政管理局、自治区社会保险事业局等单位有关数字证书应用的合作已经启动,将于下半年全面展开;此外,广西CA还大力推进数字证书在南宁、桂林、北海、梧州各市电子政务系统中的应用,在以上各地市建立了广西CA的RA中心。广西CA在为了大力推动数字证书在广西的应用,本着节约社会资源的原则,为满足电子签名法对认证服务的法律要求,加快推广效率,广西CA整合天威诚信的运营优势,依托天威诚信认证服务机构的合法身份,在天威诚信的大力协助下,广西CA的系统建设过程中将电子认证系统的核心部分,即区域电子认证机构的根CA和天威诚信的区域二级根CA及其所对应的私钥,存放在天威诚信的系统和物理场地内,并且根据天威诚信要求的认证业务流程在本地开展电子认证业务。天威诚信为了更加合理地控制广西CA的运营风险,保障广西CA最大化满足区域CA信息化建设的社会安全责任;保证广西CA能够安全、规范、高效地在当地开展数字认证业务。在合作过程中,双方对各自的权力和义务在法律上进行了明确的区分,对双方合作所应具备的条件给予了清楚的界定。天威诚信对广西CA进行了非常严格的管理和有力的支持:首先,天威诚信帮助广西CA制定本地的CPS,并暂由天威诚信进行符合性检查;天威诚信参照《电子认证服务管理办法》相关条文,和广西CA在其运营管理上给予相关约定;广西CA定期接受天威诚信的审计;天威诚信定期对广西CA相关人员进行管理、运营、鉴证、技术等方面的培训。

区块链与电子认证在电子文件管理中的融合应用研究

区块链技术在电子文件管理中的潜在价值备受关注,但当前的区块链技术对于上链前数据的可信缺乏足够保障,可能造成应用效果受限。针对这一问题,引入电子认证技术作为区块链技术在法律效力上的辅助和补充,提出基于电子文件生命周期理论的融合应用模型。将该模型应用于对电子文件可信性以及法律效力要求较高的电子司法文书领域,构建了兼顾司法文书防伪保真和流程可追溯的司法文书电子送达管理系统。

面向HTTP身份鉴别协议的单点登录透明集成技术研究

针对单点登录技术实施过程中,采用HTTP身份鉴别协议的已有Web应用系统不能修改、改变的技术难题,提出了一种无须修改Web应用程序和Web服务器的身份鉴别方式即可实现单点登录的单点登录透明集成技术。该技术通过插入到Web服务器的HTTP请求、响应处理通道中的一个插件,自动处理与Web服务器交互的HTTP身份鉴别协议数据,从而在对Web服务器不作改变、对Web应用程序不作修改的情况下,实现单点登录功能。实际应用和测试结果表明,该方案实现了预定的功能,达到了预期的效果。所提方案对单点登录的应用实施非常有帮助。

美国联邦PKI(FPKI)的发展与现状

美国FPKI是按照自下而上(from the bottom-up)的方式逐步演进而来的。起初,在没有联邦政府统一规定的情况下,各联邦机构均在不同程度上采用PKI技术来满足其自身的安全需求;为解决各联邦机构PKI的互操作问题,建立了联邦桥CA(FBCA)与各独立PKI互通,实现了FPKI体系的基本搭建;近来,为进一步节省投资,又提出共享服务提供者(SSP)模式,从而形成了以策略管理和体系建设并举的美国FPKI独有模式。

面向Web Form身份鉴别的单点登录透明集成技术

针对单点登录实施中已有Web应用系统无法修改的问题,提出了一种面向Web Form身份鉴别、无需修改应用程序的单点登录透明集成技术。该技术通过仅拦截获取登录页面和提交到登录验证URL的HTTP请求的插件,实现与在线身份服务系统交互并通过口令代填实现Web应用系统的单点登录。所述插件既可以是Web服务器插件,也可以是普通Web页面。有关技术实现简单、方便。

GB/T 20518-2006《数字证书格式》简介

结合《数字证书格式》标准产生的背景,介绍该标准的主要内容,并分析该标准与相关标准的主要不同,最后指出该标准的不足并给出建议。

基于社会关系的互联网信任建立模式研究

本文从社会关系的角度研究了互联网信任的建立模式,主要对基于信任传递和基于信任评估的信任建立两种模式进行了研究和阐述,并以人人网和淘宝网为例进行了信任建立模式的分析。对人人网中好友数量及无效连接过多引发的信息爆炸问题,采用好友分类和划分关系连接权重的方法改进信任建立过程,而对淘宝网的信用评价体系采用基于物品、服务、成交金额加权计分的方法进行优化。

一种便捷式Web单点登录系统

单点登录由于给用户带来了方便,因此,获得了广泛的应用.但是传统的单点登录技术依旧存在一些问题,如无法应对企业发展中遗留的Web应用以及跨企业联合开发的Web应用,有些技术虽然可以解决这些问题,但是实现起来比较麻烦,或者会对访问的Web应用系统的性能造成显著影响.为此,提出并实现了一种便捷式单点登录系统,该系统以页面代码引导的方式将Web应用的登录请求提交到单点登录服务器,然后由服务端使用口令代填技术完成单点登录.所述单点登录技术实现简单,只需Web应用更改少量页面代码即可.

基于IBE的群组加密技术研究

针对简单的密钥共享方案并不适用于群组成员动态更新的情况,以及现今标准应用无法有效地支持群组加密的问题,研究一个基于身份加密(identity based encryption, IBE)的群组密码系统,该系统主要包括标识与群组管理系统、支持群组加密的IBE加密服务提供程序(cryptographic service provider, CSP)、密码服务器三大模块.用户可以在标识与群组管理系统上注册安全的个人和群组标识以及注销泄露的私钥所对应的不可用标识,同时用户可以创建、加入、退出、管理、解散群组等.支持群组加密的IBE CSP和密码服务器均支持群组加解密以及群组共享密钥自动更新的功能,2种解密方式互相兼容,用户可以自行选择.由于大多标准应用并不支持IBE算法,且IBE没有类似证书吊销功能来应对密钥泄露的情况.设计伪RSA数字证书,将该群组密码系统成功应用到标准应用Exchange中,并对群组标识加上时间策略和索引策略,形成拓展群组标识来更新、恢复或者销毁密钥,可以适用于群组成员动态更新的情况.

基于指纹加密保护的USB Key安全方案

USB Key目前在网络身份认证中应用十分广泛,它采用PIN码来保护内部的证书和私钥,然而PIN码容易遗忘,也容易被窃取,是USB Key安全系统中最薄弱的环节;本文通过指纹加密技术,用指纹来控制用户对USB Key的访问,用户访问USB Key时不再需要记忆PIN码,提高了易用性;同时也可以抵御口令猜测攻击,提高了USB KEY的安全性。

基于区块链存证的电子数据真实性探讨

当前的司法审判实践中,电子数据成为常见的证据形式。电子数据具有易破坏性、无形性等特征,导致其在收集、提取、保存、传送等各个环节存在被篡改的可能性。由于难以判别电子数据的真实性和完整性,影响了电子数据的可采性和证明力。区块链技术具有分布式、自信任、公开透明、不可篡改、集体维护以及隐私保护的技术特点,利用区块链技术进行多方存证,能够确保电子数据真实性、安全性、有效性。本文结合法官审查电子数据真实性关注的角度,探讨基于区块链技术存证的电子数据的真实性。

基于国产密码算法的物联网应用研究

随着物联网的成熟和发展,物联网的应用场景变得越来越大,使用环境更加复杂,这种复杂的应用环境,导致出现了大量的安全问题,这些敏感的安全问题甚至已经“进化”成威胁人身安全的问题.例如在车联网环境中,攻击者对车辆IT系统的攻击,可能导致对车辆的完全控制,从而造成对乘客的生命威胁.在医疗环境中,越来越多的医疗设备,包括植入性医疗器械完全具备了网络接入功能,患者身体产生的数据本身就属于个人隐私范畴,存在信息泄露的巨大风险.在智能家居领域,越来越多的智能电器变成了物联网的一部分,包括传统的冰箱、电视、洗衣机、空调,以及涉及到安防的烟感系统、消防喷淋系统、指纹锁、电子猫眼等,存在大量的设备安全管理、隐私数据安全的问题.作为底层安全基础设施的国产密码算法,研究如何合理地在各个场景应用就成为一项重要的工作.

可信计算中的数字证书

可信计算组织TCG(Trusted Computing Group)是由全球近百家计算技术、信息技术方面的领先企业组成的一个非赢利性工业组织,致力于制定厂商中立的、跨平台的、公开的可信计算标准和相应的技术推广.TCG采用软件和硬件相结合的技术来提供可信的计算环境.TCG对可信(Trust)的定义是:一个实体为实现某一目标的行为符合人们的预期.TCG的可信计算技术能提供如下的功能:

基于区块链的电子数据存证应用研究

区块链作为比特币的底层账本记录技术,是分布式、去中心、去信任的综合技术解决方案。近几年被人们所关注成为了技术创新的热点技术。本文从目前的电子数据存证应用的场景出发,研究如何将业务与区块链技术相结合,给出一种优化目前数据存证的方法,进而更高效的为用户服务。

电子见证服务协议的安全性分析

电子见证服务是现代服务业体系中一个重要环节,为电子商务和网络应用提供安全和法律的保证。本文阐述了电子见证服务在电子商务应用中的必要性。研究影响见证服务安全几个因素,提出现有协议中普遍存在的安全漏洞。针对这些漏洞,构造了一个新型的改进协议。通过分析表明,提出的改进版本的协议降低该漏洞被攻击可能性的。

浅谈软件企业提升财务管理的对策

软件行业作为一个新兴产业,其自身特点决定了在财务管理模式上与传统行业存在较大差异。仅仅利用传统的财务管理方式,软件企业很难获得理想的工作效果,如何有效地提升财务管理工作一直是软件企业的重点。本文将从软件行业的特点出发,探讨软件企业财务管理的特征。同时,结合当前软件企业财务管理现状,阐述提升财务管理的对策。