天威诚信——广西CA合作模式报告书

为了推进广西壮族自治区信息化的发展,为电子商务、电子政务及其他信息化应用提供安全可靠的保障,经广西壮族自治区信息产业主管部门同意,广西壮族自治区数字证书认证中心有限公司(简称广西CA)与北京天威诚信电子商务服务有限公司(简称天威诚信)经过认真协商,决定进行技术合作,采用基于托管的模式建设广西数字证书认证系统。2003年7月项目正式启动,2004年10月,系统建设顺利完成。通过一年多的建设,广西CA完成了数字证书认证系统的功能建设、物理建设以及人事管理、运营管理、监督和审核规范制度建设等工作,构建了较完善的广西CA的证书认证系统。该系统能够签发个人身份证书、企业证书、服务器证书和代码签名证书等四类证书,具有同时处理100个RA中心业务申请、签发100万张数字证书和20年证书保存期的能力,基本满足数字证书应用和提供安全保障的需要。依托天威诚信从技术、管理到运营等方面的有力支持,广西CA在数字证书认证系统顺利建设完成后,着手大力推进数字证书在广西电子政务和电子商务领域的应用,并取得了较好的成绩。2004年3月,自治区信息产业局与自治区质量技术监督局联合下发了《关于开展数字证书与组织机构代码IC卡合一工作的通知》(桂信联发[2004]19号文),在自治区内开展了数字证书与组织机构代码证电子副本两证合一的工作,发证工作已于8月份开始全面启动;2005年4月起,根据自治区旅游局与信息产业局联合下发的《关于广西旅游行业启用网络数字认证系统的通知》(桂旅[2005]28号文),广西CA在全区旅游系统信息化建设中进行了数字证书的推广工作;2005年6月,广西CA与广西医科大学一附院签订了在医院信息化管理系统中全面使用数字证书的合同并着手实施,从而开创了数字证书应用于医疗信息系统的先河;2005年11月,自治区人民医院的HIS系统全面使用广西CA的数字证书。同时,与自治区工商行政管理局、自治区社会保险事业局等单位有关数字证书应用的合作已经启动,将于下半年全面展开;此外,广西CA还大力推进数字证书在南宁、桂林、北海、梧州各市电子政务系统中的应用,在以上各地市建立了广西CA的RA中心。广西CA在为了大力推动数字证书在广西的应用,本着节约社会资源的原则,为满足电子签名法对认证服务的法律要求,加快推广效率,广西CA整合天威诚信的运营优势,依托天威诚信认证服务机构的合法身份,在天威诚信的大力协助下,广西CA的系统建设过程中将电子认证系统的核心部分,即区域电子认证机构的根CA和天威诚信的区域二级根CA及其所对应的私钥,存放在天威诚信的系统和物理场地内,并且根据天威诚信要求的认证业务流程在本地开展电子认证业务。天威诚信为了更加合理地控制广西CA的运营风险,保障广西CA最大化满足区域CA信息化建设的社会安全责任;保证广西CA能够安全、规范、高效地在当地开展数字认证业务。在合作过程中,双方对各自的权力和义务在法律上进行了明确的区分,对双方合作所应具备的条件给予了清楚的界定。天威诚信对广西CA进行了非常严格的管理和有力的支持:首先,天威诚信帮助广西CA制定本地的CPS,并暂由天威诚信进行符合性检查;天威诚信参照《电子认证服务管理办法》相关条文,和广西CA在其运营管理上给予相关约定;广西CA定期接受天威诚信的审计;天威诚信定期对广西CA相关人员进行管理、运营、鉴证、技术等方面的培训。

区块链与电子认证在电子文件管理中的融合应用研究

区块链技术在电子文件管理中的潜在价值备受关注,但当前的区块链技术对于上链前数据的可信缺乏足够保障,可能造成应用效果受限。针对这一问题,引入电子认证技术作为区块链技术在法律效力上的辅助和补充,提出基于电子文件生命周期理论的融合应用模型。将该模型应用于对电子文件可信性以及法律效力要求较高的电子司法文书领域,构建了兼顾司法文书防伪保真和流程可追溯的司法文书电子送达管理系统。

电子见证服务协议的安全性分析

电子见证服务是现代服务业体系中一个重要环节,为电子商务和网络应用提供安全和法律的保证。本文阐述了电子见证服务在电子商务应用中的必要性。研究影响见证服务安全几个因素,提出现有协议中普遍存在的安全漏洞。针对这些漏洞,构造了一个新型的改进协议。通过分析表明,提出的改进版本的协议降低该漏洞被攻击可能性的。

电子认证服务业开放的2005

2005年是中国电子认证服务业的标志性的一年，国家颁布的《中华人民共和国电子签名法》和《电子认证服务管理办法》相继生效。电子认证服务企业渐渐的从幕后转如人们的视野。更多的企业开始接受电子认证服务，普通公众业开始关心自己的数字身份证书，了解并认识到数字身份证这一新事物。

电子商务的安全基石PKI／CA体系简析

电子商务改变了传统面对面的交易方式，大家通过网络处理各种交易，解决了地域限制等问题。然而，由于Internet的广泛性和公开性，使得传统交易中的传输、保存、验证和鉴定等技术在网络环境中不再有效，如何保障电子商务的安全性成为摆在人们面前的新课题。PKI技术正是这时应运而生的……

基于区块链存证的电子数据真实性探讨

当前的司法审判实践中,电子数据成为常见的证据形式。电子数据具有易破坏性、无形性等特征,导致其在收集、提取、保存、传送等各个环节存在被篡改的可能性。由于难以判别电子数据的真实性和完整性,影响了电子数据的可采性和证明力。区块链技术具有分布式、自信任、公开透明、不可篡改、集体维护以及隐私保护的技术特点,利用区块链技术进行多方存证,能够确保电子数据真实性、安全性、有效性。本文结合法官审查电子数据真实性关注的角度,探讨基于区块链技术存证的电子数据的真实性。

基于区块链的电子数据存证应用研究

区块链作为比特币的底层账本记录技术,是分布式、去中心、去信任的综合技术解决方案。近几年被人们所关注成为了技术创新的热点技术。本文从目前的电子数据存证应用的场景出发,研究如何将业务与区块链技术相结合,给出一种优化目前数据存证的方法,进而更高效的为用户服务。

企业分销的安全核心——电子订单确认系统

本刊前几期向大家介绍了许多与个人用户相关的电子商务安全知识，但对企业电子商务方面涉及较少。然而，从实际需求上讲，企业(尤其一些中大型企业)更需要完善和安全的电子商务解决方案。本文就给大家介绍一个企业应用中的典型案例。

自建PKI/CA与基于服务的PKI/CA对比分析

一个成功的PKI/CA需要高安全性,高可用性(7＊24小时)的基础设施、经过专业培训的可信雇员、冗余系统、完全灾难恢复以及24小时的客户支持。使用PKI/CA软件创建自己的PKI/CA企业需要承担这一切。而天威诚信认证中心(iTruschina)提供的数字认证服务将PKI/CA体系中最为复杂、庞大的安全功能与天威诚信的安全数据中心连接起来,使得企业可以专注于商业运营。相比之下,独立的PKI/CA要求企业完全建立自己的PKI/CA安全基础设施并承担全部的风险。

面向HTTP身份鉴别协议的单点登录透明集成技术研究

针对单点登录技术实施过程中,采用HTTP身份鉴别协议的已有Web应用系统不能修改、改变的技术难题,提出了一种无须修改Web应用程序和Web服务器的身份鉴别方式即可实现单点登录的单点登录透明集成技术。该技术通过插入到Web服务器的HTTP请求、响应处理通道中的一个插件,自动处理与Web服务器交互的HTTP身份鉴别协议数据,从而在对Web服务器不作改变、对Web应用程序不作修改的情况下,实现单点登录功能。实际应用和测试结果表明,该方案实现了预定的功能,达到了预期的效果。所提方案对单点登录的应用实施非常有帮助。

美国联邦PKI(FPKI)的发展与现状

美国FPKI是按照自下而上(from the bottom-up)的方式逐步演进而来的。起初,在没有联邦政府统一规定的情况下,各联邦机构均在不同程度上采用PKI技术来满足其自身的安全需求;为解决各联邦机构PKI的互操作问题,建立了联邦桥CA(FBCA)与各独立PKI互通,实现了FPKI体系的基本搭建;近来,为进一步节省投资,又提出共享服务提供者(SSP)模式,从而形成了以策略管理和体系建设并举的美国FPKI独有模式。

面向Web Form身份鉴别的单点登录透明集成技术

针对单点登录实施中已有Web应用系统无法修改的问题,提出了一种面向Web Form身份鉴别、无需修改应用程序的单点登录透明集成技术。该技术通过仅拦截获取登录页面和提交到登录验证URL的HTTP请求的插件,实现与在线身份服务系统交互并通过口令代填实现Web应用系统的单点登录。所述插件既可以是Web服务器插件,也可以是普通Web页面。有关技术实现简单、方便。

GB/T 20518-2006《数字证书格式》简介

结合《数字证书格式》标准产生的背景,介绍该标准的主要内容,并分析该标准与相关标准的主要不同,最后指出该标准的不足并给出建议。

基于社会关系的互联网信任建立模式研究

本文从社会关系的角度研究了互联网信任的建立模式,主要对基于信任传递和基于信任评估的信任建立两种模式进行了研究和阐述,并以人人网和淘宝网为例进行了信任建立模式的分析。对人人网中好友数量及无效连接过多引发的信息爆炸问题,采用好友分类和划分关系连接权重的方法改进信任建立过程,而对淘宝网的信用评价体系采用基于物品、服务、成交金额加权计分的方法进行优化。

一种便捷式Web单点登录系统

单点登录由于给用户带来了方便,因此,获得了广泛的应用.但是传统的单点登录技术依旧存在一些问题,如无法应对企业发展中遗留的Web应用以及跨企业联合开发的Web应用,有些技术虽然可以解决这些问题,但是实现起来比较麻烦,或者会对访问的Web应用系统的性能造成显著影响.为此,提出并实现了一种便捷式单点登录系统,该系统以页面代码引导的方式将Web应用的登录请求提交到单点登录服务器,然后由服务端使用口令代填技术完成单点登录.所述单点登录技术实现简单,只需Web应用更改少量页面代码即可.

基于IBE的群组加密技术研究

针对简单的密钥共享方案并不适用于群组成员动态更新的情况,以及现今标准应用无法有效地支持群组加密的问题,研究一个基于身份加密(identity based encryption, IBE)的群组密码系统,该系统主要包括标识与群组管理系统、支持群组加密的IBE加密服务提供程序(cryptographic service provider, CSP)、密码服务器三大模块.用户可以在标识与群组管理系统上注册安全的个人和群组标识以及注销泄露的私钥所对应的不可用标识,同时用户可以创建、加入、退出、管理、解散群组等.支持群组加密的IBE CSP和密码服务器均支持群组加解密以及群组共享密钥自动更新的功能,2种解密方式互相兼容,用户可以自行选择.由于大多标准应用并不支持IBE算法,且IBE没有类似证书吊销功能来应对密钥泄露的情况.设计伪RSA数字证书,将该群组密码系统成功应用到标准应用Exchange中,并对群组标识加上时间策略和索引策略,形成拓展群组标识来更新、恢复或者销毁密钥,可以适用于群组成员动态更新的情况.