信息安全的解決之道
  
    在電子商務中，越來越多的商業活動是在互未謀面的實體或個人之間進行的，因此客戶和商家或者客戶和客戶之間就存在著相互的身份認證問題。這時候，客戶的問題往往是"誰能證明你就是…?"。所以，需要一個客戶和商家都信任的權威機構來證明他們各自的身份，就像在現實生活中，人們需要公安局來證明他們的真實身份一樣；在電子世界中，我們需要一個"公安局"這樣的權威機構來幫助完成交易雙方的身份認證。 
 
    在現實生活中，您出國考察，需要到工作單位開一張介紹信，證明自己的身份和出國目的，然后得到所去國家的權威機構的簽證。在電子世界中，我們同樣需要"所在國家的權威機構"開這張"簽證"，它能證明我們在電子商務世界中的身份和交易內容；這個"機構"就是權威認證機構CA，這張"簽證"就是數字證書或者說是電子簽證。
  
    身份識別完成后，是不是問題就全部解決了呢？回答是否定的。怎么證明交易的有效性呢？客戶的商業機密同樣重要，怎么保護呢？
   
所以，企業之間或企業內部的全面完整的信息安全需要：
   
   身份識別   
   訪問控制   
   數據保密   
   數據完整
   防止否認與防止偽裝   
   安全審計與安全管理
  
    開放網絡上的電子商務要求為信息安全提供有效的、可靠的保護機制。這些機制必須提供機密性、身份驗證特性(使交易的每一方都可以確認其它各方的身份)、不可否認性(交易的各方不可否認它們的參與)。這就需要依靠一個可靠的第三方機構來驗證，而認證中心（CA，Certification Authority）專門提供這種服務。
  
    證書機制是目前被廣泛采用的一種安全機制，使用證書機制的前提是建立CA（Certification Authority --認證中心）以及配套的RA（Registration Authority_注冊審批機構）系統。
  
    CA中心，又稱為數字證書認證中心，作為電子商務交易中受信任的第三方，專門解決公鑰體系中公鑰的合法性問題。CA中心為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應。CA中心的數字簽名使得攻擊者不能偽造和篡改數字證書。認證中心的數字證書，通過運用對稱、非對稱密碼體制，及數字簽名、數字信封等密碼技術建立起一套嚴密的身份認證系統（身份識別）和資源訪問和權限控制系統（訪問控制），以確保電子交易順利、安全地進行。從而使信息除發送方和接收方外，不被其他人知悉（安全性，數據加密）； 傳輸過程中不被篡改（數據完整）；發送方能確信接收方不是假冒的（不可偽裝）； 發送方不能否認自己的發送行為（防止否認，不可抵賴性）。
    
    在數字證書認證的過程中，證書認證中心（CA）作為權威的、公正的、可信賴的第三方，其作用是至關重要的。認證中心就是一個負責發放和管理數字證書的權威機構。同樣CA允許管理員撤銷發放的數字證書,在證書廢止列表(CR)中添加新項并周期性地發布這一數字簽名的CR。具體地說，CA有4大職能：證書發放、證書更新、證書撤銷和證書驗證。
   
    RA（Registration Authority），數字證書注冊審批機構。RA系統是CA的證書發放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發放等工作（安全審計）。同時，對發放的證書完成相應的管理功能（安全管理）。RA系統是整個CA中心得以正常運營不可缺少的一部分。RA在PowerCA中涵蓋證書審核中心和證書簽發中心，它們是以客戶程序的方式提供給系統的審核員和系統的管理員。   

PowerCA實現的功能
  
    實現能夠面對面發放高強度的符合X.509 國際標準的數字證書；   
    能夠為數字證書的用戶驗證證書的合法性和有效性；   
    能夠按照預定的安全規則，或用戶的要求，回收并作廢用戶的數字證書，并將回收作廢的數字證書加以保存，以產生回收列表；   
    用戶私鑰和證書允許保存在Skey或其他存儲介質中，實現用戶證書的安全存放；   
    實現用戶證書和回收列表的網上查詢功能；   
    實現網上申請數字證書；   
    實現網上審核證書申請；   
    實現網上簽發數字證書；   
    確保PowerCA系統自身的安全性。

    PowerCA由七個子系統構成，分別為證書申請中心、證書審核中心、證書簽發中心、證書查詢中心、證書回收子系統、安全子系統和備份子系統。PowerCA的這七個子系統對應與一般CA認證中心具有的七個分支，各部分的連接如下圖所示：

證書申請中心的功能是： 
 
    面對面產生數字證書請求，審核員使用證書服務主頁提供的高級申請將用戶的請求文件（用戶使用第三方工具形成請求文件）轉化為PowerCA識別的用戶申請；
  
    支持網上申請證書，用戶可以在 Internet 上通過瀏覽器（ IE、Netscape ）連接登錄到Web站點申請數字證書。
  
證書審核中心的功能是：
   
    面對面審核面對面的數字證書請求，按照 PowerCA 的安全策略，審核員接受用戶的面對面的證書申請，等待管理員為之簽發數字證書；或者拒絕審核用戶的面對面的證書申請；
   
    支持網上審核用戶申請，用戶可以在 Internet 上通過"PowerCA證書審核中心"軟件連接登錄到證書服務器審核用戶的數字證書申請，PowerCA審核員可以利用此子系統審核用戶請求；按照 PowerCA 的安全策略，審核員接受用戶的網上申請，等待管理員為之簽發數字證書；或者拒絕審核用戶的網上申請。

證書簽發中心的功能是：
   
    面對面簽發面對面的數字證書請求，按照 PowerCA 的安全策略，管理員簽發用戶的面對面的證書申請；或者拒絕簽發用戶的面對面的證書申請；
  
    支持網上簽發用戶申請，用戶可以在 Internet 上通過"PowerCA證書簽發中心"軟件連接登錄到證書服務器簽發用戶的數字證書申請，PowerCA管理員可以利用此子系統簽發用戶請求；按照 PowerCA 的安全策略，管理員接受用戶的網上申請為之簽發數字證書；或者拒絕簽發用戶的網上申請。
   
證書回收子系統的功能是：
   
    用戶可以通過向管理員發出簽名郵件請求吊銷其數字證書，管理員驗證用戶的簽名后，回收用戶的數字證書； 
 
    維護PowerCA的回收列表。
   
證書查詢子系統的功能是：
   
    支持用戶通過瀏覽器（ IE、Netscape ）連接登錄到證書服務發布的站點查詢當前登錄的用戶的數字證書的功能；
   
    支持用戶通過瀏覽器（ IE、Netscape ）連接登錄到證書服務發布的站點查詢證書回收列表的功能；   
    支持用戶通過瀏覽器（ IE、Netscape ）連接登錄到證書服務發布的站點查詢CA證書的功能；
  
安全子系統的功能是： 
 
    PowerCA可以根據不同的安全策略進行相應的配置，以支持發行不同種類的符合 X.509標準的數字證書，不同種類的證書可以在以下幾方面特征：
   
    Ⅰ. 用戶的個人信息；    
    Ⅱ. 用戶申請的I意圖；   
    Ⅲ. 用戶的公鑰的位數；
    Ⅳ. 數字證書的擴展信息；   
    Ⅴ. 數字證書的存儲介質；   
    Ⅵ. 報文摘要采用的算法。
   
    審計功能： PowerCA記錄每一件與安全有關的事件，包括連接登錄證書服務器、審核數字證書請求、簽發數字證書請求等等，以便于將來的詳細的審計； 
 
    PowerCA具有自己的與管理員、審核員相結合的用戶管理機制，每一個使用PowerCA 系統的管理員和審核員必須使用該管理機制注冊自己，在注冊成功之后，他將擁有一把Skey以標志自己，此管理機制的特點為：
   
    I.　管理員可以決定審核員的人選；   
    II.　審核員負責審計管理員的簽發工作；   
    III.　管理員無權注銷審核員的審核權；
   
備份子系統的功能是：   
    備份PowerCA的全部數字證書及回收列表，以及審計信息。
   
PowerCA的主要特點
 
提供高度的安全性
  
    作為CA系統，其能夠保障的安全性是最為被關心的問題。本系統采用先進成熟的公鑰算法體系，公鑰對生成算法采用RSA或DSA，公鑰的長度為1024 ~ 16384位，遠遠高于國外進口的512位。同時可選擇MD5、MD2、SHA1等算法作報文摘要。這些算法在目前都是國際公認的可靠性最高且應用最為廣泛的安全算法。   
    對于系統自身的安全性，本系統將自身的私鑰保存在多把獨立的Skey中，由不同身份的人分別持有。在啟動系統時必須循序插入所有SKey并正確輸入各自密碼方能啟動系統。在系統啟動后，只有系統管理員才能更改系統的配置，并且所有的相關操作都記錄到了系統安全日志。
   
    對于用戶證書的安全性，本系統支持將客戶的私鑰及數字證書通過加密保存在硬件SKey中，解密口令由用戶掌握，保證了客戶的私鑰的安全性。
  
技術上的先進性
   
    本系統支持將數字證書以密文形式存于獨立硬件SKey中，保障了數字證書的安全性。系統中證書的目錄管理和查詢基于標準的目錄服務協議，大大提高證書的查詢和管理效率，并允許用戶在網上查詢自己和他人的證書，解決了目前CA證書難于管理和查詢困難的問題。系統同時支持面對面及網上的數字證書發放形式，為網上電子商務應用提供保障。
   
功能上的完整性
  
    PowerCA由七個子系統構成，分別為證書申請中心、證書審核中心、證書簽發中心、證書查詢中心、證書回收子系統、安全子系統和備份子系統，分別提供證書申請、證書審核、證書簽發、證書查詢、證書回收、自身安全和證書備份等各項服務。系統同時支持面對面及網上的數字證書發放形式，并可與Exchange Server郵件系統、IIS、VPN 及其他產品及應用無縫集成，構成強大的安全Internet應用平臺。   
廣泛的適應性
   
    PowerCA嚴格遵守X.509的證書標準，既可以在SS上使用，也可以在SET上使用；既能夠滿足專項CA認證中心的需求，也可以滿足CA交叉認證的需求；
   
操作的簡便性
  
    PowerCA 系統的用戶界面為圖形用戶界面，用戶不需任何培訓就可以使用，易用性極好。
  
用戶信息安全性
  
    系統可選用Skey來存儲用戶個人證書和私鑰，使用戶個人信息存儲更加安全。   
    ¨ Skey存儲的信息無法復制；   
    ¨ Skey具有雙重口令保護機制和完備的文件系統管理功能；   
    ¨ Skey允許設置PIN猜測的最大值，以防止口令攻擊的行為；   
    ¨ Skey通過USB接口讀寫數據，無須專門的讀卡器，使用方便；   
    Skey只有鑰匙大小，非常輕巧，易攜帶。

CA在現代計算機網絡與信息系統中占有重要的位置，主要有以下應用：
   
    系統級的安全登錄   
    電子商務中交易雙方的身份識別   
    密鑰的管理   
    SS安全協議   
    應用系統的安全登錄   
    郵件系統的加密和簽名   
    下圖是PowerCA在某系統的具體應用  

  
  
PowerCA的系統環境和要求
   
    硬件要求   
    USB口（使用IC卡可沒有USB口）   
    內存：32M以上　   
    CPU：PII 233mHz以上   
    可用硬盤空間：30M以上
    網卡   
    軟件要求   
    Windows 2000   
    Windows NT with SP5 以上   
    Windows 98   
    Redhat inux 3.0以上   

PowerCA遵循的標準