湘潭国土招投标应用案例
建设背景:
湘潭市国有建设用地网上交易系统由网上注册系统、竞买申请系统、网上报价系统、网上限时竞价系统等部分组成,用以实现网上土地交易的公开、公平、公正。
为了满足“湘潭国土资源招标项目”中身份认证、数据机密性、完整性、不可否认性等安全需求,湘潭市国土资源局决定在该系统采用全省唯一的第三方认证机构湖南CA的相关PKI技术和数字证书来实现。
用户需求:
1.用户身份得到可信确认
在整个信息系统中,对于合法用户的身份认证依靠基于“PKI公钥密码体制”的数字证书认证机制的保证。服务方对用户的数字证书进行检验,全部通过以后,才对此用户的身份予以承认。用户的具体信息都记录在证书中,确保身份认证的安全可靠。
2.敏感数据完整性保护策略
采用 “数字签名” 对数据传输的完整性进行保护。一旦数据信息遭到任何形式的篡改,篡改后的数据必然与 “数字签名”不符,可以立即检验出原始的数据信息已经被他人篡改。
3.交易防抵赖
用户每次交易的信息均由用户的私钥进行数字签名。因为用户的私钥只有用户自己才拥有,所以信息的数字签名就如同用户实际的签名和印鉴一样,可以作为确定用户交易成功的证据,交易发出者不能对自己的数字签名进行否认,保证了服务方的利益不受损害。
系统构架:
湘潭国土资源招标系统数字证书应用框架包括两部分: CA平台和应用接入平台。CA平台是整个信息安全系统的基础设施—提供数字证书申请、发布、制作、查询等等功能和服务。应用接入平台是指利用数字证书技术为网上发布平台提供用户身份认证、数据加密、交易报文防抵赖、防篡改和交易审计等交易安全功能的中间层接口。
产品简介:
为保障湘潭国土资源招标工作的顺利进行,湖南CA以USB-Key数字证书的方式来满足湘潭国土资源招标系统身份认证、数字签名、责任认定等要求。
USB-KEY证书,是指将数字证书存放在可随身携带的USB设备上,使用户可以随时随地上网使用国土资源招标系统,做到即插即用、即抜即停、使客户不再受限于固定电脑。USB-KEY证书的外形与目前市场上的闪存盘产品类似,小巧而便于携带。 硬证书实现了真正的硬件加密功能。相对于文件证书,USB-KEY证书的私钥数据绝不以任何明文形式出现在USB设备之外,网上申报系统所需的加密算法及其它算法都在USB设备中,所有的加解密运算都在USB设备内部完成,同时加密设备只接受与上层应用协商的数据报文格式,实现规定的加解密功能,因此,攻击者便无法通过跟踪程序、常驻内存分析软件等手段从硬盘或内存中获取这些资料并加以利用。
此外,USB设备自身有一套完善的安全保护机制,如物理封装的防护、微电保护电路设计等措施,外部也无法通过物理手段从硬件中提取出来。而且,硬件加密是通过独立于主机系统外的USB设备实现的,所有关键数据的存储、运算都在USB设备内部通过硬件实现,不占用户主机资源,1024 bit的加密运算能在2到3秒的时间内完成。
身份认证实现原理:
用户身份认证方式是通过采用基于PKI体系的数字证书进行用户身份验证,其实现方式为:在通信双方(客户端和服务器)连接握手时交换各自的数字证书,通信双方验证对方数字证书的有效性来确认用户身份。此方案是利用SSL安全代理,通过客户端与SSL之间的相互认证达到安全登录的效果。
湘公网安备43010202000250号