一、安全现状
        随着Internet的迅猛发展，电子技术给公众的生活带来了极大变化。“电子商务”这种新交易方式的快速、便捷、高效率，满足了现代商业对交易效率的要求，而且它还将继续深入我们的生活。但是，这种新的交易方式同时带给我们的还有它与传统法律之间的种种不协调。
        在保证电子商务的高效率的同时，其安全问题也日益凸现：电子商务是建立在互联网络平台上的虚拟空间中的商务活动，交易双方并不直接见面，只能通过数据、符号、信号等进行判断、选择，具体的商业行为也依靠电子信号和数据的交流，交易的当事人再也无法用传统商务中的方法来保障交易的安全。因此非法用户可以借机进行破坏，伪造、假冒合法用户身份，而业务系统也无法证明访问的用户是否是合法用户。“用户名＋口令”的传统认证方式的安全性较弱，因此方便而可靠地确认对方身份是安全交易的前提。
二、方案简介
        苏州CA为企业用户定制了一套部署便捷、高效的安全解决方案，有效地解决了上述的安全问题，利用数字证书及江苏CA自主研发的CredLink网络信任服务器实现身份认证的功能。
        数字证书是一种数字标识，即Internet上的身份证明，它以数字签名的方式，经第三方权威认证，有效地进行网上身份认证，帮助用户有效识别对方身份和表明自身的身份，具有防伪和防抵赖等功能。与物理身份证不同的是，数字证书还具有安全、保密、防篡改的特性，可对网上传输的信息进行有效保护和安全的传递。数字证书利用一对互相匹配的密钥进行签名及验签，每个用户用仅为自己所知的私钥进行签名；同时设定一把公钥公开，用于加密和验证签名。
三、工作原理概述
        安全身份认证，即身份识别与鉴别。认证的前提是甲乙双方均具有第三方CA签发的数字证书。USB KEY中包含的数字证书记录了持有方的具体信息，在通信双方（客户端和服务器）建立连接时，交换各自的数字证书并验证对方数字证书用以确认对方身份，如同网络环境中的身份证。

图1 安全身份认证总体框架图

其中安全身份认证流程如下：
       1. 客户端和CredLink网络信任服务器端传递信息并建立连接，信息中包含了协议的版本号、客户端支持的加密算法、压缩算法以及一个密钥生成过程用作输入的随机数；
       2. CredLink网络信任服务器向客户端发送站点签名证书并指明认证类型(RSA)；
       3. 客户端对CredLink网络信任服务器的签名证书进行验证，验证通过后客户端将客户的签名证书发至服务器端；
       4. CredLink网络信任服务器对客户签名证书合法性进行验证；
       5. 客户端抽取CredLink网络信任服务器证书的公钥；并用该公钥对临时会话密钥进行加密，传输给CredLink网络信任服务器端；
       6. 客户端与CredLink网络信任服务器端使用临时会话密钥，根据约定好的加密算法进行通信。

 
             图2 用户身份认证流程图

四、应用范围
       数字证书以其安全可靠、易于携带、使用方便、成本低廉、性价比高等特点，在身份认证领域也正发挥着越来越重要的作用，已成为该领域的一个重要发展方向和趋势。如：网上报税已经成为许多企业纳税申报的常用方式。纳税人通过浏览器访问税务部门的网上报税系统，正确填写电子报表后，传送至应用服务器，税务部门对这些数据进行处理、储存，并将处理结果反馈给纳税人。在此过程中，纳税人通过使用标识其身份的数字证书登录网上报税服务系统，就可以安全地进行网上税务申报，所有诸如企业账号、纳税额等申报信息都是经过高强度加密，保证信息可以安全无误地在纳税人与税务系统中传递。
      适用范围： 网上报税、网上统计、网上工商、网上资质申请、项目申报、政府招标采购、政务申报审批等。
苏州CA中心愿竭诚为您的信息安全保驾护航！