CA認(rèn)證的應(yīng)用

1、 CA認(rèn)證技術(shù)的實(shí)踐與應(yīng)用 1.CA認(rèn)證機(jī)構(gòu)所謂認(rèn)證中心，也稱為數(shù)字證書認(rèn)證中心，英文為CertificationAu鄄thority，簡稱CA。是基于國際互聯(lián)網(wǎng)平臺建立的一個公正、獨(dú)立、有權(quán)威性、廣受信賴的組織機(jī)構(gòu)，主要負(fù)責(zé)數(shù)字證書的發(fā)行、管理及認(rèn)證服務(wù)，以保證網(wǎng)上業(yè)務(wù)安全可靠地進(jìn)行。一般而言，CA認(rèn)證體系由證書審批部門和證書操作部門組成。證書審批部門（registryauthority.RA）作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰的合法性檢驗(yàn)的責(zé)任。它負(fù)責(zé)對證書申請者進(jìn)行資格審查，決定申請者是否有資格獲得證書，并承擔(dān)為不符合資格的證書申請者發(fā)放證書所引起的一切后果，因此審核部門應(yīng)由能夠

2、承擔(dān)這些責(zé)任的機(jī)構(gòu)負(fù)責(zé)。證書操作部門（certificateprocessor.CP）為已授權(quán)的申請者制作、發(fā)放和管理證書。并承擔(dān)因操作不當(dāng)所產(chǎn)生的一切后果。 包括失密和為沒有獲得授權(quán)者發(fā)放證書等。它可以由審核部門自己擔(dān)任，也可委托第三方擔(dān)任。一般CA認(rèn)證中心具有六項(xiàng)基本功能：證書發(fā)放功能，證書查詢功能，證書更新功能，證書吊銷功能，制定相關(guān)政策功能，保護(hù)數(shù)字證書安全功能。（二）我國CA認(rèn)證機(jī)構(gòu)的現(xiàn)狀與發(fā)展電子商務(wù)、電子政務(wù)對網(wǎng)絡(luò)安全的要求，不僅推動著互聯(lián)網(wǎng)交易秩序和交易環(huán)境的建設(shè)，同時也帶來了巨大的商業(yè)利潤。從1999年8月3日成立的我國第一家CA認(rèn)證中心中國電信CA安全認(rèn)證系統(tǒng)起，目前我國已

3、有140多家CA認(rèn)證機(jī)構(gòu)。但大都不具備合法身份。從2004年8月8日中華人民共和國電子簽名法頒布以后，已被信息產(chǎn)業(yè)部審批的合法CA機(jī)構(gòu)已有22家。其中一些行業(yè)建成了自己的一套CA體系，如中國金融認(rèn)證中心（CFCA）、中國電信CA安全認(rèn)證系統(tǒng)（CTCA）等；還有一些地區(qū)建立了區(qū)域性的CA體系，如北京數(shù)字證書認(rèn)證中心（BJCA）、上海電子商務(wù)CA認(rèn)證中心（SHECA）、廣東省電子商務(wù)認(rèn)證中心（CNCA）、云南省電子商務(wù)認(rèn)證中心（CNCA）等。2.CA認(rèn)證技術(shù)的實(shí)踐與應(yīng)用（1）我國CA市場存在較嚴(yán)重的同質(zhì)競爭。據(jù)信息產(chǎn)業(yè)部的不完全統(tǒng)計(jì).目前我國有CA認(rèn)證機(jī)構(gòu)140多家。并且還有增建的趨勢，而國內(nèi)電子

4、商務(wù)市場對CA的需求遠(yuǎn)遠(yuǎn)小于這些CA認(rèn)證機(jī)構(gòu)的供給量。目前，過多的CA認(rèn)證中心正在拼搶有限的市場規(guī)模，由于并不存在完全的不可替代性。 所以這些CA機(jī)構(gòu)都還處于同質(zhì)競爭階段。這種競爭的結(jié)果是各家認(rèn)證中心都需要通過價(jià)格戰(zhàn)占領(lǐng)市場，而過于低廉的費(fèi)用，不但不能夠保證基本的服務(wù)，其權(quán)威性也會受到質(zhì)疑。最后CA企業(yè)沒有動力去開發(fā)新的市場，整個行業(yè)就處于一種混亂、無序的狀態(tài)。（2）技術(shù)層面上并沒有形成統(tǒng)一的標(biāo)準(zhǔn)?！盎ヂ?lián)互通”需要進(jìn)一步加強(qiáng)。在技術(shù)層面上，由于受到美國出口限制的影響。國內(nèi)的CA認(rèn)證技術(shù)完全靠自己研發(fā)。又由于參與部門很多，導(dǎo)致標(biāo)準(zhǔn)不統(tǒng)一，既有國際上的通行標(biāo)準(zhǔn)，又有自主研發(fā)的標(biāo)準(zhǔn)，即便是同樣的標(biāo)準(zhǔn)

5、，其核心內(nèi)容也有所偏差，這導(dǎo)致交叉認(rèn)證過程中出現(xiàn)“各自為政”的局面。到目前為止，國內(nèi)尚未出臺統(tǒng)一的PKI標(biāo)準(zhǔn)或相關(guān)的管理規(guī)范，也沒有一個明確的CA管理機(jī)構(gòu)。這種缺乏統(tǒng)一標(biāo)準(zhǔn)的態(tài)勢必將造成多種技術(shù)標(biāo)準(zhǔn)共存的局面。也是目前我國眾多CA中心各方割據(jù)、難以互通的一個主要原因。（3）CA認(rèn)證還存在明顯的地域性與行業(yè)性，重復(fù)建設(shè)現(xiàn)象嚴(yán)重，無法滿足全社會電子商務(wù)發(fā)展的要求。在分布格局上，目前我國的CA機(jī)構(gòu)還存在明顯的地域性和行業(yè)性。CA建設(shè)仍處于一種無序狀態(tài)。從國內(nèi)CA建設(shè)開始至今，一直沒有出臺一個指導(dǎo)國內(nèi)CA建設(shè)的總體規(guī)劃和管理指南，使得CA建設(shè)目的不明、性質(zhì)不清、重復(fù)建設(shè)的現(xiàn)象還比較嚴(yán)重。（4）行業(yè)整體

6、缺乏有效的監(jiān)督規(guī)范，相關(guān)法律還不夠健全。但隨著電子簽名法和電子認(rèn)證服務(wù)管理辦法的出臺，我國電子商務(wù)的發(fā)展環(huán)境得到一定的改善。特別是電子簽名法的實(shí)施，為國內(nèi)眾多的CA機(jī)構(gòu)設(shè)定了門檻，對人員、設(shè)備等都做出了明確的規(guī)定。目前按照電子簽名法的規(guī)定，信息產(chǎn)業(yè)部已批準(zhǔn)了20多家CA機(jī)構(gòu)，可以說開啟了CA機(jī)構(gòu)規(guī)范化、合法化的進(jìn)程。但電子簽名法還需要更進(jìn)一步的實(shí)施規(guī)章和細(xì)則。這也是目前CA行業(yè)最需要解決的問題。三、促進(jìn)CA市場健康發(fā)展的對策1.建立有序的CA互通格局我國CA業(yè)各地區(qū)、各行業(yè)分而治之的局面，不利于CA業(yè)的長期有序發(fā)展，因?yàn)楝F(xiàn)實(shí)中的壟斷并不能構(gòu)成互聯(lián)網(wǎng)上的優(yōu)勢地位，某一領(lǐng)域內(nèi)的單根認(rèn)證中心也不利于

7、電子商務(wù)的健康發(fā)展。例如。銀行業(yè)完全可以自己發(fā)放證書為自己的客戶服務(wù)。但這種附屬于某一家銀行的CA中心不太可能給所有行業(yè)和公司頒發(fā)證書。而基于一個最高級別的根CA（國家根CA）、由多個真正第三方CA構(gòu)成的多根認(rèn)證中心才能為各個行業(yè)、各個地方的用戶提供便利和專業(yè)性的服務(wù)。從而避免各方在協(xié)調(diào)和服務(wù)過程中出現(xiàn)互相牽扯和不相容。以上海CA（SHECA）倡導(dǎo)建立的UCA認(rèn)證體系為例，為了推動我國網(wǎng)絡(luò)信任服務(wù)的發(fā)展，SHECA聯(lián)合北京、天津、山東、安徽、昆明、無錫等地的CA認(rèn)證機(jī)構(gòu)。成立了全國性互通的CA認(rèn)證體系中國協(xié)卡認(rèn)證體系 UnitedCertificateAuthority，簡稱UCA 。從而實(shí)現(xiàn)

8、了跨地區(qū)、跨行業(yè)的認(rèn)證，使協(xié)卡體系成為全國范圍內(nèi)的互聯(lián)網(wǎng)安全信任服務(wù)提供商。就投資而言。雖然各行業(yè)和公司可以運(yùn)行自己的證書系統(tǒng)，但這不僅建設(shè)成本增高，而且技術(shù)風(fēng)險(xiǎn)也很大。通常用在CA相關(guān)產(chǎn)品購買上的開銷僅僅是整個運(yùn)營成本的一部分，配置、運(yùn)行和維護(hù)一個認(rèn)證系統(tǒng)所需的持續(xù)成本才是巨大的。所以，CA中心的投資應(yīng)該由一個有穩(wěn)定收入來源、實(shí)力雄厚、承擔(dān)的風(fēng)險(xiǎn)較小且具有極高信任度的社會機(jī)構(gòu)來承擔(dān)。3.確保CA技術(shù)的可靠性在技術(shù)層面，CA中心的建設(shè)涉及到國家的主權(quán)和利益，不能受制于人，因此在安全和加密技術(shù)上應(yīng)減少對國外技術(shù)的依賴。力爭在遵循國際標(biāo)準(zhǔn)的基礎(chǔ)上，開發(fā)擁有自主產(chǎn)權(quán)的CA產(chǎn)品。同時，由于CA認(rèn)證必須

9、具有透明性、社會性和公正性，CA中心必須采取安全可靠的技術(shù)和嚴(yán)格高效的管理來保證自身的被信賴度。4.行業(yè)管理要標(biāo)準(zhǔn)化、法制化電子商務(wù)、電子政務(wù)、電子郵件以及其他網(wǎng)上交互活動，都可能要求參與者提供法定的身份證明，而數(shù)字簽名就是最有效的法定身份證明，因此制定專門的數(shù)字簽名法是完全必要的。目前，我國相關(guān)部門已經(jīng)在著手開展信息安全標(biāo)準(zhǔn)化工作。2007年4月15日，在北京成立的全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會開始制訂數(shù)字簽名、信息安全評估管理等公共信息安全的國家標(biāo)準(zhǔn)。據(jù)介紹，信息安全標(biāo)委會的任務(wù)是向國家標(biāo)準(zhǔn)化管理委員會提出信息安全標(biāo)準(zhǔn)化工作的方針、政策和技術(shù)措施建議，并負(fù)責(zé)協(xié)調(diào)各有關(guān)部門提出一套系統(tǒng)、全面、

10、分布合理的信息安全標(biāo)準(zhǔn)體系。可以預(yù)見，隨著信息安全領(lǐng)域標(biāo)準(zhǔn)化、法制化建設(shè)的日益完善，我國CA業(yè)的標(biāo)準(zhǔn)化管理也將逐步發(fā)展和健全，CA的建設(shè)和應(yīng)用將走上健康發(fā)展的軌道。5.CA認(rèn)證的信任危機(jī)CA認(rèn)證歷來就被認(rèn)為是決定電子商務(wù)發(fā)展進(jìn)程的關(guān)鍵環(huán)節(jié)之一，然而事實(shí)卻表明，作為第三方認(rèn)證機(jī)構(gòu)的CA中心也開始面臨信任危機(jī)。問題在于，CA中心在認(rèn)證別人的時候又被誰來認(rèn)證呢？ 基于信息安全的問題主要有兩點(diǎn)：一、基于用戶名+密碼這種身份驗(yàn)證方式的脆弱性；二、證券公司業(yè)務(wù)系統(tǒng)和內(nèi)部管理中存在安全漏洞。 證券行業(yè)的網(wǎng)上交易，盡管已發(fā)展得如火如荼，但存在的隱患還很多：如傳統(tǒng)的基于單一密碼的身份驗(yàn)證方式，其用戶名和密碼本身

11、就容易泄露；委托信息容易被篡改；對于交易造成的責(zé)任，由于無法確認(rèn)用戶身份，用戶可以拒絕承擔(dān)；無法保證委托信息確實(shí)發(fā)送到券商服務(wù)器；用戶的交易信息傳輸于網(wǎng)上，極易被他人竊取. 包括網(wǎng)上證券交易在內(nèi)的電子商務(wù)和電子政務(wù)運(yùn)行，如何才能保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性、不可抵賴性呢？目前普遍采用的方法是基于PKI體系的身份認(rèn)證（CA）。例如在網(wǎng)上證券交易過程中，券商與用戶通過Internet互相交換從CA申請到的數(shù)字證書，并驗(yàn)證其真實(shí)性（包括驗(yàn)證數(shù)字簽名、證書有效性等）。如任何一方發(fā)現(xiàn)對方數(shù)字證書有誤，則立刻停止交易。 可以說，CA應(yīng)用的序幕已經(jīng)拉開，作為信息基礎(chǔ)設(shè)施的有利保障，CA認(rèn)證歷來被認(rèn)為

12、是決定電子商務(wù)發(fā)展進(jìn)程的關(guān)鍵環(huán)節(jié)之一，此文的初衷也是希望在采訪幾家CA中心和做CA系統(tǒng)集成的廠商后，進(jìn)一步挖掘出CA在網(wǎng)上證券、網(wǎng)上銀行和電子政務(wù)中不斷深化的應(yīng)用和存在的問題。然而事實(shí)卻表明，一直沿用國外技術(shù)標(biāo)準(zhǔn)的PKI /CA體系已經(jīng)開始不堪重負(fù)，國內(nèi)的CA認(rèn)證機(jī)構(gòu)的運(yùn)營、保障還存在諸多缺失。驀然回首，發(fā)現(xiàn)新的身份技術(shù)已登堂入室，并且在當(dāng)前的市場條件下，這些簡單、快速、價(jià)廉的身份認(rèn)證系統(tǒng)將會有越來越多的需求并得到迅速發(fā)展。 隨著電子商務(wù)的不斷發(fā)展，如何在目前尚缺乏信任的網(wǎng)絡(luò)活動中確保公平快捷的網(wǎng)上交易，建立一個權(quán)威的第三方認(rèn)證機(jī)構(gòu)來實(shí)現(xiàn)身份確認(rèn)顯得尤為重要。CA中心本是作為能夠頒發(fā)、管理和認(rèn)

13、證數(shù)字證書的第三方機(jī)構(gòu)，但現(xiàn)在的情況則是CA機(jī)構(gòu)建設(shè)過剩。自1998年第一家CA認(rèn)證中心（CTCA）成立以來，全國已經(jīng)有超過30家CA中心，目前規(guī)模較大的包括上海CA中心（SHECA）、中國金融認(rèn)證中心（CFCA）、國際電子商務(wù)認(rèn)證中心、中國電信在長沙啟動的電信CA以及包括其他部委和地方性的CA中心，甚至還包括德達(dá)創(chuàng)新和天威誠信等純粹的民間CA中心。CA中心雖多，但發(fā)出的證書卻寥寥。在尚未建立服務(wù)于電子政務(wù)的國家級PKI體系結(jié)構(gòu)的情況下，各行業(yè)、各區(qū)域的CA中心打亂了原來嚴(yán)謹(jǐn)、有序的層次關(guān)系。而且，CA中心建設(shè)的管理缺位也助長了CA數(shù)量的膨脹。公安部、保密局、國家機(jī)要局和國家安全部，好象誰都能

14、管，好象誰又都說了不算，應(yīng)用卻因此而進(jìn)展緩慢。 同時，作為第三方認(rèn)證機(jī)構(gòu)的權(quán)威性、公正性、廣泛性也大打折扣。中國工程院院士沈昌祥在提到信任體系的建立時，指出了存在的兩大問題：一是目前我國還沒有關(guān)于電子簽名之類的法規(guī)、條例，造成對CA的信任缺乏基礎(chǔ)。二是很多CA建設(shè)基本上是一種企業(yè)行為，多以贏利為目的。政府沒有一個明確的部門對已建的CA進(jìn)行評測、認(rèn)證、監(jiān)管，況且怎么管還不清楚。目前，國際認(rèn)證市場的三巨頭Baltimore、Entrust、Verisign也早已把觸角伸進(jìn)了中國，通過代理體系在國內(nèi)建立了機(jī)構(gòu)，其中在上海安家的TrustAsia是VeriSign在中國的聯(lián)盟伙伴。TrustAsia的中國區(qū)總經(jīng)理林祖寧談到，目前國內(nèi)CA中心大多是各個政府部門主辦，真正進(jìn)入市場化運(yùn)作且能贏利的極少，這將為國外一些“第三方信譽(yù)服務(wù)商”如TrustAsia提供商機(jī)。目前，TrustAsia主要是通過生產(chǎn)、制造和銷售網(wǎng)絡(luò)安全產(chǎn)品以及提供完美的服務(wù)來賺錢。 國內(nèi)CA的尷尬還遠(yuǎn)不止這些。目前上海CA是國內(nèi)證書發(fā)放最多的認(rèn)證中心，已達(dá)到30多萬。但中心自1999年以來的總運(yùn)營收入不超過300萬元，而其投入已經(jīng)