CA认证技术的实践与应用1.CA认证机构所谓认证中心,也称为数字证书认证中心,英文为CertificationAu鄄thority,简称CA。是基于国际互联网平台建立的一个公正、独立、有权威性、广受信赖的组织机构,主要负责数字证书的发行、管理及认证服务,以保证网上业务安全可靠地进行。一般而言,CA认证体系由证书审批部门和证书操作部门组成。证书审批部门(registryauthority.RA)作为电子商务交易中受信任的第三方,承担公钥的合法性检验的责任。它负责对证书申请者进行资格审查,决定申请者是否有资格获得证书,并承担为不符合资格的证书申请者发放证书所引起的一切后果,因此审核部门应由能够承担这些责任的机构负责。证书操作部门(certificateprocessor.CP)为已授权的申请者制作、发放和管理证书。并承担因操作不当所产生的一切后果。包括失密和为没有获得授权者发放证书等。它可以由审核部门自己担任,也可委托第三方担任。一般CA认证中心具有六项基本功能:证书发放功能,证书查询功能,证书更新功能,证书吊销功能,制定相关政策功能,保护数字证书安全功能。(二)我国CA认证机构的现状与发展电子商务、电子政务对网络安全的要求,不仅推动着互联网交易秩序和交易环境的建设,同时也带来了巨大的商业利润。从1999年8月3日成立的我国第一家CA认证中心———中国电信CA安全认证系统起,目前我国已有140多家CA认证机构。但大都不具备合法身份。从2004年8月8日《中华人民共和国电子签名法》颁布以后,已被信息产业部审批的合法CA机构已有22家。其中一些行业建成了自己的一套CA体系,如中国金融认证中心(CFCA)、中国电信CA安全认证系统(CTCA)等;还有一些地区建立了区域性的CA体系,如北京数字证书认证中心(BJCA)、上海电子商务CA认证中心(SHECA)、广东省电子商务认证中心(CNCA)、云南省电子商务认证中心(CNCA)等。2.CA认证技术的实践与应用(1)我国CA市场存在较严重的同质竞争。据信息产业部的不完全统计.目前我国有CA认证机构140多家。并且还有增建的趋势,而国内电子商务市场对CA的需求远远小于这些CA认证机构的供给量。目前,过多的CA认证中心正在拼抢有限的市场规模,由于并不存在完全的不可替代性。所以这些CA机构都还处于同质竞争阶段。这种竞争的结果是各家认证中心都需要通过价格战占领市场,而过于低廉的费用,不但不能够保证基本的服务,其权威性也会受到质疑。最后CA企业没有动力去开发新的市场,整个行业就处于一种混乱、无序的状态。(2)技术层面上并没有形成统一的标准。“互联互通”需要进一步加强。在技术层面上,由于受到美国出口限制的影响。国内的CA认证技术完全靠自己研发。又由于参与部门很多,导致标准不统一,既有国际上的通行标准,又有自主研发的标准,即便是同样的标准,其核心内容也有所偏差,这导致交叉认证过程中出现“各自为政”的局面。到目前为止,国内尚未出台统一的PKI标准或相关的管理规范,也没有一个明确的CA管理机构。这种缺乏统一标准的态势必将造成多种技术标准共存的局面。也是目前我国众多CA中心各方割据、难以互通的一个主要原因。(3)CA认证还存在明显的地域性与行业性,重复建设现象严重,无法满足全社会电子商务发展的要求。在分布格局上,目前我国的CA机构还存在明显的地域性和行业性。CA建设仍处于一种无序状态。从国内CA建设开始至今,一直没有出台一个指导国内CA建设的总体规划和管理指南,使得CA建设目的不明、性质不清、重复建设的现象还比较严重。(4)行业整体缺乏有效的监督规范,相关法律还不够健全。但随着《电子签名法》和《电子认证服务管理办法》的出台,我国电子商务的发展环境得到一定的改善。特别是《电子签名法》的实施,为国内众多的CA机构设定了门槛,对人员、设备等都做出了明确的规定。目前按照《电子签名法》的规定,信息产业部已批准了20多家CA机构,可以说开启了CA机构规范化、合法化的进程。但《电子签名法》还需要更进一步的实施规章和细则。这也是目前CA行业最需要解决的问题。三、促进CA市场健康发展的对策1.建立有序的CA互通格局我国CA业各地区、各行业分而治之的局面,不利于CA业的长期有序发展,因为现实中的垄断并不能构成互联网上的优势地位,某一领域内的单根认证中心也不利于电子商务的健康发展。例如。银行业完全可以自己发放证书为自己的客户服务。但这种附属于某一家银行的CA中心不太可能给所有行业和公司颁发证书。而基于一个最高级别的根CA(国家根CA)、由多个真正第三方CA构成的多根认证中心才能为各个行业、各个地方的用户提供便利和专业性的服务。从而避免各方在协调和服务过程中出现互相牵扯和不相容。以上海CA(SHECA)倡导建立的UCA认证体系为例,为了推动我国网络信任服务的发展,SHECA联合北京、天津、山东、安徽、昆明、无锡等地的CA认证机构。成立了全国性互通的CA认证体系———中国协卡认证体系UnitedCertificateAuthority,简称UCA。从而实现了跨地区、跨行业的认证,使协卡体系成为全国范围内的互联网安全信任服务提供商。就投资而言。虽然各行业和公司可以运行自己的证书系统,但这不仅建设成本增高,而且技术风险也很大。通常用在CA相关产品购买上的开销仅仅是整个运营成本的一部分,配置、运行和维护一个认证系统所需的持续成本才是巨大的。所以,CA中心的投资应该由一个有稳定收入来源、实力雄厚、承担的风险较小且具有极高信任度的社会机构来承担。3.确保CA技术的可靠性在技术层面,CA中心的建设涉及到国家的主权和利益,不能受制于人,因此在安全和加密技术上应减少对国外技术的依赖。力争在遵循国际标准的基础上,开发拥有自主产权的CA产品。同时,由于CA认证必须具有透明性、社会性和公正性,CA中心必须采取安全可靠的技术和严格高效的管理来保证自身的被信赖度。4.行业管理要标准化、法制化电子商务、电子政务、电子邮件以及其他网上交互活动,都可能要求参与者提供法定的身份证明,而数字签名就是最有效的法定身份证明,因此制定专门的数字签名法是完全必要的。目前,我国相关部门已经在着手开展信息安全标准化工作。2007年4月15日,在北京成立的全国信息安全标准化技术委员会开始制订数字签名、信息安全评估管理等公共信息安全的国家标准。据介绍,信息安全标委会的任务是向国家标准化管理委员会提出信息安全标准化工作的方针、政策和技术措施建议,并负责协调各有关部门提出一套系统、全面、分布合理的信息安全标准体系。可以预见,随着信息安全领域标准化、法制化建设的日益完善,我国CA业的标准化管理也将逐步发展和健全,CA的建设和应用将走上健康发展的轨道。5.CA认证的信任危机CA认证历来就被认为是决定电子商务发展进程的关键环节之一,然而事实却表明,作为第三方认证机构的CA中心也开始面临信任危机。问题在于,CA中心在认证别人的时候又被谁来认证呢?基于信息安全的问题主要有两点:一、基于用户名+密码这种身份验证方式的脆弱性;二、证券公司业务系统和内部管理中存在安全漏洞。证券行业的网上交易,尽管已发展得如火如荼,但存在的隐患还很多:如传统的基于单一密码的身份验证方式,其用户名和密码本身就容易泄露;委托信息容易被篡改;对于交易造成的责任,由于无法确认用户身份,用户可以拒绝承担;无法保证委托信息确实发送到券商服务器;用户的交易信息传输于网上,极易被他人窃取......包括网上证券交易在内的电子商务和电子政务运行,如何才能保证信息传输的机密性、真实性、完整性、不可抵赖性呢?目前普遍采用的方法是基于PKI体系的身份认证(CA)。例如在网上证券交易过程中,券商与用户通过Internet互相交换从CA申请到的数字证书,并验证其真实性(包括验证数字签名、证书有效性等)。如任何一方发现对方数字证书有误,则立刻停止交易。可以说,CA应用的序幕已经拉开,作为信息基础设施的有利保障,CA认证历来被认为是决定电子商务发展进程的关键环节之一,此文的初衷也是希望在采访几家CA中心和做CA系统集成的厂商后,进一步挖掘出CA在网上证券、网上银行和电子政务中不断深化的应用和存在的问题。然而事实却表明,一直沿用国外技术标准的PKI/CA体系已经开始不堪重负,国内的CA认证机构的运营、保障还存在诸多缺失。蓦然回首,发现新的身份技术已登堂入室,并且在当前的市场条件下,这些简单、快速、价廉的身份认证系统将会有越来越多的需求并得到迅速发展。随着电子商务的不断发展,如何在目前尚缺乏信任的网络活动中确保公平快捷的网上交易,建立一个权威的第三方认证机构来实现身份确认显得尤为重要。CA中心本是作为能够颁发、管理和认证数字证书的第三方机构,但现在的情况则是CA机构建设过剩。自1998年第一家CA认证中心(CTCA)成立以来,全国已经有超过30家CA中心,目前规模较大的包括上海CA中心(SHECA)、中国金融认证中心(CFCA)、国际电子商务认证中心、中国电信在长沙启动的电信CA以及包括其他部委和地方性的CA中心,甚至还包括德达创新和天威诚信等纯粹的民间CA中心。CA中心虽多,但发出的证书却寥寥。在尚未建立服务于电子政务的国家级PKI体系结构的情况下,各行业、各区域的CA中心打乱了原来严谨、有序的层次关系。而且,CA中心建设的管理缺位也助长了CA数量的膨胀。公安部、保密局、国家机要局和国家安全部,好象谁都能管,好象谁又都说了不算,应用却因此而进展缓慢。同时,作为第三方认证机构的权威性、公正性、广泛性也大打折扣。中国工程院院士沈昌祥在提到信任体系的建立时,指出了存在的两大问题:一是目前我国还没有关于电子签名之类的法规、条例,造成对CA的信任缺乏基础。二是很多CA建设基本上是一种企业行为,多以赢利为目的。政府没有一个明确的部门对已建的CA进行评测、认证、监管,况且怎么管还不清楚。目前,国际认证市场的三巨头Baltimore、Entrust、Verisign也早已把触角伸进了中国,通过代理体系在国内建立了机构,其中在上海安家的TrustAsia是VeriSign在中国的联盟伙伴。TrustAsia的中国区总经理林祖宁谈到,目前国内CA中心大多是各个政府部门主办,真正进入市场化运作且能赢利的极少,这将为国外一些“第三方信誉服务商”如TrustAsia提供商机。目前,TrustAsia主要是通过生产、制造和销售网络安全产品以及提供完美的服务来赚钱。国内CA的尴尬还远不止这些。目前上海CA是国内证书发放最多的认证中心,已达到30多万。但中心自1999年以来的总运营收入不超过300万元,而其投入已经超过了2000万元,且还在不断的增加之中。据悉CFCA的初期投入也已达5200万元,连投资方也一致认为要获得如此高额的投资回报,周期将极为漫长。有一点不能否认,就是CA中心要有用武之地,就必须有更多的网民和企业加入到电子商务的队伍中。受意识制约,法律法规、电子支付和物流配送系统还不完全成熟,包括网络安全等方面因素的影响,当前绝大多数有消费能力的网民或有意电子商务的企事业单位还不敢完全将“交易放到网上”,因此,大力发展电子商务对CA平台的扩充有着十分重要的意义。