随着电子商务逐渐成为21世纪经济生活的新领域,互联网上的安全问题已经日益突出,建立完善的电子认证体系成为电子商务发展的关键。在1997年,中国电信的CTCA成功上线,1998年,国内第一家以实体形式运营的上海CA中心(SHECA)成立,此后,全国先后建成了几十家不同类型的CA认证机构,CA认证的概念也逐步从电子商务渗透至电子政务、金融、科教等各个领域。
群雄并起、诸侯割据、自成体系,这是我们不得不面对的国内CA建设现状。
CA认证
数字证书认证中心(Certficate Authority,CA)是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构–根认证中心(根CA)。
电子交易的各方都必须拥有合法的身份,即由数字证书认证中心机构(CA)签发的数字证书,在交易的各个环节,交易的各方都需检验对方数字证书的有效性,从而解决了用户信任问题。CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。基于其牢固的安全机制,CA应用可扩大到一切有安全要求的网上数据传输服务。
数字证书认证解决了网上交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任关系,即建立安全认证体系(CA);选择安全标准(如SET、 SSL);采用高强度的加、解密技术。其中安全认证体系的建立是关键,它决定了网上交易和结算能否安全进行,因此,数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
数字证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。
国内CA中心分布
电子商务、电子政务对网络安全的要求,不仅推动着互联网上交易秩序和交易环境的建设,同时也带来了巨大的商业机会。各地、各行业纷纷上马建设CA中心,一时间,全国涌现出了30多家CA中心。如此多的CA认证中心是否能满足应用的需求呢?让我们来分析一下。
从CA中心建设的背景来分,国内的CA中心大致可以分为两类:运营性跟建设性CA;运营性CA系统大致可以分为两类:大行业或政府部门建立的CA,如CFCA、CTCA等;地方政府授权建立的CA,如上海CA、北京CA等;建设性CA系统,以ETCA(时代亿信)为代表。
运营性CA不但是数字认证的服务商,也是其他商品交易的服务商,它们不可避免地要在不同程度上参与交易过程,这与CA中心本身要求的第三方性质相符合。就应用范围而言,运营类CA更倾向于在自己熟悉的领域内开展服务。
建设性CA进行商业化的经营,并不属于某个行业或者地域,他们的客户多为对数字认证服务有需求的具有商业性质的公司,但建设性CA厂商的服务更加全面,不但能建立CA认证系统,更能在此基础上延伸出其他功能服务,如,多个应用系统的SSO(单点登录) 、统一授权与管理等。
国内CA建设现状
从目前情况看,CA的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够。在CA建设和分布格局上,无论是在建的还是已经启用的,都还存在一些问题。
在技术层面上,由于受到美国出口限制的影响,国内的CA认证技术完全靠自己研发。又由于参与部门很多,导致标准不统一,既有国际上的通行标准,又有自主研发的标准,即便是同样的标准,其核心内容也有所偏差,这将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。
在应用层面上,一些CA认证机构对证书的发放和审核不够严谨。为了抢占市场,在没有进行严格的身份确认和验证就随意发放证书,难以保证认证的权威性和公正性。
在分布格局上,很多CA认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求。就互联网而言,不应该也不可能存在地域限制。
在这种CA建设群雄并起、诸侯割据、自成体系的环境下,谁的服务好、应用面广、可信度高、可靠性强,谁就会成为最后的胜利者。
认证中心CA是PKI的核心,CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布。
PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,是一种新的安全技术,目的是为了管理密钥和证书。它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。
国内CA建设厂商对比与分析
国内PKI产品市场主要被五家厂商(时代亿信、信安世纪、吉大正元、维豪、格尔)占据,这五家囊括了国内PKI市场的70%。五大厂商的产品对比如下所示:
表:国内主要PKI厂商对比
厂商产品 功能 |
时代亿信 |
吉大正元 |
维豪 |
信安世纪 |
格尔 |
安全认证(PKI) |
有 |
有 |
有 |
有 |
有 |
SSO |
有 |
有 |
有 |
有 |
有 |
终端访问控制与审计平台 |
有 |
有 |
有 |
有 |
有 |
文档安全管理平台 |
有 |
无 |
无 |
无 |
无 |
基于公务的安全保密邮件 |
有 |
有 |
有 |
有 |
有 |
安全认证门户 |
有 |
无 |
无 |
无 |
无 |
无线认证平台 |
有 |
无 |
无 |
无 |
无 |
LDAP |
无 |
有 |
有 |
有 |
无 |
由上表可以看出,各个厂商在产品功能方面各具优势,时代亿信近几年从基于CA认证的产品逐渐发展为更为广泛的产品体系,解决了目前国内CA建设后应用困难的局面,而且通过各个产品功能的扩展,满足了各行业的客户的广泛应用。
从整个国内市场的发展前景来看,这五家厂商各自都拥有一定的市场占有率,表现在不同的客户群体。通过调查显示,吉大正元更偏重于公安系统,信安世纪偏重于金融领域,格尔表现在金融以及军工行业,时代亿信表现在央企、政府行业。从技术上来看,其中,政府、金融以及军工等行业需求基本一致,技术应用上比较统一。在央企以运营商为例,各运营商的应用系统数量繁多,应用状况十分复杂,必须解决应用系统数量繁多、用户数量大等系列难题,并且还要完成运营商从总部到各省公司的互联互通,时代亿信通过基于CA技术的全系列的安全产品,为运营商搭建了一个安全服务平台,为其它行业的应用起到了良好的示范作用。
可以预见,随着信息安全领域的标准化、法制化建设的日益完善,通过各CA厂商的不断摸索和实践,中国CA业的标准化管理会逐步发展和健全,CA的建设和应用将走上健康发展的轨道。