隨著(zhù)電子商務(wù)逐漸成為21世紀經(jīng)濟生活的新領(lǐng)域,互聯(lián)網(wǎng)上的安全問(wèn)題已經(jīng)日益突出,建立完善的電子認證體系成為電子商務(wù)發(fā)展的關(guān)鍵。在1997年,中國電信的CTCA成功上線(xiàn),1998年,國內第一家以實(shí)體形式運營(yíng)的上海CA中心(SHECA)成立,此后,全國先后建成了幾十家不同類(lèi)型的CA認證機構,CA認證的概念也逐步從電子商務(wù)滲透至電子政務(wù)、金融、科教等各個(gè)領(lǐng)域。
群雄并起、諸侯割據、自成體系,這是我們不得不面對的國內CA建設現狀。
CA認證
數字證書(shū)認證中心(Certficate Authority,CA)是整個(gè)網(wǎng)上電子交易安全的關(guān)鍵環(huán)節。它主要負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實(shí)體所需的身份認證數字證書(shū)。每一份數字證書(shū)都與上一級的數字簽名證書(shū)相關(guān)聯(lián),最終通過(guò)安全鏈追溯到一個(gè)已知的并被廣泛認為是安全、權威、足以信賴(lài)的機構--根認證中心(根CA)。
電子交易的各方都必須擁有合法的身份,即由數字證書(shū)認證中心機構(CA)簽發(fā)的數字證書(shū),在交易的各個(gè)環(huán)節,交易的各方都需檢驗對方數字證書(shū)的有效性,從而解決了用戶(hù)信任問(wèn)題。CA涉及到電子交易中各交易方的身份信息、嚴格的加密技術(shù)和認證程序。基于其牢固的安全機制,CA應用可擴大到一切有安全要求的網(wǎng)上數據傳輸服務(wù)。
數字證書(shū)認證解決了網(wǎng)上交易和結算中的安全問(wèn)題,其中包括建立電子商務(wù)各主體之間的信任關(guān)系,即建立安全認證體系(CA);選擇安全標準(如SET、 SSL);采用高強度的加、解密技術(shù)。其中安全認證體系的建立是關(guān)鍵,它決定了網(wǎng)上交易和結算能否安全進(jìn)行,因此,數字證書(shū)認證中心機構的建立對電子商務(wù)的開(kāi)展具有非常重要的意義。
數字證書(shū)就是標志網(wǎng)絡(luò )用戶(hù)身份信息的一系列數據,用來(lái)在網(wǎng)絡(luò )通訊中識別通訊各方的身份,即要在Internet上解決"我是誰(shuí)"的問(wèn)題,就如同現實(shí)中我們每一個(gè)人都要擁有一張證明個(gè)人身份的身份證或駕駛執照一樣,以表明我們的身份或某種資格。
數字證書(shū)是由權威公正的第三方機構即CA中心簽發(fā)的,以數字證書(shū)為核心的加密技術(shù)可以對網(wǎng)絡(luò )上傳輸的信息進(jìn)行加密和解密、數字簽名和簽名驗證,確保網(wǎng)上傳遞信息的機密性、完整性,以及交易實(shí)體身份的真實(shí)性,簽名信息的不可否認性,從而保障網(wǎng)絡(luò )應用的安全性。
數字證書(shū)采用公鑰密碼體制,即利用一對互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶(hù)擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進(jìn)行解密和簽名;同時(shí)擁有 一把公共密鑰(公鑰)并可以對外公開(kāi),用于加密和驗證簽名。當發(fā)送一份保密文件時(shí),發(fā)送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無(wú)誤地到達目的地了,即使被第三方截獲,由于沒(méi)有相應的私鑰,也無(wú)法進(jìn)行解密。通過(guò)數字的手段保證加密過(guò)程是一個(gè)不可逆過(guò)程,即只有用私有密鑰才能解密。在公開(kāi)密鑰密碼體制中,常用的一種是RSA體制。
數字證書(shū)可用于:發(fā)送安全電子郵件、訪(fǎng)問(wèn)安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招標采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動(dòng)。
國內CA中心分布
電子商務(wù)、電子政務(wù)對網(wǎng)絡(luò )安全的要求,不僅推動(dòng)著(zhù)互聯(lián)網(wǎng)上交易秩序和交易環(huán)境的建設,同時(shí)也帶來(lái)了巨大的商業(yè)機會(huì )。各地、各行業(yè)紛紛上馬建設CA中心,一時(shí)間,全國涌現出了30多家CA中心。如此多的CA認證中心是否能滿(mǎn)足應用的需求呢?讓我們來(lái)分析一下。
從CA中心建設的背景來(lái)分,國內的CA中心大致可以分為兩類(lèi):運營(yíng)性跟建設性CA;運營(yíng)性CA系統大致可以分為兩類(lèi):大行業(yè)或政府部門(mén)建立的CA,如CFCA、CTCA等;地方政府授權建立的CA,如上海CA、北京CA等;建設性CA系統,以ETCA(時(shí)代億信)為代表。
運營(yíng)性CA不但是數字認證的服務(wù)商,也是其他商品交易的服務(wù)商,它們不可避免地要在不同程度上參與交易過(guò)程,這與CA中心本身要求的第三方性質(zhì)相符合。就應用范圍而言,運營(yíng)類(lèi)CA更傾向于在自己熟悉的領(lǐng)域內開(kāi)展服務(wù)。
建設性CA進(jìn)行商業(yè)化的經(jīng)營(yíng),并不屬于某個(gè)行業(yè)或者地域,他們的客戶(hù)多為對數字認證服務(wù)有需求的具有商業(yè)性質(zhì)的公司,但建設性CA廠(chǎng)商的服務(wù)更加全面,不但能建立CA認證系統,更能在此基礎上延伸出其他功能服務(wù),如,多個(gè)應用系統的SSO(單點(diǎn)登錄) 、統一授權與管理等。
國內CA建設現狀
從目前情況看,CA的概念已經(jīng)深入到電子商務(wù)的各個(gè)層面,但就其應用而言,還遠遠不夠。在CA建設和分布格局上,無(wú)論是在建的還是已經(jīng)啟用的,都還存在一些問(wèn)題。
在技術(shù)層面上,由于受到美國出口限制的影響,國內的CA認證技術(shù)完全靠自己研發(fā)。又由于參與部門(mén)很多,導致標準不統一,既有國際上的通行標準,又有自主研發(fā)的標準,即便是同樣的標準,其核心內容也有所偏差,這將導致交叉認證過(guò)程中出現“公說(shuō)公有理,婆說(shuō)婆有理”的局面。
在應用層面上,一些CA認證機構對證書(shū)的發(fā)放和審核不夠嚴謹。為了搶占市場(chǎng),在沒(méi)有進(jìn)行嚴格的身份確認和驗證就隨意發(fā)放證書(shū),難以保證認證的權威性和公正性。
在分布格局上,很多CA認證機構還存在明顯的地域性和行業(yè)性,無(wú)法滿(mǎn)足充當面向全社會(huì )的第三方權威認證機構的基本要求。就互聯(lián)網(wǎng)而言,不應該也不可能存在地域限制。
在這種CA建設群雄并起、諸侯割據、自成體系的環(huán)境下,誰(shuí)的服務(wù)好、應用面廣、可信度高、可靠性強,誰(shuí)就會(huì )成為最后的勝利者。
認證中心CA是PKI的核心,CA負責管理PKI結構下的所有用戶(hù)(包括各種應用程序)的證書(shū),把用戶(hù)的公鑰和用戶(hù)的其他信息捆綁在一起,在網(wǎng)上驗證用戶(hù)的身份,CA還要負責用戶(hù)證書(shū)的黑名單登記和黑名單發(fā)布。
PKI(Public Key Infrastructure)公鑰基礎設施是提供公鑰加密和數字簽名服務(wù)的系統或平臺,是一種新的安全技術(shù),目的是為了管理密鑰和證書(shū)。它由公開(kāi)密鑰密碼技術(shù)、數字證書(shū)、證書(shū)發(fā)放機構(CA)和關(guān)于公開(kāi)密鑰的安全策略等基本成分共同組成的。一個(gè)機構通過(guò)采用PKI框架管理密鑰和證書(shū)可以建立一個(gè)安全的網(wǎng)絡(luò )環(huán)境。
國內CA建設廠(chǎng)商對比與分析
國內PKI產(chǎn)品市場(chǎng)主要被五家廠(chǎng)商(時(shí)代億信、信安世紀、吉大正元、維豪、格爾)占據,這五家囊括了國內PKI市場(chǎng)的70%。五大廠(chǎng)商的產(chǎn)品對比如下所示:
表:國內主要PKI廠(chǎng)商對比
廠(chǎng)商產(chǎn)品
功能 時(shí)代億信 吉大正元 維豪 信安世紀 格爾
安全認證(PKI) 有 有 有 有 有
SSO 有 有 有 有 有
終端訪(fǎng)問(wèn)控制與審計平臺 有 有 有 有 有
文檔安全管理平臺 有 無(wú) 無(wú) 無(wú) 無(wú)
基于公務(wù)的安全保密郵件 有 有 有 有 有
安全認證門(mén)戶(hù) 有 無(wú) 無(wú) 無(wú) 無(wú)
無(wú)線(xiàn)認證平臺 有 無(wú) 無(wú) 無(wú) 無(wú)
LDAP 無(wú) 有 有 有 無(wú)
由上表可以看出,各個(gè)廠(chǎng)商在產(chǎn)品功能方面各具優(yōu)勢,時(shí)代億信近幾年從基于CA認證的產(chǎn)品逐漸發(fā)展為更為廣泛的產(chǎn)品體系,解決了目前國內CA建設后應用困難的局面,而且通過(guò)各個(gè)產(chǎn)品功能的擴展,滿(mǎn)足了各行業(yè)的客戶(hù)的廣泛應用。
從整個(gè)國內市場(chǎng)的發(fā)展前景來(lái)看,這五家廠(chǎng)商各自都擁有一定的市場(chǎng)占有率,表現在不同的客戶(hù)群體。通過(guò)調查顯示,吉大正元更偏重于公安系統,信安世紀偏重于金融領(lǐng)域,格爾表現在金融以及軍工行業(yè),時(shí)代億信表現在央企、政府行業(yè)。從技術(shù)上來(lái)看,其中,政府、金融以及軍工等行業(yè)需求基本一致,技術(shù)應用上比較統一。在央企以運營(yíng)商為例,各運營(yíng)商應用系統數量繁多,應用起來(lái)十分復雜,必須解決應用系統數量繁多、用戶(hù)數量大的難題,并且還要完成運營(yíng)商從總部到各省公司的互聯(lián)互通,時(shí)代億信通過(guò)基于CA技術(shù)的全系列的安全產(chǎn)品,為運營(yíng)商搭建了一個(gè)安全服務(wù)平臺,為其它行業(yè)的應用起到了良好的示范作用。
可以預見(jiàn),隨著(zhù)信息安全領(lǐng)域的標準化、法制化建設的日益完善,中國CA業(yè)的標準化管理也將逐步發(fā)展和健全,CA的建設和應用將走上健康發(fā)展的軌道。
