隨著電子商務(wù)逐漸成為21世紀(jì)經(jīng)濟(jì)生活的新領(lǐng)域,互聯(lián)網(wǎng)上的安全問題已經(jīng)日益突出,建立完善的電子認(rèn)證體系成為電子商務(wù)發(fā)展的關(guān)鍵。在1997年,中國電信的CTCA成功上線,1998年,國內(nèi)第一家以實(shí)體形式運(yùn)營的上海CA中心(SHECA)成立,此后,全國先后建成了幾十家不同類型的CA認(rèn)證機(jī)構(gòu),CA認(rèn)證的概念也逐步從電子商務(wù)滲透至電子政務(wù)、金融、科教等各個(gè)領(lǐng)域。
群雄并起、諸侯割據(jù)、自成體系,這是我們不得不面對(duì)的國內(nèi)CA建設(shè)現(xiàn)狀。
CA認(rèn)證
數(shù)字證書認(rèn)證中心(Certficate Authority,CA)是整個(gè)網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié)。它主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實(shí)體所需的身份認(rèn)證數(shù)字證書。每一份數(shù)字證書都與上一級(jí)的數(shù)字簽名證書相關(guān)聯(lián),最終通過安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機(jī)構(gòu)--根認(rèn)證中心(根CA)。
電子交易的各方都必須擁有合法的身份,即由數(shù)字證書認(rèn)證中心機(jī)構(gòu)(CA)簽發(fā)的數(shù)字證書,在交易的各個(gè)環(huán)節(jié),交易的各方都需檢驗(yàn)對(duì)方數(shù)字證書的有效性,從而解決了用戶信任問題。CA涉及到電子交易中各交易方的身份信息、嚴(yán)格的加密技術(shù)和認(rèn)證程序。基于其牢固的安全機(jī)制,CA應(yīng)用可擴(kuò)大到一切有安全要求的網(wǎng)上數(shù)據(jù)傳輸服務(wù)。
數(shù)字證書認(rèn)證解決了網(wǎng)上交易和結(jié)算中的安全問題,其中包括建立電子商務(wù)各主體之間的信任關(guān)系,即建立安全認(rèn)證體系(CA);選擇安全標(biāo)準(zhǔn)(如SET、 SSL);采用高強(qiáng)度的加、解密技術(shù)。其中安全認(rèn)證體系的建立是關(guān)鍵,它決定了網(wǎng)上交易和結(jié)算能否安全進(jìn)行,因此,數(shù)字證書認(rèn)證中心機(jī)構(gòu)的建立對(duì)電子商務(wù)的開展具有非常重要的意義。
數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),用來在網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份,即要在Internet上解決"我是誰"的問題,就如同現(xiàn)實(shí)中我們每一個(gè)人都要擁有一張證明個(gè)人身份的身份證或駕駛執(zhí)照一樣,以表明我們的身份或某種資格。
數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的,以數(shù)字證書為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證,確保網(wǎng)上傳遞信息的機(jī)密性、完整性,以及交易實(shí)體身份的真實(shí)性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。
數(shù)字證書采用公鑰密碼體制,即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進(jìn)行解密和簽名;同時(shí)擁有 一把公共密鑰(公鑰)并可以對(duì)外公開,用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí),發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達(dá)目的地了,即使被第三方截獲,由于沒有相應(yīng)的私鑰,也無法進(jìn)行解密。通過數(shù)字的手段保證加密過程是一個(gè)不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。
數(shù)字證書可用于:發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招標(biāo)采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動(dòng)。
國內(nèi)CA中心分布
電子商務(wù)、電子政務(wù)對(duì)網(wǎng)絡(luò)安全的要求,不僅推動(dòng)著互聯(lián)網(wǎng)上交易秩序和交易環(huán)境的建設(shè),同時(shí)也帶來了巨大的商業(yè)機(jī)會(huì)。各地、各行業(yè)紛紛上馬建設(shè)CA中心,一時(shí)間,全國涌現(xiàn)出了30多家CA中心。如此多的CA認(rèn)證中心是否能滿足應(yīng)用的需求呢?讓我們來分析一下。
從CA中心建設(shè)的背景來分,國內(nèi)的CA中心大致可以分為兩類:運(yùn)營性跟建設(shè)性CA;運(yùn)營性CA系統(tǒng)大致可以分為兩類:大行業(yè)或政府部門建立的CA,如CFCA、CTCA等;地方政府授權(quán)建立的CA,如上海CA、北京CA等;建設(shè)性CA系統(tǒng),以ETCA(時(shí)代億信)為代表。
運(yùn)營性CA不但是數(shù)字認(rèn)證的服務(wù)商,也是其他商品交易的服務(wù)商,它們不可避免地要在不同程度上參與交易過程,這與CA中心本身要求的第三方性質(zhì)相符合。就應(yīng)用范圍而言,運(yùn)營類CA更傾向于在自己熟悉的領(lǐng)域內(nèi)開展服務(wù)。
建設(shè)性CA進(jìn)行商業(yè)化的經(jīng)營,并不屬于某個(gè)行業(yè)或者地域,他們的客戶多為對(duì)數(shù)字認(rèn)證服務(wù)有需求的具有商業(yè)性質(zhì)的公司,但建設(shè)性CA廠商的服務(wù)更加全面,不但能建立CA認(rèn)證系統(tǒng),更能在此基礎(chǔ)上延伸出其他功能服務(wù),如,多個(gè)應(yīng)用系統(tǒng)的SSO(單點(diǎn)登錄) 、統(tǒng)一授權(quán)與管理等。
國內(nèi)CA建設(shè)現(xiàn)狀
從目前情況看,CA的概念已經(jīng)深入到電子商務(wù)的各個(gè)層面,但就其應(yīng)用而言,還遠(yuǎn)遠(yuǎn)不夠。在CA建設(shè)和分布格局上,無論是在建的還是已經(jīng)啟用的,都還存在一些問題。
在技術(shù)層面上,由于受到美國出口限制的影響,國內(nèi)的CA認(rèn)證技術(shù)完全靠自己研發(fā)。又由于參與部門很多,導(dǎo)致標(biāo)準(zhǔn)不統(tǒng)一,既有國際上的通行標(biāo)準(zhǔn),又有自主研發(fā)的標(biāo)準(zhǔn),即便是同樣的標(biāo)準(zhǔn),其核心內(nèi)容也有所偏差,這將導(dǎo)致交叉認(rèn)證過程中出現(xiàn)“公說公有理,婆說婆有理”的局面。
在應(yīng)用層面上,一些CA認(rèn)證機(jī)構(gòu)對(duì)證書的發(fā)放和審核不夠嚴(yán)謹(jǐn)。為了搶占市場(chǎng),在沒有進(jìn)行嚴(yán)格的身份確認(rèn)和驗(yàn)證就隨意發(fā)放證書,難以保證認(rèn)證的權(quán)威性和公正性。
在分布格局上,很多CA認(rèn)證機(jī)構(gòu)還存在明顯的地域性和行業(yè)性,無法滿足充當(dāng)面向全社會(huì)的第三方權(quán)威認(rèn)證機(jī)構(gòu)的基本要求。就互聯(lián)網(wǎng)而言,不應(yīng)該也不可能存在地域限制。
在這種CA建設(shè)群雄并起、諸侯割據(jù)、自成體系的環(huán)境下,誰的服務(wù)好、應(yīng)用面廣、可信度高、可靠性強(qiáng),誰就會(huì)成為最后的勝利者。
認(rèn)證中心CA是PKI的核心,CA負(fù)責(zé)管理PKI結(jié)構(gòu)下的所有用戶(包括各種應(yīng)用程序)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網(wǎng)上驗(yàn)證用戶的身份,CA還要負(fù)責(zé)用戶證書的黑名單登記和黑名單發(fā)布。
PKI(Public Key Infrastructure)公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái),是一種新的安全技術(shù),目的是為了管理密鑰和證書。它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開密鑰的安全策略等基本成分共同組成的。一個(gè)機(jī)構(gòu)通過采用PKI框架管理密鑰和證書可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。
國內(nèi)CA建設(shè)廠商對(duì)比與分析
國內(nèi)PKI產(chǎn)品市場(chǎng)主要被五家廠商(時(shí)代億信、信安世紀(jì)、吉大正元、維豪、格爾)占據(jù),這五家囊括了國內(nèi)PKI市場(chǎng)的70%。五大廠商的產(chǎn)品對(duì)比如下所示:
表:國內(nèi)主要PKI廠商對(duì)比
廠商產(chǎn)品
功能 時(shí)代億信 吉大正元 維豪 信安世紀(jì) 格爾
安全認(rèn)證(PKI) 有 有 有 有 有
SSO 有 有 有 有 有
終端訪問控制與審計(jì)平臺(tái) 有 有 有 有 有
文檔安全管理平臺(tái) 有 無 無 無 無
基于公務(wù)的安全保密郵件 有 有 有 有 有
安全認(rèn)證門戶 有 無 無 無 無
無線認(rèn)證平臺(tái) 有 無 無 無 無
LDAP 無 有 有 有 無
由上表可以看出,各個(gè)廠商在產(chǎn)品功能方面各具優(yōu)勢(shì),時(shí)代億信近幾年從基于CA認(rèn)證的產(chǎn)品逐漸發(fā)展為更為廣泛的產(chǎn)品體系,解決了目前國內(nèi)CA建設(shè)后應(yīng)用困難的局面,而且通過各個(gè)產(chǎn)品功能的擴(kuò)展,滿足了各行業(yè)的客戶的廣泛應(yīng)用。
從整個(gè)國內(nèi)市場(chǎng)的發(fā)展前景來看,這五家廠商各自都擁有一定的市場(chǎng)占有率,表現(xiàn)在不同的客戶群體。通過調(diào)查顯示,吉大正元更偏重于公安系統(tǒng),信安世紀(jì)偏重于金融領(lǐng)域,格爾表現(xiàn)在金融以及軍工行業(yè),時(shí)代億信表現(xiàn)在央企、政府行業(yè)。從技術(shù)上來看,其中,政府、金融以及軍工等行業(yè)需求基本一致,技術(shù)應(yīng)用上比較統(tǒng)一。在央企以運(yùn)營商為例,各運(yùn)營商應(yīng)用系統(tǒng)數(shù)量繁多,應(yīng)用起來十分復(fù)雜,必須解決應(yīng)用系統(tǒng)數(shù)量繁多、用戶數(shù)量大的難題,并且還要完成運(yùn)營商從總部到各省公司的互聯(lián)互通,時(shí)代億信通過基于CA技術(shù)的全系列的安全產(chǎn)品,為運(yùn)營商搭建了一個(gè)安全服務(wù)平臺(tái),為其它行業(yè)的應(yīng)用起到了良好的示范作用。
可以預(yù)見,隨著信息安全領(lǐng)域的標(biāo)準(zhǔn)化、法制化建設(shè)的日益完善,中國CA業(yè)的標(biāo)準(zhǔn)化管理也將逐步發(fā)展和健全,CA的建設(shè)和應(yīng)用將走上健康發(fā)展的軌道。
