隨著電子商務(wù)逐漸成為21世紀(jì)經(jīng)濟(jì)生活的新領(lǐng)域,互聯(lián)網(wǎng)上的安全問(wèn)題已經(jīng)日益突出,建立完善的電子認(rèn)證體系成為電子商務(wù)發(fā)展的關(guān)鍵。在1997年,中國(guó)電信的CTCA成功上線,1998年,國(guó)內(nèi)第一家以實(shí)體形式運(yùn)營(yíng)的上海CA中心(SHECA)成立,此后,全國(guó)先后建成了幾十家不同類型的CA認(rèn)證機(jī)構(gòu),CA認(rèn)證的概念也逐步從電子商務(wù)滲透至電子政務(wù)、金融、科教等各個(gè)領(lǐng)域。
群雄并起、諸侯割據(jù)、自成體系,這是我們不得不面對(duì)的國(guó)內(nèi)CA建設(shè)現(xiàn)狀。
CA認(rèn)證
數(shù)字證書認(rèn)證中心(Certficate Authority,CA)是整個(gè)網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié)。它主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實(shí)體所需的身份認(rèn)證數(shù)字證書。每一份數(shù)字證書都與上一級(jí)的數(shù)字簽名證書相關(guān)聯(lián),最終通過(guò)安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機(jī)構(gòu)--根認(rèn)證中心(根CA)。
電子交易的各方都必須擁有合法的身份,即由數(shù)字證書認(rèn)證中心機(jī)構(gòu)(CA)簽發(fā)的數(shù)字證書,在交易的各個(gè)環(huán)節(jié),交易的各方都需檢驗(yàn)對(duì)方數(shù)字證書的有效性,從而解決了用戶信任問(wèn)題。CA涉及到電子交易中各交易方的身份信息、嚴(yán)格的加密技術(shù)和認(rèn)證程序;谄淅喂痰陌踩珯C(jī)制,CA應(yīng)用可擴(kuò)大到一切有安全要求的網(wǎng)上數(shù)據(jù)傳輸服務(wù)。
數(shù)字證書認(rèn)證解決了網(wǎng)上交易和結(jié)算中的安全問(wèn)題,其中包括建立電子商務(wù)各主體之間的信任關(guān)系,即建立安全認(rèn)證體系(CA);選擇安全標(biāo)準(zhǔn)(如SET、 SSL);采用高強(qiáng)度的加、解密技術(shù)。其中安全認(rèn)證體系的建立是關(guān)鍵,它決定了網(wǎng)上交易和結(jié)算能否安全進(jìn)行,因此,數(shù)字證書認(rèn)證中心機(jī)構(gòu)的建立對(duì)電子商務(wù)的開(kāi)展具有非常重要的意義。
數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),用來(lái)在網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份,即要在Internet上解決"我是誰(shuí)"的問(wèn)題,就如同現(xiàn)實(shí)中我們每一個(gè)人都要擁有一張證明個(gè)人身份的身份證或駕駛執(zhí)照一樣,以表明我們的身份或某種資格。
數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的,以數(shù)字證書為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證,確保網(wǎng)上傳遞信息的機(jī)密性、完整性,以及交易實(shí)體身份的真實(shí)性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。
數(shù)字證書采用公鑰密碼體制,即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進(jìn)行解密和簽名;同時(shí)擁有 一把公共密鑰(公鑰)并可以對(duì)外公開(kāi),用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí),發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無(wú)誤地到達(dá)目的地了,即使被第三方截獲,由于沒(méi)有相應(yīng)的私鑰,也無(wú)法進(jìn)行解密。通過(guò)數(shù)字的手段保證加密過(guò)程是一個(gè)不可逆過(guò)程,即只有用私有密鑰才能解密。在公開(kāi)密鑰密碼體制中,常用的一種是RSA體制。
數(shù)字證書可用于:發(fā)送安全電子郵件、訪問(wèn)安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招標(biāo)采購(gòu)、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動(dòng)。
國(guó)內(nèi)CA中心分布
電子商務(wù)、電子政務(wù)對(duì)網(wǎng)絡(luò)安全的要求,不僅推動(dòng)著互聯(lián)網(wǎng)上交易秩序和交易環(huán)境的建設(shè),同時(shí)也帶來(lái)了巨大的商業(yè)機(jī)會(huì)。各地、各行業(yè)紛紛上馬建設(shè)CA中心,一時(shí)間,全國(guó)涌現(xiàn)出了30多家CA中心。如此多的CA認(rèn)證中心是否能滿足應(yīng)用的需求呢?讓我們來(lái)分析一下。
從CA中心建設(shè)的背景來(lái)分,國(guó)內(nèi)的CA中心大致可以分為兩類:運(yùn)營(yíng)性跟建設(shè)性CA;運(yùn)營(yíng)性CA系統(tǒng)大致可以分為兩類:大行業(yè)或政府部門建立的CA,如CFCA、CTCA等;地方政府授權(quán)建立的CA,如上海CA、北京CA等;建設(shè)性CA系統(tǒng),以ETCA(時(shí)代億信)為代表。
運(yùn)營(yíng)性CA不但是數(shù)字認(rèn)證的服務(wù)商,也是其他商品交易的服務(wù)商,它們不可避免地要在不同程度上參與交易過(guò)程,這與CA中心本身要求的第三方性質(zhì)相符合。就應(yīng)用范圍而言,運(yùn)營(yíng)類CA更傾向于在自己熟悉的領(lǐng)域內(nèi)開(kāi)展服務(wù)。
建設(shè)性CA進(jìn)行商業(yè)化的經(jīng)營(yíng),并不屬于某個(gè)行業(yè)或者地域,他們的客戶多為對(duì)數(shù)字認(rèn)證服務(wù)有需求的具有商業(yè)性質(zhì)的公司,但建設(shè)性CA廠商的服務(wù)更加全面,不但能建立CA認(rèn)證系統(tǒng),更能在此基礎(chǔ)上延伸出其他功能服務(wù),如,多個(gè)應(yīng)用系統(tǒng)的SSO(單點(diǎn)登錄) 、統(tǒng)一授權(quán)與管理等。
國(guó)內(nèi)CA建設(shè)現(xiàn)狀
從目前情況看,CA的概念已經(jīng)深入到電子商務(wù)的各個(gè)層面,但就其應(yīng)用而言,還遠(yuǎn)遠(yuǎn)不夠。在CA建設(shè)和分布格局上,無(wú)論是在建的還是已經(jīng)啟用的,都還存在一些問(wèn)題。
在技術(shù)層面上,由于受到美國(guó)出口限制的影響,國(guó)內(nèi)的CA認(rèn)證技術(shù)完全靠自己研發(fā)。又由于參與部門很多,導(dǎo)致標(biāo)準(zhǔn)不統(tǒng)一,既有國(guó)際上的通行標(biāo)準(zhǔn),又有自主研發(fā)的標(biāo)準(zhǔn),即便是同樣的標(biāo)準(zhǔn),其核心內(nèi)容也有所偏差,這將導(dǎo)致交叉認(rèn)證過(guò)程中出現(xiàn)“公說(shuō)公有理,婆說(shuō)婆有理”的局面。
在應(yīng)用層面上,一些CA認(rèn)證機(jī)構(gòu)對(duì)證書的發(fā)放和審核不夠嚴(yán)謹(jǐn)。為了搶占市場(chǎng),在沒(méi)有進(jìn)行嚴(yán)格的身份確認(rèn)和驗(yàn)證就隨意發(fā)放證書,難以保證認(rèn)證的權(quán)威性和公正性。
在分布格局上,很多CA認(rèn)證機(jī)構(gòu)還存在明顯的地域性和行業(yè)性,無(wú)法滿足充當(dāng)面向全社會(huì)的第三方權(quán)威認(rèn)證機(jī)構(gòu)的基本要求。就互聯(lián)網(wǎng)而言,不應(yīng)該也不可能存在地域限制。
在這種CA建設(shè)群雄并起、諸侯割據(jù)、自成體系的環(huán)境下,誰(shuí)的服務(wù)好、應(yīng)用面廣、可信度高、可靠性強(qiáng),誰(shuí)就會(huì)成為最后的勝利者。
認(rèn)證中心CA是PKI的核心,CA負(fù)責(zé)管理PKI結(jié)構(gòu)下的所有用戶(包括各種應(yīng)用程序)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網(wǎng)上驗(yàn)證用戶的身份,CA還要負(fù)責(zé)用戶證書的黑名單登記和黑名單發(fā)布。
PKI(Public Key Infrastructure)公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái),是一種新的安全技術(shù),目的是為了管理密鑰和證書。它由公開(kāi)密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開(kāi)密鑰的安全策略等基本成分共同組成的。一個(gè)機(jī)構(gòu)通過(guò)采用PKI框架管理密鑰和證書可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。
國(guó)內(nèi)CA建設(shè)廠商對(duì)比與分析
國(guó)內(nèi)PKI產(chǎn)品市場(chǎng)主要被五家廠商(時(shí)代億信、信安世紀(jì)、吉大正元、維豪、格爾)占據(jù),這五家囊括了國(guó)內(nèi)PKI市場(chǎng)的70%。五大廠商的產(chǎn)品對(duì)比如下所示:
表:國(guó)內(nèi)主要PKI廠商對(duì)比
廠商產(chǎn)品
功能 時(shí)代億信 吉大正元 維豪 信安世紀(jì) 格爾
安全認(rèn)證(PKI) 有 有 有 有 有
SSO 有 有 有 有 有
終端訪問(wèn)控制與審計(jì)平臺(tái) 有 有 有 有 有
文檔安全管理平臺(tái) 有 無(wú) 無(wú) 無(wú) 無(wú)
基于公務(wù)的安全保密郵件 有 有 有 有 有
安全認(rèn)證門戶 有 無(wú) 無(wú) 無(wú) 無(wú)
無(wú)線認(rèn)證平臺(tái) 有 無(wú) 無(wú) 無(wú) 無(wú)
LDAP 無(wú) 有 有 有 無(wú)
由上表可以看出,各個(gè)廠商在產(chǎn)品功能方面各具優(yōu)勢(shì),時(shí)代億信近幾年從基于CA認(rèn)證的產(chǎn)品逐漸發(fā)展為更為廣泛的產(chǎn)品體系,解決了目前國(guó)內(nèi)CA建設(shè)后應(yīng)用困難的局面,而且通過(guò)各個(gè)產(chǎn)品功能的擴(kuò)展,滿足了各行業(yè)的客戶的廣泛應(yīng)用。
從整個(gè)國(guó)內(nèi)市場(chǎng)的發(fā)展前景來(lái)看,這五家廠商各自都擁有一定的市場(chǎng)占有率,表現(xiàn)在不同的客戶群體。通過(guò)調(diào)查顯示,吉大正元更偏重于公安系統(tǒng),信安世紀(jì)偏重于金融領(lǐng)域,格爾表現(xiàn)在金融以及軍工行業(yè),時(shí)代億信表現(xiàn)在央企、政府行業(yè)。從技術(shù)上來(lái)看,其中,政府、金融以及軍工等行業(yè)需求基本一致,技術(shù)應(yīng)用上比較統(tǒng)一。在央企以運(yùn)營(yíng)商為例,各運(yùn)營(yíng)商應(yīng)用系統(tǒng)數(shù)量繁多,應(yīng)用起來(lái)十分復(fù)雜,必須解決應(yīng)用系統(tǒng)數(shù)量繁多、用戶數(shù)量大的難題,并且還要完成運(yùn)營(yíng)商從總部到各省公司的互聯(lián)互通,時(shí)代億信通過(guò)基于CA技術(shù)的全系列的安全產(chǎn)品,為運(yùn)營(yíng)商搭建了一個(gè)安全服務(wù)平臺(tái),為其它行業(yè)的應(yīng)用起到了良好的示范作用。
可以預(yù)見(jiàn),隨著信息安全領(lǐng)域的標(biāo)準(zhǔn)化、法制化建設(shè)的日益完善,中國(guó)CA業(yè)的標(biāo)準(zhǔn)化管理也將逐步發(fā)展和健全,CA的建設(shè)和應(yīng)用將走上健康發(fā)展的軌道。