認(rèn)證機(jī)構(gòu)CA及其在我國的發(fā)展

agile05 2007-10-10

展開全文

認(rèn)證機(jī)構(gòu)CA及其在我國的發(fā)展

安時(shí)

01-7-23 下午 02:38:07

1、前言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和Internet的不斷普及，上網(wǎng)人數(shù)也越來越多，網(wǎng)絡(luò)正以前所未有的速度滲透到人們的生活、工作和學(xué)習(xí)之中。而基于網(wǎng)絡(luò)，特別是Internet的電子商務(wù)技術(shù)的發(fā)展，更是體現(xiàn)了網(wǎng)絡(luò)對人們生活的巨大影響，真正實(shí)現(xiàn)了了足不出戶，全球購物的夢想。在所有的電子交易系統(tǒng)環(huán)節(jié)中，最關(guān)鍵和最重要的因素是安全，包括交易方的身份認(rèn)證和交易信息的安全傳輸?shù)取Ｄ壳?，保障電子交易網(wǎng)絡(luò)安全比較成熟的技術(shù)，是以PKI安全體系為基礎(chǔ)，以CA中心為核心的信息加密和簽名技術(shù)，通過使用簽名、加密技術(shù)來實(shí)現(xiàn)交易雙方傳遞信息的保密性、完整性、有效性和不可抵賴性。在電子交易系統(tǒng)中，所有交易方均擁有一個(gè)由可信CA中心簽發(fā)的數(shù)字證書，該證書在向接收方證明自己身份的同時(shí)，也捆綁了證書持有者的公鑰信息。另外，通過證書與用戶身份和權(quán)限的綁定，可以有效地控制用戶對網(wǎng)絡(luò)資源的使用和存取。證書機(jī)制是電子交易系統(tǒng)賴以生存的基礎(chǔ)。

因此，以高度安全為建設(shè)目標(biāo)的網(wǎng)絡(luò)電子交易系統(tǒng)，必須建立在CA認(rèn)證系統(tǒng)的基礎(chǔ)之上。而認(rèn)證中心機(jī)制還能推廣到很多其它場合，如其他場合的身份認(rèn)證、密鑰協(xié)商等。從整體上講，證書機(jī)制為很多應(yīng)用場合提供了身份認(rèn)證方面完整的安全保障，可以保證網(wǎng)上支付、網(wǎng)上交易過程等服務(wù)平臺(tái)的安全。

所以，在電子商務(wù)應(yīng)用中，要想實(shí)現(xiàn)真正意義上的網(wǎng)上交費(fèi)、網(wǎng)絡(luò)商品銷售和相關(guān)的增值服務(wù)，首先必須解決敏感信息（如信用卡號(hào)、密碼和交費(fèi)信息等）在交易和管理時(shí)存在的安全問題，尤其是用戶和網(wǎng)站之間的身份認(rèn)證問題，而CA認(rèn)證系統(tǒng)正是為實(shí)現(xiàn)交易雙方的身份認(rèn)證而建立的。

由于網(wǎng)上交易的人們不可能都互相認(rèn)識(shí)，為了確保交易的順利進(jìn)行，必須在互聯(lián)通信網(wǎng)絡(luò)中建立并維持一種令人可以信任的環(huán)境和機(jī)制。應(yīng)用最有效的安全技術(shù)，建立電子商務(wù)安全體系結(jié)構(gòu)，成為電子商務(wù)建設(shè)中首先需要解決的問題。國際上提出了基于公開密鑰體制（PKI）的數(shù)字證書解決方案，現(xiàn)已被普遍采用。電子商務(wù)中安全措施的實(shí)現(xiàn)主要圍繞數(shù)字證書展開的。數(shù)字證書（Certificate）提供的是網(wǎng)絡(luò)上的身份證明。數(shù)字證書擁有者可以將其證書提供給其他人、Web站點(diǎn)及網(wǎng)絡(luò)資源，以證實(shí)他的合法身份，并且與對方建立加密的、可信的通信。證書除了用來向其它實(shí)體證明自己的身份外，還同時(shí)起著公鑰分發(fā)的作用，每份證書都攜帶著持有人的公鑰，簽名證書攜帶的是簽名公鑰，信息加密證書攜帶的是信息加密公鑰。所有實(shí)體的證書是由一個(gè)權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu)(Certificate Authority)發(fā)行的，人們可以在交往中用它來識(shí)別對方的身份。電子商務(wù)CA先行，沒有一個(gè)足夠穩(wěn)固、健全的CA，一切網(wǎng)上的交易都沒有安全保障。CA是保證電子商務(wù)安全的關(guān)鍵。

CA是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。CA通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。作為受信任的第三方權(quán)威機(jī)構(gòu)，CA負(fù)責(zé)產(chǎn)生、分配并管理用戶的數(shù)字證書，使網(wǎng)上通信的各方能互相確認(rèn)身份。它的基本功能有：接收注冊請求，處理、拒絕/批準(zhǔn)請求，頒發(fā)證書。在實(shí)際運(yùn)作中，CA可由大家都信任的第三方來擔(dān)當(dāng)。

2、數(shù)字證書

數(shù)字證書是一種數(shù)字標(biāo)識(shí)，可以說是Internet上的安全護(hù)照或身份證明。當(dāng)人們到其他國家旅行時(shí)，用戶護(hù)照可以證實(shí)其的身份，并被獲準(zhǔn)進(jìn)入這個(gè)國家。數(shù)字證書提供的是網(wǎng)絡(luò)上的身份證明。

數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號(hào)等信息，證書的格式遵循ITUT X.509國際標(biāo)準(zhǔn)。

一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容：

證書的版本信息；

證書的序列號(hào)，每個(gè)證書都有一個(gè)唯一的證書序列號(hào)；

證書所使用的簽名算法；

證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式；

證書的有效期，從什么時(shí)候開始有效，到什么時(shí)候結(jié)束

證書所有人的名稱，命名規(guī)則一般采用X.500格式；

證書所有人的公開密鑰；

證書發(fā)行者對證書的簽名。

圖1給出了一個(gè)典型證書的實(shí)例。

圖1 證書實(shí)例

3、CA基礎(chǔ)

證書機(jī)構(gòu)CA（certification authority）用于創(chuàng)建和發(fā)布證書，它通常為一個(gè)稱為安全域（security domain）的有限群體發(fā)放證書。創(chuàng)建證書的時(shí)候，CA系統(tǒng)首先獲取用戶的請求信息，其中包括用戶公鑰（公鑰一般由用戶端產(chǎn)生，如電子郵件程序或?yàn)g覽器等），CA將根據(jù)用戶的請求信息產(chǎn)生證書，并用自己的私鑰對證書進(jìn)行簽名。其他用戶、應(yīng)用程序或?qū)嶓w將使用CA的公鑰對證書進(jìn)行驗(yàn)證。如果一個(gè)CA系統(tǒng)是可信的，則驗(yàn)證證書的用戶可以確信，他所驗(yàn)證的證書中的公鑰屬于證書所代表的那個(gè)實(shí)體。

CA還負(fù)責(zé)維護(hù)和發(fā)布證書廢除列表CRL（certificate revocation lists，又稱為證書黑名單）。當(dāng)一個(gè)證書，特別是其中的公鑰因?yàn)槠渌驘o效時(shí)（不是因?yàn)榈狡冢?，CRL提供了一種通知用戶和其他應(yīng)用的中心管理方式。CA系統(tǒng)生成CRL以后，要么是放到LDAP服務(wù)器中供用戶查詢或下載，要么是放置在Web服務(wù)器的合適位置，以頁面超級(jí)連接的方式供用戶直接查詢或下載。

一個(gè)典型的CA系統(tǒng)包括安全服務(wù)器、注冊機(jī)構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫服務(wù)器等。如圖2所示。

圖2 典型CA中心示意圖

安全服務(wù)器：安全服務(wù)器面向普通用戶，用于提供證書申請、瀏覽、證書撤消列表以及證書下載等安全服務(wù)。安全服務(wù)器與用戶的的通信采取安全信道方式（如SSL的方式，不需要對用戶進(jìn)行身份認(rèn)證）。用戶首先得到安全服務(wù)器的證書（該證書由CA頒發(fā)），然后用戶與服務(wù)器之間的所有通信，包括用戶填寫的申請信息以及瀏覽器生成的公鑰均以安全服務(wù)器的密鑰進(jìn)行加密傳輸，只有安全服務(wù)器利用自己的私鑰解密才能得到明文，這樣可以防止其他人通過竊聽得到明文。從而保證了證書申請和傳輸過程中的信息安全性。

CA服務(wù)器：CA服務(wù)器使整個(gè)證書機(jī)構(gòu)的核心，負(fù)責(zé)證書的簽發(fā)。CA首先產(chǎn)生自身的私鑰和公鑰（密鑰長度至少為1024位），然后生成數(shù)字證書，并且將數(shù)字證書傳輸給安全服務(wù)器。CA還負(fù)責(zé)為操作員、安全服務(wù)器以及注冊機(jī)構(gòu)服務(wù)器生成數(shù)字證書。安全服務(wù)器的數(shù)字證書和私鑰也需要傳輸給安全服務(wù)器。CA服務(wù)器是整個(gè)結(jié)構(gòu)中最為重要的部分，存有CA的私鑰以及發(fā)行證書的腳本文件，出于安全的考慮，應(yīng)將CA服務(wù)器與其他服務(wù)器隔離，任何通信采用人工干預(yù)的方式，確保認(rèn)證中心的安全。

注冊機(jī)構(gòu)RA：登記中心服務(wù)器面向登記中心操作員，在CA體系結(jié)構(gòu)中起承上啟下的作用，一方面向CA轉(zhuǎn)發(fā)安全服務(wù)器傳輸過來的證書申請請求，另一方面向LDAP服務(wù)器和安全服務(wù)器轉(zhuǎn)發(fā)CA頒發(fā)的數(shù)字證書和證書撤消列表。

LDAP服務(wù)器：LDAP服務(wù)器提供目錄瀏覽服務(wù)，負(fù)責(zé)將注冊機(jī)構(gòu)服務(wù)器傳輸過來的用戶信息以及數(shù)字證書加入到服務(wù)器上。這樣其他用戶通過訪問LDAP服務(wù)器就能夠得到其他用戶的數(shù)字證書。

數(shù)據(jù)庫服務(wù)器：數(shù)據(jù)庫服務(wù)器是認(rèn)證機(jī)構(gòu)中的核心部分，用于認(rèn)證機(jī)構(gòu)中數(shù)據(jù)（如密鑰和用戶信息等）、日志合統(tǒng)計(jì)信息的存儲(chǔ)和管理。實(shí)際的的數(shù)據(jù)庫系統(tǒng)應(yīng)采用多種措施，如磁盤陣列、雙機(jī)備份和多處理器等方式，以維護(hù)數(shù)據(jù)庫系統(tǒng)的安全性、穩(wěn)定性、可伸縮性和高性能。

4、國內(nèi)CA現(xiàn)狀

為促進(jìn)電子商務(wù)在中國的順利開展，一些行業(yè)都已建成了自己的一套CA體系，如中國電信CA安全認(rèn)證體系（CTCA）、中國金融認(rèn)證中心（CFCA）等；還有一些行政區(qū)也建立了或正在建立區(qū)域性的CA體系，如上海電子商務(wù)CA認(rèn)證中心（SHECA）、廣東省電子商務(wù)認(rèn)證中心（CNCA）、海南省電子商務(wù)認(rèn)證中心（CNCA）、云南省電子商務(wù)認(rèn)證中心（CNCA）等。

1. 中國電信CA安全認(rèn)證系統(tǒng)（CTCA）

中國電信自1997年底，開始在長沙進(jìn)行電子商務(wù)試點(diǎn)工作，由長沙電信局負(fù)責(zé)組織。CTCA是國內(nèi)最早的CA中心。1999年8月3日，中國電信CTCA安全認(rèn)證系統(tǒng)通過國家密碼委員會(huì)和信息產(chǎn)業(yè)部的聯(lián)合鑒定，并獲得國家信息產(chǎn)品安全認(rèn)證中心頒發(fā)的認(rèn)證證書，成為首家允許在公網(wǎng)上運(yùn)營的CA安全認(rèn)證系統(tǒng)。目前，中國電信可以在全國范圍內(nèi)向用戶提供CA證書服務(wù)?，F(xiàn)在中國電信已經(jīng)為用戶發(fā)放了6萬多張CTCA證書。

中國電信CTCA系統(tǒng)有一套完善的證書發(fā)放體系和管理制度。體系采用三級(jí)管理結(jié)構(gòu)：全國CA安全認(rèn)證中心，（包括全國CTCA中心、CTCA湖南備份中心），省級(jí)RA中心以及地市業(yè)務(wù)受理點(diǎn)，在2000年6月形成覆蓋全國的CA證書申請、發(fā)放、管理的完整體系。系統(tǒng)為參與電子商務(wù)的不同用戶提供個(gè)人證書、企業(yè)證書和服務(wù)器證書。同時(shí)，中國電信還組織制定了《中國電信電子商務(wù)總體技術(shù)規(guī)范》、《中國電信CTCA接口標(biāo)準(zhǔn)》、《網(wǎng)上支付系統(tǒng)的接口標(biāo)準(zhǔn)》、《中國電信電子商務(wù)業(yè)務(wù)管理辦法》等，而且中國電信向社會(huì)免費(fèi)公布CTCA系統(tǒng)接口標(biāo)準(zhǔn)和API軟件包，為更多的電子商務(wù)應(yīng)用開發(fā)商提供CTCA系統(tǒng)的支持與服務(wù)。

中國電信已經(jīng)與銀行、證券、民航、工商、稅務(wù)等多個(gè)行業(yè)聯(lián)合開發(fā)出了網(wǎng)上安全支付系統(tǒng)、電子繳費(fèi)系統(tǒng)、電子銀行系統(tǒng)、電子證券系統(tǒng)、安全電子郵件系統(tǒng)、電子訂票系統(tǒng)、網(wǎng)上購物系統(tǒng)、網(wǎng)上報(bào)稅等一系列基于中國電信CTCA安全認(rèn)證系統(tǒng)的電子商務(wù)應(yīng)用，已經(jīng)初步建立起中國電信電子商務(wù)平臺(tái)。

2. 中國金融認(rèn)證中心（CFCA）

中國金融認(rèn)證中心（CFCA）是由中國人民銀行牽頭，聯(lián)合中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設(shè)銀行、交通銀行、招商銀行、中信實(shí)業(yè)銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、光大銀行、民生銀行等十二家商業(yè)銀行共同建設(shè)了中國金融認(rèn)證中心（China Financial Certificate Authority ，簡稱CFCA）。中國金融認(rèn)證中心的項(xiàng)目包括建設(shè)SET CA和Non-SET CA兩套系統(tǒng)，工程于1999年8月30日開始實(shí)施。SET CA由IBM公司負(fù)責(zé)承建，Non-SET CA由Entrust公司、SUN和得達(dá)創(chuàng)新聯(lián)合建設(shè)。

Non-SET CA系統(tǒng)于2000年1月19日發(fā)放了第一批試驗(yàn)證書，SET系統(tǒng)于2000年3月30日試發(fā)了第一批證書。于2000年6月20日通過了由國家密碼管理委員會(huì)和人民銀行支付科技司聯(lián)合主持的密碼產(chǎn)品本地化工作的安全性審查。于2000年6月29日開始對社會(huì)各界提供證書服務(wù)，系統(tǒng)進(jìn)入運(yùn)行狀態(tài)。

中國金融認(rèn)證中心（CFCA-China Finance Certificate Authority）專門負(fù)責(zé)為金融業(yè)的各種認(rèn)證需求提供證書服務(wù)，包括電子商務(wù)、網(wǎng)上銀行、網(wǎng)上證券交易、支付系統(tǒng)和管理信息系統(tǒng)等，為參與網(wǎng)上交易的各方提供安全的基礎(chǔ)，建立彼此信任的機(jī)制。

CFCA在建設(shè)過程中，因?yàn)榧夹g(shù)上的問題，使得正式發(fā)證的時(shí)間比以前計(jì)劃的時(shí)間大大推遲。因?yàn)樵诓僮魃稀⒆C書申請的方式上還存在一些問題，因此發(fā)放的證書不多。

3. 國富安電子商務(wù)安全認(rèn)證中心

國富安電子商務(wù)安全認(rèn)證中心是中國國際電子商務(wù)中心(屬外經(jīng)貿(mào)部) 下屬的專業(yè)從事電子商務(wù)及信息安全的公司。根據(jù)國家“金關(guān)工程”網(wǎng)絡(luò)發(fā)展的需要，負(fù)責(zé)建立、維護(hù)、管理、運(yùn)營中國國際電子商務(wù)安全認(rèn)證中心，并向社會(huì)提供數(shù)字證書服務(wù)。“商業(yè)電子信息安全認(rèn)證系統(tǒng)”已于1999年2月通過國家科技部和國家密碼管理委員會(huì)的技術(shù)鑒定。

據(jù)了解，國富安電子商務(wù)安全認(rèn)證中心的建立借助了國外公司的力量完成的，國富安電子商務(wù)安全認(rèn)證中心自己本身的開發(fā)力量一直不強(qiáng)，因此，在它的電子商務(wù)證書基礎(chǔ)上還沒有較多的成功應(yīng)用，國富安本身在數(shù)字證書的基礎(chǔ)上也沒有完整的應(yīng)用軟件。外經(jīng)貿(mào)部在網(wǎng)上的電子交易很多，但是，其認(rèn)證系統(tǒng)也沒有采用國富安的證書系統(tǒng)。因此其發(fā)證量一直比較少。

4. 上海市電子商務(wù)安全證書管理中心（SHECA）

上海市電子商務(wù)安全證書管理中心由上海市電子商務(wù)安全證書管理中心有限公司（簡稱SHECA）負(fù)責(zé)經(jīng)營管理。上海市電子商務(wù)安全證書管理中心屬于上海市政府。

SHECA在上海市政府的大力推廣之下，目前發(fā)證量相對來說比較多。并且，在199年和2000年，SHECA進(jìn)行了一些比較成功的推廣應(yīng)用。

比如，東方航空公司網(wǎng)上安全售票系統(tǒng)；上海熱線的安全電子郵件服務(wù)；基于SHECA認(rèn)證的港澳上證證券之星網(wǎng)上證券交易系統(tǒng)；上海銀行卡網(wǎng)絡(luò)服務(wù)中心支付網(wǎng)關(guān)；上海網(wǎng)上化工交易中心；基于SHECA安全認(rèn)證的企業(yè)名錄進(jìn)入；并且在上海市政府的介入下，要求上海的各家銀行采用SHECA頒發(fā)的證書。因此SHECA在上海得到了比較好的應(yīng)用。

另外，還有一些其它的省級(jí)電子商務(wù)認(rèn)證中心，如北京市電子商務(wù)認(rèn)證中心、天津市電子商務(wù)認(rèn)證中心、云南省電子商務(wù)認(rèn)證中心（在建）、山東省電子商務(wù)認(rèn)證中心、湖南省電子商務(wù)認(rèn)證中心、湖北省電子商務(wù)認(rèn)證中心、廣東省電子商務(wù)認(rèn)證中心、廣西電子商務(wù)認(rèn)證中心、海南省電子商務(wù)認(rèn)證中心、山西省電子商務(wù)認(rèn)證中心、吉林省電子商務(wù)認(rèn)證中心、福建省電子商務(wù)認(rèn)證中心（在建）和深圳市電子商務(wù)認(rèn)證中心（在建）等。另外，我國還有其他一些省市和企業(yè)機(jī)關(guān)也在著手建立自己的電子商務(wù)認(rèn)證中心，特別是一些大型企業(yè)和事業(yè)單位，也使用CA和證書機(jī)制來對企業(yè)用戶的身份和權(quán)限進(jìn)行認(rèn)證和管理。

目前，我國的CA建設(shè)還處于一個(gè)起步的階段，沒有完整的統(tǒng)籌和協(xié)調(diào)，CA的發(fā)展還是各自為政，獨(dú)立發(fā)展的混亂局面，沒有建立一個(gè)政策上固定的全國性根CA（如美國的郵政CA），這對處于權(quán)威認(rèn)證機(jī)構(gòu)的CA來說不僅是基礎(chǔ)設(shè)施的浪費(fèi)，也對電子商務(wù)中的身份認(rèn)證帶來一系列問題，如交叉認(rèn)證的互不兼容等。相信經(jīng)過若干年的發(fā)展，我國的CA建設(shè)在積累經(jīng)驗(yàn)和教訓(xùn)的基礎(chǔ)上，一定會(huì)形成一個(gè)全國性的、完整的和層次性合理的CA基礎(chǔ)設(shè)施，真正為我國的電子商務(wù)發(fā)展保駕護(hù)航。

5、結(jié)論

數(shù)字證書是網(wǎng)絡(luò)中標(biāo)識(shí)實(shí)體身份的憑據(jù)，是用戶在網(wǎng)絡(luò)的虛擬世界中表明自己身份的最有效的方法，而認(rèn)證機(jī)構(gòu)CA則是頒發(fā)數(shù)字證書的權(quán)威機(jī)構(gòu)。CA作為數(shù)字證書的頒發(fā)和維護(hù)機(jī)構(gòu)，其作用和性質(zhì)同頒發(fā)護(hù)照和身份證的政府機(jī)關(guān)和權(quán)威機(jī)關(guān)類似，在很大程度上不是取決于技術(shù)，而是取決于CA的策略和管理機(jī)制。所以，建設(shè)和維護(hù)CA的一個(gè)很重要方面就是制定完備的證書策略，根據(jù)不同的需要和不同的實(shí)體類型，來頒發(fā)不同的證書，并建立相應(yīng)的證書廢除機(jī)制。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： agile05 > 《IdM》

舉報(bào)/認(rèn)領(lǐng)