淺談我國CA的發展

隨著網絡時代的到來、電子商務的迅速發展，安全問題日益突出與重要。為了保障網絡數據傳輸和交易的安全，有效解決網絡所面臨的身份假冒、信息截取、信息篡改和否認等問題，需要一個第三方機構或個人來認證雙方的身份。這里的第三方一般稱為認證中心(CA，Certificate Authority)。

CA作為具有權威的、可信賴的、公正的第三方服務機構，承擔著網上安全電子交易中重要的認證服務，需要完成數字證書的申請、簽發及管理工作。CA通過簽發的數字證書，使參與網上活動的各方都擁有合法的身份，使交易各方在各個環節都可驗證對方數字證書的有效性，從而解決相互信任問題，同時保證電子商務中信息的保密性、數據的完整性及交易的不可否認性。目前，CA所提供的認證服務已經開始被越來越多的企業和個人所接受，廣泛地應用于公眾網絡上的商務活動和行政作業活動中，CA已經成為了電子商務中必不可少的有機組成部分。

一、 我國CA中心建設現狀

1998年，國內第一家以實體形式運營的上海CA中心（SHECA）成立，此后，全國先后建成了幾十家不同類型的CA認證機構，CA認證的概念也逐步從電子商務滲透至電子政務、金融、科教等各個領域。從CA中心建設的背景來分，當前國內的CA中心大致可以分為三類：大行業或政府部門建立的CA，如中國金融認證中心CFCA、中國電信CTCA等；地方政府授權建立的CA，如上海CA、北京CA等；商業性CA。行業性CA不但是數字認證的服務商，也是其他商品交易的服務商，它們不可避免地要在不同程度上參與交易過程，這與CA中心本身要求的第三方性質不相符合。就應用范圍而言，行業性CA更傾向于在自己熟悉的領域內開展服務。例如，外經貿部的國富安CA認證中心在適當完善之后將首先應用于外貿企業的進出口業務。政府（包括地方政府）授權建立的第三方認證系統屬于地區性CA，除具有地域優勢外，在推廣應用和總體協調上也具有明顯的優勢。不過，地區性CA離不開與銀行、郵電等行業的合作。

二、我國CA建設中的問題

從上述對國內主要CA的介紹中可以看到，目前國內CA不再是簡單地賣賣證書，已經開始更多地為客戶提供不同領域的解決方案，開發相關安全系統等，將本身業務拓展開來。在技術層面上，考慮了與國際標準的接軌。而且針對目前普遍關心的CA互通問題，建立起一些有一定規模的CA聯合體。但是總體來說，依然存在著不少問題，主要表現在:

(1)已在行業或局部實現了互通，但在全國范圍內并沒有實現真正的聯合。比起CA剛出現時，很多CA都看到了建立互通體系的重要性，而且都進行了嘗試。如CFCA、CTCA都在本行業內建立起了遍及全國的體系，為行業中的交易提供身份驗證和信息安全服務。另外，如SHECA和CNCA也牽頭建立了跨地區的CA聯合，從某種程度上緩解了交叉認證的難題。但是，這些行業和地區的CA聯合彼此之間卻沒有實現互通。從公正性角度來說，這些CA聯合中沒有一個CA可以成為真正意義上的根CA，它們或者是同樣需要身份驗證的CA，或者是行業里的權威機構，沒有一個是與兩方沒有任何利益牽連的公正的第三方，這無疑是違背了建立CA的初衷。

(2) CA的管理混亂，上級部門太多。從各個CA建立的批準者，就可以清楚的看到這一點。這里有信息管理部門、密碼委員會、政府部門和大的行業主管部門，但卻缺乏統一的管理。而從管理的角度來說，多頭管理就意味著缺位管理，這勢必將影響我國CA的健康發展。

(3)技術多為引進，僅有少數為自主開發。從一些有代表性的CA來看，雖然多數宣稱其技術為自行開發，但實際的核心技術多為引進或者是和國外知名的CA合作，然后在這一基礎之上再開發自己的產品，甚至部分CA的產品結構和VeriSign是一致的。雖然從一方面說明了已經與國際技術標準保持一致，但也體現出我國在CA建設技術上的落后和不足，過分依賴國外技術。這對我國CA的長遠發展十分不利，對電子商務的真正安全也是不利的。

三、 解決思路

針對當前我國電子商務CA認證中心的建設出現的問題，筆者認為除了需要在管理制度和行業標準的規范上積極完善外，構筑一個宏觀的CA體系結構對我國當前CA建設的盲目性有很重要的指導意義。

從市場的需求及未來發展看，我國目前CA數目眾多，但無論在規模、服務水平、用戶數量還是社會信賴度上都與國際著名CA有很多大的差距，所以在CA建設上迫切需要具有安全技術保證的、可信賴的權威性的、全國級CA中心，以后再重點發展一到兩個商業性CA，當時機成熟時，在此基礎上再建一個國家級的根CA，全國的認證問題基本上就解決了。禁止濫建CA，一哄而上的重復建設。我國CA認證體系適合采用三層的CA體系結構，分別是：第一層CA是國家級CA，也就是根CA，或稱之為政策CA，它負責為第二層CA制定政策，為第二層CA簽發證書及CRL，同時與其它國家的根CA進行交叉驗證；第二層CA是地方政府或者稱為省級CA，負責與其它區域性CA、行業CA進行交叉認證；第三層是操作CA，它面向最終用戶，直接為用戶簽發、管理用于各種用途的數字證書及CRL。如果以后希望為其它行業或地區提供認證服務，就可以從省級CA下面建立新的操作CA，或建立邏輯CA。

（作者單位：江西藍天學院）