淺談我國CA的發(fā)展

隨著網(wǎng)絡時代的到來、電子商務的迅速發(fā)展，安全問題日益突出與重要。為了保障網(wǎng)絡數(shù)據(jù)傳輸和交易的安全，有效解決網(wǎng)絡所面臨的身份假冒、信息截取、信息篡改和否認等問題，需要一個第三方機構或個人來認證雙方的身份。這里的第三方一般稱為認證中心(CA，Certificate Authority)。

CA作為具有權威的、可信賴的、公正的第三方服務機構，承擔著網(wǎng)上安全電子交易中重要的認證服務，需要完成數(shù)字證書的申請、簽發(fā)及管理工作。CA通過簽發(fā)的數(shù)字證書，使參與網(wǎng)上活動的各方都擁有合法的身份，使交易各方在各個環(huán)節(jié)都可驗證對方數(shù)字證書的有效性，從而解決相互信任問題，同時保證電子商務中信息的保密性、數(shù)據(jù)的完整性及交易的不可否認性。目前，CA所提供的認證服務已經(jīng)開始被越來越多的企業(yè)和個人所接受，廣泛地應用于公眾網(wǎng)絡上的商務活動和行政作業(yè)活動中，CA已經(jīng)成為了電子商務中必不可少的有機組成部分。

一、 我國CA中心建設現(xiàn)狀

1998年，國內(nèi)第一家以實體形式運營的上海CA中心（SHECA）成立，此后，全國先后建成了幾十家不同類型的CA認證機構，CA認證的概念也逐步從電子商務滲透至電子政務、金融、科教等各個領域。從CA中心建設的背景來分，當前國內(nèi)的CA中心大致可以分為三類：大行業(yè)或政府部門建立的CA，如中國金融認證中心CFCA、中國電信CTCA等；地方政府授權建立的CA，如上海CA、北京CA等；商業(yè)性CA。行業(yè)性CA不但是數(shù)字認證的服務商，也是其他商品交易的服務商，它們不可避免地要在不同程度上參與交易過程，這與CA中心本身要求的第三方性質(zhì)不相符合。就應用范圍而言，行業(yè)性CA更傾向于在自己熟悉的領域內(nèi)開展服務。例如，外經(jīng)貿(mào)部的國富安CA認證中心在適當完善之后將首先應用于外貿(mào)企業(yè)的進出口業(yè)務。政府（包括地方政府）授權建立的第三方認證系統(tǒng)屬于地區(qū)性CA，除具有地域優(yōu)勢外，在推廣應用和總體協(xié)調(diào)上也具有明顯的優(yōu)勢。不過，地區(qū)性CA離不開與銀行、郵電等行業(yè)的合作。

二、我國CA建設中的問題

從上述對國內(nèi)主要CA的介紹中可以看到，目前國內(nèi)CA不再是簡單地賣賣證書，已經(jīng)開始更多地為客戶提供不同領域的解決方案，開發(fā)相關安全系統(tǒng)等，將本身業(yè)務拓展開來。在技術層面上，考慮了與國際標準的接軌。而且針對目前普遍關心的CA互通問題，建立起一些有一定規(guī)模的CA聯(lián)合體。但是總體來說，依然存在著不少問題，主要表現(xiàn)在:

(1)已在行業(yè)或局部實現(xiàn)了互通，但在全國范圍內(nèi)并沒有實現(xiàn)真正的聯(lián)合。比起CA剛出現(xiàn)時，很多CA都看到了建立互通體系的重要性，而且都進行了嘗試。如CFCA、CTCA都在本行業(yè)內(nèi)建立起了遍及全國的體系，為行業(yè)中的交易提供身份驗證和信息安全服務。另外，如SHECA和CNCA也牽頭建立了跨地區(qū)的CA聯(lián)合，從某種程度上緩解了交叉認證的難題。但是，這些行業(yè)和地區(qū)的CA聯(lián)合彼此之間卻沒有實現(xiàn)互通。從公正性角度來說，這些CA聯(lián)合中沒有一個CA可以成為真正意義上的根CA，它們或者是同樣需要身份驗證的CA，或者是行業(yè)里的權威機構，沒有一個是與兩方?jīng)]有任何利益牽連的公正的第三方，這無疑是違背了建立CA的初衷。

(2) CA的管理混亂，上級部門太多。從各個CA建立的批準者，就可以清楚的看到這一點。這里有信息管理部門、密碼委員會、政府部門和大的行業(yè)主管部門，但卻缺乏統(tǒng)一的管理。而從管理的角度來說，多頭管理就意味著缺位管理，這勢必將影響我國CA的健康發(fā)展。

(3)技術多為引進，僅有少數(shù)為自主開發(fā)。從一些有代表性的CA來看，雖然多數(shù)宣稱其技術為自行開發(fā)，但實際的核心技術多為引進或者是和國外知名的CA合作，然后在這一基礎之上再開發(fā)自己的產(chǎn)品，甚至部分CA的產(chǎn)品結(jié)構和VeriSign是一致的。雖然從一方面說明了已經(jīng)與國際技術標準保持一致，但也體現(xiàn)出我國在CA建設技術上的落后和不足，過分依賴國外技術。這對我國CA的長遠發(fā)展十分不利，對電子商務的真正安全也是不利的。

三、 解決思路

針對當前我國電子商務CA認證中心的建設出現(xiàn)的問題，筆者認為除了需要在管理制度和行業(yè)標準的規(guī)范上積極完善外，構筑一個宏觀的CA體系結(jié)構對我國當前CA建設的盲目性有很重要的指導意義。

從市場的需求及未來發(fā)展看，我國目前CA數(shù)目眾多，但無論在規(guī)模、服務水平、用戶數(shù)量還是社會信賴度上都與國際著名CA有很多大的差距，所以在CA建設上迫切需要具有安全技術保證的、可信賴的權威性的、全國級CA中心，以后再重點發(fā)展一到兩個商業(yè)性CA，當時機成熟時，在此基礎上再建一個國家級的根CA，全國的認證問題基本上就解決了。禁止濫建CA，一哄而上的重復建設。我國CA認證體系適合采用三層的CA體系結(jié)構，分別是：第一層CA是國家級CA，也就是根CA，或稱之為政策CA，它負責為第二層CA制定政策，為第二層CA簽發(fā)證書及CRL，同時與其它國家的根CA進行交叉驗證；第二層CA是地方政府或者稱為省級CA，負責與其它區(qū)域性CA、行業(yè)CA進行交叉認證；第三層是操作CA，它面向最終用戶，直接為用戶簽發(fā)、管理用于各種用途的數(shù)字證書及CRL。如果以后希望為其它行業(yè)或地區(qū)提供認證服務，就可以從省級CA下面建立新的操作CA，或建立邏輯CA。

（作者單位：江西藍天學院）