CA认证的应用

CA认证技术的实践与应用

1.CA认证机构

所谓认证中心，也称为数字证书认证中心，英文为CertificationAu鄄thority，简称CA。是基于国际互联网平台建立的一个公正、独立、有权威性、广受信赖的组织机构，主要负责数字证书的发行、管理及认证服务，以保证网上业务安全可靠地进行。

一般而言，CA认证体系由证书审批部门和证书操作部门组成。证书审批部门（registryauthority.RA）作为电子商务交易中受信任的第三方，承担公钥的合法性检验的责任。它负责对证书申请者进行资格审查，决定申请者是否有资格获得证书，并承担为不符合资格的证书申请者发放证书所引起的一切后果，因此审核部门应由能够承担这些责任的机构负责。证书操作部门（certificateprocessor.CP）为已授权的申请者制作、发放和管理证书。并承担因操作不当所产生的一切后果。

包括失密和为没有获得授权者发放证书等。它可以由审核部门自己担任，也可委托第三方担任。一般CA认证中心具有六项基本功能：证书发放功能，证书查询功能，证书更新功能，证书吊销功能，制定相关政策功能，保护数字证书安全功能。

（二）我国CA认证机构的现状与发展

电子商务、电子政务对网络安全的要求，不仅推动着互联网交易秩序和交易环境的建设，同时也带来了巨大的商业利润。从1999年8月3日成立的我国第一家CA认证中心———中国电信CA安全认证系统起，目前我国已有140多家CA认证机构。

但大都不具备合法身份。从2004年8月8日《中华人民共和国电子签名法》颁布以后，已被信息产业部审批的合法CA机构已有22家。其中一些行业建成了自己的一套CA体系，如中国金融认证中心（CFCA）、中国电信CA安全认证系统（CTCA）等；还有一些地区建立了区域性的CA体系，如北京数字证书认证中心（BJCA）、上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）、云南省电子商务认证中心（CNCA）等。

2.CA认证技术的实践与应用

（1）我国CA市场存在较严重的同质竞争。据信息产业部的不完全统计.目前我国有CA认证机构140多家。并且还有增建的趋势，而国内电子商务市场对CA的需求远远小于这些CA认证机构的供给量。目前，过多的CA认证中心正在拼抢有限的市场规模，由于并不存在完全的不可替代性。

所以这些CA机构都还处于同质竞争阶段。这种竞争的结果是各家认证中心都需要通过价格战占领市场，而过于低廉的费用，不但不能够保证基本的服务，其权威性也会受到质疑。最后CA企业没有动力去开发新的市场，整个行业就处于一种混乱、无序的状态。

（2）技术层面上并没有形成统一的标准。

“互联互通”需要进一步加强。在技术层面上，由于受到美国出口限制的影响。

国内的CA认证技术完全靠自己研发。又由于参与部门很多，导致标准不统一，既有国际上的通行标准，又有自主研发的标准，即便是同样的标准，其核心内容也有所偏差，这导致交叉认证过程中出现“各自为政”的局面。到目前为止，国内尚未出台统一的PKI标准或相关的管理规范，也没有一个明确的CA管理机构。这种缺乏统一标准的态势必将造成多种技术标准共存的局面。也是目前我国众多CA中心各方割据、难以互通的一个主要原因。

（3）CA认证还存在明显的地域性与行业性，重复建设现象严重，无法满足全社会电子商务发展的要求。在分布格局上，目前我国的CA机构还存在明显的地域性和行业性。

CA建设仍处于一种无序状态。从国内CA建设开始至今，一直没有出台一个指导国内CA建设的总体规划和管理指南，使得CA建设目的不明、性质不清、重复建设的现象还比较严重。

（4）行业整体缺乏有效的监督规范，相关法律还不够健全。但随着《电子签名法》和《电子认证服务管理办法》的出台，我国电子商务的发展环境得到一定的改善。特别是《电子签名法》的实施，为国内众多的CA机构设定了门槛，对人员、设备等都做出了明确的规定。目前按照《电子签名法》的规定，信息产业部已批准了20多家CA机构，可以说开启了CA机构规范化、合法化的进程。但《电子签名法》还需要更进一步的实施规章和细则。

这也是目前CA行业最需要解决的问题。

三、促进CA市场健康发展的对策1.建立有序的CA互通格局

我国CA业各地区、各行业分而治之的局面，不利于CA业的长期有序发展，因为现实中的垄断并不能构成互联网上的优势地位，某一领域内的单根认证中心也不利于电子商务的健康发展。例如。银行业完全可以自己发放证书为自己的客户服务。但这种附属于某一家银行的CA中心不太可能给所有行业和公司颁发证书。而基于一个最高级别的根CA（国家根CA）、由多个真正第三方CA构成的多根认证中心才能为各个行业、各个地方的用户提供便利和专业性的服务。

从而避免各方在协调和服务过程中出现互相牵扯和不相容。以上海CA（SHECA）倡导建立的UCA认证体系为例，为了推动我国网络信任服务的发展，SHECA联合北京、天津、

山东、安徽、昆明、无锡等地的CA认证机构。

成立了全国性互通的CA认证体系———中国协卡认证体系UnitedCertificateAuthority，简称UCA 。

从而实现了跨地区、跨行业的认证，使协卡体系成为全国范围内的互联网安全信任服务提供商。就投资而言。虽然各行业和公司可以运行自己的证书系统，但这不仅建设成本增高，而且技术风险也很大。通常用在CA相关产品购买上的开销仅仅是整个运营成本的一部分，配置、运行和维护一个认证系统所需的持续成本才是巨大的。所以，CA中心的投资应该由一个有稳定收入来源、实力雄厚、承担的风险较小且具有极高信任度的社会机构来承担。

3.确保CA技术的可靠性

在技术层面，CA中心的建设涉及到国家的主权和利益，不能受制于人，因此在安全和加密技术上应减少对国外技术的依赖。力争在遵循国际标准的基础上，开发拥有自主产权的CA产品。同时，由于CA认证必须具有透明性、社会性和公正性，CA中心必须采取安全可靠的技术和严格高效的管理来保证自身的被信赖度。

4.行业管理要标准化、法制化

电子商务、电子政务、电子邮件以及其他网上交互活动，都可能要求参与者提供法定的身份证明，而数字签名就是最有效的法定身份证明，因此制定专门的数字签名法是完全必要的。目前，我国相关部门已经在着手开展信息安全标准化工作。2007年4月15日，在北京成立的全国信息安全标准化技术委员会开始制订数字签名、信息安全评估管理等公共信息安全的国家标准。据介绍，信息安全标委会的任务是向国家标准化管理委员会提出信息安全标准化工作的方针、政策和技术措施建议，并负责协调各有关部门提出一套系统、全面、分布合理的信息安全标准体系。可以预见，随着信息安全领域标准化、法制化建设的日益完善，我国CA业的标准化管理也将逐步发展和健全，CA的建设和应用将走上健康发展的轨道。

5.CA认证的信任危机

CA认证历来就被认为是决定电子商务发展进程的关键环节之一，然而事实却表明，作为第三方认证机构的CA中心也开始面临信任危机。问题在于，CA中心在认证别人的时候又被谁来认证呢？

基于信息安全的问题主要有两点：一、基于用户名+密码这种身份验证方式的脆弱性；