【doc】CA认证：如何打造网上身份证？

【doc】CA认证：如何打造网上身份证？ CA认证:如何打造网上身份证, } ?~mmHo??热点聚焦I; ??ll r ?rift2.一1-rI1??1 ??- I旨I一r.=】I—ll|_I?JL?l_—— l 8' _l 网绂幸培僖薹一南-套-.左百山史令^;,面.r^lIl,I目甘口M徊七一嗣加} 】联网上,没有人知道你是一条狗."但概念最早是作为信息安全的基础设施是cA,它可以起到什么作用等这样 当我们开始将自己的重要信息,数据提出并进行建设的.任何一种应用安一些问. 现在虽然解释工作依然存: 乃至资金放置于网络这个载体上运转全. 都和身份与权限密切相关.从客在.但大家已经逐渐意识到了CA认 l时,最希望看清楚的,恐怕就是遥远观角度看.目前大力发展推广的电子证的重要性.I 1的屏幕那端与我们交流着的,到底是政务电子商务.其业务核心全部基然而,对CA认证的认可程度离 ?"人"还是"狗".于信息安全的框架.非常需要进行安我们的期望水平依然有较大差距.数 安全认证的普及已成当务之急.全认证:同时CA认证的技术特点恰字证书本身是 种安全的技术措施. 恰决定了其适用于对信息安全要求很是整个安全体系中不可或缺的一都 现:状篇:高的互联网.尤其适用于在互联网上分. 但大多数人.甚至相当多的业内} cA认证从扫盲开始进行的电子政务电子商务.人士. 对安全的认识还基本停留在网 数字证书应运而生.它是一个CA认证在我国开展已经有二年络,系统等安全层面. 具体如防火墙. ? 具有权威性可信任性及公正性的第的历史.但由于Intemet普及程度.商病毒检测系统等.cA更多侧重于提;? ? 三方机构(CA.CertificateAuthority)家对电子商务的认知程度银行等金供应用层的安全..要想真正形成一 J用其私钥进行了数字签名的包含用户融部门的配合力度等方面的限制.使个比较完整的安全体系.应用层的安 身份公开密钥有效期等许多相关得我国的cA认证市场到目前为止仍全应该作为个核心来体现.唐丁 J 信息的权威性的电子文件.是各实体处于培育阶段. 具体体现为签发证书分析.不管网络还是系统, 对安全的; ? 在互联网上通行的电子身份证.通俗数量少.证书使用场合少等情况.数要求是一致的.类似木桶效应,最短 _ 来讲?它相当于一张.网络身份证.据显示. 三年中全国已经投入运作和的一块木板决定整个桶的容量. 防火}? _ 通过证书应用实现身份的鉴别与识正在建设的各类cA认证中心有30多墙杀毒软件等对每个用户所提供的- ? 别?确保用户信息的可用性完整性. 家.证书的发出量却只有40万份左服务基本相同.没有太多个性化的体.1? 机密性以及不可抵赖性.CA认证正右.而且其中相当部分是免费的.现.只有在应用层.才能针对不同的 ? 在被广泛应用于网上银行~_hiE易天舒由此指出. 国内用户对cA认用户.设置不同的权限.制定相应的l ? 券网上缴税网上保险网上贸易证的认知还要经历一个过渡期. 安全策略.进步有效地保障系统的'l 网上招投标电子商务交易平台安北京数字证书认证中心(BJCA)安全. : 全电子邮件期货交易和网上票务等副总经理唐丁也在近日接受了本刊的 各种领域.采访.他告诉记者:.自2001年2月技术篇: 从事CA安全认证系统等软件开成立以来BJcA开始着手推广cA证书先有后有技术 ? 发的北京国创科技有限公司副总工程业务.最初遇到过很多障碍.首先是唐丁介绍. 当前的数字证书主.: 师易天舒在接受我刊采访时.首先指扫盲.当时很多人并不了解cA.所要有以下几种类型:企业身份证书 18中国电子商务杂志. ; li_-_,一.一…止…一——_?——,……一..—— www.chinaecb.com 企业商务电子邮件证书,个人身份证 书,个人安全电子邮件证书,服务器 正书,web服务器证书,代码签名证 书等. 数字证书的基础构架是PKI/CA. 一 般情况下.一个标准的CA由两部 分组成:CA系统承担证书签发,审 吡,废止,查询,数字签名,证书/ 名单发布,密钥恢复与管理,证书 |人定和政策制定.CA设在CA中心本 . 不直接面对用户:RA系统直接面 句用户,负责用户身份申请审核.并 句CA申请为用户转发证书.一般设 苣在银行总行,证券公司,保险公司 部等应用证书的机构总部.受理点 (LRA)设置在这些应用证书机构的分 支机构.RA系统可方便地集成到业 务应用系统. 目前的数字证书发放机制采用 吡量受理的方式.从CA业务发展模 式分析研究.主要采用行业合作的模 式.如面向银行,教育,电信等不同 斤业:从证书申请发放模式分析.目 前已有营业厅受理,网上受理,批量 受理,第三方代办受理等模式.可很 易地实现CA系统对其它系统的接 入. 在谈及我国与国际CA认证系统 构技术差距时.两位被访者的看法几 乎完全一致由于采用统一的国 际技术标准.就目前而言.国内CA认 证系统在技术先进性上与国际比较并 没有太大差距.设计思路还是相当不 错的.唐丁还补充道当前最主要的 差距还是在于成熟性.具体表现在与 应用结合方面.大部分IT技术是先有 技术.后有标准.但PKI却是先有标 准.后有技术.根据标准思路设计技 术.这里便缺少实际应用的检验环 节,故CA认证技术和实际应用的结 合还需要很多的磨合.. 应用篇: 价值体现于业务发展 近期CA行业发展似乎不大景 气.国际上更有评价说CA正在走向 死亡.但易天舒却认为不然.他指 出.从当前的发展看.CAF_,从几年前 单纯的概念炒作进入到一种理智化的 实质性发展阶段.这是一个值得欣慰 的进步. .我国数字证书的需求量很大. 但从业务发展方面来看还不能尽如人 意.这主要受制于应用的发展.单纯 看数字证书本身.并不具有任何意 义.惟有和服务结合起来才能发挥作 用.例如从事网上炒股,网上缴费等 业务时.作为用户身份的确认的数字 证书.从安全性角度讲要比用户名/ 1:3令系统强得多:又如为保证用户对 网站的信任度而提供服务器证书. 相对于其它技术.数字证书的使用要 比普通服务复杂.但这并不影响其 应用及推广,关键在于能否开发出一 些真正切合用户需求的业务.脱离了 应用业务.证书只是一纸空文.易天 舒就此谈到自己印象深刻的一件事: 在江苏开展.网上炒汇.活动时,他 作为售后去一位老乡家调研,发现这 位身体,家庭,文化知识结构,对新 事物接受能力等各方面条件都比较差 的老乡.基于对.网上炒汇.服务的 需求,自己居然成功地安装并使用着 数字证书!这件事情让易天舒对CA 的前景持非常乐观的态度. 只有依靠发展应用这个手段. 一 种技术才能真正实现自身的价值. 分析目前比较成功的cA提供商.不 难发现大家都在努力地发展各种应用 服务技术.以便为客户提供更好的业 务模式.以应用促发展.看来作为信 息安全的保障.CA想要真正发展壮 大.还必须借助应用业务的发展. 服务篇: CA中心应建服务体系 目前社会上普遍存在着单独探 讨CA的现象.其实数字证书并不是 孤立的东西.最理想的状态应该是使 CA.消失在应用之中.让客户在使 l9 I} ?『第捌…热点聚焦.; Fj业务时觉察不到CA的存在.因为行业特征比较明显一些以省政府为强调单一机构.反而会使机构运作缓 CA本身处于后台.是各种前台服务单位建立起来的CA,如南方认证中慢.内耗过大而浪费资源.不利于CA - jf展时顺理成章的常规需求.心(NFCA),上海认证中心等.地域业务的良性发展. BJCA是全国第一家通过了色彩比较浓厚.对于交叉认证.唐丁的看法则 ll~0300认证的CA机构唐丁认为.多如此之多的CA中心.各自运营比较实际国家计委(国家发展和改 ;CA中心的建立是符合市场竞争规情况究竟如何?其建立到底是不是资革委员会)目前正在开展交叉认证工 {,但许多CA中心以为建起CA就行源浪费?如何消除壁垒?如何实现交作.在CA的互联互通方面.BJCA是 _7r.他说.其实CA本身不是建设问叉认证等等一系列问题正在El益引起参与者之一.不管从技术准备方面, E堕.而是糅合应用的工作,这个工作人们的关注.还是从真正业务需求产生方面,交叉j ?是简单地建立一个CA中心.并提我们的两位被访者的观点略有认证涉及到的实际关系协调还需要相 J共相关的接1CI便可以解决的,它涉及不同.当长的时间和相当大的精力,不是仅 了长期的磨合,培养队伍.包括技术易天舒的说法代表了当前很大仅解决技术问题能做的到的.他认 人才,运营体系等方方面面工作.唐一部分人的意见:.最初对CA有迫切为,需求驱动很重要,随着业务发展 丁指出当前被很多CA中心所忽略的应用需求的是电信,银行,海关,证需求的增强,互联互通会顺理成章地 重要内容——服务:.许多CA中心.券等行业.CA以网上电子身份证的得到解决.交叉认证不是单一的CA 单纯建立了数字证书业务,开发力量角色出现.为满足一些特定需求而建能做起来的事情国家的协调力度还 不足.没能寻找和应用服务的结合设起来.从而造成现在这样一种情应该继续加大.才会有较好的效果. 点.或者有的中心在局部和应用具体况,各CA问各自为政,缺乏互联互关于交叉认证的难度.两位被 结合了,但整个应用服务体系却未能通.相互认证困难,从某种意义上讲.访者主要总结出三方面:技术,协调 建立起来."造成了重复建设,导致资金的浪费.以及应用需求.应用需求被认为最重 许多CA中心在运营中都或多或产生的原因在于行业不同,地域壁垒要.真正需求的出现.会使交叉认证 少存在着重发证.轻应用这一问以及政策等多方面.从世界发展趋势建设速度加快许多.由于目前CA的 题.实际上.数字证书颁发之后,关来看.国际上一些服务遍及全球的建设都是遵循国际标准进行的.从技 键还在于有没有一系列的后续服务.CA应用模式就非常值得我们借鉴.术上来讲.进行互联互通还是比较容 来帮助用户真正将证书使用到业务中易天舒认为,从CA发展的长远易的.实现相互认证的另一个关键困 去.唐丁指出:CA中心担负的责任意义来看.一个国家只需要少数几个难在于政策协调.即各机构是否真的 不只是发放证书,而应是帮助用户像比较大的CA机构即可.他建议采用希望互联互通.唐丁还提出.由于互 使用账户密码一样简单地使用证书.两个措施进行机构简化:第一.由国联互通与各家的利益密切相关,建立 其中包括一整套流程,如用户培训,家相关机构出面对现有的主要CA进一个中立的管理机构来承担协调任务 各种用户手册,光盘提供,后台服务行整合.建立他们之间的相互认证:才更加合理. 等.只有以服务为中心,为客户提供第二,采用欧洲的做法.由国家出面现在交叉认证已经有了一定雏 充分的支持工作.才能与客户结合得建立一个顶级CA.将现有的其他CA形.最具代表性的就是中国协卡认证 更加紧密.从而真正推广CA安全认都作为其子CA.(UCA)体系,该组织由上海CA中心 证的普及"唐丁对多家CA林立.有着自己发起.由京,津,沪等国内CA权威 独特的理解从发展的角度看.多家机构联合共建.目前已拥有遍布全国 互联互通篇:CA的成立是比较合理的现象.是应各地数百家分支机构.为个人.单位, 消除壁垒实现交叉认证运需求而产生的.存在即合理.在国商家,企业,金融机构,公共服务.政 随着各省市,行业纷纷成立自家没有统一的管理政策的情况下.各府办公,工商税务,服务器等对象提 己的CA认证中心.我国目前大大小CA走在前面是很正常的.lT行业的特供数字证书.所发放的系列数字证书 小的CA已有几十家之多.但规模较性决定了需求首先产生.随之再出现已应用在网上购物,网上订票,网上 大的却只有几家.如主要为适应不同相应的政策.与体制相比,市场证券交易,网上缴费,安全电子邮件, 行业需求而建立的中国金融认证中心体制重复建设在所难免.但这种重复社会保障,政府采购等项目中.用户 (CFCA),中国电信认证中心是有益的.优胜劣汰.充分体现了市遍及除西藏外的全 国各省市自治区, (CTCA),海关认证中心(SCCA)等,场经济运作的规律.无法避免.过分在这个体系 内可以做到交叉认证. 20中国电子商务杂志 www.chinaecb.com 出路篇:生存与发展 技术提供商生存之道 易天舒介绍.像国创这种技术 提供型企业在国内目前数量不算少, 如吉大正元,双星,天威诚信等.CA 中心采用这些企业的产品搭建平台为 其他应用商提供服务,发放数字证 书,提供相应接口.同时.与CA中 心类似,这些公司也都带有比较明显 的行业特征.如:吉大正元主要从事 政府的CA开发,而国创的产品主要 应用于电信领域. 技术提供商们当前的客户主要 分为运营商及最终用户.最终用户为 电信.政府,银行.证券等对电子政 务,电子商务需求最迫切的机构.易 天舒表示.国创以后工作的侧重点将 针对在信息安全方面要求日益迫切的 企业.他肯定这一市场前景非常广 阔. CA中心与企业客户之间的业务 合作主要有三种方式:第一.企业自 建CA系统.CA中心从技术方面提供 帮助:第二,企业自己有CA系统, 但其品牌知名度不足,希望借助CA 中心的影响力来发展自身的客户.于 是企业CA作为一种CA模式接入到 CA中心的系统里第三第三方代办 的方式.企业不想建立自己的CA,只 ? !鍪 是需要利用证书来发展业务,于是作 为RA或受益者的方式介入进来.企 业没有自己的CA,而是通过代办的 方式采用CA中心发放的证书.但证 书受理和客户接口却都采用自己的技 术与品牌. 易天舒介绍,国创等技术型企 业的主要任务是为运营商提供技术上 的支持.通过提供各种业务模式的解 决,提供相应的技术与接口.提 供行业解决方案等措施,帮助CA运 营商更好地开展工作:同时,这些企 业和运营商一起担负着为用户提供服 务.推动证书发展的职责. 从目前一些CA技术提供商来 看.由于采用同样的国际标准,他们 在技术方面没有显着差异.真正的差 别还是在服务模式,业务模式等一些 经营理念上. 谈到技术提供商的发展出路时, 易天舒说:.技术上肯定需要不断创 新.但由于客户需求的变化促使业务 模式的多样化.最终取胜的关键还是 服务.对于大多数技术提供商而言, 单纯发展CA技术已经很难生存下 去,因为用户现在更看重的不是技 术,而是服务,业务,纯粹提供技术 对客户来说已经没有什么吸引了.必 须同时为客户提供基础性服务,这一 点对很多大型行业是比较适用的. 易天舒同时表示,在数字证书 系统开发过程中.技术提供商们追求 的目标还包括减少对用户现有应用的 影响.如何在安全性和使用的方便性 这一对矛盾之间构造一个平衡点.是 技术商们必须要接受的一个大挑战. CA中心交流合作共发展 唐丁认为,很多CA机构目前对 需求的认识还很不足.大多都认为建 CA是一个好的业务手段.但经常会 出现中心建起来后.证书需求量不 大设备人员闲置的现象.这就是对 需求的分析不足.现在我国一些主要 的大城市如上海等,电子政务等发展 较快,而很多地方发展则相对较滞l 后这些大城市相对于发达国家来说 还有一定差距.CA认证处于摸索阶 段.运作者对客观情况认识的相应缺 乏也会很难使应用得到滚动发展. 唐丁强调.运营体系是一个复 杂的工程.并非想当然地拿来客户资 料,录入,形成方案这么简单的事,实 际上它和应用以及自身的一些相关业 务结合得非常紧密.应用可以说是 CA中心们发展的最大障碍——迈不 过去就得死亡. 唐丁认为CA中心的运营采取市 场化比较合理.因为CA认证的本身 是一项长期服务,其良性发展很大程 度上依靠技术体系的进步和针对服务 的良性竞争.而政府不应仅仅以管理 者的身份出现.而应该起到对各家 CA的平衡作用,同时为之提供良好 的发展环境. 谈及目前与各家CA的关系,唐 丁坦言,由于行业侧重点不同,目前 各家CA的业务重点不在竞争.而是 在于交流经验,共同协作,探讨如何 将蛋糕做大.以期获得更多的长远利 益. 至于各家CA的合并趋势,唐丁 表示目前短期内还没有迹象.因为其 中涉及到政策,国情等种种原因.他 说.其实根本无须强制合并,随着市 场的发展.CA中心将会迎合市场具 体需求进行自然融合.以期达到更高 效率. 综合两位被访者的乐观看法, CA认证目前最主要的发展在电子政 务但从收入及发放量增长趋势上 看,电子商务等其它数字证书的使用 量也在逐渐升温.作为资深业内人 士他们认为CA业务在将来会越来 越普及.会得到人们更正面的认可. 随着各种网络业务的逐渐开展.对信 息安全的要求将更加明显.数字认证 的环境也会更加成熟:CA安全认证 的黄金期还在今后.? 21