永不独行:认证机构CA及其在我国的发展

安时
01-7-23 下午 02:38:07
1、前言
随着网络技术的发展和Internet的不断普及，上网人数也越来越多，网络正以前所未有的速度渗透到人们的生活、工作和学习之中。而基于网络，特别是Internet的电子商务技术的发展，更是体现了网络对人们生活的巨大影响，真正实现了了足不出户，全球购物的梦想。在所有的电子交易系统环节中，最关键和最重要的因素是安全，包括交易方的身份认证和交易信息的安全传输等。目前，保障电子交易网络安全比较成熟的技术，是以PKI安全体系为基础，以CA中心为核心的信息加密和签名技术，通过使用签名、加密技术来实现交易双方传递信息的保密性、完整性、有效性和不可抵赖性。在电子交易系统中，所有交易方均拥有一个由可信CA中心签发的数字证书，该证书在向接收方证明自己身份的同时，也捆绑了证书持有者的公钥信息。另外，通过证书与用户身份和权限的绑定，可以有效地控制用户对网络资源的使用和存取。证书机制是电子交易系统赖以生存的基础。
因此，以高度安全为建设目标的网络电子交易系统，必须建立在CA认证系统的基础之上。而认证中心机制还能推广到很多其它场合，如其他场合的身份认证、密钥协商等。从整体上讲，证书机制为很多应用场合提供了身份认证方面完整的安全保障，可以保证网上支付、网上交易过程等服务平台的安全。
所以，在电子商务应用中，要想实现真正意义上的网上交费、网络商品销售和相关的增值服务，首先必须解决敏感信息（如信用卡号、密码和交费信息等）在交易和管理时存在的安全问题，尤其是用户和网站之间的身份认证问题，而CA认证系统正是为实现交易双方的身份认证而建立的。
由于网上交易的人们不可能都互相认识，为了确保交易的顺利进行，必须在互联通信网络中建立并维持一种令人可以信任的环境和机制。应用最有效的安全技术，建立电子商务安全体系结构，成为电子商务建设中首先需要解决的问题。国际上提出了基于公开密钥体制（PKI）的数字证书解决方案，现已被普遍采用。电子商务中安全措施的实现主要围绕数字证书展开的。数字证书（Certificate）提供的是网络上的身份证明。数字证书拥有者可以将其证书提供给其他人、Web站点及网络资源，以证实他的合法身份，并且与对方建立加密的、可信的通信。证书除了用来向其它实体证明自己的身份外，还同时起着公钥分发的作用，每份证书都携带着持有人的公钥，签名证书携带的是签名公钥，信息加密证书携带的是信息加密公钥。所有实体的证书是由一个权威机构——CA机构(Certificate Authority)发行的，人们可以在交往中用它来识别对方的身份。电子商务CA先行，没有一个足够稳固、健全的CA，一切网上的交易都没有安全保障。CA是保证电子商务安全的关键。
CA是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。CA通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。作为受信任的第三方权威机构，CA负责产生、分配并管理用户的数字证书，使网上通信的各方能互相确认身份。它的基本功能有：接收注册请求，处理、拒绝/批准请求，颁发证书。在实际运作中，CA可由大家都信任的第三方来担当。
2、数字证书
数字证书是一种数字标识，可以说是Internet上的安全护照或身份证明。当人们到其他国家旅行时，用户护照可以证实其的身份，并被获准进入这个国家。数字证书提供的是网络上的身份证明。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。
一个标准的X.509数字证书包含以下一些内容：
证书的版本信息；
证书的序列号，每个证书都有一个唯一的证书序列号；
证书所使用的签名算法；
证书的发行机构名称，命名规则一般采用X.500格式；
证书的有效期，从什么时候开始有效，到什么时候结束
证书所有人的名称，命名规则一般采用X.500格式；
证书所有人的公开密钥；
证书发行者对证书的签名。
图1给出了一个典型证书的实例。

图1 证书实例
3、CA基础
证书机构CA（certification authority）用于创建和发布证书，它通常为一个称为安全域（security domain）的有限群体发放证书。创建证书的时候，CA系统首先获取用户的请求信息，其中包括用户公钥（公钥一般由用户端产生，如电子邮件程序或浏览器等），CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。其他用户、应用程序或实体将使用CA的公钥对证书进行验证。如果一个CA系统是可信的，则验证证书的用户可以确信，他所验证的证书中的公钥属于证书所代表的那个实体。
CA还负责维护和发布证书废除列表CRL（certificate revocation lists，又称为证书黑名单）。当一个证书，特别是其中的公钥因为其他原因无效时（不是因为到期），CRL提供了一种通知用户和其他应用的中心管理方式。CA系统生成CRL以后，要么是放到LDAP服务器中供用户查询或下载，要么是放置在Web服务器的合适位置，以页面超级连接的方式供用户直接查询或下载。
一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。如图2所示。

图2 典型CA中心示意图
安全服务器：安全服务器面向普通用户，用于提供证书申请、浏览、证书撤消列表以及证书下载等安全服务。安全服务器与用户的的通信采取安全信道方式（如SSL的方式，不需要对用户进行身份认证）。用户首先得到安全服务器的证书（该证书由CA颁发），然后用户与服务器之间的所有通信，包括用户填写的申请信息以及浏览器生成的公钥均以安全服务器的密钥进行加密传输，只有安全服务器利用自己的私钥解密才能得到明文，这样可以防止其他人通过窃听得到明文。从而保证了证书申请和传输过程中的信息安全性。
CA服务器：CA服务器使整个证书机构的核心，负责证书的签发。CA首先产生自身的私钥和公钥（密钥长度至少为1024位），然后生成数字证书，并且将数字证书传输给安全服务器。CA还负责为操作员、安全服务器以及注册机构服务器生成数字证书。安全服务器的数字证书和私钥也需要传输给安全服务器。CA服务器是整个结构中最为重要的部分，存有CA的私钥以及发行证书的脚本文件，出于安全的考虑，应将CA服务器与其他服务器隔离，任何通信采用人工干预的方式，确保认证中心的安全。
注册机构RA：登记中心服务器面向登记中心操作员，在CA体系结构中起承上启下的作用，一方面向CA转发安全服务器传输过来的证书申请请求，另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。
LDAP服务器：LDAP服务器提供目录浏览服务，负责将注册机构服务器传输过来的用户信息以及数字证书加入到服务器上。这样其他用户通过访问LDAP服务器就能够得到其他用户的数字证书。
数据库服务器：数据库服务器是认证机构中的核心部分，用于认证机构中数据（如密钥和用户信息等）、日志合统计信息的存储和管理。实际的的数据库系统应采用多种措施，如磁盘阵列、双机备份和多处理器等方式，以维护数据库系统的安全性、稳定性、可伸缩性和高性能。
4、国内CA现状
为促进电子商务在中国的顺利开展，一些行业都已建成了自己的一套CA体系，如中国电信CA安全认证体系（CTCA）、中国金融认证中心（CFCA）等；还有一些行政区也建立了或正在建立区域性的CA体系，如上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）、海南省电子商务认证中心（CNCA）、云南省电子商务认证中心（CNCA）等。
1. 中国电信CA安全认证系统（CTCA）
中国电信自1997年底，开始在长沙进行电子商务试点工作，由长沙电信局负责组织。CTCA是国内最早的CA中心。1999年8月3日，中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定，并获得国家信息产品安全认证中心颁发的认证证书，成为首家允许在公网上运营的CA安全认证系统。目前，中国电信可以在全国范围内向用户提供CA证书服务。现在中国电信已经为用户发放了6万多张CTCA证书。
中国电信CTCA系统有一套完善的证书发放体系和管理制度。体系采用三级管理结构：全国CA安全认证中心，（包括全国CTCA中心、CTCA湖南备份中心），省级RA中心以及地市业务受理点，在2000年6月形成覆盖全国的CA证书申请、发放、管理的完整体系。系统为参与电子商务的不同用户提供个人证书、企业证书和服务器证书。同时，中国电信还组织制定了《中国电信电子商务总体技术规范》、《中国电信CTCA接口标准》、《网上支付系统的接口标准》、《中国电信电子商务业务管理办法》等，而且中国电信向社会免费公布CTCA系统接口标准和API软件包，为更多的电子商务应用开发商提供CTCA系统的支持与服务。
中国电信已经与银行、证券、民航、工商、税务等多个行业联合开发出了网上安全支付系统、电子缴费系统、电子银行系统、电子证券系统、安全电子邮件系统、电子订票系统、网上购物系统、网上报税等一系列基于中国电信CTCA安全认证系统的电子商务应用，已经初步建立起中国电信电子商务平台。
2. 中国金融认证中心（CFCA）
中国金融认证中心（CFCA）是由中国人民银行牵头，联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行共同建设了中国金融认证中心（China Financial Certificate Authority ，简称CFCA）。中国金融认证中心的项目包括建设SET CA和Non-SET CA两套系统，工程于1999年8月30日开始实施。SET CA由IBM公司负责承建，Non-SET CA由Entrust公司、SUN和得达创新联合建设。
Non-SET CA系统于2000年1月19日发放了第一批试验证书，SET系统于2000年3月30日试发了第一批证书。于2000年6月20日通过了由国家密码管理委员会和人民银行支付科技司联合主持的密码产品本地化工作的安全性审查。于2000年6月29日开始对社会各界提供证书服务，系统进入运行状态。
中国金融认证中心（CFCA-China Finance Certificate Authority）专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、网上证券交易、支付系统和管理信息系统等，为参与网上交易的各方提供安全的基础，建立彼此信任的机制。
CFCA在建设过程中，因为技术上的问题，使得正式发证的时间比以前计划的时间大大推迟。因为在操作上、证书申请的方式上还存在一些问题，因此发放的证书不多。
3. 国富安电子商务安全认证中心
国富安电子商务安全认证中心是中国国际电子商务中心(属外经贸部) 下属的专业从事电子商务及信息安全的公司。根据国家“金关工程”网络发展的需要，负责建立、维护、管理、运营中国国际电子商务安全认证中心，并向社会提供数字证书服务。“商业电子信息安全认证系统”已于1999年2月通过国家科技部和国家密码管理委员会的技术鉴定。
据了解，国富安电子商务安全认证中心的建立借助了国外公司的力量完成的，国富安电子商务安全认证中心自己本身的开发力量一直不强，因此，在它的电子商务证书基础上还没有较多的成功应用，国富安本身在数字证书的基础上也没有完整的应用软件。外经贸部在网上的电子交易很多，但是，其认证系统也没有采用国富安的证书系统。因此其发证量一直比较少。
4. 上海市电子商务安全证书管理中心（SHECA）
上海市电子商务安全证书管理中心由上海市电子商务安全证书管理中心有限公司（简称SHECA）负责经营管理。上海市电子商务安全证书管理中心属于上海市政府。
SHECA在上海市政府的大力推广之下，目前发证量相对来说比较多。并且，在199年和2000年，SHECA进行了一些比较成功的推广应用。
比如，东方航空公司网上安全售票系统；上海热线的安全电子邮件服务； 基于SHECA认证的港澳上证证券之星网上证券交易系统；上海银行卡网络服务中心支付网关；上海网上化工交易中心；基于SHECA安全认证的企业名录进入；并且在上海市政府的介入下，要求上海的各家银行采用SHECA颁发的证书。因此SHECA在上海得到了比较好的应用。
另外，还有一些其它的省级电子商务认证中心，如北京市电子商务认证中心、天津市电子商务认证中心、云南省电子商务认证中心（在建）、山东省电子商务认证中心、湖南省电子商务认证中心、湖北省电子商务认证中心、广东省电子商务认证中心、广西电子商务认证中心、海南省电子商务认证中心、山西省电子商务认证中心、吉林省电子商务认证中心、福建省电子商务认证中心（在建）和深圳市电子商务认证中心（在建）等。另外，我国还有其他一些省市和企业机关也在着手建立自己的电子商务认证中心，特别是一些大型企业和事业单位，也使用CA和证书机制来对企业用户的身份和权限进行认证和管理。
目前，我国的CA建设还处于一个起步的阶段，没有完整的统筹和协调，CA的发展还是各自为政，独立发展的混乱局面，没有建立一个政策上固定的全国性根CA（如美国的邮政CA），这对处于权威认证机构的CA来说不仅是基础设施的浪费，也对电子商务中的身份认证带来一系列问题，如交叉认证的互不兼容等。相信经过若干年的发展，我国的CA建设在积累经验和教训的基础上，一定会形成一个全国性的、完整的和层次性合理的CA基础设施，真正为我国的电子商务发展保驾护航。
5、结论
数字证书是网络中标识实体身份的凭据，是用户在网络的虚拟世界中表明自己身份的最有效的方法，而认证机构CA则是颁发数字证书的权威机构。CA作为数字证书的颁发和维护机构，其作用和性质同颁发护照和身份证的政府机关和权威机关类似，在很大程度上不是取决于技术，而是取决于CA的策略和管理机制。所以，建设和维护CA的一个很重要方面就是制定完备的证书策略，根据不同的需要和不同的实体类型，来颁发不同的证书，并建立相应的证书废除机制。