论文部分内容阅读
课题组
关键字:CA/互联互通/可行性
《电子签名法》正式实施以来,我国经过信息产业部行政许可的第三方认证中心已经达到20多家,CA中心电子认证产业开始呈现蓬勃发展趋势。但是,目前国内CA中心都在独立的信任域内开展服务,形成了一个个信任孤岛。这种发展格局有利于形成竞争环境,但某些情况下对证书用户来说,增加了负担。从国家宏观的角度,需要建设统一的网络信任体系,引导我国的电子认证服务产业走向健康发展的轨道。
从最终证书用户的角度,他们也希望CA能够互联互认,不希望每个应用系统中都使用不同的数字证书,他们希望“一证在手,走遍天下”。
国内对CA互联互通的探索国家公共PKI体系研究
2001年1月,由国务院信息办组织各方面的PKI专家,成立了《国家PKI体系研究》课题小组,课题结束后提交了《国家PKI体系总体架构》研究报告。
CA互联互通示范工程—桥证书机构
CA互联互通示范工程是2004年由国家发改委批准立项由国家信息中心承担的重大工程。
该工程建设了一个桥证书机构(BCA),与国内已经建立的体系各异的六个典型CA机构互联,实现了不同CA间的互联互通和信任域扩展,形成了国内目前各CA互相分割、多种技术体系并存的有效方案,推动了完整、开放、有效、有利于公平竞争的国家PKI信任体系的形成进程。
CA互联互通技术可行性分析互联互通技术标准体系
对于CA互联互通体系的建设,技术标准体应该包括如下主要方面:
一、CA系统标准:国家密码局已经于2005年颁发了比较成熟的CA系统标准《证书认证系统密码及其相关安全技术规范》,为CA系统之间的互联互通奠定了基础。
二、互操作性/兼容性标准:互操作性/兼容性标准是指CA系统之间(而不是系统内部)进行相互协作、相互操作所遵守的标准,主要包括:交叉认证(Cross Certification)与目录的相互引用、组件互操作、证书策略与策略映射。
三、应用标准:应用标准是为指导应用系统如何获得和使用互联互通的CA体系提供的安全服务。目前国内没有统一的证书应用标准,国家密码局正在对此进行研究。
三种互联互通体系结构
一、基于桥CA技术的互联互通
基于桥CA技术的CA互联互通是使用桥CA来互联已有的各个CA信任域。每个CA通过与桥CA的交叉认证,与桥CA建立双向的信任传递关系,使得信任关系可以在任意两个CA之间传递,从而形成统一的网络信任体系(其原理如图1所示)。
二、基于根CA技术的互联互通
基于根CA的互联互通体系通过一个根CA将各个CA连接起来,此时根CA是信任的起点(如图2所示)。
三、基于证书信任列表的互联互通
基于证书信任列表的CA互联互通,就是利用证书信任列表将加入互联互通体系的CA的信息发布给用户(其原理如图3所示)。
CA互联互通业务可行性分析
互联互通是电子商务和电子政务活动的客观需求,经过多年的发展,互联互通的大部分技术问题都得到了很好的解决,目前受到普遍关注的问题是CA之间在业务模式和商业利益上的互联互通。
CA中心目前的业务特点
一、地域性或行业性:主要体现在本地用户是主要或者全部的客户群体,包括本地政府、银行、学校、公司等。业务系统主要包括税务、政府采购、政府招投标、政府、网银等。
二、CA公司之间的应用业务客户交叉少。这个特点是第一个特点地域性的直接结果。
三、 采用的CA技术具有相互可操作的可能性。所有的CA公司都采用了X.509 v3证书和CRL v2证书,支持目录或者网站形式的证书下载,大部分支持交叉认证。
业务上互联互通的可行性
随着电子政务和电子商务的发展,各CA中心的经营范围在逐渐扩大。CA之间将必然面临市场的激烈竞争,当在某些应用领域中的竞争力相差不大,都无法取胜时,可能会相互妥协,结成一定程度的联盟,共同在同一领域、同一范围内提供电子认证业务,并按照事先约定的比例获取相应的收益。
另外,当多个已经存在的应用子系统需要整合成一个大的业务体系时,由于各个应用子系统可能已经在由不同的CA中心提供服务,那么用户在多个子系统中漫游时,需要购买多个CA中心的数字证书,安装多套证书应用软件,且需要分别在各个子系统进行配置管理。这样,不仅给业务系统的维护带来了难度,也增加了用户的操作难度和消费负担,不利于业务体系的整体健康发展。
经济及社会效益分析
CA互联互通的成本分析
CA互联互通的成本主要包括如下两个方面:
一、技术与设备投入:需要根据CA互联互通的技术规范要求,完成相关技术研究与测试,如:证书格式、证书/CRL发布、交叉证书支持、API、证书路径验证等方面。因此,可能会增加一定的设备,以支持CA系统及其业务系统之间的互联互通。
二、管理成本投入:互联互通的业务规则、管理制度、业务流程都需要投入一定的成本进行研究,并建立适应与新业务特点的运营管理体系。
经济社会效益分析
一、经济效益
一方面,实现对用户漫游的透明支持,为用户节省了进入业务系统的成本,提高用户操作的方便性,有利于促进业务系统的发展,有利于CA中心的发展。
另一方面,业务系统互联之后就会逐步趋向于标准化的服务流程,可以节约CA中心、业务系统提供者等各方面的运营成本。
二、社会效益
互联互通体系能够促进网络信任平台的构建,从而实现安全性一致的、信誉有保障的网络信任体系,有利于消除长期以来对于网络信任环境的担忧,增强公众对于电子商务、电子政务应用系统的信心,促进网络消费、网络事务办理,节约交通、流通等环节成本,带来更大的社会效益。
综上所述,要实现CA的互联互通,重要的是找到各家CA中心、最终用户、应用系统提供方等多方面的利益均衡点,探索出CA业务互通的运营及管理模式。
关键字:CA/互联互通/可行性
《电子签名法》正式实施以来,我国经过信息产业部行政许可的第三方认证中心已经达到20多家,CA中心电子认证产业开始呈现蓬勃发展趋势。但是,目前国内CA中心都在独立的信任域内开展服务,形成了一个个信任孤岛。这种发展格局有利于形成竞争环境,但某些情况下对证书用户来说,增加了负担。从国家宏观的角度,需要建设统一的网络信任体系,引导我国的电子认证服务产业走向健康发展的轨道。
从最终证书用户的角度,他们也希望CA能够互联互认,不希望每个应用系统中都使用不同的数字证书,他们希望“一证在手,走遍天下”。
国内对CA互联互通的探索国家公共PKI体系研究
2001年1月,由国务院信息办组织各方面的PKI专家,成立了《国家PKI体系研究》课题小组,课题结束后提交了《国家PKI体系总体架构》研究报告。
CA互联互通示范工程—桥证书机构
CA互联互通示范工程是2004年由国家发改委批准立项由国家信息中心承担的重大工程。
该工程建设了一个桥证书机构(BCA),与国内已经建立的体系各异的六个典型CA机构互联,实现了不同CA间的互联互通和信任域扩展,形成了国内目前各CA互相分割、多种技术体系并存的有效方案,推动了完整、开放、有效、有利于公平竞争的国家PKI信任体系的形成进程。
CA互联互通技术可行性分析互联互通技术标准体系
对于CA互联互通体系的建设,技术标准体应该包括如下主要方面:
一、CA系统标准:国家密码局已经于2005年颁发了比较成熟的CA系统标准《证书认证系统密码及其相关安全技术规范》,为CA系统之间的互联互通奠定了基础。
二、互操作性/兼容性标准:互操作性/兼容性标准是指CA系统之间(而不是系统内部)进行相互协作、相互操作所遵守的标准,主要包括:交叉认证(Cross Certification)与目录的相互引用、组件互操作、证书策略与策略映射。
三、应用标准:应用标准是为指导应用系统如何获得和使用互联互通的CA体系提供的安全服务。目前国内没有统一的证书应用标准,国家密码局正在对此进行研究。
三种互联互通体系结构
一、基于桥CA技术的互联互通
基于桥CA技术的CA互联互通是使用桥CA来互联已有的各个CA信任域。每个CA通过与桥CA的交叉认证,与桥CA建立双向的信任传递关系,使得信任关系可以在任意两个CA之间传递,从而形成统一的网络信任体系(其原理如图1所示)。
二、基于根CA技术的互联互通
基于根CA的互联互通体系通过一个根CA将各个CA连接起来,此时根CA是信任的起点(如图2所示)。
三、基于证书信任列表的互联互通
基于证书信任列表的CA互联互通,就是利用证书信任列表将加入互联互通体系的CA的信息发布给用户(其原理如图3所示)。
CA互联互通业务可行性分析
互联互通是电子商务和电子政务活动的客观需求,经过多年的发展,互联互通的大部分技术问题都得到了很好的解决,目前受到普遍关注的问题是CA之间在业务模式和商业利益上的互联互通。
CA中心目前的业务特点
一、地域性或行业性:主要体现在本地用户是主要或者全部的客户群体,包括本地政府、银行、学校、公司等。业务系统主要包括税务、政府采购、政府招投标、政府、网银等。
二、CA公司之间的应用业务客户交叉少。这个特点是第一个特点地域性的直接结果。
三、 采用的CA技术具有相互可操作的可能性。所有的CA公司都采用了X.509 v3证书和CRL v2证书,支持目录或者网站形式的证书下载,大部分支持交叉认证。
业务上互联互通的可行性
随着电子政务和电子商务的发展,各CA中心的经营范围在逐渐扩大。CA之间将必然面临市场的激烈竞争,当在某些应用领域中的竞争力相差不大,都无法取胜时,可能会相互妥协,结成一定程度的联盟,共同在同一领域、同一范围内提供电子认证业务,并按照事先约定的比例获取相应的收益。
另外,当多个已经存在的应用子系统需要整合成一个大的业务体系时,由于各个应用子系统可能已经在由不同的CA中心提供服务,那么用户在多个子系统中漫游时,需要购买多个CA中心的数字证书,安装多套证书应用软件,且需要分别在各个子系统进行配置管理。这样,不仅给业务系统的维护带来了难度,也增加了用户的操作难度和消费负担,不利于业务体系的整体健康发展。
经济及社会效益分析
CA互联互通的成本分析
CA互联互通的成本主要包括如下两个方面:
一、技术与设备投入:需要根据CA互联互通的技术规范要求,完成相关技术研究与测试,如:证书格式、证书/CRL发布、交叉证书支持、API、证书路径验证等方面。因此,可能会增加一定的设备,以支持CA系统及其业务系统之间的互联互通。
二、管理成本投入:互联互通的业务规则、管理制度、业务流程都需要投入一定的成本进行研究,并建立适应与新业务特点的运营管理体系。
经济社会效益分析
一、经济效益
一方面,实现对用户漫游的透明支持,为用户节省了进入业务系统的成本,提高用户操作的方便性,有利于促进业务系统的发展,有利于CA中心的发展。
另一方面,业务系统互联之后就会逐步趋向于标准化的服务流程,可以节约CA中心、业务系统提供者等各方面的运营成本。
二、社会效益
互联互通体系能够促进网络信任平台的构建,从而实现安全性一致的、信誉有保障的网络信任体系,有利于消除长期以来对于网络信任环境的担忧,增强公众对于电子商务、电子政务应用系统的信心,促进网络消费、网络事务办理,节约交通、流通等环节成本,带来更大的社会效益。
综上所述,要实现CA的互联互通,重要的是找到各家CA中心、最终用户、应用系统提供方等多方面的利益均衡点,探索出CA业务互通的运营及管理模式。