CA建设呼唤规范

CA建设呼唤规范

关振胜

关振胜中国金融认证中心(CFCA）技术总监，原中国建设银行科技部副总工程师。曾组织领导过多个大型银行应用项目的设计与开发，如：建设银行房改公积金系统，多用户对公系统、“八五”攻关项目、城市综合业务系统的设计与开发等；完成建设银行电子化系统分析与设计、建设银行计算机信息系统安全总体设计方案的设计；参与了中国建设银行网上银行总体方案设计及CFCA设计、招标与建设等工作。

认证机构CA是PKI的核心组成部分，它的功能主要是为网上各种实体颁发证明自己身份的电子证书，同时负责在使用中检验和管理证书。它是电子商务、电子政务、网上银行、网上证券等网上交易具有权威性、可信任性及公正性的第三方机构。认证机构CA所提供的PKI服务是一种遵循标准的利用公钥加密技术为网上通信提供一整套安全保障的基础平台。

正因为如此，在国内近几年来，CA的建设引起了各行各业，中央到地方的广泛关注，纷纷投入CA的建设，掀起了一阵建设CA的热潮。据有关方面的不完全统计，目前国内CA已建成或正在建的已超过50个，目前还有增加的趋势。对此，本人发表一些粗浅的看法。

过高估计了市场对CA的需求

国内电子商务的发展有个过程，不可能一蹴而就。解决电子商务的安全问题，建设认证机构CA，建立PKI网上安全通信平台是很重要，但是电子商务还有一个不可缺少的重要基础建设，即支付网关的建设也必须配套进行。然而各商业银行目前从事电子商务的策略是“先网上银行，后网上购物”，先将网上银行的B2C、B2B支付、转账开通，稳定运行，而不急于参与网上结算。如果各商业银行不建支付网关，电子商务实现不了网上自动支付，构造不起完整的电子商务环境，CA建设的证书发放也会受到约制。

目前国内电子商务的发展，由于CA的建立，虽然解决了安全认证问题，但还有法律大环境的制约，没有“数字签名法”。不立“电子交易法”，电子商务不会有大规模的发展。因此，目前为电子商务建设那么多CA，与实际需求不相称。

目前影响国内电子商务发展还有一个很重要的因素就是企业电子化的程度，各大型企业不建立起自己的ERP，是建设不成“卖方主导型”、“买方主导型”或“电子交易市场型”的电子商务网站的。椐有关资料报道，中国大约有1500万家企业，就整体而言，2000年企业上网的比例不到3%。而上网的电子商务应用项目大都停留在产品介绍、企业相关信息发布等简单的应用上，实现在线交易的企业更是凤毛麟角。其主要原因在于企业信息化程度不高，企业用于信息技术和设备投资仅占总资产的0.3%，与先进国家大企业8%～10%的比例相差甚远。这无疑是中国电子商务导入的障碍。

对电子商务的认识不足，是企业和个人普遍存在的问题。企业管理人员对电子商务的认识是影响B2B开展的主要因素之一。而大部分中国人目前还都习惯于到商店进行传统购物，对在网上虚拟电子商城中购物还有个认识、习惯的过程。这是影响B2C开展的主要因素。椐统计国内上网的人数已超过2000万，按国外先进国家统计，参加网上购物的人只占整个上网人数的2～3%。按此计算，中国目前参加电子商务的人数大约为40～60万。而目前国内已建成的大型CA，有的发证能力已超过百万。这就是说，有那么一两个面向电子商务的大型CA就解决了问题。难怪国家信息安全测评认证中心主任吴世忠曾在一次CA高级研讨会上慷慨地说：“中国目前有5～6个国家级的认证中心足矣！”

无序建设

从国内CA开始建设至今，国家主管部门一直没有出台一个指导国内CA建设的总体规范和管理指南，使得CA建设处于无序状态。其表现为：

1.目的不明一个CA建设首先要明确目的，没有明确的目标就等于盲目建设。我曾接触过某个省的有关领导，在讨论中，我问贵省想建CA的主要目的是什么？回答是支持电子商务。我问电子政项目的是否都明确了？

2.重复建设，没人审批国内CA无序建设表现最突出的是重复建设，如人民银行牵头联合各商业银行共建了CA，可是有的商业银行自己还是要重复再建；有的行业建了中央级CA，而该行业地方还要建，条块重复；有的省里已经建了CA，市里还要重复建设；认证机构CA本应是第三方机构，可为广泛应用提供安全服务，是社会公享资源，但人们不去公享，而非要自己重复建设。重复建设，重复投资，造成浪费。

3.性质不清由于国内CA建设没有总体规划，CA建造的性质没有划清。如哪些是支付性CA，哪些是非支付性CA；哪些属于行业性，哪些属于地方性；哪些属于国家级的，哪些属于社会公众性CA；哪些CA支持电子商务应用，哪些CA支持电子政务应用，没有明确分工。

过低估计了建设CA应负的社会责任

认证机构CA是权威性、可信任性和公正性的第三方机构。大型CA的建设要纳入国家规划，国家主管部门要介入，要经过有关部门批准，要赋予CA的权威性。同时，CA要负有一定的社会义务和责任。

有些CA建成了，但是没有制订配套的CP和CPS，对外不宣布证书认证声明。作为一个CA机构，要在CPS中规定用户的义务，更重要的是规定CA的义务，其中包括CA要保护用户的隐私权、知识产权、商业秘密等等。

CPS中还要规定CA对社会，对用户所承担的社会责任和经济责任。如保护好用户的私钥、加密密钥的备份、负责证书的正确使用和黑名单CRL的成功查询;当交易发生争端时，提供解决争议仲裁的有效证明和全部审计资料;CA特别要承担经济责任，即当由于CA自身的工作失误，造成用户使用证书的经济损失，CA必须给予一定的经济赔偿。

据调查，目前国内众多的CA中很少有如上所述的责任和义务的声明。

过低估计了建设一个CA的难度

PKI/CA是一种遵循标准的利用公钥加密技术为网上通信提供一整套安全保障的基础平台，它自身是一个安全度要求很高的机构，比一般信息中心安全标准要求高得多。它应该包括应用安全、物理安全、网络安全、密钥安全和安全策略等。

比如物理安全，按国际标准，它的机房六面墙体要求用3毫米的钢板砌成，机房内划分军事区和非军事区，双道门禁系统，每道门禁采用双指纹识别。网络安全必须采用多道异构防火墙并加防黑实时检测系统;对CA密钥必须采取严密保护措施，私钥用硬件产生，私钥不出卡，加密模块必须国产化;CA所用到的所有加密算法必须是经国家密码办批准的国内研制的算法等等。并非在普通机房里，摆上几张桌子，放几台PC机，装上CA软件，就是建成CA了。

关于CA建设的个人建议

鉴于存在以上这些问题，本人提出以下建议。

1.国家归口管理部门应尽快制订出台一个《中国CA结构总体框架》（或称“中国PKI体系结构”）及配套的《中国认证机构CA管理办法》，以此来规范、管理中国CA的建设。中国CA的总体结构应是树状结构，国家根CA以下建几个大行业CA，几个地方CA，全国要建多少个CA;哪些CA服务面向电子商务，哪些CA服务面向电子政务，这些都要有所侧重。管理办法要规定审查CA建设的资格，要有批准的制度，即审查其权威性、合法性、经济能力、稳定性等等。对市场准入进行审查，即该CA建设是否在国家规划的CA体系之中。对CA建设的自身安全进行审查、测评，由国家认定的检查机构检测其在技术、过程、操作和物理安全方案等方面的合理性。但对那些企业级的，用于企业自身MIS管理、OA应用的小型CA不在监管之列。

2.CA建设要遵循国际和国家标准及规范。PKI/CA建设所要遵循国际和国家标准有:

PKI服务标准—认证服务、数据完整性服务、数据保密性服务、抗否认性服务（数字签名标准）、公正、时间戳服务及特权管理服务等等，这是建立一个CA必须具备的;

机房标准—建设CA机房不但要遵循国标信息机房标准还要遵循国际CA机房标准;

网络安全标准—要有安全协议，设置防火墙，实现实时检测;

X．509标准—遵循统一版本标准，对标准域的使用和对标准扩展域及自定义的使用要有统一规定;

X．500标准—一个功能完善的CA必须设置目录服务器，它包客户机/目录服务器访问协议、服务器/服务器通信协议，目录数据复制;保证目录服务器访问入口处使用标准化方法，完成证书和证书撤消列表数据存储和访问;

LDAP标准—提供用户完成证书和证书撤消列表数据存储和访问，防止用户使用无效证书，造成交易风险。

3.要充分利用已建CA的资源。目前国内已建成很多大型行业或地方CA，都没有充分发挥作用，年发证量都没有达到原设计目标。为此，建议目前尚没有建设CA的行业和部门，不要急于去筹划建设自己的CA，而要到社会上去寻找符合自己要求、安全可信、服务质量高的CA来为我所用，公享社会资源。这是投资少，责任小，见效快的最好办法。比如国家证券委就决定证券自己不建CA，而是让各证券公司在社会上众多CA中寻找那些可信赖的服务好的CA为自己股民发证。还有国税系统，为网上电子报税和缴税，也正在探讨利用国内具有权威性、可信任性及公正性并具有支付性质的第三方CA机构，为国税提供安全服务。

4.联合共建，公享资源。有些行业或部门对CA提供的安全服务相近，就可以委托一个第三方联合共建CA，公享资源，这也是减少重复投资，减少浪费的好办法。

总之，中国的电子商务、电子政务由热到冷，目前正处稳步向前发展阶段。为迎接即将到来的电子商务高潮，建议国家尽快介入CA的建设，规范CA的建设，打好中国电子商务的基石，使中国电子商务、电子政务健康向前发展。

本文原载于网络世界