对企业用户而言,构建基于数字证书的身份认证体系有两个方法可以实现,一种是企业自建模式,企业购买整套的PKI/CA软件,然后自行建立一整套相关的服务体系。在这种模式下,企业参与建立、维护、培训和运营整个PKI过程并对PKI软件所有事务负全责,其中包括系统、通信、数据库、物理安全、网络安全配置、高可靠性的冗余设计、灾难恢复等方面,还包括运营系统需要的PKI专家、法律、资金等方面。
第二种方法是面向服务,购买第三方认证服务的建设模式。企业利用第三方CA服务提供商的集成PKI平台,通过配置和管理,将企业端的前台与第三方高可靠性、高安全性的PKI后台组合在一起,对外提供证书服务。此模式下,企业的CA被托管在可信的第三方,复杂、专业的PKI核心服务及维护将交与专业的第三方CA完成,企业复杂的设备以及PKI专家、法律专家,不需要单独承担全部的投资与风险。而基于数字证书的电子签名技术更完全符合我国相关法律的要求,实现诸如电子合同、网上招投标等高端应用。
面向产品的自建CA与面向服务的托管CA代表着两种不同的建设模式,但两者间并不矛盾,因该是各有所长。针对数字证书体系的建设,企业需要根据自身的需求,仔细研究后选择合适的模式,当需要自主可控时选择自建方式,当涉及第三方交易时选购服务模式化解风险,企业完全可以找到适合自己的认证系统建设模式。
简单可靠是关键
李延昭表示,从天威诚信以及业界主流厂商多年的实际经验看,多数大型企业在建设CA认证平台时,强调系统的自主可控,此时采用自建CA模式更加适合。对于自建型的PKI/CA系统,客户需要考虑系统的后期运营和维护,建立完整的运营管理体系,并负责系统的日常维护和升级等。此时客户应当利用第三方认证中心的运营管理经验和提供的运营管理咨询服务,来建设自己的运营管理体系,有人可以借助PKI/CA软件提供商提供的维护和升级服务,对系统进行日常维护和升级。
李延昭同时强调,自建CA平台通常需要很长的周期,企业需要根据自身情况有计划分步骤的实施,因为自己建设一个PKI系统需要主管部门的审批、资金的筹集、PKI产品的认证、物理环境的准备、系统的安装调试、操作规程的形成、系统的认证以及注册运营等多个环节。而对于一些规模较小或仅仅核心业务,例如财务系统、合同审批系统需要CA认证支持,完全可以采用服务模式来实现。在第三方服务模式下,对于PKI/CA核心后台的建设(包括安全性、可靠性和稳定性等方面的建设)、运营管理和系统维护都将由第三方PKI/CA服务提供商负责,企业只需要购买第三方PKI服务提供商的PKI/CA服务,并完成本地部分系统的建设、运营管理和维护即可。
PKI/CA发展到今天,自建和服务两种模式下的产品从功能上看差别已经很小,技术已经不是用户选择的主要因素,最重要的是技术支持下的应用模式。在国内,自建PKI和基于服务的PKI长期共存着。今天,基于自建的CA还有相当的市场;同时,从行业发展来看,以市场方式运作的CA认证服务方式正在一些电子商务应用领域拥有更多的市场。
由于客户需求的多样性,这对CA服务供应商的服务能力提出了巨大挑战,目前,市场上能够同时提供两种建设模式的CA服务商并不多。但是从市场发展的角度看,根据企业实际应用需求,量身定制多种服务模式融合的CA认证服务将成为主流。以目前在电子认证服务领域处于领先的天威诚信(iTrusChina)为例,该公司目前可以向企业提供多种模式的PKI/CA服务,充分满足各种类型企业的实际应用需求。同时,天威诚信还在如何让用户简单、便捷地应用好CA上花费不少精力。据记者了解,天威诚信是VeriSign在国内的首要合作伙伴,通过大量借鉴吸收VeriSign的技术以及运营管理经验,公司目前能够以最快的速度、最新的技术、最简便的方式、最适宜的投入,向企业提供高可靠的PKI/CA服务,帮助企业用户解决网络应用的多种安全问题。
经过多年的发展,CA认证服务已经不是一个简单的安全概念,而是更加务实地应用到企业实际业务中去。在这种背景下,拥有稳定可靠的多种服务能力和第三方电子认证服务运营资质将成服务提供商最终赢得市场的关键。