托管型和自建型CA建设之比较_第1页
托管型和自建型CA建设之比较_第2页
托管型和自建型CA建设之比较_第3页
托管型和自建型CA建设之比较_第4页
托管型和自建型CA建设之比较_第5页
已阅读5页,还剩6页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1CA建设模式介绍

随着2005年4月1日《也子签名法》的颁布和实施,以及国家相关部门的

系列执行办法出台,PKI/CA有了明确的法律法规和行为准则,同时明确了由一

个什么样的认证机构颁发出来的数字证书在应用中可以起到法律作用。从上面分

析可以知道,企业信息化建设面对两个方面的应用,对于这两个方面应用,在

使用PKI技术提供安全解决方案的时候侧重点是不同的,对于CA的建设模式也

是有所区别的。

目前主要有两种不同的PKI/CA建设模式:第三方托管型和自建型。

2第三方托管型也称服务型,是指客户配置

一个集成的PKI/CA平台,依靠第三方

PKI服务提供商提供的PKI/CA服务,在

客户本地建设面向最终用户的系统前台

——证书注册中心(RA中心)和对PKI

进行远程管理的CA管理端,直接利用第

三方PKI服务提供商的PKI/CA服务作

为系统的核心后台^—―证书认证中心

(CA中心J共同为最终用户提供安全认

证服务。采用第三方托管模式,对于

PKI/CA核心后台的建设(包括安全性、

可靠性和稳定性等方面的建设)、运营管

理和系统维护由第三方PKI/CA服务提供

商负责,客户只需要购买第三方PKI服务

提供商的PKI/CA服务,并完成本地部分

系统的建设、运营管理和维护。其中托管

型又分两种部署方式建设:本地RA方式

和完全托管。

3自建型是指客户购买单独的PKI/CA软件,

建设一个独立的PKI/CA系统,除了购买

系统软件之外,还包括系统、通信、数据

库以及物理安全、网络安全配置、高可靠

性的冗余系统和灾难恢复等方面的建设。

对于自建型的PKI/CA系统,客户需要考

虑系统的后期运营和维护,建立完整的运

营管理体系,并负责系统的日常维护和升

级等。客户可以利用第三方认证中心的运

营管理经验和提供的运营管理咨询服务,

来建设自己的运营管理体系。可以借助

PKI/CA软件提供商提供的维护和升级服

务,对系统进行日常维护和升级。

4自建型和托管型两种部署模式比较

4.1建设内容比较

比较项托管模式自建模式

法律保护•有,采用第三方服•无,电子签名法不承认自建模式具有法律

务模式,符合电子敢应

签名法■

建设成本・低,只需建立RA・高,需要建设整套CA/RA/LDAP软件系

系统和购买证书统、防火法/入侵检测/防病毒/等防护体系,

•机房物理环境/防火/温度/湿度/监控等物

理环境等;

人员成本・低,通常只需要一・高,需要配备安全官员/CA管理员/RA管

个证书管理员就可理员/网管/保安等/应用系统维护员等整

以维拮正常的证书套人员配置。

业务。

维护成本・低,大量的版本升・高,需要投入系统的后续版本升级、主机

级、扩容都由第三扩容、备份设备扩容等维护等

方认证机构提供。

服务成本•高,每年需要交纳•低,服务由自己提供,没有证书服务费。

一定的维护费和证

书费用

*

运营风险・低,按需逐步增加・高,所有运营风险自己承担,一次投入大

投资,服务风险已量运营成本。

经转移

适用环境•电子商务环境•企业用户量大的内部0A办公

・证书量不多•内部分支机构间安全保护;

・虽然证书量大,但

由最终用户承担

•虽然证书量大,但

由最终用户承担

从上表列出的建设内容比较可以总结:

从初期建设来看,自建型CA建设需要企业对系统建设、物理场地建设、通

信与网络建设和系统安全建设等各个方面进行综合考虑,一套完善的CA认证中

心建设周期至少需要3个月。托管型CA建设只需要考虑部分的建设内容,主要

是涉及RA中心系统和CA管理端部分的建设内容,将不需要对CA中心系统的

建设内容负责,建设周期通常不会超过半个月。

4.2从运营维护来看,自建型CA建设需要考虑CA后期运

营维护的所有事务,包括运营管理规范的建设、运营管

理团队的速设、相关资质的准备、系统维护与升级和

客户服务支持等。而托管型CA建设对于系统的后期

运营维护的工作,大部分可以交给第三方CA认证中

心负责,或者依靠第三方CA认证中心提供的规范的

运营管理来加以解决。

4.3从后期运营服务和支持来看,企业采用两种方式部署

的PKI/CA对应用的支持是相同的。但是企业是选择

采用自建型还是选择托管型来部署PKUCA时,需要

对供应商的服务支持能力进行考察。服务支持涉及两

个方面,一方面是对部署的PKI/CA本身的服务支持,

另一方面是对应用的服务支持。服务支持包括服务支

持能力、服务支持的内容、服务支持的级别、服务支

持的响应时限以及服务支持的费用等都是企业部署

PKI/CA必须综合考虑的一些方面。

4.4投资回报及风险比较

从投资回报及风险来看,自建模式有完全的独立性,建设者完全控制,但需

要完全承担运营风险,而服务模式运营风险均由第三方认证中心承担。

4.5应该看到,托管模式受法律保护,是一个低成本,低风

险,同时又是高可控的PKDCA建设模式,较适宜在电

子商务或者用户量不大的环境下部署;托管型较适宜在

企业内部系统且用户量大的环境下使用。

4.6客户如何选择建设模式

客户如何权衡两种建设模式,并选择采用何种建设模式来建设PKI/CA系统

呢?需要客户从自身的实际情况和应用情况出发,进行综合考虑。

(1)需要考虑自身的PKI/CA应用范围

第三方托管型CA适用的范围是:信息传递的双方地位对等,需要独立的第

三方公正的条件下时使用。例如,企业与企业之间、企业与最终用户之间、政

府与政府之间和政府与企业之间。

自建型CA适用的范围是:信息传递的双方同属于一个利益团体,无需其他

组织认可或担保对方的可信性时使用。例如,企业内部、政府部门内部、统一

组织内部。

PKI/CA的信任核心是基于公正第三方的信任,因此,如果建设的PKI/CA系

统是保证企业与外部用户之间的网上业务的安全时,加渠道分销管理、网上招标

和网上采购,财务,资金系统应用等,企业必须选择第三方托管型CA建设模式,

采用公正第三方PKI服务提供商提供的CA服务。如果是企业内部的应用,则可

以考虑选择自建型CA。但是,面对企业内部应用时,也可以选择第二方托管型

CA,特别是一些全国性的企业或者跨国企业,建设的PKI/CA需要提供全国信任

体系或全球信任体系证书时,必须选择第三方托管型CA,因为自建型CA只能提

供企业私有信任体系的证书。

(2)需要考虑自身应用的安全级别

应用的安全级别直接影响PKI/CA系统建设的安全级别,因为应用的安全是

基于PKI/CA提供的安全认证服务来保障的,而PKI/CA系统建设的安全级别主要

体现在企业对PKI/CA系统风险防范级别上,对于风险防范的级别越高,企业需

要考虑的安全性建设方面的内容会越多,企业投入的成本也越高。

如果应用的安全级别高,企业需要建设高安全的PKI/CA系统企业可以选择

第三方托管型CA,并考察在安全性方面进行了周密考虑和建设的第三方PKI服

务提供商;企业也可以选择自建型CA,但是在进行自建型CA建设时,企业需要

对PKI/CA的安全性建设进行周密考虑,特别在物理安全环境建设、网络安全环

境建设和运营管理体系建设方面。

如果应用的安全级别不高,企业可以选择自建型CA,适当的考虑系统的安

全性建设,满足基本的安全要求即可。

(3)需栗考虑投入与回报

5采用每种建设模式,都需要企业投入成

本,□报是指建设的PKI/CA系统能够为

企业带来什么,特别是安全性方面是否

满足企业的需求。企业需要综合分析每种

模式所需要的成本投入以及回报,进行

衡量和选择。

6托管型两种部署方式说明及特点

•本地RA模式:指客户采用第三方CA提供的数字证书签发服务,即CA

体系的核心部分--证书签发工作,由第三方CA完成,证书的认证

体系由第三方CA公司拥有,客户本地建设面向最终用户的系统前台一

证书注册中心(RA中心),企业在本地速设本地RA服务器(WEB方式)

来接收本地用户的证书申请以及其他证书生命周期管理请求。本地RA

服务器是通过部署在天威诚信后台的PORTAL代理服务器来完成用户请

求信息与后台RA服务器的通信;

•通过企业娈派的CA管理员使用数字证书

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论