自建CA与运营CA对比分析

2017-11-21 10:48:45 admin 0

1、成本分析 

运营CA是按照单个证书来收费的,并且每个证书的使用期限是一年,即每年都需要为证书重新付费,如果有大量用户使用证书时,成本将迅速攀升;另外一方面,机构证书的价格远远超过用户证书的费用,收费也是按照每年每个证书来收费的。

自建CA的发证量在授权数量内,无论是机构证书还是用户证书都是无偿发放的,这点对我们在业务系统登录广泛采用证书登录的需求下,需要人手一证,显然更节约,但是需要考虑的是自建CA的一次性建设投资相对较大。

使用运营CA证书的费用是企业证书100--200//年,个人证书10元//年。自建CA的建设费用包括全部软硬件、工程费用等一般为50--200万元,为一次性投入。可以计算,当企业证书越多,自建成本优势明显。


2、技术支持及平常运行 

对用户或机构发放证书只是企业信息化安全保障建设的第一步,在证书的应用过程中,运营CA是无法单独提供技术支持的,由于业务系统开发商的技术能力各有差异,而且证书PKI体系是一个技术门槛很高的安全技术,对业务系统开发商来说与之集成有相当的难度,如果运营CA不能很好的提供技术支持,那在证书具体应用实践过程将荆棘遍布,举步维艰。 

自建CA由于本身就是证书认证系统的开发商,可以很好的对业务系统开发商提供直接的技术支持。换句话说,运营CA想要对业务系统开发商支持,也必须求助于CA承建厂商,相比之下CA厂商的支持最直接有效。

在登陆系统和进行交易的过程中,服务器都要查验证书的作废冻结情况。自建CA所具有的一个比较优势是所有的服务器系统都在企业或者单位内部,相互之间的通信是局域网,因此验证CRL等操作在内部网上进行,其速度可以得到保证,因此交易速度和可靠性都能得到保证。而使用运营CA证书,则交易中需要和运营方CA证书系统进行广域网上的远程通信,其网络情况对系统运行有极大影响,因此其登陆速度、交易速度和可靠性都会远远低于通过本地局域网通信的自建CA系统。


3、证书管理分析 

由于运营CA有自己的一套证书管理和发放流程,该流程并不随用户的改变来调整,用户在申请证书时需要走第三方CA的申请流程,这使得证书的申请周期变长,在某些情况下难以满足用户自身的需求。运营CA的证书发放需要走申请、审核等流程,一般需要几天甚至更长的时间,对于内网业务系统的需求响应会相对较慢,跟不上,对于一些要求响应速度的业务系统会造成不必要的障碍。因此,自建CA是垂直管理的,申请、审核流程简单,响应速度快。


4、应用集成分析

      证书在与业务系统集成过程中,需要业务系统厂商把身份认证从“用户名/口令”方式切换到证书方式,数字证书遵循的是X509的标准,但是由于各个厂商对标准理解不一致,证书使用也没有统一的调用接口,运营CA在这一方面是不提供调用接口的,即使提供了软件方式的接口,由于认证接口部署在业务系统服务器上,而证书认证较“用户名/口令”需要消耗更多的服务器资源,认证效率将无法保证或证书认证与业务系统服务互相争夺系统资源。

自建CA厂商能提供单独的身份认证设备,与应用系统集成时,只需要调整业务系统的某些配置,替换原来的认证方式,整个认证过程并不占用任何业务系统服务器的系统资源;由于身份认证设备是旁路部署,故在认证通过后,用户PC终端与业务系统与身份认证设备将不再通讯。

总的来说,无论从集成难度和配置合理性来说,自建CA的身份认证设备都大大超过运营CA的软件接口集成方式。 自建CA在为网上业务等应用服务的同时,可以成为企业或者单位内部的身份认证机构,为内部信息传输的安全加密和身份认证提供安全平台。如果要实现同样的内部安全系统而使用CA运营机构提供的证书,则可能出现以下方面的问题:1)费用过高,2)系统不易集成, 3)证书安全策略缺乏灵活性。 


5、证书安全策略

     证书安全策略指的是认证中心对证书的用途、使用方法等方面进行的规定。 比如,证书的一些属性可以规定该证书是否可用于电子邮件,是否可用于转帐支付,是否可用于内部管理等等。还包括证书的有效期的定义,比如证书的有效期是1年还是2年甚至5年。这些证书属性的定义,一般都要和使用证书的具体业务联系起来,才能更好的让证书服务于应用。

自建CA的安全策略可自己定义,可以根据自己的要求进行定义,这就给新开发业务系统带来很大的方便,比如业务中的一些特性可以在证书中规定;另外还可以比较方便的扩充证书的用途,比如很容易地将交易用证书和内部管理证书区分。而运营CA证书是面向社会的,其证书安全策略不能随便修改,因此很难为某个单位用户提供个性化的证书安全策略。这在应用系统和安全系统的结合方面可能会带来一些不便。


6、法律、法规保障

2005年4月1日, 《中华人民共和国电子签名法》正式实施,正式确立了电子签名的法律地位,《电子签名法》确立的是电子签名技术的法律地位,也就是说无论运营CA或自建CA都需要提供受到国密局认证的密码服务设备,才能把法律、法规落到实处,采用软件接口方式的签名是无法得到法律保护的。

另一方面,数字签名服务器能同时支持运营CA和自建CA的数字证书,从这一点来说,运营CA和自建CA都能符合要求,不同的是自建CA厂商能直接提供数字签名服务器,采用运营CA需要另外单独采购该设备。