数字证书认证身份

　　目前企业网络中应用的身份识别技术主要分为用户与主机、主机与主机之间的认证。在企业统一的身份认证框架中，集中身份认证系统需要对目前已有的身份认证方式，及未来可能会有的身份认证方式均提供支持，方便管理员根据需要进行选择。

　　在调查中，记者通过访问业内资深人士、天威诚信高级副总裁李延昭了解到，目前企业在选择身份认证方式时，通常需要考虑如下原则：第一，足够安全，即认证方式不容易被模仿(包括认证凭证的复制、认证过程的重放)或攻击(包括DOS攻击);第二，成本适当，安全和成本常常成反比，但是对于企业来说，既不能为了降低成本而采用不安全的认证方式，也不能为了片面追求安全而不顾成本;第三，使用方便，所有东西都是给人用的，如果因为使用不便而招致反感，则所有的安全措施都形同虚设;第四，提供开放的API接口，便于将认证方式集成到当前以及未来的应用框架中。

　　基于数字证书的认证方式能够满足当前以及未来的企业内网安全应用需求。数字证书通常是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，从而在网络上解决"我是谁"的问题。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障企业各种网络应用的安全性。

　　对企业用户而言，构建基于数字证书的身份认证体系有两个方法可以实现，一种是企业自建模式，企业购买整套的PKI/CA软件，然后自行建立一整套相关的服务体系。在这种模式下，企业参与建立、维护、培训和运营整个PKI过程并对PKI软件所有事务负全责，其中包括系统、通信、数据库、物理安全、网络安全配置、高可靠性的冗余设计、灾难恢复等方面，还包括运营系统需要的PKI专家、法律、资金等方面。

　　第二种方法是面向服务，购买第三方认证服务的建设模式。企业利用第三方CA服务提供商的集成PKI平台，通过配置和管理，将企业端的前台与第三方高可靠性、高安全性的PKI后台组合在一起，对外提供证书服务。此模式下，企业的CA被托管在可信的第三方，复杂、专业的PKI核心服务及维护将交与专业的第三方CA完成，企业复杂的设备以及PKI专家、法律专家，不需要单独承担全部的投资与风险。而基于数字证书的电子签名技术更完全符合我国相关法律的要求，实现诸如电子合同、网上招投标等高端应用。

　　面向产品的自建CA与面向服务的托管CA代表着两种不同的建设模式,但两者间并不矛盾，因该是各有所长。针对数字证书体系的建设，企业需要根据自身的需求，仔细研究后选择合适的模式，当需要自主可控时选择自建方式，当涉及第三方交易时选购服务模式化解风险，企业完全可以找到适合自己的认证系统建设模式。