中国金融CA（CFCA）建立了SET CA及Non-SET CA两大体系。Non-SET CA 体系亦称PKI CA 系统。其宗旨是向各种用户颁发不同种类的数字证书，以金融行业的可信赖性及权威性支持中国电子商务的应用、网上银行业务的应用及其他安全管理业务的应用。

　　金融CA建设初期尚属试点工程，规模不大，但功能齐全，近期预计每年发放15万张Non-SET证书(其中企业证书3万张，其余为WEB、SSL证书等)；SET证书10万张，企业2万张,个人8万张,SET证书支持SET 1.0 扩充版功能，既支持信用卡,又支持借记卡及PIN的处理。当CA完善后，扩大其应用范围，可发放S/MIME、VPN及特制X.509 证书等。还将发放支持无线WAP协议的证书。

　　中国金融CA所适应的业务应用模式，无论是网上银行或是网上购物都支持B to C、B to B以及B to G (Government)的模式。

    PKI 的核心部分CA。认证中心CA 作为PKI 的核心部分，CA 实现了PKI 中一些很重要的功能，概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA 的核心功能就是发放和管理数字证书。CA 中比较重要的几个概念点有：证书库。证书库是CA 颁发证书和撤销证书的集中存放地，它像网上的“白页“一样，是网上的一种公共信息库，供广大公众进行开放式查询。这是非常关键的一点，因为我们构建CA 的最根本目的就是获得他人的公钥。目前通常的做法是将证书和证书撤消信息发布到一个数据库中，成为目录服务器，它采用LDAP 目录访问协议，其标准格式采用X.500 系列。随着该数据库的增大，可以采用分布式存放，即采用数据库镜像技术，将其中一部分与本组织有关的证书和证书撤消列表存放到本地，以提高证书的查询效率。这一点是任何一个大规模的PKI 系统成功实施的基本需求，也是创建一个有效的认证机构CA 的关键技术之一。

    根据以上对的概述，我们可以发现联通CA其实就是CFCA中的PKI CA系统中的一种，但是为何现在更多的金融机构采用的是CFCA而非联通CA呢？从他们的技术实现上我们发现了一个问题，两者的加密技术略有不同，CFCA采用X.509国际标准，联通CA采用X.500国际标准。 联通CA采用RSA公开密钥密码机制，NONE-SET采用SPKM简单公钥机制。两种算法都能同时用于加密和数字签名。

  简单介绍一下SPKM公钥机制的特性

1） SPMK允许在不使用安全时间戳的情况下完成单方或双方的认证。这使那些不能存取安全时间戳的环境能够进行安全认证。
2） SPKM使用算法标识去定义通信双方所使用的各种算法。这在运行环境，未来扩展以及算法选择上保持了最大限度的灵活性
3） SPKM在gss_sign()和gss_seal()中，即GSSv2中的gss_getMIC() gss_wrap()，实现真正的基于非对称算法的数字签名，而不是基于对称算法（如DES）的MAC的完整性检验。在某些情况下真正的数字签名所支持的抗抵赖性是很重要的。
4） 在实现时，SPKM的数据格式和程序设计与Kerberos的是类似的。这使得在那些已经运行Kerberos的环境更容易实现SPKM。

 关于RSA加密算法一些业界人士提出以下几点缺点：

1)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。

2)分组长度太大，为保证安全性，n 至少也要 600 bits以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。目前，SET(Secure Electronic Transaction)协议中要求CA采用2048比特长的密钥，其他实体使用1024比特的密钥。这个固有的问题来自于公钥密码系统的最有用的特征--每个人都能使用公钥。但从算法上无法解决这一问题，主要措施有两条：一条是采用好的公钥协议，保证工作过程中实体不对其他实体任意产生的信息解密，不对自己一无所知的信息签名；另一条是决不对陌生人送来的随机文档签名，签名时首先使用One-Way Hash Function对文档作HASH处理，或同时使用不同的签名算法。在中提到了几种不同类型的攻击方法

    关于联通CA的应用领域，大部分集中在相关少量数据加密的行业内。简单便捷，易于实现其管理极加密功能，投资成本相对较低。安全系数也较高，只因为RSA的发现者没有提早的申请专利，导致后来这一技术不被国际公认而已。从投入成本上来说，个别行业还是应该选择联通CA以便节省成本的同时实现更多的加密功能。