随着电子商务逐渐成为21世纪经济生活的新领域,互联网上的安全问题已经日益突出,建立完善的电子认证体系成为电子商务发展的关键。1998年,国内第一家以实体形式运营的上海CA中心(SHECA)成立,此后,全国先后建成了几十家不同类型的CA认证机构,CA认证的概念也逐步从电子商务渗透至电子政务、金融、科教等各个领域。
1.国内CA中心分布情况
电子商务、电子政务对网络安全的要求,不仅推动着互联网上交易秩序和交易环境的建设,同时也带来了巨大的商业机会。各地、各行业纷纷上马建设CA中心,一时间,全国涌现出了30多家CA中心。
从CA中心建设的背景来分,国内的CA中心大致可以分为三类:大行业或政府部门建立的CA,如CFCA、CTCA等;地方政府授权建立的CA,如上海CA、北京CA等;商业性CA。
由此不难看出,行业性CA不但是数字认证的服务商,也是其他商品交易的服务商,它们不可避免地要在不同程度上参与交易过程,这与CA中心本身要求的第三方性质不相符合。就应用范围而言,行业性CA更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安CA认证中心在适当完善之后将首党应用于外贸企业的进出口业务。
政府(包括地方政府)授权建立的第三方认证系统属于地区性CA,除具有地域优势外,在推广应用和总体协调上也具有明显的优势。不过,地区性 CA离不开与银行、邮电等行业的合作。
2.国内CA建设面临的问题
从目前情况看,CA的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够。在CA建设和分布格局上,无论是在建的还是已经启用的,都还存在一些问题。
在技术层面上,由于受到美国出口限制的影响,国内的CA认证技术完全靠自己研发。又由于参与部门很多,导致标准不统一,既有国际上的通行标准,又有自主研发的标准,即便是同样的标准,其核心内容也有所偏差,这将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。
在应用层面上,一些CA认证机构对证书的发放和审核不够严谨。为了抢占市场,在没有进行严格的身份确认和验证就随意发放证书,难以保证认证的权威性和公正性。
在分布格局上,很多CA认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求。就互联网而言,不应该也不可能存在地域限制。
总的来讲,国内CA行业存在的不足主要体现在三个方面:其一是行业整体发展具有一定的盲目性;其二是CA中心繁多,但许多并不是真正的第三方权威性机构,CA中心之间的协调和交叉认证困难;其三是整个行业发展有些混乱,自身管理也比较混乱。
第二节 解决思路与对策
1.建立有序的CA互通格局
我国CA业‘’群雄并立”,各地区、各行业分而治之的局面,不利于CA业的长期有序发展,因为现实中的垄断并不能构成互联网上的优势地位,某一领域内的单根认证中心也不利于电子商务的健康发展。例如,银行业完全可以自己发放证书为自己的客户服务,但这种附属于某一家银行的CA中心不太可能给所有行业和公司颁发证书。
而基于一个最高级别的根CA(国家根CA)、由多个真正第三方CA构成的多根认证中心才能为各个行业、各个地方的用户提供更大的便利和专业性的服务,从而避免各方在协调和服务过程中的互相牵扯和不相容。
就投资而言,虽然各行业和公司可以通过运行自己的证书系统来为自己服务,但这不仅导致建设成本增高,而且技术风险也大。通常,用在CA相关产品购买上的开销仅仅是整个运营成本的一部分,配置、运行和维护一个认证系统所需的持续成本是巨大的。所以,CA中心的投资应该由一个有稳定收入来源、实力雄厚、承担的风险较小且具有极高信任度的社会机构来承担 2.确保CA技术的可靠性
在技术层面,CA中心的建设涉及到国家的主权和利益,不能受制于人,因此在安全和加密技术上,我们应该减少对国外技术的依赖。国家应该对CA技术的研发进行合理的控制,在遵循国际标准的基础上,开发拥有自主产权的CA产品。
同时,由于CA认证必须具有透明性、社会性和公正性,因此CA中心必须采取安全可靠的技术和严格高效的管理来保证自身的被信赖度。
3.行业管理要标准化、法制化
电子商务、电子政务、电子邮件以及其他同上交互活动,都可能要求参与者提供法定的身份证明,而数字签名就是最有效的法定身份证明。数字签名独立于应用,是最基本的安全保障手段,因此制定专门的数字签名法是完全必要的。
可以预见,随着信息安全领域的标准化、法制化建设的日益完善,中国CA业的标准化管理也将逐步发展和健全,CA的建设和应用将走上健康发展的轨道。
第三节 各地区各行业CA应用情况
l、北京市
2002年4月16日。根据北京市电子政务网上审批试点工程的建设需要,市计委、市信息办会同有关部门对网上审批中采用数字认证技术进行讨论研究,专家们一致认为,应当统一各单位网上审批身份认证方式,避免CA认证的重复建设,建议采用统一标准的数字认证技术。
BJCA积极为北京市电子政务的信息安全系统建设献计献策,并为各试点单位实施CA认证提供技术支持,为此,BJCA抽调经验丰富的技术骨干,成立网上审批CA应用技术支持小组,帮助各单位随时解决应用实施中的难点问题,以确保网上审批信息安全系统建设的顺利进行。
数字证书与组织机构代码卡两证合一正式启动。两证合一后的代码IC卡,将各单位的现实身份与网上身份有机结合,此卡不仅可以作为代码证书在现实社会中使用,又可以作为数字证书从事网上业务。会上,市代码管理中心工程师还现场演示了如何使用代码IC卡数字证书进行电子政务网上审批项目申请,虽说只是虚拟演示,但也让与会者提前领略了两证合一的代码IC卡在网上事务处理中的方便和安全。
2、上海市
上海市电子商务安全证书管理中心有限公司由上海市数字证书认证中心(CA中心)和上海密钥管理中心(KM中心)组成,是目前上海地区唯一经市政府授权从事数字证书认证和管理业务的机构。它拥有一套自主开发、自主版权的CA系统,采用PKI/CA技术构架,实现身份认证、数字签名等功能,为社会提供数字证书认证。该系统能够实现信息交互双方的身份真实性以及信息完整性和不可抵赖性。经过近5年的不懈努力,该系统不仅能够满足应用需求,而且其总体技术达到国内先进水平,所采用的安全防范机制符合国家商用密码管理的相关要求。
上海市电子商务安全证书管理中心,一直致力于发展中国信息安全事业,为互联网构筑一个绿色的生态环境。由该公司颁发的数字证书已经被广泛应用于电子政务、网上报税、网上炒股、在线支付、网上投保、网上招投标、B2B电子交易、发送安全电子邮件等领域。其多年的运营和服务被市场所认可,是目前国内将证书发放和应用结合得较好、能够贴近市场需求的区域性CA中心。
随着网络技术的不断普及,电子化办公系统在广大企事业单位、党政机关被广泛使用。目前,它们承接了上海市信息化办公室应用系统安全部分的工作。
3、广东省
2003年 1月1日起,在广州市网上申办的企业可领取正式的营业许可证和营业执照。企业注册登记网上并联审批是指企业在办理设立、变更登记手续时,由相关的行政审批部门对企业的经营范围和依法需要进行前置审批的项目,由相关的行政审批部门在网上实行同步审批。实施企业注册登记网上并联审批是广州市政府为提高政府工作效率,改善投资环境,促进政府职能转变的一项企业注册制度重大改革。
为方便企业和投资者,并联审批网络平台将全天24小时(含节假日研通,方便企业和投资者随时下载表格、查询有关审批规定和审批结果。据悉,该并联审批平台具有国际先进水平的CA网络安全认证技术,各相关行政审批部门使用加密后的电子密钥登陆并联审批网络平台开展审批工作,电子密钥即代表该部门审批人员的身份证明,该密钥无法复制、伪造,能够有效地保证各相关审批部门在“并联审批网络平台”上审批信息的安全性、真实性、合法性和有效性。
广东省电子商务认证中心的前身是中国电信南方电子商务中心,创立于1998年。到目前为止,已签发各类数字证书超过15万张,为用户在Internet网络的电子商务活动提供了安全保障。
目前在广州,运用这种电子通行证进行报关的企业已经达到了几百家,中国互动报关服务平台建立了安全、快捷、方便、高效的高速通关公路,建立了强有力的物流监控系统,实现对关境的有效管理。 4、安徽省 2002年1月7日,安徽省电子商务中心(安徽省数字证书认证中心,简称AHCA)与安徽省技术监督局(简称AHDM)正式签署关于联合开展组织机构代码证(IC)卡嵌入数字证书业务的协议。 5、河北省 河北省CA中心与河北赋信科技有限责任公司合作,成功的在河北省国税网上报税系统中使用数字证书。 与传统的报税方式相比,网上报税具有不可替代的优势,纳税户只需通过Internet访问税务部门网站上的网上报税系统,正确填写电子化申报表后,递交申报数据至税务部门服务器,就可以完成整个报税程序。此种方式大大减少了纳税户往返于税务部门、银行的烦恼,大大减轻了税务部门的工作量。