电子认证(简称“认证”,Certification)
对实体的身份标识以及各种实体属性进行检查,签发管理含有实体属性电子凭证的活动
数字证书认证机构(简称“证书认证机构”)
对实体的身份标识以及各种实体属性进行检查,签发管理数字证书的机构
即CA、电子认证服务提供者、电子认证服务机构
数字证书(简称“证书”,Certificate)
由证书认证机构签名的,包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件
即“证书认证机构”所签发的“电子凭证”
“身份认证”(Authentication)
在电子信息网络系统中,确定行为主体“是谁”的电子鉴别活动
在很多场合,也称为“身份鉴别”
不在本报告的内容范围之列
本报告中,有时将“电子认证”简称为“认证”
不是“身份认证Authentication”
是“Certification”
“电子认证及数字证书应用”发展,分为:
电子商务
电子政务
考虑到如下原因,不宜一起描述:
管理体系的不同
应用领域的不同
发展现状
政策环境
法律法规
标准规范
技术产品
市场应用
问题分析
发展建议
政府部门非常关注,大力推动
2006年2月,国务院信息办发布《关于加快电子商务发展工作任务分工的通知》
2006年4月至10月,信息产业部组织了电子认证服务机构年度检查
2007年3月,商务部于发布了《关于网上交易的指导意见(暂行)》
2007年3月,信息产业部召开信息化推进工作座谈会暨电子认证服务工作会
2007年3月,电子信息产业重点工作通报会在北京举行
政府部门非常关注,大力推动
2007年4月,中国人民银行发布2006年《中国支付体系发展报告》
2007年4月,信息产业部举办《中华人民共和国电子签名法》实施两周年成果展示暨电子认证服务业发展论坛
2007年6月,发展改革委和国务院信息办共同组织编制《电子商务发展“十一五”规划》
2007年6月,中国银行业监督管理委员会发布《关于做好网上银行风险管理和服务的通知》
2007年12月,商务部发布《关于促进电子商务规范发展的意见》
相关法律法规不断制定,逐步健全
2005年12月,国家密码管理局公布《商用密码科研管理规定》、《商用密码产品生产管理规定》和《商用密码产品销售管理规定》
2005年12月,公安部发布《互联网安全保护技术措施规定》,自2006年3月1日起施行
2006年1月,银监会颁布《电子银行业务管理办法》和《电子银行安全评估指引》,3月1日起施行
相关法律法规不断制定,逐步健全
2007年3月,国家密码管理局公布《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》
2007年6月21日,人民银行、银监会、证监会和保监会发布《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》
2007年6月22日,公安部、国家保密局、国家密码管理局、国务院信息办通过了《信息安全等级保护管理办法》
标准规范日益完善
国家标准(信息安全技术)
正式发布66项(其中18项密切相关,在2006-2007年发布7项)
报批稿12项,其中6项密切相关
2007年第五批电子行业和信息技术国家标准制修订计划中,其中3项密切相关,预计2008年完成
国家密码管理局
2005年6月《证书认证系统密码及其相关安全技术规范》
2007年8月《数字证书认证系统密码协议规范》、《数字证书认证系统检测规范》、《证书认证密钥管理系统检测规范》
电子商务总体发展
2006年底,中国电子商务市场实现交易额11000亿元人民币,同比增长48.6%
互联网总体发展
网民
截至2005年12月:11100万
截至2006年12月:13700万,增长23.4%
上网计算机
截至2005年12月:4950万
截至2006年12月:5940万,增长20.0%
网站总数
截至2005年12月:694200
截至2006年12月:843000,增长21.4%
网上银行(中国银监会),2006年度,网银客户达7495万
网银交易金额95万亿元,比上年增长80.79%
网上银行交易笔数11.5亿笔,比上年增长161%
网上支付《2007中国消费者网上支付应用调查报告》
61.7%网上购物者首选网上支付
56.6%被访者使用数字证书
网上支付
2006年3月,支付宝公司推出国内支付领域首张数字证书
电子病历
截至2007年12月,广西医科大学第一附属医院36个临床病区采用电子病历,5万份电子病历使用电子签名
2007年,广东中山市人民医院1300余名医护人员制作了证书
网上交易平台
2007年,广东省开通网上药品采购平台,发放6000多张证书
18项通过国家密码管理局技术鉴定的电子认证系统(SRQ系列)
截至2006年底,电子认证和数字证书应用的软件系统和硬件设备产品达千种以上,涉及机构超过300家
电子商务杂志社《中国数字证书产品大全》
电子认证服务许可证-26家CA
2006年新增6家
2007年新增5家
至2005年底,15家CA,发证总量236万
至2006年底,21家CA,累计发证546万
至2007年底,26家CA,初步统计发证约740多万
上海CA累计发证突破90万(2007年7月)
CFCA累计发证突破100万(2006年7月)
河北CA累计发证8万余张(2007年4月)
浙江CA企业证书发行量超28万张(2006年底)
山东CA已发放证书40多万张(2006年1月)
福建CA发放证书6万多张(2007年4月)
用户认同程度普遍低下
缺少优质的产品和服务
从业人员技术水平不足
网上银行,使用有限
采用合法第三方数字证书,不到3%
《金融时报》2007年12月
30%网上银行用户使用数字证书
“放心安全用网银联合宣传年”2006年
发证规模有限
2006年发证(546-236=310)万
约20家CA公司
对比VeriSign公司
2006年发证63.9万
2007年前3季度发证63万
国际认同程度低
Microsoft公司Microsoft Root Certificate Program
2005年2月,成员共有59家CA公司
2007年7月,成员共有86家CA公司
没有来自中国大陆的CA公司
国际著名的WebTrust for CA认证
截至2008年1月,约有70家CA公司通过认证
没有来自中国大陆的CA公司
中国SSL安全站点证书
各类电子商务网站:8%左右
网上银行:99%
主流电子邮件服务商:15家主要服务商仅有2家部署
中国500强企业:20%左右
全球500强企业是100%
电子病历
2005年,广东省石龙人民医院颁发近500张数字证书用于电子病历。使用一年多后,医生和病患并不完全接受
应用的医院单位很少
出现各种安全问题
使用数字证书技术的网上银行
2007年3月10日,上海蔡中的网银被窃,损失19万元
2007年5月17日,交通银行客户杨俊文的100万元被人通过网银转移,消费一空
使用数字证书技术的基金帐户
2007年,林某于9月11日花11万元在农业银行购买基金,并开通网上银行业务。10月15日,基金已被他人通过网上交易系统赎回,现金已被转走购买物品
“工商网银受害者集体维权联盟”网站
列出至少500多位使用网上银行、遭受经济损失的用户
部分用户使用了数字证书
(是否按照规范开发和使用?)
部分CA公司对证书应用信心不足,规避赔偿责任
有下列情况之一的,应当免除FJCA之责任:
FJCA不对任何一方在信赖证书或使用证书过程中引起的直接或间接的损失承担责任
因FJCA的设备或网络故障等技术故障而导致数字证书签发延迟、中断、无法签发,或暂停终止全部或部分证书服务的;本项所规定之“技术故障”引起原因包括但不限于:(1)不可抗力;(2)关联单位如电力、电信、通讯部门而致;(3)黑客攻击;(4)设备或网络故障
ZJCA声明,ZJCA并不承担因订户的私钥保存出现问题而带来的所有责任,除非订户能够合法的证明这种问题产生的主要责任在电子认证服务机构
对赔偿上限作出限制
山东CA赔偿上限伍万元人民币
颐信CA的赔偿上限是证书实际价格(不包括证书介质费用的当年实际证书年服务费)的100倍
应用厂商缺少优质服务
中国工商银行电子银行章程( 2008年1月1日)
为了加强使用者自身的风险防范意识,由用户自身未尽到风险防范义务而导致的损失,银行将不承担责任(新浪财经)
产品难以使用
专家组购买海泰方圆的使用数字证书的安全文件传输产品,其中有40%无法正常安装
2007年,中国电子学会举行“电子认证与数字证书工程师”培训和专业技术资格考试
参加考试的人员共有65人
且大部分来自于主要电子认证相关机构
通过考试、获得工程师资格的人员只有17人,通过率只有26%
行政监督手段结合市场机制,提高电子认证服务质量,全面地促进电子认证服务业发展
除行政监管之外,积极引入市场的优胜劣汰机制,促使CA公司不断整合调整
在市场机制中发展壮大CA公司,做大做强,成为用户接受、真正权威、服务良好的电子认证服务机构
(专家或政府是否有能力预测未来?是因为市场小还是因为现在的企业没有找到路?)
健全法律保障体系,制定相关法律法规,保障用户利益
制定相关法律法规,充分体现《电子签名法》“电子认证服务提供者不能证明自己无过错的,承担赔偿责任”的举证责任倒置原则
对于CA公司规避赔偿责任的现象,应逐步处理,强化CA公司义务,明确CA公司责任,打消用户后顾之忧,增强广大电子商务用户使用数字证书的信心
采取法律手段,促使CA公司自觉主动地提高自身系统安全性、提高服务质量
扩大应用宣传,全面地、深入浅出地教育普通用户
让用户全面地了解和认识
阐述原理、基本操作、使用过程和技术优势
同时客观地说明其中的技术风险
片面强调技术优势、或者片面强调技术风险,都不利于发展
普及宣传《中华人民共和国电子签名法》以及相关法律法规,让广大电子商务用户全面地了解自己的法律地位,明确自己的权利和义务
建设配套的培训中心、体验中心、服务中心,调动各种社会力量参与到推广体系
发挥专家的学术权威和技术优势,推广电子认证和数字证书应用
培训技术人才
为社会公众免费提供实际体验数字证书应用的平台
开展咨询、代理和技术支持等专业法规和专业技术的服务
在核心技术上自主发展,在应用业务上与国际接轨
商用密码技术是电子认证和数字证书应用的核心技术,是信息世界划分国界、保证国家独立完整的重要手段,必须坚持独立自主发展
随着我们国家大力发展电子商务,各种应用业务也将会走向国际。在与国际接轨、CA互联互通的时候,也需要保证标准兼容、业务通畅
仅限电子政务外网
发展现状
政策环境
法律法规
标准规范
技术产品
市场应用
问题分析
发展建议
相关部门非常重视
中办发[1996]27号 关于发展商用密码和加强对商用密码管理工作的通知
中办发[2002]17号 关于我国电子政务建设指导意见
中办发[2003]27号 关于加强信息安全保障工作的意见
国办发[2006]11号 关于网络信任体系建设的若干意见
国信[2006]2号 国家电子政务总体框架
中办发[2006]18号 关于推进国家电子政务网络建设的意见
中华人民共和国电子签名法
国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法
商用密码管理条例
商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理
国家密码管理委员会及其办公室主管全国的商用密码管理工作
目前,与电子商务领域基本相同
相关国家标准
国家密码管理局
2005年6月23日,证书认证系统密码及其相关安全技术规范
2007年8月13日,数字证书认证系统密码协议规范、数字证书认证系统检测规范、证书认证密钥管理系统检测规范
由商用密码产品生产定点单位研制、并通过国家密码管理局鉴定和安全性审查的电子认证产品
18项SRQ系列的电子认证系统
数字证书认证系统国家信任源根CA中心
目前已经与14家运营CA公司连接
国投安信、广东CA、颐信科技
广东电子商务认证有限公司、重庆CA、辽宁CA
新疆CA、国富安CA、安徽CA、河北CA、深圳CA
天津远博网络有限公司、金融CA、天威诚信
外网信息共享业务
Internet 业务
横向VPN业务
纵向VPN业务
已经建设20多个地区CA、50多个部委和大型企事业CA
典型应用
安全电子邮件系统、授权管理系统、身份认证系统、公文安全交换系统、电子印迹系统、时间戳服务系统、安全登录系统
应用领域
海关的电子口岸、公安的内部办公和移动警务、工商的企业年检、税务的网上报税、商务部的进出口配额管理、铁路客票监管系统、政府行政审批等
未形成统一的电子政务外网认证体系
形成信任孤岛
长期以来,缺少一个统一的规划
无序竞争,条块分割,资源浪费
依据电子签名法,国务院或者国务院规定的部门应制定政务活动中使用电子签名、数据电文的具体“办法”
至今,具体的建设、运维、服务、应用的“管理办法”没有出台
电子商务认证与电子政务认证在技术和管理层面上定位不清
应用混乱,管理责任不明确
具体的收费依据未确定,原则上是不以赢利为目的
基本建设投资是否要回收,保障运营维护的费用涉及哪些
存有不确定的界限和潜在的恶性竞争隐患
对数字证书应用及相关知识普及不够,缺乏专业技术人才
规划科学的运营体系结构
形成合理的认证结构布局
建立健全可靠的保障体系
电子政务外网认证体系由如下4部分组成:
国家根认证系统
运营认证系统,包括:
地区建设的运营认证系统
部委建设的运营认证系统
按照国家密码管理局《证书认证系统密码及其相关安全技术规范》
集中统一的发布系统
独立的密钥管理系统
资源共享
共用平台,逻辑分离
电子政务外网认证体系根CA-国家电子商务根CA
电子政务外网运营CA-电子商务运营CA
电子政务外网密钥管理系统-电子商务密钥管理系统
统一的电子政务外网证书发布系统,统一发布
资源整合
各地区、各部委的电子认证服务尽可能利用现有CA资源
各部委CA,尽可能使用地区的密钥管理系统
确不能满足,另行建设
资源利用
CA跨地区、跨领域为电子政务外网提供服务
引导应用,由“一证一用”发展“一证多用”
法规标准
依据现有法律法规和标准规范,制定《电子政务外网认证服务运营要求》
电子商务CA在满足运营要求下,可从事电子政务外网的认证服务
技术体系-国家密码管理局技术规范
《证书认证系统密码及其相关安全技术规范》
《数字证书认证系统密码协议规范》
《数字证书认证系统检测规范》
《证书认证密钥管理系统检测规范》
管理体系
国家密码管理局会同有关部门,统一规划管理
国家密码管理局负责
电子政务外网认证体系国家根CA
密钥管理体系,密码相关技术规范和密码协议,认证产品和认证系统的安全性审查
制定《电子政务外网认证服务运营要求》,认证服务机构的审查
地方政务主管部门和部委负责管理本地区和本部门的运营CA
地方和部委的密码管理部门负责本地区和本部门的密钥管理
推广体系
培训中心
开展电子认证与数字证书工程师培训工作
体验中心
为社会公众和政务人员免费提供一个实际体验数字证书应用的平台
服务中心
开展咨询、代理和技术支持等专业法规和专业技术的服务
分享到:
评论