济南职业学院 石岱峰、宗斐
摘要:当代信息技术,特别是以Internet为核心的网络技术的发展与应用,使社会步入了全新的网络经济时代。我国现在正处于电子商务的飞速发展时期,由于利益的驱动和冲突,CA建设蜂拥而起.然而由于准入门槛较低,许多CA企业在建立之时就存在许多问题。<<电子签名法>>正式实施,制约着CA机构发展的法律问题终于被打破,给CA们带来一次巨大的冲击。一方面,被新法拒之门外的CA企业应该如何发展自身实力以符合<<电子签名法>>中的准入要求,取得国务院相关部门颁发的认证资格;另一方面,存活下来的CA企业虽然能在政府管理下的市场经济中分享丰厚的市场,但也面临着制约其发展的其他方面的问题。本文就此问题开展讨论研究,总结出制约我国CA发展的问题所在,为我国CA业的发展方向提出自己的观点。 关键词:CA认证 存在问题 对策
一、我国电子商务CA的发展状况
CA(Certificate Authority)安全认证体系是采用第三方权威机构认证机制,解决互联网络电子商务和安全通信中的身份认证以及公开密钥合法性检验问题的一套严密的安全技术体系。CA证书是用户在互联网络上的个人身份证明,它是网络通讯中标志通讯各方身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,其作用类似于现实生活中的身份证。是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。电子商务CA安全认证体系是保证电子商务安全的基础设施。
随着网络规模的扩大和用户体的急剧增加,在中国公共多媒体通信网和中国公用计算机互联网上架构安全平台,开展大规模电子商务应用和服务已十分迫切。近几年来,不少行业和地区积极地进行了电子商务的实践,普遍认识到:保证网上电子商务的安全是电子商务发展的关键所在,电子商务CA安全认证体系是保证电子商务安全的基础设施。电子商务、电子政务对网络安全的要求,不仅推动着互联网交易秩序和交易环境的建设,同时也带来了巨大的商业利润。从1999 年8 月3 日成立的我国第一家CA 认证中心——中国电信CA 安全认证系统起,目前我国已有140 多家CA 认证机构,但大都不具备合法身份。从2004 年8 月8 日《中华人民共和国电子签名法》颁布以后,已被信息产业部审批的合法CA 机构已有22家。其中一些行业建成了自己的一套CA 体系,如中国金融认证中心((CFCA)、 中国电信CA 安全认证系统(CTCA)等;还有一些地区建立了区域性的CA 体系,如北京数字证书认证中心(BJCA)、上海电子商务CA 认证中心(SHECA)、广东省电子商务认证中心(CNCA)、云南省电子商务认证中心(CNCA)等。
二、我国现阶段CA发展存在的问题
1、利益博弈下的混乱市场
五月槐花香主题曲由于利益的驱动和冲突,CA建设诸侯起。从1999年到2000年正是国外CA机构飞速发展的阶段,他们逐渐形成了稳定的盈利和现金流,在股市上每年业绩翻一番。于是,国内的行业和政府主管部门纷纷头脑发热,认为建CA就能立马带动电子商务和电子政务的发展,就能坐地收钱。然而当时中国企业的IT水平极低,甚至连防火墙、防病毒的基础设施都不完备,更何谈使用CA的保护。因此有的CA机构在建成后没有发过一张证书,建立之日就是是其死亡之时,有的CA机构第一年还能依靠行政力量,摊派下属企业使用,后来因为不能提供有效的服务,客户也逐渐流失殆尽。并且,建立之初许多CA 机构都处于同质竞争阶段。这种竞争的结果是各家认证中心都需要通过价格战占领市场,而过于低廉的费用,不但不能够保证基本的服务,其权威性也会受到质疑。最后舜文中学CA 企业没有动力去开发新的
市场,整个行业就处于一种混乱、无序的状态。
基层司法助理员
2、CA建设所须的设备不完善,技术上标准不统一。
CA服务机构必须投入巨资在完善技术平台的同时建立一套安全体系及管理流程才能够对外提供认证服务。然而,国内一窝蜂塔起的CA草台班子无论从技术人员的数量,基础设施条件还是管理流程上,都不能保证签发证书的安全性。在技术层面上,由于受到美国出口限制的影响,国内的CA 认证技术完全靠自己研发。又由于参与部门很多,导致标准不统一,既有国际上的通行标准,又有自主研发的标准,即便是同样的标准,其核心内容也有所偏差,这导致交叉认证过程中出现“各自为政”的局面。到目前为止,国内尚未出台统一的PKI标准或相关的管理规范,也没有一个明确的CA 管理机构。这种缺乏统一标准的态势必将造成多种技术标准共存的局面,“信息孤岛”问题非常突出。严重阻碍电子商务CA的健康发展。
3、CA建设缺乏有效的监管渠道
CA作为电子商务活动提供第三方的权威,公正认证的部门,是保障电子商务安全活动的一
个重要组成部分。由于CA的职责包含着向社会提供个体的真实身份证明,在技术方面使用了高等级的加密技术,涉及到政府部门职能和网络安全问题。目前中国的CA建设还没有一套从申办到运营方面完整的管理体制,这些CA的公信力与运做能力如何,加密技术有没有达到必须的要求还是个问号。现在所有的CA应用性可以说做的都不太好,但国外成熟的技术方案在中国应用时,语言是最大的障碍,如何顺利的实现转换是CA面临的共同问题。
三、促进我国CA健康发展的对策
1、规范CA准入制度,统一技术标准,增强CA认证体系权威性
《电子签名法》规定了认证服务市场准入制度,明确了由政府对认证机构实行资质管理的制度,并对电子认证服务机构提出了严格的人员、资金、技术、设备等方面的条件限制。从事电子认证服务的机构,应当向国务院信息产业主管部门提出申请,并提交相应材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内做出许可或不许可的决定。提供电子认证服务应当具备下列条件:①具有与提供电子认证服务相适应的专业技术人员和管理人员。②具有与提供电子认证服务相适应的资金和经营场所。③具有符合国家安全标准的技术和设备④具
有国家密码管理机构同意使用密码的证明文件。⑤法律行政法规定的其他条件。
审批主管部门应该严格把关,认真审查CA企业的注册条件。政府机构应建立一个宏观调控的机制,控制相同级别CA机构的数量。技术层面上可引导建立一个国家级的桥CA,桥CA是多域PKI体系中的核心组织,是不同信任域之间的桥梁CA,主要负责为不同信任域的主CA第三世界科学院颁发交叉认证的证书,建立各个信任域的证书政策与桥CA的证书政策之间的一一映射关系,及时更新交叉认证证书,发布交叉认证证书黑名单等。
2、加强本行业标准化、法制化管理,提高CA认证体系公信力
《电子签名法》的出台是我国电子商务发展中的一座里程碑,它对保证电子商务交易、促进电子商务发展具有举足轻重的意义,而且对今后电子政务以及未来全面的社会信息化都将产生深远的影响。它解决了电子签名的法律效力这一基本问题,并对电子商务认证机构、电子签名的安全性、签名人的行为规范、电子交易中的纠纷认定等一系列问题做出了明确的规定。随即,在北京成立的全国信息安全标准化技术委员会开始制订数字签名、信息安全评估管理等公共信息安全的国家标准。我们可以看到,这些法律、标准的相继出台,对我国电子商务CA发展中存在的问题了解决的依据,制约电子商务CA发展的一些问
题也正在逐步得到解决。政府、协会相关等部门应认真总结国内发展过程中的经验和教训,积极吸取国际上发达国家的成功经验,进一步完善和规范我国电子商务CA的相关法律和技术标准,建立一个全国性的、完整的和层次性合理的CA基础设施,真正为我国的电子商务发展保驾护航。
参考文献:
安贞医院体检中心
1、 刘波,CA 认证在我国的发展,中国社会科学院院报,2008.4
2、 方盈芝,《电子签名法》中第三方认证机构作用的释义,中国电子商务研究中心 2009.6.
>stewart平台
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议