【文章內(nèi)容簡(jiǎn)介】 上海市銀行卡網(wǎng)絡(luò)服務(wù)中心聯(lián)合出資組建，經(jīng)上海市政府批準(zhǔn)，從事數(shù)字證書制作、頒發(fā)和管理業(yè)務(wù)。上海市 CA 中心目前已經(jīng)頒發(fā)系列完整的數(shù)字證 18 書，包括與信用卡綁定的 SET 證書，以及不與業(yè)務(wù)掛鉤的通用證書，發(fā)證對(duì)象包括個(gè)人、企事業(yè)單位、網(wǎng)站服務(wù)器、軟件代碼等。 “網(wǎng)證通” CA 聯(lián)盟囊括湖北、廣東、海南、廣西等省市，并在“網(wǎng)證通”這個(gè)統(tǒng)一的技術(shù)體制和品牌下共筑全國(guó) CA 體系。廣東省電子商務(wù)認(rèn)證中心是經(jīng)廣東省政府批準(zhǔn)成立的廣東省惟一一家政府認(rèn)可的 安全認(rèn)證權(quán)威機(jī)構(gòu)，前身是南方電子商務(wù)中心；湖北 CA 中心（簡(jiǎn)稱 HBECA）是經(jīng)湖北省政府批準(zhǔn)成立 ,由湖北省信息中心控股，在廣東南方通信集團(tuán)支持下組建的一家高科技有限責(zé)任公司，是代表湖北省政府惟一從事電子商務(wù)和電子政務(wù)安全證書管理的權(quán)威性機(jī)構(gòu)；海南省電子商務(wù)認(rèn)證中心，是經(jīng)海南省政府批準(zhǔn)，由海南省商貿(mào)信息服務(wù)中心和廣東南方通信集團(tuán)公司南方電子商務(wù)中心聯(lián)合出資組建，從事電子商務(wù)數(shù)字證書制作、頒發(fā)、管理和相關(guān)網(wǎng)絡(luò)加密的權(quán)威機(jī)構(gòu)。 中國(guó)金融認(rèn)證中心（ CFCA)中國(guó)人民銀行牽頭，中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)銀 行、中國(guó)建設(shè)銀行、交通銀行等十二家商業(yè)銀行聯(lián)合共建而成。 CFCA 項(xiàng)目包括 SETCA 和 Non－ SETCA 兩套系統(tǒng)，在金融 CA 工程領(lǐng)導(dǎo)小組的組織下，以公開招標(biāo)的形式組織建設(shè)。共有國(guó)內(nèi)外 24 家廠商參加邀標(biāo)會(huì)， 10家廠商或集團(tuán)參加投標(biāo)。最終， IBM 公司中標(biāo) SET 系統(tǒng)，德達(dá) /SUN/Entrust 集團(tuán)中標(biāo) NON－ SET系統(tǒng)，并于 1999 年 8 月 30日正式簽約實(shí)施。在保證系統(tǒng)安全可靠的基礎(chǔ)上，中國(guó)金融認(rèn)證中心進(jìn)一步完善了系統(tǒng)的各項(xiàng)功能，完成了密碼產(chǎn)品的本地化工作，并于 20xx 年 6月 20 日通過了由國(guó)家密碼管理委 員會(huì)和人民銀行支付科技司聯(lián)合主持 19 的密碼產(chǎn)品本地化工作的安全性審查。經(jīng)過 9 個(gè)月的緊張實(shí)施，系統(tǒng)建設(shè)工程已全面完成，并已于 20xx 年 6 月 29日開始對(duì)社會(huì)各界提供證書服務(wù)，系統(tǒng)進(jìn)入運(yùn)行狀態(tài)。 網(wǎng)絡(luò)無國(guó)界，數(shù)字證書只有隨處通行，才能顯示出巨大價(jià)值。各 CA機(jī)構(gòu)深諳其道，紛紛打出“國(guó)字號(hào)”招牌，以顯得神通廣大：“中國(guó)協(xié)卡認(rèn)證體系”在對(duì)外宣傳資料上赫然印著 8 個(gè)大字：“一證在手，走遍天下”，讓人對(duì)網(wǎng)上安全前景怦然心動(dòng)；中國(guó)金融認(rèn)證中心一開始就打出“統(tǒng)一中國(guó)”的口號(hào)，氣勢(shì)高昂；同樣，南方幾家認(rèn)證聯(lián)盟已經(jīng)把觸角伸到西 南、西北，整體輪廓依稀可見。 地區(qū)類 CA 機(jī)構(gòu)起步早，本地化優(yōu)勢(shì)明顯，機(jī)制靈活，市場(chǎng)化運(yùn)作強(qiáng)，很快便成為地方性戰(zhàn)場(chǎng)的橋頭堡。而且，后來者強(qiáng)有力地沖擊也使各地方性 CA 架出聯(lián)合行動(dòng)的態(tài)勢(shì)，在表層上形成統(tǒng)一品牌推向全國(guó)的行動(dòng)。行業(yè)類 CA 機(jī)構(gòu)雖然覺醒遲了一刻，但憑借固有基礎(chǔ)資源和從屬關(guān)系，運(yùn)用行政的手段，強(qiáng)力“推”出一條戰(zhàn)線。這條戰(zhàn)線結(jié)合傳統(tǒng)業(yè)務(wù)的 e 化流程，具有得天獨(dú)厚的政策優(yōu)勢(shì)和資源優(yōu)勢(shì)，雄心勃勃地勾勒出一統(tǒng)江山后的圖畫。 在“中國(guó)協(xié)卡認(rèn)證體系”網(wǎng)站上，北京站、上海站、天津站同而列之，共推“協(xié)卡” 這塊品牌。這些認(rèn)證網(wǎng)站經(jīng)濟(jì)上完全獨(dú)立，應(yīng)用開發(fā)和投入上各自去做，做出來的應(yīng)用方案可以相互借鑒、通用，在技術(shù)標(biāo)準(zhǔn)、客戶服務(wù)標(biāo)準(zhǔn)、保險(xiǎn)等方面則是完全統(tǒng)一，以保證市場(chǎng)品牌的統(tǒng)一性和用戶使用上的便捷。在發(fā)展用戶這一點(diǎn)上，它們根據(jù)協(xié)作關(guān)系，地域性的業(yè)務(wù)，原則上都是在當(dāng)?shù)氐恼J(rèn)證中心來做，省部級(jí)的項(xiàng)目大家就 20 協(xié)商著來做。 中國(guó)金融認(rèn)證中心早在 1999 年初組建領(lǐng)導(dǎo)小組時(shí)，就明確闡明了“統(tǒng)一規(guī)劃、聯(lián)合共建”的基本原則。金融 CA 是金融行業(yè)聯(lián)合共建、全國(guó)統(tǒng)一的認(rèn)證中心，各地人民銀行不應(yīng)再牽頭建設(shè)地方性認(rèn)證中心，各商業(yè)銀行也 不支持其分支行參與其他認(rèn)證中心的建設(shè)。所以，與銀行相關(guān)的業(yè)務(wù)，要從網(wǎng)上走的話，基本上需要經(jīng)過 CFCA 這個(gè)認(rèn)證關(guān)口。 當(dāng)然，這樣的想法有些一廂情愿，沒能得到完全的落實(shí)。例如，在上海正式開通的電子商務(wù)網(wǎng)上支付系統(tǒng)中，當(dāng)?shù)氐墓ば小⑥r(nóng)行、交行等商業(yè)銀行就已經(jīng)成為 SHECA 數(shù)字證書審批受理點(diǎn)。同樣在北京等省市，地方 CA 參與到網(wǎng)上銀行業(yè)務(wù)也很經(jīng)常。 （二）我國(guó)數(shù)字認(rèn)證機(jī)構(gòu)發(fā)展中 存在的問題 各 CA 中心為使自家證書受用面更廣，廣開渠道、相互滲透、拓展市場(chǎng)在所難免，但對(duì)于最終用戶來說，仍存在一張證書只能 在一定地域或業(yè)務(wù)范圍內(nèi)才能使用的尷尬局面。打破地方保護(hù)、利益條塊分割的做法，為中國(guó)電子商務(wù)發(fā)展做一個(gè)通盤的考慮，是政府發(fā)展國(guó)內(nèi)信息安全產(chǎn)業(yè)的關(guān)鍵所在。具體到數(shù)字認(rèn)證領(lǐng)域，覆蓋全局的跨國(guó)界、跨地區(qū)、跨行業(yè)之間的交叉認(rèn)證是癥結(jié)所在。據(jù)業(yè)內(nèi)權(quán)威部門和專家的估計(jì)，全國(guó)有兩到三家大的 CA 認(rèn)證中心就夠了，但具體誰能最終活下來，目前還只能等待市場(chǎng)的篩選。 目前國(guó)內(nèi)對(duì) CA 的認(rèn)識(shí)尚屬初級(jí)階段，知者少，用者微。一般人要么是根本上沒有認(rèn)識(shí)，要么是有了些認(rèn)識(shí)，但比較膚淺，停留在把 CA僅作為電子商務(wù)憑證的階段，真正能理解 CA“第三方”屬性的更是少之 21 又少。但電子商務(wù)概念的熱浪撲面而來，一度催生出各種類型和 CA 機(jī)構(gòu)和公司，甚至在網(wǎng)上可以看到某個(gè)人網(wǎng)站在發(fā)送數(shù)字證書的景象。 國(guó)內(nèi) CA 的機(jī)構(gòu)和公司對(duì) CA有一個(gè)明顯的誤解就是，好像這是一個(gè)誰都隨便可以做的東西，而且只要做了就都可以發(fā)財(cái)?shù)?。其?shí)， CA 是一個(gè)要承擔(dān)很大責(zé)任的機(jī)構(gòu)，和一般的贏利機(jī)構(gòu)和公司是兩種概念?，F(xiàn)在往往是幾個(gè)企業(yè)聯(lián)合，然后找個(gè)政府部門支持就來做，每個(gè)地方、每個(gè)城市、每個(gè)地區(qū)都做 CA，其實(shí)這是不利于 CA 發(fā)展的。這個(gè)責(zé)任要有幾個(gè)保障：首先是政府支持，然后是要有經(jīng)濟(jì)實(shí)力 ，出了問題要賠得起，相應(yīng)的保險(xiǎn)要做足等等因素缺一不可。 正如人們常見的彩票中獎(jiǎng)現(xiàn)場(chǎng)必須有公證人員宣讀公證書這一必不可少的環(huán)節(jié)一樣，數(shù)字認(rèn)證機(jī)構(gòu) /中心 /單位不僅是網(wǎng)上安全活動(dòng)的“保護(hù)神”，還是擔(dān)負(fù)“第三方”監(jiān)控、公證職責(zé)的公證員。在某些情況下，“第三方”這一屬性顯得更為重要，然而恰恰相反它被用戶、商家、認(rèn)證中心所忽視。 同樣，對(duì)行業(yè)類認(rèn)證機(jī)構(gòu)的“第三方”屬性也需要認(rèn)真研究。比如證券公司目前提出的交易安全、信息安全概念，主要做的是加解密這一塊工作，他們向股民承諾的是有了這個(gè)認(rèn)證，你的資料、交易 不會(huì)被別人看到，但這只是停留在加解密層面上的安全，但真正的安全還包括身份的確認(rèn)、整個(gè)交易記錄完整性的確認(rèn)等方面，就像做公證一樣，有個(gè)“第三方”的特性，恰恰這個(gè)特性被忽略了。試想，如果一個(gè)股民在交易股票時(shí)發(fā)生了上千萬金額的安全問題，而證券公司既是這場(chǎng)交易的承辦者，又是安全見證者，處在一個(gè)雙重身份下，能夠保證完全公平地處 22 理問題嗎？這種狀況不由得讓人擔(dān)憂“既當(dāng)裁判，又當(dāng)運(yùn)動(dòng)員”的做法在國(guó)內(nèi)電子商務(wù)市場(chǎng)上故伎重演。 如此推斷下去，國(guó)內(nèi)銀行涉足 CA 領(lǐng)域，看上去很好，屬于水到渠成的事情，其實(shí)未必，從“銀行卡” 這一業(yè)務(wù)即可以看出端倪。眾所周知，國(guó)外的銀行一般是不發(fā)卡的，而是通過像 VISA、 MASTERCARD 這些中間機(jī)構(gòu)來發(fā)卡，銀行參與其中，使得這幾張卡是最權(quán)威、通用的，也方便了卡的持有者。而國(guó)內(nèi)情況大相徑庭，每個(gè)銀行都發(fā)自己的卡，造成多卡種、跨地域、跨行、流通困難的局面。同樣做 CA，各個(gè)銀行之間、銀行上下之間如何做好利益協(xié)調(diào)、業(yè)務(wù)共通的工作，依然是緊要的問題。 目前國(guó)內(nèi)認(rèn)證機(jī)構(gòu)遠(yuǎn)遠(yuǎn)還沒到達(dá)贏利的平衡線，大家仍在做持續(xù)的投入來培育這塊在“不久的將來”會(huì)爆發(fā)的市場(chǎng)，而這個(gè)“不久”，再一次被國(guó)內(nèi)電子商務(wù)低迷 的氣氛所推遲。數(shù)字認(rèn)證作為純粹的網(wǎng)絡(luò)原生業(yè)務(wù)形態(tài)，必然與國(guó)內(nèi)外電子商務(wù)的大氛圍息息相關(guān)。上海、北京、天津等組成的“中國(guó)協(xié)卡認(rèn)證體系”在國(guó)內(nèi)是首家信任服務(wù)和安全服務(wù)的提供商，起步至今已有 3 年的歷史。據(jù)了解， SHECA 從 1999 年上半年SET 證書系統(tǒng)和通用證書系統(tǒng)建設(shè)完成至今，正式對(duì)外發(fā)放數(shù)字證書超過 12 萬張，其中針對(duì)個(gè)人用戶的占絕大部分，約 10 萬左右，主要應(yīng)用于安全郵件和網(wǎng)上炒股；其余則發(fā)放給商家和網(wǎng)絡(luò)服務(wù)器。個(gè)人用戶的數(shù)字證書目前尚屬免費(fèi)階段，即使用于網(wǎng)上炒股，只要券商不單獨(dú)對(duì)其收費(fèi)， SHECA 也從中直接 得不到一分錢；發(fā)放給企業(yè)用于企業(yè)安全電子郵件、企業(yè)身份識(shí)別的證書以及服務(wù)器證書，一般每年年費(fèi)在 1200 元左右，再加上相關(guān)產(chǎn)品與解決方案，每年收入不過百萬元。 23 要 CA 在短期內(nèi)達(dá)到贏利是不現(xiàn)實(shí)的，但它作為網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)之一，必然隨著網(wǎng)絡(luò)的發(fā)展而水漲船高。網(wǎng)絡(luò)和電子商務(wù)的向前發(fā)展的趨勢(shì)是不可逆轉(zhuǎn)的，經(jīng)營(yíng)有方的認(rèn)證機(jī)構(gòu)在 3 年內(nèi)達(dá)到收支平衡是可能的。 （三）我國(guó)電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè) 1. 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的重要性和緊迫性 電子商務(wù)交易順利進(jìn)行的關(guān)鍵問題是安全問題。解決安全問題 的基本條件就是需要具有相應(yīng)的電子商務(wù)認(rèn)證機(jī)構(gòu)，為買賣雙方提供值得信任的認(rèn)證服務(wù)。從技術(shù)角度講 ， 電子商務(wù)認(rèn)證機(jī)構(gòu)所提供的服務(wù)包括簽證的管理、使用者公鑰的產(chǎn)生與保管，以及密鑰管理三大類。通過采用國(guó)際上最先進(jìn)的安全保密技術(shù)對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)發(fā)送方、接收方進(jìn)行身份情況確認(rèn)和資信情況確認(rèn)，以保證交易各方信息的安全性、保密性和可靠性。從商業(yè)角度講，每一個(gè)電子合同的簽定，買賣雙方都需要對(duì)對(duì)方的身份情況、資信情況和經(jīng)營(yíng)情況進(jìn)行認(rèn)證，否則，很難作出正確的決策。所以，通過認(rèn)證機(jī)構(gòu)來進(jìn)行買賣雙方的全面認(rèn)證，是保證網(wǎng)絡(luò)交易安全的重要措施。 由于 CA認(rèn)證在電子商務(wù)中的特殊地位，盡快建立國(guó)家電子商務(wù)認(rèn)證機(jī)構(gòu)已迫在眉睫。 近年來，國(guó)際組織為建立全球數(shù)字認(rèn)證中心制訂了一系列的標(biāo)準(zhǔn)與法規(guī)，如國(guó)際標(biāo)準(zhǔn)組織（ ISO）已頒布的密鑰鑒別架構(gòu)（ Authentication Framework）標(biāo)準(zhǔn) ISO 95948[2]、開放系統(tǒng)連接安全架構(gòu)（ Security Frameworks in Open Systems ） 標(biāo) 準(zhǔn) ISO 10181[3] ， 存 證 （ Nonrepudiation）標(biāo)準(zhǔn) ISO 13888[4]也在草擬中。根據(jù) ISO各項(xiàng)已頒 24 布及草擬中 的相關(guān)標(biāo)準(zhǔn)， Inter網(wǎng)絡(luò)工程技術(shù)小組（ Inter Engineering Task Force）在安全領(lǐng)域方面，正在訂定基于 開密鑰基礎(chǔ)建設(shè)標(biāo)準(zhǔn)（ Public Key Infrastructure，簡(jiǎn)稱 PKIX）、通用鑒別技術(shù)（ Common Authentication Technology，簡(jiǎn)稱 CAT）、防火墻通過鑒別標(biāo)準(zhǔn)（ Authenticated Firewall Traversal，簡(jiǎn)稱 AFT）、簡(jiǎn)單公開密鑰基礎(chǔ)建設(shè)標(biāo)準(zhǔn)（ Simple Public Key Infrastructure，簡(jiǎn)稱 SPKI）、交易層安全標(biāo)準(zhǔn)（ Transport Layer Security，簡(jiǎn)稱 TLS）、網(wǎng)絡(luò)交易安全標(biāo)準(zhǔn)（ Web Transaction Security，簡(jiǎn)稱 WTS）等相關(guān)標(biāo)準(zhǔn)，逐步建設(shè)世界權(quán)威性的全球數(shù)字認(rèn)證機(jī)構(gòu)機(jī)制。 認(rèn)證機(jī)構(gòu)的建立，目前已經(jīng)成為電子商務(wù)的一個(gè)熱點(diǎn)問題。各個(gè)行業(yè)、各個(gè)部門都希望建立自己的認(rèn)證機(jī)構(gòu)，許多 ISP 和商品交易中心也嘗試建立自己的認(rèn)證中心。為了保證電子商務(wù)的健康發(fā)展，建立一個(gè)國(guó)家級(jí)的電子商務(wù)認(rèn)證機(jī)構(gòu)，使它能夠聯(lián)系政府部門的網(wǎng)絡(luò)安全認(rèn)證中心以及各行各業(yè) 現(xiàn)存的認(rèn)證機(jī)構(gòu)，進(jìn)而形成一個(gè)完整的體系，為參與網(wǎng)絡(luò)交易的各方提供法律認(rèn)可的、具有權(quán)威性的商務(wù)認(rèn)證，已經(jīng)成為電子商務(wù)發(fā)展的迫切要求。 2. 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的不同思路 電子商務(wù) 認(rèn)證機(jī)構(gòu)的建立，各國(guó)都非常重視，加拿大和新加坡等國(guó)已經(jīng)建立了政府性認(rèn)證中心。我國(guó)臺(tái)灣地區(qū)有這方面的前車之鑒。他們雖然建立 CA較早，但由于最初沒有統(tǒng)一規(guī)劃，形成了銀行系統(tǒng)各自都建有認(rèn)證中心、互不通用的混亂格局，使得客戶購物非常不便，調(diào)整起來也非常困難。有鑒于此，我們應(yīng)吸取教訓(xùn)，盡快形成自己的電子商務(wù)認(rèn) 25 證機(jī)構(gòu)的建設(shè)方案。 關(guān)于認(rèn)證機(jī)構(gòu)的建設(shè)，目前有三種典型的思路。 1）地區(qū)主管部門認(rèn)為應(yīng)當(dāng)以地區(qū)為中心建立認(rèn)證中心 3。地方政府出面，可以 從建設(shè)初期就統(tǒng)一規(guī)劃、統(tǒng)一布局，組建唯一的地區(qū) CA認(rèn)證中心，負(fù)責(zé)本地區(qū)電子商務(wù)證書的注冊(cè)、發(fā)放、驗(yàn)證和管理工作。 2）行業(yè)主管部門認(rèn)為應(yīng)當(dāng)以行業(yè)為中心建立認(rèn)證中心。銀行希望擁有 CA認(rèn)證權(quán)力，它認(rèn)為，金融認(rèn)證中心是電子商務(wù)的一個(gè)核心環(huán)節(jié)，也是實(shí)現(xiàn)網(wǎng)上交易和網(wǎng)上支付的安全保障，因此，由人民銀行組織其他商業(yè)銀行共同興建金融認(rèn)證中心勢(shì)所必然 4，這樣做，也有利于在今后的工作中能夠自由選 擇高服務(wù)質(zhì)量的 ISP；而電信部門同樣也希望擁有CA認(rèn)證權(quán)力，這樣可以自由選擇銀行 5。密碼管理部門也希望擁有這樣的權(quán)利。 3）也有人提出建立幾個(gè)國(guó)家級(jí)行業(yè)安全認(rèn)證中心，如銀行系統(tǒng)和國(guó)際貿(mào)易系統(tǒng)，形成一個(gè)認(rèn)證網(wǎng)絡(luò)，然后，實(shí)行相互認(rèn)證 6。 我們認(rèn)為，電子商務(wù)交易認(rèn)證不應(yīng)是單純的政府行為，而應(yīng)當(dāng)由政府授權(quán)，采用市場(chǎng)運(yùn)營(yíng)方式，發(fā)揮私人和行業(yè)的積極性，以便形成競(jìng)爭(zhēng)的局面。認(rèn)證機(jī)構(gòu)的建立，從國(guó)家方面講，目前首先應(yīng)當(dāng)組建國(guó)家級(jí)的CA認(rèn)證中心，負(fù)責(zé)全國(guó)電子商務(wù)證書的注冊(cè)、發(fā)放、驗(yàn)證和管理工作。然后，按照統(tǒng)一規(guī) 劃、統(tǒng)一布局的原則，在各行業(yè)設(shè)立橫向的職能認(rèn)證機(jī)構(gòu)。在各地區(qū)設(shè)立縱向的分支認(rèn)證機(jī)構(gòu)，從而形成類似于企業(yè)管理中