【文章內(nèi)容簡(jiǎn)介】 上海市銀行卡網(wǎng)絡(luò)服務(wù)中心聯(lián)合出資組建，經(jīng)上海市政府批準(zhǔn)，從事數(shù)字證書(shū)制作、頒發(fā)和管理業(yè)務(wù)。上海市 CA 中心目前已經(jīng)頒發(fā)系列完整的數(shù)字證 18 書(shū)，包括與信用卡綁定的 SET 證書(shū)，以及不與業(yè)務(wù)掛鉤的通用證書(shū)，發(fā)證對(duì)象包括個(gè)人、企事業(yè)單位、網(wǎng)站服務(wù)器、軟件代碼等。 “網(wǎng)證通” CA 聯(lián)盟囊括湖北、廣東、海南、廣西等省市，并在“網(wǎng)證通”這個(gè)統(tǒng)一的技術(shù)體制和品牌下共筑全國(guó) CA 體系。廣東省電子商務(wù)認(rèn)證中心是經(jīng)廣東省政府批準(zhǔn)成立的廣東省惟一一家政府認(rèn)可的 安全認(rèn)證權(quán)威機(jī)構(gòu)，前身是南方電子商務(wù)中心；湖北 CA 中心（簡(jiǎn)稱 HBECA）是經(jīng)湖北省政府批準(zhǔn)成立 ,由湖北省信息中心控股，在廣東南方通信集團(tuán)支持下組建的一家高科技有限責(zé)任公司，是代表湖北省政府惟一從事電子商務(wù)和電子政務(wù)安全證書(shū)管理的權(quán)威性機(jī)構(gòu)；海南省電子商務(wù)認(rèn)證中心，是經(jīng)海南省政府批準(zhǔn)，由海南省商貿(mào)信息服務(wù)中心和廣東南方通信集團(tuán)公司南方電子商務(wù)中心聯(lián)合出資組建，從事電子商務(wù)數(shù)字證書(shū)制作、頒發(fā)、管理和相關(guān)網(wǎng)絡(luò)加密的權(quán)威機(jī)構(gòu)。 中國(guó)金融認(rèn)證中心（ CFCA)中國(guó)人民銀行牽頭，中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)銀 行、中國(guó)建設(shè)銀行、交通銀行等十二家商業(yè)銀行聯(lián)合共建而成。 CFCA 項(xiàng)目包括 SETCA 和 Non－ SETCA 兩套系統(tǒng)，在金融 CA 工程領(lǐng)導(dǎo)小組的組織下，以公開(kāi)招標(biāo)的形式組織建設(shè)。共有國(guó)內(nèi)外 24 家廠商參加邀標(biāo)會(huì)， 10家廠商或集團(tuán)參加投標(biāo)。最終， IBM 公司中標(biāo) SET 系統(tǒng)，德達(dá) /SUN/Entrust 集團(tuán)中標(biāo) NON－ SET系統(tǒng)，并于 1999 年 8 月 30日正式簽約實(shí)施。在保證系統(tǒng)安全可靠的基礎(chǔ)上，中國(guó)金融認(rèn)證中心進(jìn)一步完善了系統(tǒng)的各項(xiàng)功能，完成了密碼產(chǎn)品的本地化工作，并于 20xx 年 6月 20 日通過(guò)了由國(guó)家密碼管理委 員會(huì)和人民銀行支付科技司聯(lián)合主持 19 的密碼產(chǎn)品本地化工作的安全性審查。經(jīng)過(guò) 9 個(gè)月的緊張實(shí)施，系統(tǒng)建設(shè)工程已全面完成，并已于 20xx 年 6 月 29日開(kāi)始對(duì)社會(huì)各界提供證書(shū)服務(wù)，系統(tǒng)進(jìn)入運(yùn)行狀態(tài)。 網(wǎng)絡(luò)無(wú)國(guó)界，數(shù)字證書(shū)只有隨處通行，才能顯示出巨大價(jià)值。各 CA機(jī)構(gòu)深諳其道，紛紛打出“國(guó)字號(hào)”招牌，以顯得神通廣大：“中國(guó)協(xié)卡認(rèn)證體系”在對(duì)外宣傳資料上赫然印著 8 個(gè)大字：“一證在手，走遍天下”，讓人對(duì)網(wǎng)上安全前景怦然心動(dòng)；中國(guó)金融認(rèn)證中心一開(kāi)始就打出“統(tǒng)一中國(guó)”的口號(hào)，氣勢(shì)高昂；同樣，南方幾家認(rèn)證聯(lián)盟已經(jīng)把觸角伸到西 南、西北，整體輪廓依稀可見(jiàn)。 地區(qū)類 CA 機(jī)構(gòu)起步早，本地化優(yōu)勢(shì)明顯，機(jī)制靈活，市場(chǎng)化運(yùn)作強(qiáng)，很快便成為地方性戰(zhàn)場(chǎng)的橋頭堡。而且，后來(lái)者強(qiáng)有力地沖擊也使各地方性 CA 架出聯(lián)合行動(dòng)的態(tài)勢(shì)，在表層上形成統(tǒng)一品牌推向全國(guó)的行動(dòng)。行業(yè)類 CA 機(jī)構(gòu)雖然覺(jué)醒遲了一刻，但憑借固有基礎(chǔ)資源和從屬關(guān)系，運(yùn)用行政的手段，強(qiáng)力“推”出一條戰(zhàn)線。這條戰(zhàn)線結(jié)合傳統(tǒng)業(yè)務(wù)的 e 化流程，具有得天獨(dú)厚的政策優(yōu)勢(shì)和資源優(yōu)勢(shì)，雄心勃勃地勾勒出一統(tǒng)江山后的圖畫(huà)。 在“中國(guó)協(xié)卡認(rèn)證體系”網(wǎng)站上，北京站、上海站、天津站同而列之，共推“協(xié)卡” 這塊品牌。這些認(rèn)證網(wǎng)站經(jīng)濟(jì)上完全獨(dú)立，應(yīng)用開(kāi)發(fā)和投入上各自去做，做出來(lái)的應(yīng)用方案可以相互借鑒、通用，在技術(shù)標(biāo)準(zhǔn)、客戶服務(wù)標(biāo)準(zhǔn)、保險(xiǎn)等方面則是完全統(tǒng)一，以保證市場(chǎng)品牌的統(tǒng)一性和用戶使用上的便捷。在發(fā)展用戶這一點(diǎn)上，它們根據(jù)協(xié)作關(guān)系，地域性的業(yè)務(wù)，原則上都是在當(dāng)?shù)氐恼J(rèn)證中心來(lái)做，省部級(jí)的項(xiàng)目大家就 20 協(xié)商著來(lái)做。 中國(guó)金融認(rèn)證中心早在 1999 年初組建領(lǐng)導(dǎo)小組時(shí)，就明確闡明了“統(tǒng)一規(guī)劃、聯(lián)合共建”的基本原則。金融 CA 是金融行業(yè)聯(lián)合共建、全國(guó)統(tǒng)一的認(rèn)證中心，各地人民銀行不應(yīng)再牽頭建設(shè)地方性認(rèn)證中心，各商業(yè)銀行也 不支持其分支行參與其他認(rèn)證中心的建設(shè)。所以，與銀行相關(guān)的業(yè)務(wù)，要從網(wǎng)上走的話，基本上需要經(jīng)過(guò) CFCA 這個(gè)認(rèn)證關(guān)口。 當(dāng)然，這樣的想法有些一廂情愿，沒(méi)能得到完全的落實(shí)。例如，在上海正式開(kāi)通的電子商務(wù)網(wǎng)上支付系統(tǒng)中，當(dāng)?shù)氐墓ば小⑥r(nóng)行、交行等商業(yè)銀行就已經(jīng)成為 SHECA 數(shù)字證書(shū)審批受理點(diǎn)。同樣在北京等省市，地方 CA 參與到網(wǎng)上銀行業(yè)務(wù)也很經(jīng)常。 （二）我國(guó)數(shù)字認(rèn)證機(jī)構(gòu)發(fā)展中 存在的問(wèn)題 各 CA 中心為使自家證書(shū)受用面更廣，廣開(kāi)渠道、相互滲透、拓展市場(chǎng)在所難免，但對(duì)于最終用戶來(lái)說(shuō)，仍存在一張證書(shū)只能 在一定地域或業(yè)務(wù)范圍內(nèi)才能使用的尷尬局面。打破地方保護(hù)、利益條塊分割的做法，為中國(guó)電子商務(wù)發(fā)展做一個(gè)通盤(pán)的考慮，是政府發(fā)展國(guó)內(nèi)信息安全產(chǎn)業(yè)的關(guān)鍵所在。具體到數(shù)字認(rèn)證領(lǐng)域，覆蓋全局的跨國(guó)界、跨地區(qū)、跨行業(yè)之間的交叉認(rèn)證是癥結(jié)所在。據(jù)業(yè)內(nèi)權(quán)威部門(mén)和專家的估計(jì)，全國(guó)有兩到三家大的 CA 認(rèn)證中心就夠了，但具體誰(shuí)能最終活下來(lái)，目前還只能等待市場(chǎng)的篩選。 目前國(guó)內(nèi)對(duì) CA 的認(rèn)識(shí)尚屬初級(jí)階段，知者少，用者微。一般人要么是根本上沒(méi)有認(rèn)識(shí)，要么是有了些認(rèn)識(shí)，但比較膚淺，停留在把 CA僅作為電子商務(wù)憑證的階段，真正能理解 CA“第三方”屬性的更是少之 21 又少。但電子商務(wù)概念的熱浪撲面而來(lái)，一度催生出各種類型和 CA 機(jī)構(gòu)和公司，甚至在網(wǎng)上可以看到某個(gè)人網(wǎng)站在發(fā)送數(shù)字證書(shū)的景象。 國(guó)內(nèi) CA 的機(jī)構(gòu)和公司對(duì) CA有一個(gè)明顯的誤解就是，好像這是一個(gè)誰(shuí)都隨便可以做的東西，而且只要做了就都可以發(fā)財(cái)?shù)摹Ｆ鋵?shí)， CA 是一個(gè)要承擔(dān)很大責(zé)任的機(jī)構(gòu)，和一般的贏利機(jī)構(gòu)和公司是兩種概念?，F(xiàn)在往往是幾個(gè)企業(yè)聯(lián)合，然后找個(gè)政府部門(mén)支持就來(lái)做，每個(gè)地方、每個(gè)城市、每個(gè)地區(qū)都做 CA，其實(shí)這是不利于 CA 發(fā)展的。這個(gè)責(zé)任要有幾個(gè)保障：首先是政府支持，然后是要有經(jīng)濟(jì)實(shí)力 ，出了問(wèn)題要賠得起，相應(yīng)的保險(xiǎn)要做足等等因素缺一不可。 正如人們常見(jiàn)的彩票中獎(jiǎng)現(xiàn)場(chǎng)必須有公證人員宣讀公證書(shū)這一必不可少的環(huán)節(jié)一樣，數(shù)字認(rèn)證機(jī)構(gòu) /中心 /單位不僅是網(wǎng)上安全活動(dòng)的“保護(hù)神”，還是擔(dān)負(fù)“第三方”監(jiān)控、公證職責(zé)的公證員。在某些情況下，“第三方”這一屬性顯得更為重要，然而恰恰相反它被用戶、商家、認(rèn)證中心所忽視。 同樣，對(duì)行業(yè)類認(rèn)證機(jī)構(gòu)的“第三方”屬性也需要認(rèn)真研究。比如證券公司目前提出的交易安全、信息安全概念，主要做的是加解密這一塊工作，他們向股民承諾的是有了這個(gè)認(rèn)證，你的資料、交易 不會(huì)被別人看到，但這只是停留在加解密層面上的安全，但真正的安全還包括身份的確認(rèn)、整個(gè)交易記錄完整性的確認(rèn)等方面，就像做公證一樣，有個(gè)“第三方”的特性，恰恰這個(gè)特性被忽略了。試想，如果一個(gè)股民在交易股票時(shí)發(fā)生了上千萬(wàn)金額的安全問(wèn)題，而證券公司既是這場(chǎng)交易的承辦者，又是安全見(jiàn)證者，處在一個(gè)雙重身份下，能夠保證完全公平地處 22 理問(wèn)題嗎？這種狀況不由得讓人擔(dān)憂“既當(dāng)裁判，又當(dāng)運(yùn)動(dòng)員”的做法在國(guó)內(nèi)電子商務(wù)市場(chǎng)上故伎重演。 如此推斷下去，國(guó)內(nèi)銀行涉足 CA 領(lǐng)域，看上去很好，屬于水到渠成的事情，其實(shí)未必，從“銀行卡” 這一業(yè)務(wù)即可以看出端倪。眾所周知，國(guó)外的銀行一般是不發(fā)卡的，而是通過(guò)像 VISA、 MASTERCARD 這些中間機(jī)構(gòu)來(lái)發(fā)卡，銀行參與其中，使得這幾張卡是最權(quán)威、通用的，也方便了卡的持有者。而國(guó)內(nèi)情況大相徑庭，每個(gè)銀行都發(fā)自己的卡，造成多卡種、跨地域、跨行、流通困難的局面。同樣做 CA，各個(gè)銀行之間、銀行上下之間如何做好利益協(xié)調(diào)、業(yè)務(wù)共通的工作，依然是緊要的問(wèn)題。 目前國(guó)內(nèi)認(rèn)證機(jī)構(gòu)遠(yuǎn)遠(yuǎn)還沒(méi)到達(dá)贏利的平衡線，大家仍在做持續(xù)的投入來(lái)培育這塊在“不久的將來(lái)”會(huì)爆發(fā)的市場(chǎng)，而這個(gè)“不久”，再一次被國(guó)內(nèi)電子商務(wù)低迷 的氣氛所推遲。數(shù)字認(rèn)證作為純粹的網(wǎng)絡(luò)原生業(yè)務(wù)形態(tài)，必然與國(guó)內(nèi)外電子商務(wù)的大氛圍息息相關(guān)。上海、北京、天津等組成的“中國(guó)協(xié)卡認(rèn)證體系”在國(guó)內(nèi)是首家信任服務(wù)和安全服務(wù)的提供商，起步至今已有 3 年的歷史。據(jù)了解， SHECA 從 1999 年上半年SET 證書(shū)系統(tǒng)和通用證書(shū)系統(tǒng)建設(shè)完成至今，正式對(duì)外發(fā)放數(shù)字證書(shū)超過(guò) 12 萬(wàn)張，其中針對(duì)個(gè)人用戶的占絕大部分，約 10 萬(wàn)左右，主要應(yīng)用于安全郵件和網(wǎng)上炒股；其余則發(fā)放給商家和網(wǎng)絡(luò)服務(wù)器。個(gè)人用戶的數(shù)字證書(shū)目前尚屬免費(fèi)階段，即使用于網(wǎng)上炒股，只要券商不單獨(dú)對(duì)其收費(fèi)， SHECA 也從中直接 得不到一分錢(qián)；發(fā)放給企業(yè)用于企業(yè)安全電子郵件、企業(yè)身份識(shí)別的證書(shū)以及服務(wù)器證書(shū)，一般每年年費(fèi)在 1200 元左右，再加上相關(guān)產(chǎn)品與解決方案，每年收入不過(guò)百萬(wàn)元。 23 要 CA 在短期內(nèi)達(dá)到贏利是不現(xiàn)實(shí)的，但它作為網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)之一，必然隨著網(wǎng)絡(luò)的發(fā)展而水漲船高。網(wǎng)絡(luò)和電子商務(wù)的向前發(fā)展的趨勢(shì)是不可逆轉(zhuǎn)的，經(jīng)營(yíng)有方的認(rèn)證機(jī)構(gòu)在 3 年內(nèi)達(dá)到收支平衡是可能的。 （三）我國(guó)電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè) 1. 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的重要性和緊迫性 電子商務(wù)交易順利進(jìn)行的關(guān)鍵問(wèn)題是安全問(wèn)題。解決安全問(wèn)題 的基本條件就是需要具有相應(yīng)的電子商務(wù)認(rèn)證機(jī)構(gòu)，為買(mǎi)賣(mài)雙方提供值得信任的認(rèn)證服務(wù)。從技術(shù)角度講 ， 電子商務(wù)認(rèn)證機(jī)構(gòu)所提供的服務(wù)包括簽證的管理、使用者公鑰的產(chǎn)生與保管，以及密鑰管理三大類。通過(guò)采用國(guó)際上最先進(jìn)的安全保密技術(shù)對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)發(fā)送方、接收方進(jìn)行身份情況確認(rèn)和資信情況確認(rèn)，以保證交易各方信息的安全性、保密性和可靠性。從商業(yè)角度講，每一個(gè)電子合同的簽定，買(mǎi)賣(mài)雙方都需要對(duì)對(duì)方的身份情況、資信情況和經(jīng)營(yíng)情況進(jìn)行認(rèn)證，否則，很難作出正確的決策。所以，通過(guò)認(rèn)證機(jī)構(gòu)來(lái)進(jìn)行買(mǎi)賣(mài)雙方的全面認(rèn)證，是保證網(wǎng)絡(luò)交易安全的重要措施。 由于 CA認(rèn)證在電子商務(wù)中的特殊地位，盡快建立國(guó)家電子商務(wù)認(rèn)證機(jī)構(gòu)已迫在眉睫。 近年來(lái)，國(guó)際組織為建立全球數(shù)字認(rèn)證中心制訂了一系列的標(biāo)準(zhǔn)與法規(guī)，如國(guó)際標(biāo)準(zhǔn)組織（ ISO）已頒布的密鑰鑒別架構(gòu)（ Authentication Framework）標(biāo)準(zhǔn) ISO 95948[2]、開(kāi)放系統(tǒng)連接安全架構(gòu)（ Security Frameworks in Open Systems ） 標(biāo) 準(zhǔn) ISO 10181[3] ， 存 證 （ Nonrepudiation）標(biāo)準(zhǔn) ISO 13888[4]也在草擬中。根據(jù) ISO各項(xiàng)已頒 24 布及草擬中 的相關(guān)標(biāo)準(zhǔn)， Inter網(wǎng)絡(luò)工程技術(shù)小組（ Inter Engineering Task Force）在安全領(lǐng)域方面，正在訂定基于 開(kāi)密鑰基礎(chǔ)建設(shè)標(biāo)準(zhǔn)（ Public Key Infrastructure，簡(jiǎn)稱 PKIX）、通用鑒別技術(shù)（ Common Authentication Technology，簡(jiǎn)稱 CAT）、防火墻通過(guò)鑒別標(biāo)準(zhǔn)（ Authenticated Firewall Traversal，簡(jiǎn)稱 AFT）、簡(jiǎn)單公開(kāi)密鑰基礎(chǔ)建設(shè)標(biāo)準(zhǔn)（ Simple Public Key Infrastructure，簡(jiǎn)稱 SPKI）、交易層安全標(biāo)準(zhǔn)（ Transport Layer Security，簡(jiǎn)稱 TLS）、網(wǎng)絡(luò)交易安全標(biāo)準(zhǔn)（ Web Transaction Security，簡(jiǎn)稱 WTS）等相關(guān)標(biāo)準(zhǔn)，逐步建設(shè)世界權(quán)威性的全球數(shù)字認(rèn)證機(jī)構(gòu)機(jī)制。 認(rèn)證機(jī)構(gòu)的建立，目前已經(jīng)成為電子商務(wù)的一個(gè)熱點(diǎn)問(wèn)題。各個(gè)行業(yè)、各個(gè)部門(mén)都希望建立自己的認(rèn)證機(jī)構(gòu)，許多 ISP 和商品交易中心也嘗試建立自己的認(rèn)證中心。為了保證電子商務(wù)的健康發(fā)展，建立一個(gè)國(guó)家級(jí)的電子商務(wù)認(rèn)證機(jī)構(gòu)，使它能夠聯(lián)系政府部門(mén)的網(wǎng)絡(luò)安全認(rèn)證中心以及各行各業(yè) 現(xiàn)存的認(rèn)證機(jī)構(gòu)，進(jìn)而形成一個(gè)完整的體系，為參與網(wǎng)絡(luò)交易的各方提供法律認(rèn)可的、具有權(quán)威性的商務(wù)認(rèn)證，已經(jīng)成為電子商務(wù)發(fā)展的迫切要求。 2. 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的不同思路 電子商務(wù) 認(rèn)證機(jī)構(gòu)的建立，各國(guó)都非常重視，加拿大和新加坡等國(guó)已經(jīng)建立了政府性認(rèn)證中心。我國(guó)臺(tái)灣地區(qū)有這方面的前車(chē)之鑒。他們雖然建立 CA較早，但由于最初沒(méi)有統(tǒng)一規(guī)劃，形成了銀行系統(tǒng)各自都建有認(rèn)證中心、互不通用的混亂格局，使得客戶購(gòu)物非常不便，調(diào)整起來(lái)也非常困難。有鑒于此，我們應(yīng)吸取教訓(xùn)，盡快形成自己的電子商務(wù)認(rèn) 25 證機(jī)構(gòu)的建設(shè)方案。 關(guān)于認(rèn)證機(jī)構(gòu)的建設(shè)，目前有三種典型的思路。 1）地區(qū)主管部門(mén)認(rèn)為應(yīng)當(dāng)以地區(qū)為中心建立認(rèn)證中心 3。地方政府出面，可以 從建設(shè)初期就統(tǒng)一規(guī)劃、統(tǒng)一布局，組建唯一的地區(qū) CA認(rèn)證中心，負(fù)責(zé)本地區(qū)電子商務(wù)證書(shū)的注冊(cè)、發(fā)放、驗(yàn)證和管理工作。 2）行業(yè)主管部門(mén)認(rèn)為應(yīng)當(dāng)以行業(yè)為中心建立認(rèn)證中心。銀行希望擁有 CA認(rèn)證權(quán)力，它認(rèn)為，金融認(rèn)證中心是電子商務(wù)的一個(gè)核心環(huán)節(jié)，也是實(shí)現(xiàn)網(wǎng)上交易和網(wǎng)上支付的安全保障，因此，由人民銀行組織其他商業(yè)銀行共同興建金融認(rèn)證中心勢(shì)所必然 4，這樣做，也有利于在今后的工作中能夠自由選 擇高服務(wù)質(zhì)量的 ISP；而電信部門(mén)同樣也希望擁有CA認(rèn)證權(quán)力，這樣可以自由選擇銀行 5。密碼管理部門(mén)也希望擁有這樣的權(quán)利。 3）也有人提出建立幾個(gè)國(guó)家級(jí)行業(yè)安全認(rèn)證中心，如銀行系統(tǒng)和國(guó)際貿(mào)易系統(tǒng)，形成一個(gè)認(rèn)證網(wǎng)絡(luò)，然后，實(shí)行相互認(rèn)證 6。 我們認(rèn)為，電子商務(wù)交易認(rèn)證不應(yīng)是單純的政府行為，而應(yīng)當(dāng)由政府授權(quán)，采用市場(chǎng)運(yùn)營(yíng)方式，發(fā)揮私人和行業(yè)的積極性，以便形成競(jìng)爭(zhēng)的局面。認(rèn)證機(jī)構(gòu)的建立，從國(guó)家方面講，目前首先應(yīng)當(dāng)組建國(guó)家級(jí)的CA認(rèn)證中心，負(fù)責(zé)全國(guó)電子商務(wù)證書(shū)的注冊(cè)、發(fā)放、驗(yàn)證和管理工作。然后，按照統(tǒng)一規(guī) 劃、統(tǒng)一布局的原則，在各行業(yè)設(shè)立橫向的職能認(rèn)證機(jī)構(gòu)。在各地區(qū)設(shè)立縱向的分支認(rèn)證機(jī)構(gòu)，從而形成類似于企業(yè)管理中