中国pki事业发展概况

《中国pki事业发展概况》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

中国PKI事业发展概况中国PKI论坛吴亚非前言公钥基础设施(PKI，PublicKeyInfrastructure)是一种基于公开密钥理论和技术建立起来的安全体系，为网络用户、设备提供信息安全服务的具有普适性的信息安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证，核心是要解决信息网络空间中的信任问题，确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的唯一性、真实性和合法性，保护信息网络空间中各种主体的安全利益。PKI作为国家信息化的基础设施，涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题，是相关技术、应用、组织、规范和法律法规的总和，其本身是国家综合实力的体现。一个完整的PKI系统由认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)五大系统构成。国家重视PKI事业2002年以来，国家在以下几个方面采取了实质性措施，推进我国PKI事业的发展:1.制定PKI发展规划信息安全问题涉及到国家安全、社会公共安全和公民个人安全的方方面面，而PKI又是国家信息安全基础设施的重要组成部分。世界各国，尤其是发达国家，已逐步认识到PKI涉及重大国家利益，是互联网经济的制高点，也是推动互联网发展、保障交易安全、推动电子政务、电子商务的支撑点。因此，建立我国的国家PKI体系已成为促进我国电子政务以及整个国家信息化发展的战略措施，否则，我国将在新一轮的竞争中处于不利地位。由于PKI作为国家信息安全基础设施的重要战略地位以及核心技术(密码技术)的特殊敏感性，中国PKI体系的建立与发展既不能简单地照搬国外的技术与架构，也不能盲目地完全走自由市场的道路。国家PKI体系应在国家控制和主导下，制定统一的发展战略和管理模式，在走向市场化道路的同时，应由国家负责统一协调、管理和监控,以打破一些行业内部的变相垄断，加强各行业之间的合作，避免重复建设，促进平等竞争，建设一个有利于发展我国网络经济的体系，进而推动国民经济和社会信息化发展。 2002年元月，国务院信息化工作办公室委托“中国PKI论坛”联合国内相关单位，开展了《国家PKI体系建设规划课题》的研究课题。经过研究课题组专家们的努力，课题组确定了国家PKI体系总体目标是：建设具有科学性、权威性、安全性和互通性的完整PKI体系，为国家信息化建设保驾护航；国家PKI体系将由组织体系、管理体系、技术体系、标准体系和法律体系组成。国家PKI体系结构图如下:国家PKI协调管理委员会：负责制定PKI相关政策，监督和管理政策的实施。批准政府根CA证书机构和公众服务证书机构(SCA)的设立和证书策略(CP，CertificatePolicies)与认证操作规范(CPS，CertificationPracticeStatement)，保证其法律效力。负责安全策略的审查及核准。政府根CA：根据国家PKI协调管理委员会的相关政策，运营全国电子政务认证体系的根CA证书机构，其主要职责包括：(1)运行管理电子政务根CA证书机构；(2)批准政府各部委和省(或直辖市)建立用于政府内部办公的CA证书机构和CP与CPS；(3)为各部委、地区的CA证书机构签发证书，并对它们的安全状态查询。各行业和地区CA证书机构：负责管理用于内部认证的各级CA证书机构和RA。公众服务证书机构SCA：各级政府在参与社会活动或与其它公民发生相关业务时，作为组织法人(与公民处于同等的法律地位)进入相应SCA认证体系，享有与公民对等的义务，承担对等的法律责任。国家CA桥接中心NBCA：根据国家PKI协调管理委员会的相关政策和规范，作为SCA认证体系的桥接中心，对由各行业、各区域建立的SCA进行交换。代表国家与国外CA证书机构进行互认。不同行业和区域，可以根据国家PKI协调管理委员会规定的有关政策和规范，设立相应的CA证书机构，如金融、证券、电信、外贸等行业CA证书机构和区域性CA证书机构。行业CA证书机构和区域CA证书机构均可以面向全国发放证书，提供相应的信息安全服务。2.推进法规建设(1)国家法规建设2002年4月下旬，国务院信息化工作办公室向中国电子信息产业发展研究院(CCID)签发了委托后者研究起草《中华人民共和国电子签章条例(草案)》的任务书，CCID随后组织了起草小组开展工作。目前《中华人民共和国电子签章条例(草案)》已完成草案，正在报送审议过程中,预计2003年年底颁布。在国家推行电子政务和电子商务过程中，电子签章是被呼吁最多也是必不可少的环节。《条例》主旨是将“电子签章”的有效性以法律形式确定下来。《条例》的主要内容包括立法目的与适用范围，电子文档和电子签章的法律效力及有效要件，有关认证机构的市场准入、管理、证书的内容、申请、颁发、认证各方的权利与义务等，认证机构、用户、相对人、管理部门等主体的责任等等。采取的原则包括：功能等同原则，即规定在符合一定技术规范及法定要件前提下，赋予电子文档、电子签章与传统书面文件、手写签名和印章同等的法律效力；技术中立原则，既在电子签章中，使用不同的技术，可以为交易与信息的安全提供不同的保障。《条例》具有鲜明的特色：一是立足国情，密切结合我国信息化建设实际。其调整对象不仅包括电子商务，也包括电子政务等与电子签章相关的业务；二是充分吸收国际成熟经验，特别是联合国国际贸易法委员会所提出的功能等同原则和技术中心原则；三是将电子文档的法律效力纳入《条例》的规范范围。(2)地方法规建设上海市：上海市信息化办公室、上海市国家密码管理委员会办公室、上海市国家保密局于2002年11月18日发布了《上海市数字认证管理办法》。《办法》共分六章二十七条，明确了数字认证活动的管理主体和管理体制，指出数字认证服务的运营必须经过政府授权才能进行。为了保障证书用户的利益，《办法》明确规定，认证机构必须在其业务声明中设置赔偿机制，并规定其公布的赔偿限额不得低于所收取证书费用的100倍。 《办法》的发布，规范了上海市范围内的数字认证业务和行为，它对于维护数字认证活动当事人权益，加强数字认证管理，保障电子政务、电子商务及其他网上活动安全，促进上海市的数字认证业务经营机构的发展具有重大意义。与此同时，上海市物价局、上海市信息化办公室发布了《关于同意制定本市电子商务数字证书价格的通知》。《价格通知》从价格管理方面规范了上海市的数字认证行为。它指出上海市电子商务数字证书将实行政府指导价，并统一发布了上海市受理发放的个人、企业、服务器、代码签名等各类电子商务数字证书基准价，如个人证书为20元/年，企业身份证书为500元/年，服务器证书为1100元/年，并明确规定了“电子政务及其他网上活动数字证书的价格”参照本通知中的基准价，具体证书定价在基准价格基础上可上下浮动20%。上海市《上海市数字认证管理办法》和《关于同意制定本市电子商务数字证书价格的通知》均于2003年1月1日起正式实施。广东省：《广东省电子交易条例》经广东省人大批准于2003年2月1日起正式实施。从2003年2月1日起，广东的企业及个人网上交易的电子合同将具有法律效力。《条例》的主要突破就在于广东确立了电子签名的法律地位。企业或个人只要到具有合法认证资格的电子商务认证机构去申请一张自己的数字证书，就相当于在网上拥有一张自己的“身份证”。《条例》能够达到三个目的：发送者的真实身份能够被确认；对所发送的信息无法抵赖；信息一旦被篡改能够被检验出来。安全的电子签名与书面签名具有同等法律效力，目前形式还只限于数字签名。《广东省电子交易条例》共有七章三十四条，主要内容有三个方面：确立电子签名的法律地位、规范认证机构的管理和规范电子交易服务提供商的管理。此外，自2000年6月以来，广东省的电子交易认证机构已有三家。(3)加强标准化工作2002年4月新成立的全国信息安全标准化技术委员会非常重视PKI标准化工作,7月份在北京成立了PKI/PMI(WG4)工作组并召开第一次工作会议,确定2002年PKI标准化工作的重点是：国内外PKI/PMI标准体系的分析；研究PKI/PMI标准体系；国内急用标准调研；完成一批PKI/PMI基础性标准的制定。根据会议确定的工作重点，WG4工作组安排了七个项目组开展工作。国家标准(X.509V4/V3版)的转化工作和信息安全有关专用术语项目组，由中国电子技术标准化研究所做召集单位，全体工作组成员参加；国内外PKI/PMI标准现状分析项目组，由国家信息中心信息安全研究与服务中心做召集单位；PKI/PMI标准体系研究项目组，由国家信息安全工程技术中心做召集单位；基于X.509的国内证书标准X.509C证书格式规范项目组，由吉大正元公司做召集单位；PKI组件最小互操作规范项目组，由中科院国家信息安全重点实验室做召集单位；X.509在线证书状态查询协议项目组，由国家信息安全基础设施研究中心做召集单位；X.509CPKI证书管理协议项目组，由创原天地科技有限公司做召集单位。2002年底，X.509C证书格式规范国家标准送审稿和信息安全专用术语通过全国信息安全标准化技术委员会组织的评审，X.509C证书格式规范国家标准送审稿已向国家标准化管理委员会申报为国家标准。其余四个标准完成了报批稿，准备进行评审。另外WG4工作组还承担了公安部下达的《PKI系统安全保护等级评估准则》和《PKI系统安全保护等级技术要求》两个行业标准的制订工作,并将由工作组组织修改完善后向全国信息安全标准化技术委员会申报为国家标准。(4)建设PKI基础设施目前我国在PKI/CA体系的建设中已经做了许多工作，建立一些区域性证书机构和部门证书机构，一些证书机构正进行证书机构间的互操作实验。但由于各种原因，国家在PKI/CA建设方面，没有统一的审批管理部门，没有统一的技术标准和管理规范。并且由于行政管理权限与地方和部门利益等因素，当前我国PKI信任体系建设，特别是面向公众服务的PKI信任体系建设条块分割问题突出，已建PKI信任体系基本处于互相分割状态，成为互不关联的信任孤岛；同时，已建成的PKI信任体系规模小，利用率低。这种局面若不尽早改变，将会阻碍我国信息安全产业的发展，严重影响中国信息化建设进程。建立国家PKI体系已成为发展信息化的必要的战略措施。因此，解决已建PKI信任体系互联互通问题，推动完整的国家PKI信任体系的形成已成为我国当前PKI信任体系建设的首要任务。2002年10月，国家信息中心与“中国PKI论坛”联合起草的“CA互联互通示范工程项目建议书”经国家计委批准立项，我国的CA互联互通工作将开始启动。“CA互联互通示范工程”是基于国内目前CA建设运行现状，旨在解决各CA难于互操作甚至互相分割的问题，建设沟通不同PKI信任体系的管理机制和技术机 制的一项示范工程。“CA互联互通示范工程”将在提出一套互联互通标准与规范的基础上，建设一个“桥证书机构(BridgeCA，以下简称BCA)”，作为各个PKI信任体系互联互通的桥梁。在工程中，将根据提出的互联互通技术标准与规范,选择目前国内有代表性的具有一定基础、不同技术体系的典型电子商务证书机构(CA)参与该工程建设，包括：北京数字证书认证中心、中国电信认证中心、上海市电子商务安全证书管理中心、吉林省电子商务安全认证中心、天津电子商务认证中心和福建数字证书中心。经过配套工程的建设,进行互联互通互操作,实现六个CA间的互联互通和信任域的扩展,为建设我国电子商务的安全可信环境做出示范。工程还将选择1-2项具体的应用业务进行应用示范，为不同PKI信任域中的用户建立信任关系，验证BCA技术在沟通不同PKI信任体系方面的有效性。同时，在工程中将开展BCA运行、管理模式的探索，建立BCA的运行、管理体制与管理规范。PKI应用进一步发展1.证书机构建设自1998年中国出现第一家CA证书机构(中国电信CA认证中心，CTCA)以来，已有许多CA证书机构建成并运行，开始在电子商务和电子政务应用中发挥作用。目前我国的CA证书机构可分为区域类、行业类、商业类和内部自用(企业)类。区域类CA证书机构大多以地方政府为背景、以公司机制来运作,主要为本地行政区域内电子商务业务与面向公众服务的电子政务业务发放证书；行业类CA证书机构以部委或行业主管部门为背景,以非公司机制或公司机制运作,在本部委系统或行业内为电子政务业务和电子商务业务发放证书；商业类CA证书机构以公司机制运作,面向全国范围为电子商务业务发放证书；内部自用类CA证书机构,主要是企事业单位自建的证书机构,为自身内部业务发放证书,不向公众提供证书服务。截止2002年底,国内的CA机构已有区域型、行业型、商业型和企业型四类，前三种CA机构已有60余家，58%的省市建立了区域CA，部分部委建立了行业CA，数字证书在电子政务、网络银行、网上证券、B2B交易、网上税务申报、资金结算、财政预算单位资金划拨、工商网上申报和网上年检等众多领域得到应用。内部自用类CA证书机构因其性质不进行统计。另有部分部委与省市已将建设本部门和本地化的CA证书机构中心列入信息化计划。2.应用面扩大北京、上海、天津、山西、福建、宁夏等地，已经将CA证书应用到政府网上办公、企业网上纳税、股民网上炒股、个人安全电子邮件等多个方面，并取得了良好的社会效益和经济效益。北京市CA中心已经成功地将CA证书应用于市政府的电子政务网、税务系统的网上报税、技术监督系统的组织代码证、信息传呼中心的网上招标及商业银行的网上银行。上海市CA中心从1998年底给江总书记颁发第一张CA证书起，已经有超过35万的各类企业、政府机构和个人成为上海市CA中心数字证书的用户，应用领域遍及电子政务、网络银行、网上证券、B2B交易、网上税务申报等众多领域；并且和上海热线联合推出了安全电子邮件服务，用数字证书对邮件加密和数字签名，确保邮件内容的安全和防止他人冒名发信与发件人否认已发邮件。天津市CA中心已经将CA证书应用于网上纳税、网上炒汇、资金结算、财政预算单位资金划拨，年资金流量超过2亿元。山西省CA中心将CA证书应用于网上煤炭交易系统，为网上煤炭交易提供了完备的安全保障。福建省为推动“数字福建”的建设进程，省政府办公厅已发出“在全省范围内使用福建省数字安全证书”的文函。福建省CA为福建政务网提供的8000多份CA证书，用于各级政府部门的领导干部在网上浏览自己权限范围内允许浏览的所有文件；并已有十万家企业申请了CA认证，实现了网上申报和网上年检。与此同时，税务、海关、会展业、超市业、拍卖业、配送业、邮政业等各种网上交易平台，也将陆续引进CA认证。宁夏自治区政府专门发文要求各有关部门应用CA证书。现宁夏CA中心已经与工商、税务、技术监督、证券交易等部门进行了全面的合作。天威诚信CA中心与新浪合作推出国内首个国际漫游的安全认证企业邮箱，它基于浏览器的邮件加密，并支持漫游服务。现已签发了12万张个人邮件证书。中国金融认证中心是金融行业认证中心，以提供银行证书为主，2002年签发证书已达到10.5万张。使用对象主要是网上银行，目前已有相当一批银行成功地使用证书进行网上支付和转账，如建设银行、中信实业银行、光大银行、华夏银行、福建兴业银行等。2002年证券业 也开始使用CA证书进行网上交易。有16家证券公司已建立了中国金融认证中心证书登记审批机构(RA)。另外逐渐开始为企业内部网上交易提供认证服务。中国电子口岸数据中心CA认证中心主要是为海关报关单核查核销系统、海关通关业务系统服务,目前已签发证书约30万张。据不完全统计,国内各CA证书机构目前已签发的证书已达150万张以上。国际交流活动PKI作为电子商务重要的安全基础设施,在未来的全球电子商务业务中将发挥极重要的作用。为确保中国国家经济安全,维护我国加入WTO后在全球经济活动中的主权,2001年,经国家计委领导批准,“中国PKI论坛”代表中国参加“亚洲PKI论坛”,并任“亚洲PKI论坛”副主席。2002年来,在国家计委和国务院信息化工作办公室的支持和领导下,“中国PKI论坛”秘书处积极组织业内相关单位开展国际交流活动,有3批40多人次分别参加了在日本、新加坡等地由“亚洲PKI论坛”组织的商务、国际合作、互操作实验等方面的交流活动,用电视会议的方式参加“亚洲PKI论坛”在台北举行的交流活动，在北京与“亚洲PKI论坛”秘书处进行了十多次的业务交流,与日本、韩国、新加坡等国进行了双办合作洽谈；接待了韩国PKI论坛、台湾PKI论坛、香港PKI论坛、日本PKI论坛成员来访；中国PKI论坛、台湾PKI论坛、香港PKI论坛三方确定了开展大中华地区CA互操作实验；和PKI领域中的国际知名公司，如Baltimore、Entrust、日立、富士通、TrustAsia等建立了联系；建立了中国PKI论坛网站。2002年7月,受“亚洲PKI论坛”委托，“中国PKI论坛”承办了在北京举行的“亚洲PKI论坛”第二届年会、理事会和国际研讨会。来自中国、日本、韩国、新加坡、马来西亚、中国台北和中国香港七个成员的近60位代表出席了年会、理事会。理事会会议推选日本继任2002年-2003年度“亚洲PKI论坛”主席国,日本PKI促进会主席、日立公司董事长金井务先生继任“亚洲PKI论坛”主席,中国、韩国继任副主席,接纳中国澳门和印度为“亚洲PKI论坛”新成员；“亚洲PKI论坛”技术兼容组、商务应用组、立法组和国际合作组的负责人在2002年年会上介绍了各工作组的发展规划并进行了小组讨论；国际研讨会还就在亚洲国家和地区进一步促进PKI共用,促进PKI在电子商务中推广及应用,围绕着PKI互联互通技术与环境，亚洲国家有关PKI的法律体制，PKI的商业应用及推广之间的合作进行了交流。300多名国内代表参加了国际研讨会。国际研讨会期间，国家计委常务副主任、国家信息中心主任王春正接见了“亚洲PKI论坛”主席和副主席，表示国家计委将继续支持“亚洲PKI论坛”以及“中国PKI论坛”的工作；国家计委高技司司长马德秀女士和国务院信息办网络与信息安全组吕诚昭副组长在国际研讨会上致词,表示将一如既往地支持“中国PKI论坛”的工作,促进我国信息安全产业的发展。存在的问题与对策我国PKI/CA建设还处在起步的阶段，无论发证量还是应用水平和范围与发达国家相比，尚存在亟待解决的问题。这些问题主要有：1.各家CA基本处于互相分割状态，成为互不关联的信任孤岛；2.已建CA规模小，利用率低，产业有待重组；3.总体来看，已建CA自身安全考虑不够全面，安全强度较弱；4.CA地位在我国现行法律中尚未得到合法的保证；5.技术和产品供应厂商层次不齐，缺乏国家的统一标准指导。这些问题产生的原因主要有以下几个方面：1.缺乏国家整体规划和统一指导；2.缺乏有力的法律支持，至今国家尚未出台一个和PKI/CA、数字签名等相关的政策和法律法规；3.在目前尚未确立国家标准的情况下，各家CA在实施中对已与国际相关标准和管理规范理解有较大的差距。针对以上问题,国家已决定组建国家PKI管理部门,对PKI工作统一领导、统一规划、统一标准,使我国的PKI建设进入良性发展的道路。