我国CA建设与发展现状调查

《电子商务安全与风险管理》课程论文题目：我国CA建设与发展现状调查院系名称：管理学院专业班级：电子商务08级1班学生姓名：某某学号：20084690080？成绩评定：调查、资料收集情况（20%）专业知识应用情况（30%）论文、报告的创新性（35%）写作及排版的规范性（15%）总评2011年12月1日1我国CA建设与发展现状调查所谓CA，即电子商务认证授权机构，也称为电子商务认证中心，CA是PKI系统中通信双方都信任的实体，被称为可信第三方（TrustedThirdParty，简称TTP），是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担电子商务公钥体系中公钥的合法性检验的责任。CA(CertificateAuthority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。不可抵赖性，CA不仅要对用户的身份真实性进行验证，也是一个具有权威性、公正性、惟一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证，并负责管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。随着互联网的不断发展，电子商务在全球贸易市场上异军突起，并已经深入到经济社会中的各个角落。许多国家政府部门对电子商务的发展十分重视，并纷纷出台了有关政策和举措。证商务活动过程中系统的安全性是实现电子商务的关键，即保证基于互联网的电子交易过程与传统交易的方式一样安全可靠，CA认证体系建立是保证电子商务安全的重要环节。一、国内CA体系发展现状状况电子商务、电子政务对网络安全的要求，不仅推动着互联网交易秩序和交易环境的建设，同时也带来了巨大的商业利润。从1999年8月3日成立的我国第一家CA认证中心———中国电信CA安全认证系统起，目前我国已有140多家CA认证机构，但大都不具备合法身份。从2004年8月8日《中华人民共和国电子签名法》颁布以后，已被信息产业部审批的合法CA机构已有22家。其中一些行业建成了自己的一套CA体系，如中国金融认证中心（CFCA）、中国电信CA安全认证系统（CTCA）等；还有一些地区建立了区域性的CA体系，如北京数字证书认证中心（BJCA）、上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）、云南省电子商务认证中心（CNCA）等。PKI/CA是一个新生儿，难免有许多问题，最突出的表现在三个方面：1，大多数人对CA中心的建设和运行困难认识明显不足，这些困难包括，在CA中心建设之初，是需要投入大量的资金和进行需达到相当标准的硬件环境建设的，而且在CA中心运行之后，需要解决用户规模、用户信任、保险赔付以及保障中心长期运行的资金2等一系列问题；2，有些地方政府行为有误区，有的地方政府把CA认证看成是一种行政管理的手段，使CA中心的建设走上了计划经济时期，条块分割和地方保护主义的老路，殊不知这正与信息社会的开放性和跨地域性背道而驰；3，目前行业的混乱与相关法律和行业性规范尚未形成有关，除了必需的法律约束之外，政府必须出台这方面的管理政策，不能叫大家盲目地信任某一个CA，而是通过一定的管理办法保证CA是可信的。我国CA市场存在的问题1，我国CA市场存在较严重的同质竞争。据信息产业部的不完全统计，目前我国有CA认证机构140多家，并且还有增建的趋势，而国内电子商务市场对CA的需求远远小于这些CA认证机构的供给量。目前，过多的CA认证中心正在拼抢有限的市场规模，由于并不存在完全的不可替代性，所以这些CA机构都还处于同质竞争阶段。这种竞争的结果是各家认证中心都需要通过价格战占领市场，而过于低廉的费用，不但不能够保证基本的服务，其权威性也会受到质疑。最后CA企业没有动力去开发新的市场，整个行业就处于一种混乱、无序的状态。2，技术层面上并没有形成统一的标准，“互联互通”需要进一步加强。在技术层面上，由于受到美国出口限制的影响，国内的CA认证技术完全靠自己研发。又由于参与部门很多，导致标准不统一，既有国际上的通行标准，又有自主研发的标准，即便是同样的标准，其核心内容也有所偏差，这导致交叉认证过程中出现“各自为政”的局面。到目前为止，国内尚未出台统一的PKI标准或相关的管理规范，也没有一个明确的CA管理机构。这种缺乏统一标准的态势必将造成多种技术标准共存的局面，也是目前我国众多CA中心各方割据、难以互通的一个主要原因。3，CA认证还存在明显的地域性与行业性，重复建设现象严重，无法满足全社会电子商务发展的要求。在分布格局上，目前我国的CA机构还存在明显的地域性和行业性，CA建设仍处于一种无序状态。从国内CA建设开始至今，一直没有出台一个指导国内CA建设的总体规划和管理指南，使得CA建设目的不明、性质不清、重复建设的现象还比较严重。4，行业整体缺乏有效的监督规范，相关法律还不够健全。但随着《电子签名法》和《电子认证服务管理办法》的出台，我国电子商务的发展环境得到一定的改善。特别是《电子签名法》的实施，为国内众多的CA机构设定了门槛，对人员、设备等都做出了明3确的规定。目前按照《电子签名法》的规定，信息产业部已批准了20多家CA机构，可以说开启了CA机构规范化、合法化的进程。但《电子签名法》还需要更进一步的实施规章和细则，这也是目前CA行业最需要解决的问题。我国CA体系整体发展的速度较快，但发展具有一定的盲目性，存在问题较多，与能够适应国际化趋势的大型CA中心还有很大差距。1.我国整体的CA体系还没有建立，CA的布局还是不太合理，发展不太平衡，不同CA相互之间不协调甚至在纵横之间产生冲突的一些现象还存在。2.现在出现了信任孤岛，主要是因为不同CA之间不能互认。这些信任孤岛的存在，对于无边界环境下电子商务的开展带来了很大不便，给电子商务的发展也制造了障碍。我国与国际上数字证书的互认做得就更少了，电子商务是跨地区、跨省市、跨国界发展的，将来如何与国外的CA证书建立一个互认的机制也是电子商务飞速发展的一个需求。3.我国CA应用层次的开发不够，CA应用的接口还不够广泛，深度和广度上差距比较大，CA要想发展好一定要与应用紧密扣在一起，如果应用方面的广度、深度开发不够，CA证书应用的广度、深度自然也不会有提高。二、我国CA体系发展展望电子商务的深入发展为CA的发展提供了广阔的市场空间，国内外经济发展越来越迅速、相互交叉、相互融合的程度越来越紧密，为了满足电子商务的国际化需求，必然要求国内的CA中心与国际性的CA公司进行交叉认证。我国CA体系应向以下几个趋势发展：1.国际化趋势。随着电子商务的深入发展和中国加入WTO，中国经济与世界经济的联系将越来越紧密，为满足电子商务的国际化需求，必然要求国内的CA中心与国际性的/CA公司进行交叉认证。2.商业化趋势。网络并不是一个可信的交易环境，人与人之间不能建立信任，同样政府也不能出面证明，所以CA认证既不同于管理，也不同于法律，而更接近于一种契约，显然这种契约形式的关系更适应于商业化运作。而且可以预计，目前具有浓厚政府色彩的CA中心也将逐步从政府中剥离出来，采取商业化运作。3.集中化趋势。现在已经建设的多个CA中心几乎都有明显的局部特征和探索性质，规模较小而且简单重复，难以满足社会化服务的要求。而且，由于在CA中心自身的权威性要求下，必然需要运作规范，技术、资金实力雄厚，并能适应国际化趋势的大型CA中心来为社会服务。4三、促进CA市场健康发展的对策1.建立有序的CA互通格局我国CA业各地区、各行业分而治之的局面，不利于CA业的长期有序发展，因为现实中的垄断并不能构成互联网上的优势地位，某一领域内的单根认证中心也不利于电子商务的健康发展。例如，银行业完全可以自己发放证书为自己的客户服务，但这种附属于某一家银行的CA中心不太可能给所有行业和公司颁发证书。而基于一个最高级别的根CA（国家根CA）、由多个真正第三方CA构成的多根认证中心才能为各个行业、各个地方的用户提供便利和专业性的服务，从而避免各方在协调和服务过程中出现互相牵扯和不相容。以上海CA（SHECA）倡导建立的UCA认证体系为例，为了推动我国网络信任服务的发展，SHECA联合北京、天津、山东、安徽、昆明、无锡等地的CA认证机构，成立了全国性互通的CA认证体系———中国协卡认证体系UnitedCertificateAuthority，简称UCA，从而实现了跨地区、跨行业的认证，使协卡体系成为全国范围内的互联网安全信任服务提供商。就投资而言，虽然各行业和公司可以运行自己的证书系统，但这不仅建设成本增高，而且技术风险也很大。通常用在CA相关产品购买上的开销仅仅是整个运营成本的一部分，配置、运行和维护一个认证系统所需的持续成本才是巨大的。所以，CA中心的投资应该由一个有稳定收入来源、实力雄厚、承担的风险较小且具有极高信任度的社会机构来承担。2．确保CA技术的可靠性在技术层面，CA中心的建设涉及到国家的主权和利益，不能受制于人，因此在安全和加密技术上应减少对国外技术的依赖，力争在遵循国际标准的基础上，开发拥有自主产权的CA产品。同时，由于CA认证必须具有透明性、社会性和公正性，CA中心必须采取安全可靠的技术和严格高效的管理来保证自身的被信赖度。3．行业管理要标准化、法制化电子商务、电子政务、电子邮件以及其他网上交互活动，都可能要求参与者提供法定的身份证明，而数字签名就是最有效的法定身份证明，因此制定专门的数字签名法是完全必要的。目前，我国相关部门已经在着手开展信息安全标准化工作。2007年4月15日，在北京成立的全国信息安全标准化技术委员会开始制订数字签名、信息安全评估管理等公共信息安全的国家标准。据介绍，信息安全标委会的任务是向国家标准化管理委员会提出信息安全标准化工作的方针、政策和技术措施建议，并负责协调各有关部门提5出一套系统、全面、分布合理的信息安全标准体系。可以预见，随着信息安全领域标准化、法制化建设的日益完善，我国CA业的标准化管理也将逐步发展和健全，CA的建设和应用将走上健康发展的轨道。四、结论中国电子商务认证系统建设中出现的问题，客观上引导CA向一个更加理性、更加实际的方向发展，并将促使中国的电子商务有序渐进的前进。随着时间的推移，电子商务将从根本上改变几千年来形成的传统商业模式，充分体现现代科学技术给人们生活所带来的便利。