案例中国公钥基础设施事业发展概况

12002年中国公钥基础设施事业发展概况2一、国家重视PKI事业二、PKI应用进一步发展三、国际交流活动31.制定PKI发展规划2.推进法规建设3.加强标准化工作4.建设PKI基础设施5.列入国家高技术研究计划一、国家重视PKI事业发展42002年元月，国务院信息化工作办公室委托“中国PKI论坛”联合国内关单位，开展了《国家PKI体系建设规划课题》的研究课题。1.1制定PKI发展规划5国家PKI体系的基本目标建设具有科学性、权威性、安全性和互通性的完整的国家PKI体系，推进国家信息化建设的健康发展1.1制定PKI发展规划6指导思想统一领导、统一规划、统一标准，由政府主管部门实行授权管理；坚持独立自主的原则，积极支持民族产业和信息安全服务业；高度重视PKI体系自身安全的建设；在统筹规划下，充分发挥各行业、各地区的积极性，分工合作，积极探索与实验、稳步推进1.1制定PKI发展规划7国家PKI体系的构成国家PKI协调管理委员会国外PKI国家电子政务PKI体系国家公共PKI体系8国家PKI协调管理委员会是国家的PKI政策管理机构,负责制定国家PKI管理政策、国家PKI体系发展规划，监督、指导国家电子政务PKI体系和国家公共PKI体系的建设、运行和应用，具体负责审批CA机构的成立和撤消1.1制定PKI发展规划9国家电子政务PKI体系是服务于国家各级机构、组织和部门的内部电子政务业务（如公文流转）的PKI体系负责向参与这些业务的各实体（包括人员、机构和设备）提供信任和安全服务采用严格的层次结构信任模型，由政务根中心（GRCA）、政务认证中心（GCA）和注册机构（RA）组成1.1制定PKI发展规划10国家电子政务PKI体系信任模型采用严格的层次结构信任模型，由政务根中心（GRCA）、政务认证中心（GCA）和注册机构（RA）组成1.1制定PKI发展规划11国家公共PKI体系国家公共PKI体系是服务于各种公众网上业务（包括电子商务业务、政府面向公众服务的电子政务业务和其它信息化应用）的PKI体系,负责向参与网上业务的实体（包括人员、机构和设备）提供信任和安全服务,是与国外PKI体系互联互通的主要窗口1.1制定PKI发展规划12国家公共PKI体系的信任模型国家公共PKI体系采用网状信任模型，由国家桥中心（NBCA）、地区桥中心（LBCA）、公众服务认证中心（SCA）和注册机构（RA）组成国家桥中心NBCA是沟通各地方、各行业建立的CA认证中心的桥梁，它只与CA进行交叉认证，不向最终用户发放证书地区桥中心LBCA功能与NBCA类似，但它是自发组织的机构，代表一批CA与NBCA交叉认证；1.1制定PKI发展规划13国家电子政务PKI体系与国家公共PKI体系的联系国家电子政务PKI体系主要负责向各级国家机关内部提供数字证书服务国家公共PKI体系主要负责向社会公众提供数字证书服务两个体系之间的沟通可以采用桥接技术加以实现。1.1制定PKI发展规划14国家法规建设地方法规建设1.2推进法规建设152002年4月下旬，国务院信息化工作办公室向中国电子信息产业发展研究院(CCID)签发了研究起草《中华人民共和国电子签章条例(草案)》的任务书，CCID随后组织了起草小组开展工作。目前《中华人民共和国电子签章条例(草案)》已完成草案，正在报送审议过程中,预计2003年年底颁布。1.2国家法规建设16在国家推行电子政务和电子商务过程中，电子签章是被呼吁最多也是必不可少的环节。《条例》主旨是将“电子签章”的有效性以法律形式确定下来。《条例》的主要内容包括立法目的与适用范围，电子文档和电子签章的法律效力及有效要件，有关认证机构的市场准入、管理、证书的内容、申请、颁发、认证各方的权利与义务等，认证机构、用户、相对人、管理部门等主体的责任。1.2国家法规建设17第一章总则第二章电子文件第三章电子签章第四章数字签章第五章数字签章的认证第六章附则1.2国家法规建设18上海市信息化办公室、上海市国家密码管理委员会办公室、上海市国家保密局于2002年11月18日发布了《上海市数字认证管理办法》。《办法》共分六章二十七条，明确了数字认证活动的管理主体和管理体制，指出数字认证服务的运营必须经过政府授权才能进行。为了保障证书用户的利益，办法明确规定，认证机构必须在其业务声明中设置赔偿机制，并规定其公布的赔偿限额不得低于所收取证书费用的100倍。1.2地方法规建设19上海市物价局、上海市信息化办公室发布了《关于同意制定本市电子商务数字证书价格的通知》。《价格通知》从价格管理方面规范了上海市的数字认证行为。它指出上海市电子商务数字证书将实行政府指导价，并统一发布了上海市受理发放的个人、企业、服务器、代码签名等各类电子商务数字证书基准价，1.2地方法规建设20个人证书为20元/年，企业身份证书为500元/年，服务器证书为1100元/年上海市《上海市数字认证管理办法》和《关于同意制定本市电子商务数字证书价格的通知》均于2003年1月1日起正式实施。1.2地方法规建设21《广东省电子交易条例》经广东省人大批准于2003年2月1日起正式实施。广东省电子交易条例共有七章三十四条，主要内容有三个方面：确立电子签名的法律地位、规范认证机构的管理和规范电子交易服务提供商的管理。1.2地方法规建设22《条例》在于广东确立了电子签名的法律地位。电子签名与书面签名具有同等法律效力，《条例》能够达到三个目的：发送者的真实身份能够被确认；对所发送的信息无法抵赖；信息一旦被篡改能够被检验出来。目前形式还只限于数字签名。1.2地方法规建设23全国信息安全技术标准化委员会成立PKI/PMI工作组（WG4工作组）。工作组第一次会议2002年7月26日在北京召开。WG4各成员单位的代表共29名1.3加强标准化工作24工作组内与会的专家讨论修改了WG4工作组工作章程。确定了工作组下半年的工作规划和工作重点。1.3加强标准化工作25国内外PKI/PMI标准现状的分析PKI/PMI标准体系制定基于X.509V4/V3版的国内数字证书格式规范制定CA最小互操作规范制定X.509在线证书状态协议制定X.509证书管理协议制定1.3加强标准化工作262002年10月，国家信息中心与“中国PKI论坛”联合起草的“CA互联互通示范工程项目建议书”经国家计委批准立项，我国的CA互联互通工作将开始。1.4建设PKI基础设施27当前我国PKI信任体系建设，没有统一的审批管理部门，没有统一的技术标准，没有统一的管理规范。特别是面向公众服务的PKI信任体系建设条块分割问题突出，已建PKI信任体系基本处于互相分割状态，成为互不关联的信任孤岛1.4建设PKI基础设施28“CA互联互通示范工程”是基于国内目前CA建设运行现状，旨在解决各CA难于互操作甚至互相分割的问题，建设沟通不同PKI信任体系的管理机制和技术机制的一项示范工程。“CA互联互通示范工程”将在提出一套互联互通标准与规范的基础上，建设一个“桥证书机构（BridgeCA，简称BCA）”，作为各个PKI信任体系互联互通的桥梁。在工程中，将根据提出的互联互通技术标准与规范,选择目前国内有代表性的具有一定基础、不同技术体系的典型电子商务证书机构（CA）参与该工程建设，1.4建设PKI基础设施29北京数字证书认证中心、中国电信认证中心、上海市电子商务安全证书管理中心、吉林省电子商务安全认证中心、天津电子商务认证中心福建数字证书中心。1.4建设PKI基础设施30列入863计划PKI关键技术(ZT01-02)研究目标：研究交叉认证技术、桥接技术、弹性CA技术，形成相应的具有自主知识产权的系统和产品，以满足我国信息化发展和信息安全基础设施建设的需求。1.5列入国家高技术研究计划31研究内容及主要指标：根据目前我国PKI/CA体系建设中急需解决的互操作问题，研究开发CA之间的交叉认证技术。研究具有系统鲁棒性的CA系统技术，增加CA系统的安全性、可用性。主要关键技术包括：1)CA交叉认证和桥接技术2)弹性CA技术主要指标：*实现国内主流CA的互操作。*实现CA系统的容灾功能。1.5列入国家高技术研究计划32截止2002年底,目前国内的CA机构已有区域型、行业型、商业型和企业型四类，前三种CA机构已有60余家，58%的省市建立了区域CA，部分部委建立了行业CA，二、PKI应用进一步发展33区域类CA证书机构。大多以地方政府为背景、以公司机制来运作,主要为本地行政区域内电子商务业务与面向公众服务的电子政务业务发放证书;行业类CA证书机构。以部委或行业主管部门为背景,以非公司机制或公司机制运作,在本部委系统或行业内为电子政务业务和电子商务业务发放证书;商业类CA证书机构。以公司机制运作,面向全国范围为电子商务业务发放证书;内部自用类CA证书机构,主要是企事业单位自建的证书机构,为自身内部业务发放证书,不向公众提供证书服务。二、PKI应用进一步发展34数字证书在电子政务、网络银行、网上证券、B2B交易、网上税务申报、资金结算、财政预算单位资金划拨、工商网上申报和网上年检等众多领域行业得到应用。据不完全统计,国内各CA证书机构目前已签发的证书约已达250万张以上。二、PKI应用进一步发展35中国电子口岸数据中心CA认证中心主要是为海关报关单核查核销系统、海关通关业务系统服务,目前已签发证书约30万张。中国金融认证中心是金融行业认证中心，以提供银行证书为主，2002年签发证书已达到10.5万张。使用对象主要是网上银行，目前已有相当一批银行成功地使用证书进行网上支付和转账，如建设银行、中信实业银行、光大银行、华夏银行、福建兴业银行等。2002年证券业也开始使用CA证书进行网上交易。有16家证券公司已建立了中国金融认证中心证书登记审批机构（RA）。另外逐渐开始为企业内部网上交易提供认证服务。二、PKI应用进一步发展36中国电子口岸数据中心CA认证中心主要是为海关报关单核查核销系统、海关通关业务系统服务,目前已签发证书约30万张。中国金融认证中心是金融行业认证中心，以提供银行证书为主，2002年签发证书已达到10.5万张。使用对象主要是网上银行，目前已有相当一批银行成功地使用证书进行网上支付和转账，如建设银行、中信实业银行、光大银行、华夏银行、福建兴业银行等。2002年证券业也开始使用CA证书进行网上交易。有16家证券公司已建立了中国金融认证中心证书登记审批机构（RA）。另外逐渐开始为企业内部网上交易提供认证服务。二、PKI应用进一步发展37天威诚信CA中心与新浪合作推出国内首个国际漫游的安全认证企业邮箱合作推出的，它基于浏览器的邮件加密，并支持漫游服务。现已签发了12万张个人邮件证书。二、PKI应用进一步发展38上海市CA中心从1998年底给江总书记颁发第一张CA证书起，已经有超过35万的各类企业、政府机构和个人成为了上海市CA中心数字证书的用户，应用领域遍及电子政务、网络银行、网上证券、B2B交易、网上税务申报等等众多领域;和上海热线联合推出安全电子邮件服务，用数字证书对邮件加密和数字签名，确保邮件内容的安全和防止他人冒名发信与发件人否认已发邮件。二、PKI应用进一步发展39北京市CA中心已经成功的将CA证书应用于市政府的电子政务网、税务系统的网上报税、技术监督系统的组织代码证、信息传呼中心的网上招标及商业银行的网上银行。天津市CA中心已经将CA证书应用于网上纳税、网上炒汇、资金结算、财政预算单位资金划拨，年资金流量超过2亿元。二、PKI应用进一步发展40福建省为推动“数字福建”的建设进程，省政府办公厅已发出“在全省范围内使用福建省数字安全证书”的函。福建省CA为福建政务网提供的8000多份CA证书，用于各级政府部门领导干部在网上浏览到自己权限范围内允许浏览的所有文件；并已有十万家企业申请了CA认证，实现了网上申报和网上年检。二、PKI应用进一步发展41宁夏自治区政府专门发文要求各有关部门应用CA证书。现宁夏CA中心已经与工商、税务、技术监督、证券交易等部门进行了全面的合作。二、PKI应用进一步发展42200