中国PKI事业发展概况

《中国PKI事业发展概况》由会员分享，可在线阅读，更多相关《中国PKI事业发展概况（5页珍藏版）》请在金锄头文库上搜索。

1、中国 PKI 事业发展概况中国 PKI 论坛吴亚非前言公钥基础设施(PKI，Public Key Infrastructure)是 一种基于公开密钥理论和技术建立起来的安全体系，为 网络用户、设备提供信息安全服务的具有普适性的信息 安全基础设施。该体系在统一的安全认证标准和规范基 础上提供在线身份认证，核心是要解决信息网络空间中 的信任问题，确定信息网络空间中各种经济、军事和管 理行为主体( 包括组织和个人) 身份的唯一性、真实性和合 法性，保护信息网络空间中各种主体的安全利益。PKI 作 为国家信息化的基础设施，涉及到电子政务、电子商务 以及国家信息化的整体发展战略等多层面问题，是相关 技术

2、、应用、组织、规范和法律法规的总和，其本身是 国家综合实力的体现。一个完整的 PKI 系统由认证机构 (CA) 、数字证书库、密钥备份及恢复系统、证书作废系 统、应用接口(API) 五大系统构成。国家重视 PKI 事业2002 年以来，国家在以下几个方面采取了实质性措 施，推进我国 PKI 事业的发展:1. 制定 PKI 发展规划 信息安全问题涉及到国家安全、社会公共安全和公民个人安全的方方面面，而 PKI 又是国家信息安全基础 设施的重要组成部分。世界各国，尤其是发达国家，已 逐步认识到 PKI 涉及重大国家利益，是互联网经济的制 高点，也是推动互联网发展、保障交易安全、推动电子 政务、电子

3、商务的支撑点。因此，建立我国的国家 PKI 体系已成为促进我国电子政务以及整个国家信息化发展 的战略措施，否则，我国将在新一轮的竞争中处于不利 地位。由于 PKI 作为国家信息安全基础设施的重要战略地 位以及核心技术( 密码技术) 的特殊敏感性，中国 PKI 体 系的建立与发展既不能简单地照搬国外的技术与架构， 也不能盲目地完全走自由市场的道路。国家 PKI 体系应 在国家控制和主导下，制定统一的发展战略和管理模式， 在走向市场化道路的同时，应由国家负责统一协调、管 理和监控 , 以打破一些行业内部的变相垄断，加强各行业 之间的合作，避免重复建设，促进平等竞争，建设一个 有利于发展我国网络经济

4、的体系，进而推动国民经济和 社会信息化发展。2002 年元月，国务院信息化工作办公室委托“中国 PKI 论坛”联合国内相关单位，开展了国家 PKI 体系 建设规划课题的研究课题。经过研究课题组专家们的 努力，课题组确定了国家 PKI 体系总体目标是：建设具 有科学性、权威性、安全性和互通性的完整 PKI 体系，为 国家信息化建设保驾护航；国家 PKI 体系将由组织体系、 管理体系、技术体系、标准体系和法律体系组成。国家 PKI 体系结构图如下:国家 PKI 协调管理委员会：负责制定 PKI 相关政策， 监督和管理政策的实施。批准政府根 CA 证书机构和公 众服务证书机构( S C A ) 的设

5、立和证书策略( C P ， Certificate Policies)与认证操作规范(CPS，Certification Practice Statement)，保证其法律效力。负责安全策略 的审查及核准。政府根 CA：根据国家 PKI 协调管理委员会的相关政 策，运营全国电子政务认证体系的根 CA 证书机构，其 主要职责包括：(1) 运行管理电子政务根 CA 证书机构；(2) 批准政府各部委和省(或直辖市)建立用于政府内 部办公的 CA 证书机构和 CP 与 CPS ；(3) 为各部委、地区的 CA 证书机构签发证书，并对 它们的安全状态查询。各行业和地区 CA 证书机构：负责管理用于内部认

6、证 的各级 CA 证书机构和 RA 。公众服务证书机构 SCA：各级政府在参与社会活动或 与其它公民发生相关业务时，作为组织法人( 与公民处于 同等的法律地位) 进入相应 SCA 认证体系，享有与公民 对等的义务，承担对等的法律责任。国家 CA 桥接中心 NBCA ：根据国家 PKI 协调管理委 员会的相关政策和规范，作为 SCA 认证体系的桥接中 心，对由各行业、各区域建立的 SCA 进行交换。代表国家与国外 CA 证书机构进行互认。 不同行业和区域，可以根据国家 PKI 协调管理委员会规定的有关政策和规范，设立相应的 CA 证书机构，如 金融、证券、电信、外贸等行业 CA 证书机构和区域性

7、 CA 证书机构。行业 CA 证书机构和区域 CA 证书机构均 可以面向全国发放证书，提供相应的信息安全服务。2. 推进法规建设(1) 国家法规建设2002 年 4 月下旬，国务院信息化工作办公室向中国 电子信息产业发展研究院(CCID) 签发了委托后者研究起 草中华人民共和国电子签章条例( 草案) 的任务书， CCID 随后组织了起草小组开展工作。目前中华人民共 和国电子签章条例( 草案)已完成草案，正在报送审议过 程中 , 预计 2003 年年底颁布。在国家推行电子政务和电子商务过程中，电子签章 是被呼吁最多也是必不可少的环节。条例主旨是将 “电子签章”的有效性以法律形式确定下来。条例的

8、主要内容包括立法目的与适用范围，电子文档和电子签 章的法律效力及有效要件，有关认证机构的市场准入、 管理、证书的内容、申请、颁发、认证各方的权利与义 务等，认证机构、用户、相对人、管理部门等主体的责 任等等。采取的原则包括：功能等同原则，即规定在符合一定技术规范及法定 要件前提下，赋予电子文档、电子签章与传统书面文件、 手写签名和印章同等的法律效力；技术中立原则，既在 电子签章中，使用不同的技术，可以为交易与信息的安 全提供不同的保障。条例具有鲜明的特色：一是立足国情，密切结合 我国信息化建设实际。其调整对象不仅包括电子商务， 也包括电子政务等与电子签章相关的业务；二是充分吸 收国际成熟经验，

9、特别是联合国国际贸易法委员会所提 出的功能等同原则和技术中心原则；三是将电子文档的 法律效力纳入条例的规范范围。(2) 地方法规建设 上海市：上海市信息化办公室、上海市国家密码管理委员会办公室、上海市国家保密局于 2002 年 11 月 18 日发布了上海市数字认证管理办法。办法共分六 章二十七条，明确了数字认证活动的管理主体和管理体 制，指出数字认证服务的运营必须经过政府授权才能进 行。为了保障证书用户的利益，办法明确规定，认证 机构必须在其业务声明中设置赔偿机制，并规定其公布 的赔偿限额不得低于所收取证书费用的 100 倍。办法的发布，规范了上海市范围内的数字认证业 务和行为，它对于维护数

10、字认证活动当事人权益，加强 数字认证管理，保障电子政务、电子商务及其他网上活 动安全，促进上海市的数字认证业务经营机构的发展具 有重大意义。与此同时，上海市物价局、上海市信息化办公室发 布了关于同意制定本市电子商务数字证书价格的通 知。价格通知从价格管理方面规范了上海市的数字 认证行为。它指出上海市电子商务数字证书将实行政府 指导价，并统一发布了上海市受理发放的个人、企业、服 务器、代码签名等各类电子商务数字证书基准价，如个 人证书为 20 元 / 年，企业身份证书为 500 元 / 年，服务 器证书为 1100 元 / 年，并明确规定了“电子政务及其他 网上活动数字证书的价格”参照本通知中的

11、基准价，具 体证书定价在基准价格基础上可上下浮动 20% 。上海市上海市数字认证管理办法和关于同意 制定本市电子商务数字证书价格的通知均于 2003 年 1月 1 日起正式实施。 广东省：广东省电子交易条例经广东省人大批准于 2003 年 2 月 1 日起正式实施。从 2003 年 2 月 1 日起， 广东的企业及个人网上交易的电子合同将具有法律效力。条例的主要突破就在于广东确立了电子签名的法律地 位。企业或个人只要到具有合法认证资格的电子商务认 证机构去申请一张自己的数字证书，就相当于在网上拥 有一张自己的“身份证”。条例能够达到三个目的：发 送者的真实身份能够被确认；对所发送的信息无法抵赖

12、； 信息一旦被篡改能够被检验出来。安全的电子签名与书 面签名具有同等法律效力，目前形式还只限于数字签名。广东省电子交易条例共有七章三十四条，主要内 容有三个方面：确立电子签名的法律地位、规范认证机 构的管理和规范电子交易服务提供商的管理。此外，自 2000 年 6 月以来，广东省的电子交易认证 机构已有三家。(3) 加强标准化工作2002 年 4 月新成立的全国信息安全标准化技术委员 会非常重视 PKI 标准化工作 , 7 月份在北京成立了 PKI/ PMI(WG4) 工作组并召开第一次工作会议 , 确定 2002 年 PKI 标准化工作的重点是：国内外 PKI/PMI 标准体系的 分析；研究

13、 PKI/PMI 标准体系；国内急用标准调研；完 成一批 PKI/PMI 基础性标准的制定。根据会议确定的工作重点，WG4 工作组安排了七个 项目组开展工作。国家标准(X.509V4/V3 版) 的转化工作和信息安全有关专用术语项目组，由中国电子技术标准 化研究所做召集单位，全体工作组成员参加；国内外 PKI/PMI 标准现状分析项目组，由国家信息中心信息安 全研究与服务中心做召集单位；PKI/PMI 标准体系研究 项目组，由国家信息安全工程技术中心做召集单位；基 于 X.509 的国内证书标准 X.509C 证书格式规范项目组， 由吉大正元公司做召集单位；PKI 组件最小互操作规范 项目组，

14、由中科院国家信息安全重点实验室做召集单位； X.509 在线证书状态查询协议项目组，由国家信息安全 基础设施研究中心做召集单位；X.509C PKI 证书管理 协议项目组，由创原天地科技有限公司做召集单位。2002 年底，X.509C 证书格式规范国家标准送审稿和 信息安全专用术语通过全国信息安全标准化技术委员会 组织的评审，X.509C 证书格式规范国家标准送审稿已向 国家标准化管理委员会申报为国家标准。其余四个标准 完成了报批稿，准备进行评审。另外 WG4 工作组还承担 了公安部下达的PKI 系统安全保护等级评估准则和PKI 系统安全保护等级技术要求两个行业标准的制订 工作 , 并将由工作

15、组组织修改完善后向全国信息安全标准 化技术委员会申报为国家标准。(4) 建设PKI基础设施目前我国在 PKI/CA 体系的建设中已经做了许多工 作，建立一些区域性证书机构和部门证书机构，一些证 书机构正进行证书机构间的互操作实验。但由于各种原 因，国家在 PKI/CA 建设方面，没有统一的审批管理部 门，没有统一的技术标准和管理规范。并且由于行政管 理权限与地方和部门利益等因素，当前我国 PKI 信任体 系建设，特别是面向公众服务的 PKI 信任体系建设条块 分割问题突出，已建 PKI 信任体系基本处于互相分割状 态，成为互不关联的信任孤岛；同时，已建成的 PKI 信 任体系规模小，利用率低。

16、这种局面若不尽早改变，将 会阻碍我国信息安全产业的发展，严重影响中国信息化 建设进程。建立国家 PKI 体系已成为发展信息化的必要 的战略措施。因此，解决已建 PKI 信任体系互联互通问 题，推动完整的国家 PKI 信任体系的形成已成为我国当 前 PKI 信任体系建设的首要任务。2002 年 10 月，国家信 息中心与“中国 PKI 论坛”联合起草的“CA 互联互通 示范工程项目建议书”经国家计委批准立项，我国的 CA 互联互通工作将开始启动。“CA 互联互通示范工程”是基于国内目前 CA 建设 运行现状，旨在解决各 CA 难于互操作甚至互相分割的 问题，建设沟通不同 PKI 信任体系的管理机制和技术机制的一