2002 年
中国公钥基础设施
事业发展概况
1
一、国家重视PKI事业
二、 PKI应用进一步发展
三、 国际交流活动
2
1. 制定PKI发展规划
2. 推进法规建设
3. 加强标准化工作
4. 建设PKI基础设施
5. 列入国家高技术研究计划
一、国家重视PKI事业发展
3
2002年元月,国务院信息化工作办公
室委托“ 中国PKI论坛”联合国内
关单位,开展了《国家PKI体系建设
规划课题》的研究课题。
制定PKI发展规划
4
国家PKI体系的基本目标
建设具有科学性、权威性、安全性和
互通性的完整的国家PKI体系,推进
国家信息化建设的健康发展
制定PKI发展规划
5
指导思想
统一领导、统一规划、统一标准,由政府主管部
门实行授权管理;
坚持独立自主的原则,积极支持民族产业和信息
安全服务业;
高度重视PKI体系自身安全的建设;
在统筹规划下,充分发挥各行业、各地区的积极
性,分工合作,积极探索与实验、稳步推进
制定PKI发展规划
6
国家PKI体系的构成
国家PKI协调管理委员会
国外PKI国家
电子政务PKI
体系
国家
公共PKI
体系
7
国家PKI协调管理委员会
是国家的PKI政策管理机构,负责制定国
家PKI管理政策、国家PKI体系发展规划,
监督、指导国家电子政务PKI体系和国家公
共PKI体系的建设、运行和应用,具体负责
审批CA机构的成立和撤消
制定PKI发展规划
8
国家电子政务PKI体系
是服务于国家各级机构、组织和部门
的内部电子政务业务(如公文流转)的PKI
体系
负责向参与这些业务的各实体(包括人
员、机构和设备)提供信任和安全服务
采用严格的层次结构信任模型,由政务根
中心(GRCA)、政务认证中心(GCA)和注
册机构(RA)组成
制定PKI发展规划
9
国家电子政务PKI体系信任模型
采用严格的层次结构信任模型,由政
务根中心(GRCA)、政务认证中心(GCA)
和注册机构(RA)组成
制定PKI发展规划
10
国家公共PKI体系
国家公共PKI体系是服务于各种公众网
上业务(包括电子商务业务、政府面向公
众服务的电子政务业务和其它信息化应用)
的PKI体系, 负责向参与网上业务的实体
(包括人员、机构和设备)提供信任和安
全服务,是与国外PKI体系互联互通的主要
窗口
制定PKI发展规划
11
国家公共PKI体系的信任模型
国家公共PKI体系采用网状信任模型,由国家桥中心
(NBCA)、地区桥中心(LBCA)、公众服务认证中心
(SCA)和注册机构(RA)组成
国家桥中心NBCA是沟通各地方、各行业建立的CA认
证中心的桥梁,它只与CA进行交叉认证,不向最终用户发
放证书
地区桥中心LBCA功能与NBCA类似,但它是自发组织
的机构,代表一批CA与NBCA交叉认证;
制定PKI发展规划
12
国家电子政务PKI体系与国家公共PKI体系的联系
国家电子政务PKI体系主要负责向各级国家
机关内部提供数字证书服务
国家公共PKI体系主要负责向社会公众提供
数字证书服务两个体系之间的沟通可以采用桥接
技术加以实现。
制定PKI发展规划
13
国家法规建设
地方法规建设
推进法规建设
14
2002年4月下旬,国务院信息化工作办
公室向中国电子信息产业发展研究院
(CCID)签发了研究起草《中华人民共和国
电子签章条例(草案)》的任务书,CCID随
后组织了起草小组开展工作。目前《中华
人民共和国电子签章条例(草案)》已完成
草案,正在报送审议过程中, 预计2003年
年底颁布。
国家法规建设
15
在国家推行电子政务和电子商务过程中,电
子签章是被呼吁最多也是必不可少的环节。
《条例》主旨是将“电子签章”的有效性以法律
形式确定下来。《条例》的主要内容包括立法目
的与适用范围,电子文档和电子签章的法律效力
及有效要件,有关认证机构的市场准入、管理、
证书的内容、申请、颁发、认证各方的权利与义
务等,认证机构、用户、相对人、管理部门等主
体的责任。
国家法规建设
16
第一章 总则
第二章 电子文件
第三章 电子签章
第四章 数字签章
第五章 数字签章的认证
第六章 附则
国家法规建设
17
上海市信息化办公室、上海市国家密码管理
委员会办公室、上海市国家保密局于2002年11月
18日发布了《上海市数字认证管理办法》。
《办法》共分六章二十七条,明确了数字认证
活动的管理主体和管理体制,指出数字认证服务
的运营必须经过政府授权才能进行。为了保障证
书用户的利益,办法明确规定,认证机构必须在
其业务声明中设置赔偿机制,并规定其公布的赔
偿限额不得低于所收取证书费用的100倍。
地方法规建设
18
上海市物价局、上海市信息化办公室发布了《关
于同意制定本市电子商务数字证书价格的通知》。
《价格通知》从价格管理方面规范了上海市的数
字认证行为。它指出上海市电子商务数字证书将
实行政府指导价,并统一发布了上海市受理发放
的个人、企业、服务器、代码签名等各类电子商
务数字证书基准价,
地方法规建设
19
个人证书为20元/年,企业身份证书为500元 /年,
服务器证书为1100元/年
上海市《上海市数字认证管理办法》和《关于同
意制定本市电子商务数字证书价格的通知》均于
2003年1月1日起正式实施。
地方法规建设
20
《广东省电子交易条例》经广东省人大批准于
2003年2月1日起正式实施。
广东省电子交易条例共有七章三十四条,主要内
容有三个方面:确立电子签名的法律地位、规范
认证机构的管理和规范电子交易服务提供商的管
理。
地方法规建设
21
《条例》在于广东确立了电子签名的法律地位。
电子签名与书面签名具有同等法律效力,
《条例》能够达到三个目的:发送者的真实身份
能够被确认;对所发送的信息无法抵赖;信息一
旦被篡改能够被检验出来。目前形式还只限于数
字签名。
地方法规建设
22
全国信息安全技术标准化委员会成立PKI/PMI工
作组( WG4工作组)。
工作组第一次会议 2002年7月26日在北京召开。
WG4各成员单位的代表共29名
加强标准化工作
23
工作组内与会的专家讨论修改了WG4工作组工作
章程。
确定了工作组下半年的工作规划和工作重点。
加强标准化工作
24
国内外PKI/PMI标准现状的分析
PKI/PMI标准体系制定
基于
规范制定
CA最小互操作规范制定
在线证书状态协议制定
证书管理协议制定
加强标准化工作
25
2002年10月,国家信息中心与“中国PKI论坛
”联合起草的“CA互联互通示范工程项目建议书
”经国家计委批准立项,我国的CA互联互通工作
将开始。
建设PKI基础设施
26
当前我国PKI信任体系建设,没有统一的审批管理
部门,没有统一的技术标准,没有统一的管理规
范。
特别是面向公众服务的PKI信任体系建设条块分割
问题突出,已建PKI信任体系基本处于互相分割状
态,成为互不关联的信任孤岛
建设PKI基础设施
27
“CA互联互通示范工程”是基于国内目前CA建设运行现状,
旨在解决各CA难于互操作甚至互相分割的问题,建设沟通
不同PKI信任体系的管理机制和技术机制的一项示范工程。
“CA互联互通示范工程”将在提出一套互联互通标准与规
范的基础上,建设一个“桥证书机构(Bridge CA,简称
BCA)”,作为各个PKI信任体系互联互通的桥梁。
在工程中,将根据提出的互联互通技术标准与规范,选择目
前国内有代表性的具有一定基础、不同技术体系的典型电
子商务证书机构(CA)参与该工程建设,
建设PKI基础设施
28
北京数字证书认证中心、
中国电信认证中心、
上海市电子商务安全证书管理中心、
吉林省电子商务安全认证中心、
天津电子商务认证中心
福建数字证书中心 。
建设PKI基础设施
29
列入863计划
PKI关键技术(ZT01-02)
研究目标:
研究交叉认证技术、桥接技术、弹性
CA技术,形成相应的具有自主知识产权的
系统和产品,以满足我国信息化发展和信
息安全基础设施建设的需求。
列入国家高技术研究计划
30
研究内容及主要指标:
根据目前我国PKI/CA体系建设中急需解决的
互操作问题,研究开发CA之间的交叉认证技术。
研究具有系统鲁棒性的CA系统技术,增加CA系统
的安全性、可用性。主要关键技术包括:
1) CA交叉认证和桥接技术
2) 弹性CA技术
主要指标:
*实现国内主流CA的互操作。
*实现CA系统的容灾功能。
列入国家高技术研究计划
31
截止2002年底, 目前国内的CA机构已有区域型、
行业型、商业型和企业型四类,前三种CA机构已
有60余家,58%的省市建立了区域CA,部分部委
建立了行业 CA,
二、 PKI应用进一步发展
32
区域类CA证书机构。大多以地方政府为背景、以公司机制来运作,
主要为本地行政区域内电子商务业务与面向公众服务的电子政务
业务发放证书;
行业类CA证书机构。以部委或行业主管部门为背景, 以非公司机
制或公司机制运作,在本部委系统或行业内为电子政务业务和电子
商务业务发放证书;
商业类CA证书机构。以公司机制运作, 面向全国范围为电子商务
业务发放证书;
内部自用类CA证书机构, 主要是企事业单位自建的证书机构, 为
自身内部业务发放证书,不向公众提供证书服务。
二、 PKI应用进一步发展
33
数字证书在电子政务、网络银行、网上证券、B2B交易、网
上税务申报、资金结算、财政预算单位资金划拨、工商网
上申报和网上年检等众多领域行业得到应用。
据不完全统计, 国内各CA证书机构目前已签发的证书约已
达250万张以上。
二、 PKI应用进一步发展
34
中国电子口岸数据中心CA认证中心主要是为海关报关单核
查核销系统、海关通关业务系统服务, 目前已签发证书约30
万张。
中国金融认证中心是金融行业认证中心,以提供银行证书
为主,2002年签发证书已达到万张。使用对象主要是网
上银行,目前已有相当一批银行成功地使用证书进行网上
支付和转账,如建设银行、中信实业银行、光大银行、华
夏银行、福建兴业银行等。2002年证券业也开始使用CA证
书进行网上交易。有16家证券公司已建立了中国金融认证
中心证书登记审批机构(RA)。另外逐渐开始为企业内部
网上交易提供认证服务。
二、 PKI应用进一步发展
35
中国电子口岸数据中心CA认证中心主要是为海关报关
单核查核销系统、海关通关业务系统服务, 目前已签发证书
约30万张。
中国金融认证中心是金融行业认证中心,以提供银行证书
为主,2002年签发证书已达到万张。使用对象主要是网
上银行,目前已有相当一批银行成功地使用证书进行网上
支付和转账,如建设银行、中信实业银行、光大银行、华
夏银行、福建兴业银行等。2002年证券业也开始使用CA证
书进行网上交易。有16家证券公司已建立了中国金融认证
中心证书登记审批机构(RA)。另外逐渐开始为企业内部
网上交易提供认证服务。
二、 PKI应用进一步发展
36
天威诚信CA中心与新浪合作推出国内首个国际漫游的
安全认证企业邮箱合作推出的,它基于浏览器的邮件加密,
并支持漫游服务。现已签发了12万张个人邮件证书。
二、 PKI应用进一步发展
37
上海市CA中心从1998年底给江总书记颁发第一张CA证
书起,已经有超过35万的各类企业、政府机构和个人成为
了上海市CA中心数字证书的用户,应用领域遍及电子政务、
网络银行、网上证券、B2B交易、网上税务申报等等众多领
域; 和上海热线联合推出安全电子邮件服务,用数字证书
对邮件加密和数字签名,确保邮件内容的安全和防止他人
冒名发信与发件人否认已发邮件。
二、 PKI应用进一步发展
38
北京市CA中心已经成功的将CA证书应用于市政府的电子政
务网、税务系统的网上报税、技术监督系统的组织代码证、
信息传呼中心的网上招标及商业银行的网上银行。
天津市CA中心已经将CA证书应用于网上纳税、网上炒汇、
资金结算、财政预算单位资金划拨,年资金流量超过2 亿元。
二、 PKI应用进一步发展
39
福建省为推动“数字福建”的建设进程,省政府办公
厅已发出“在全省范围内使用福建省数字安全证书”的函。
福建省CA为福建政务网提供的8000多份CA证书,用于各级
政府部门领导干部在网上浏览到自己权限范围内允许浏览
的所有文件;并已有十万家企业申请了CA认证,实现了网
上申报和网上年检。
二、 PKI应用进一步发展
40
宁夏自治区政府专门发文要求各有关部门应用CA证书。现
宁夏CA中心已经与工商、税务、技术监督、证券交易等部
门进行了全面的合作。
二、 PKI应用进一步发展
41
2001年,经国家计委领导批准, “中国PKI论坛”代表
中国参加“亚洲PKI论坛”, 并任“亚洲PKI论坛”副主席。
三、国际交流活动
42
2002年来, “中国PKI论坛” 秘书处积极组织业内相
关单位开展国际交流活动, 有3批40多人次分别参加了在日
本、新加坡等地由“亚洲PKI论坛”组织的商务、国际合作、
互操作实验等方面的交流活动, 用电视会议的方式参加“
亚洲PKI论坛”在台北在举行的交流活动, 在北京与“亚洲
PKI论坛”秘书处进行了十多次的业务交流, 与日本、韩国、
新加坡等国进行了双办合作洽谈;接待了韩国、台湾、香
港、日本成员来访;中国、台湾、香港三方确定了开展大
中华地区CA互操作实验;
三、国际交流活动
43
2002年7月, 受“亚洲PKI论坛”委托, “中国
PKI论坛”承办了在北京举行的“亚洲PKI论坛”
第二届年会、理事会和国际研讨会。来自中国、
日本、韩国、新加坡、马来西亚、中国台北和中
国香港七个成员的近60位代表出席年会、理事会。
300多名国内代表参加了国际研讨会。
三、国际交流活动
44
45
46
47
48
49
50