电子认证服务期待“互联互通”
CA市场大洗牌
《电子签名法》以及配套的《电子认证服务管理办法》于4月1日同时生效。这两部法律法规对电子签名的第三方管理和认证方———CA机构的市场准入条件做了明确的规定和说明,并强制性对全国各地方现有的一百多家CA机构进行重新审批。管理办法明确指出,“已从事电子认证服务的机构拟继续从事电子认证服务的,应在2005年9月30日前依照本办法取得电子认证服务许可;自2005年10月1日起,未取得电子认证服务许可的,不得继续从事电子认证服务。”
此前曾有消息指出《电子签名法》生效后,全国100多家CA认证机构将保留30多家。这次国家将原属于各地方政府的CA认证机构管理权限收归中央统一管理,并进行重新审批,将是对CA认证市场的一次大洗牌。但对于那些通过“二次高考”稳操胜券的大型CA认证机构来说,并不意味着接下来就可以坐拥多出来的市场份额。近日,作为全国CA认证机构的审批及主管部门,信产部信息化推进司的洪京一处长在接受采访时称,为交易双方提供身份认证的第三方认证机构审批已经开始。合格机构将统一技术标准,便于电子签名交易双方均可在相同平台上互相确认。这样看来,各地方的CA认证机构相互间的“互联互通”将成为10月1日以后主管部门以及各CA认证机构要面临的一个问题。但实际上记者在采访中发现,在技术成熟度和市场需求上,CA机构间的“互联互通”都还存在明显不足,短期内还无法实现。
不可能强制采用新标准
由于利益的驱动,自1999年以来,国内的行业和不少地方的政府主管部门纷纷头脑发热,认为建CA就是种摇钱树,能立马带动电子商务和电子政务发展。于是CA机构如雨后春笋般涌现出来。而各地区行业借助各自优势互相争夺,导致各地的CA认证无法互通,电子商务被传统的势力隔离化。而电子商务最大的魅力在于突破地域和空间的限制,CA认证机构本身是为了保障电子商务交易的安全性、促进电子商务的发展而生的,而因为这种隔离化所造成的“信息孤岛”现象与电子商务的初衷是背道而驰的。因此,不同CA认证机构颁发的CA证书实现互通是电子商务的必然要求。
由于到截稿时记者一直无法与权威人士取得联系,所以目前并不清楚其所谓的“统一技术标准”,是采用新的技术架构体系还是兼容现有各地方CA系统的技术标准。但从保护已有投资和避免重复建设的角度来看,采用一种兼容现有CA系统平台的技术标准的可能性最大。
对于洪京一处长的说法,上海CA认证中心政策法务部崔久强在接受时报记者采访时首先以“不会的不会的”作为回答。“国家只会颁布一个相关的技术标准,让各地的CA机构参照这个标准来做,并不会以一个强制性的标准来要求CA机构遵照执行。实际上我们现在也是遵照一些标准在做的,如国际通用的ITU-T X.509标准,所有的CA机构都会遵照这个标准来做,但是在具体实现的时候,各家还有各自不同的特色。到时候只要可以实现彼此间的兼容和互通就可以了。”
亿通国际股份有限公司作为上海电子口岸网的运营商,是电子签名技术的使用者和受益者。该公司技术部经理周凯告诉时报记者,“对于我们来说,不管是市级的还是国家级的,只要是一个交易双方都认可的第三方CA认证机构就可以了。当然可以实现全国范围内的CA认证统一那是最好了。但问题是各地的CA机构作为一种地方性投资是现实存在的,所以不大可能采用新的统一标准。”
技术体系有待完善
上海CA的崔久强向记者介绍说,实现全国CA系统互通的技术方案主要有三种:1、建立一个国家级的根CA;2、所有CA中心进行两两交叉认证 ;3、采用桥CA技术体系。第一种方案目前已经不可能实现。而广义的交叉认证技术已经包含了桥CA技术,我们常说的“交叉认证”指的是狭义上的,就是2个CA机构通过直接签发一张信任证书来实现互联互信,这就会出现一个问题,即如果全国上百家的CA机构都进行两两交叉认证,这个体系会非常复杂,规模会非常大,在管理和操作上都不太可行。
而采用桥CA技术体系则可以实现对不同的CA机构进行类似“中介”的职能,其功能类似银联,与不同银行系统对接,在统一的平台上实现互联互通。桥CA认证机构和各地的CA机构对接,在保留各地CA机构的技术体系不变的前提下,为不同地方的CA机构提供相互认证,从而实现“互通和统一”的目的。所以和交叉认证相比,桥CA体系实现起来要相对容易,而且成本较低。但实际上桥CA技术也只有美国和加拿大在几年前进行过试运营,还有些技术上的问题没有解决,所以目前还没有大规模推广应用的案例。但如果从技术的角度来说,不管采用哪种方式,要实现全国CA机构的“互联互通”至少也需要一年的时间。
