电子认证行业研究报告
一、 电子认证行业发展背景:
什么是电子认证?
电子认证(CA, Certificate Authentication)以PKI(公开密钥基础架构)技术为基础,对网络上传输的信息进行加密、解密、数字签名和数字验证。电子认证是电子政务和电子商务中的核心环节,可以确保网上传递信息的保密性、完整性和不可否认性,确保网络应用的安全。(选自百度百科)
1、 中国认证行业的兴起
近年来,以淘宝、阿里巴巴为领军的中国电子商务高速发展,它不但进入社会,而且直接影响到人们的生活。随着电子商务的发展,互联网上安全问题日益突出,作为目前解决网络安全问题的重要手段之一的电子认证,正在发展的关键阶段,自然而然,建立完善的电子认证体系已成为保障电子商务健康发展的关键。
1996年7月,我国中共中央政治局常委会议首次为我国商用密码的发展和管理指明方向:“统一领导、集中管理、定点研制、专控经营、满足使用”。
我国CA系统的起步始于1999年,经过市场调研和一系列可行性研究,由中国人民银行牵头,联合12家全国性商业银行共同建立了国家级金融认证机构——中国金融认证中心(CFCA)。该机构于2000年6月建设完成并开始运营,成为我国百家支持网上金融业务的权威而公正的第三方认证机构。自此之后各地区、各领域、各行业纷纷建立自己的电子认证中心,然而其中很多电子认证服务机构甚至没有任何国家认证资质。
为了规范电子认证服务业健康有序地发展,国家以及各地方出台了一系列电子认证有关的法律、法规、管理办法、条例、行业标准,为电子认证服务业的健康发展奠定了基础。
2、 中国相关政策的支持
2003年9月,中办发【2003】27号文件明确提出,要充分发挥密码在保障电子政务、电子商务安全和保护公民个人信息等方面的重要作用。要建立协调管理机制,规范和加强以身份认证、授权管理、责任认定为主要内容的网络信任体系建设。
2005年4月1日正式实施的《中华人民共和国电子签名法》是我国信息化领域的第一部法律,2009年实施的《电子认证服务管理办法》和《电子签名法》一齐使得CA行业的管理进一步规范化,法制化。《电子签名后》实施后,信息产业部作为电子认证服务业的管理部门,依法对从事电子认证服务的申请进行行政许可审查,同时组织开展相应的监督管理工作。
2007年4月15日,在北京成立的全国信息安全标准化技术委员会将开始制订数字签名、信息安全评估管理等公共信息安全的国家标准。据介绍,信息安全标委会的任务是向国家标准化管理委员会提出信息安全标准化工作的方针、政策和技术措施建议,并负责协调各有关部门,组织提出一套系统、全面、分布合理的信息安全标准体系。
2011年12月6日,中国电子认证服务产业联盟成立。中国电子认证服务产业联盟是在工业和信息化部的指导下,旨在促进电子认证关键技术和产品研发,提升电子认证服务创新能力和水平,推动可靠电子签名的广泛应用,推进网络信任体系建设。
二、 中国电子认证行业现状及特点
1、 中国电子认证行业现状
中国工业和信息化部印发的《电子认证服务业“十二五”发展规划》提出,到“十二五”末期,我国将形成覆盖全国的网络身份认证服务体系,基本形成可靠电子签名认证体系,并在数据电文可靠性认证服务模式探索方面取得积极进展,电子认证服务市场规模突破80亿元。规划称,我国电子认证服务发展空间日益广阔。据统计,截至2010年底,我国有2.78亿个IP地址,866万个域名,191万个网站,网民数量已突破4.5亿,网络购物用户数量1.61亿,电子商务交易额4.5万亿元,电子认证服务市场潜力巨大。
据中国工业和信息化部公布的2013年10月份电子认证服务业动态: 2013年10月电子认证证书数量统计表 证书类型 机构证书 个人证书 设备证书 合计 21,170,781 235,963,424 1,916,571 259,050,776 持有量(张) 319,687 19,506,980 10,875 19,837,542 本月新增数量(张) 1.53% 9.01% 0.57% 8.29% 环比增长率 从中可以发现,我国现阶段电子认证证书数量仍以较快速度增长,其中个人证书其他类别证书类型相比,其总持有量和环比增长率都是最高的。
我国不断推进电子认证服务的体系化、规范化建设,其主要目标就是建设安全可靠的网络信任体系。建立电子认证服务资质申请机制以及电子认证服务机构的监管机制,并且对监督管理工作不断进行完善和创新。
为推动电子认证行业的发展,中国电子签名与认证服务专家组和中国电子认证服务产业联盟(CEAIA)于2012年12月5、6日先后成立。这一联盟的主要宗旨就是推动电子认证产业的发展、加强电子认证技术和创新电子认证服务。我国现阶段还大力促进数字证书交叉认证,推进电子签名与认证应用。在推进数字证书交叉互认工作方面,一方面推进了跨境证书的互认工作,另一方面推进了跨区域的数字证书互认应用。
2、 中国电子认证行业存在的问题
(1)、 电子认证服务业相关法律法规和制度不很健全
中国商务部出台的《中国电子认证服务业发展报告》指出:
目前我国的电子认证和电子商务的法律规范还缺乏系统性和完整性。电子商务的发展需要多方面的保障和支撑,必须构建系统而完善的体系,才能充分保障电子商务的规范发展和电子签名的广泛应用。
电子签名也已经开始应用电子政务的公共服务,如网上年检、网上报税等。《电子签名法》
第三十五条规定:“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法”,但涉及电子签名在“政务活动和其他社会活动中”应用的法律法规和具体办法目前尚未颁布,这从一定程度上阻碍了电子签名在电子政务中的大规模推广。
同时,电子签名在各行各业的应用中,都面临着具体的法律认可的问题。如电子票据是否受法律保护目前仍是疑问。随着电子签名的大规模应用,法律实践中也会暴露出若干问题,还需要司法解释、实施细则以及配套的法规、部门规章、地方法规等来补充。
(2)、 电子认证机构的互联、互通问题有待解决
中国第一家电子认证服务机构出现于1998年,而直到2005年实施《电子签名法》之后,电子认证服务行业才明确了信息产业部为行业主管部门,相应的法律法规才逐步完善。政府的统一管理相对滞后,客观上造成了各家CA机构彼此独立,不能互联互通。此外,虽然各家的证书执行统一的X. 509标准,但此标准只定义了证书原语言基本要素,而其中的选项各不相同,各家发放的数字证书的密码长度、格式的不完全一致,造成了各家发放的数字证书彼此不能互认。
(3)、 电子认证服务标准规范尚不完备
中国电子认证服务行业相关的标准化工作主要由全国信息安全标准化技术委员会组织相关部门、产品开发公司与科研单位进行。在该委员会的推动下,相关的标准已经初具规模,包括PKI系列标准、密码技术标准、物理环境安全标准等。然而,从电子认证服务的技术和管理来讲,这些标准还未形成体系,技术标准方面比较成熟,管理标准、特别是服务标准有待加强。与国外相比,还需要进行大量的标准定制和开发工作,也需要配套有关规范和实施细则。
三、 中国电子认证行业发展未来趋势
2013年11月26日,中国电子认证服务产业联盟工作年会暨电子签名应用创新研讨会在北京召开。会上,工业和信息化部信息安全协调司王宏处长对网站可信认证服务试点工作做了总结,他指出将继续支持网站可信认证、国产服务器证书等电子签名应用。中国电子认证服务产业联盟常务副理事长季金奎总结了电子认证服务产业联盟2013年的工作情况并提出了2014年工作重点,他指出网站可信认证服务不仅是产业联盟2013年的工作重点,也是2014年联盟重点工作之一。
由此可知,国家将进一步加强电子认证行业发展,并加强网站可信认证服务。
四、 中国工业和信息化部核准的行业内具有电子认证资格企业
1、 北京天威诚信电子商务服务有限公司
企业基本情况:
北京天威诚信电子商务服务有限公司(iTrusChina) 是工业和信息化部首批授权的电子认证服务机构之一,是虚拟网络空间身份认证、数据电文认证、证据认证及其应用的专业服务提供商,为办公网、业务网、互联网实现有效应用提供基于电子认证的安全与信任支撑服务。
企业业务属性:
基础业务:依据《中华人民共和国电子签名法》,在国家相关主管部门的直接领导与管理下,运用先进的电子认证技术构建可信身份管理系统、电子认证系统、电子签名及验证系统、证据保全系统,为业务网和互联网应用提供基础认证服务。
办公网业务:基于自主研发的数字证书认证系统(iTrusCA)、统一信任管理平台(iTrusUTS)等产品及解决方案, 帮助企业、事业单位、政府部门的办公应用系统实现基于可信身份的统一帐户、统一授权、统一认证、统一审计的集中管控功能,全面提升信息化应用水平。
业务网业务:为供应链管理、招投标业务、财务资金管理等管理,提供符合电子签名法要求