電子認證服務(wù)四大糾結(jié)

申請免費試用、咨詢電話：400-8352-114

“理論上講，網(wǎng)絡(luò)上但凡需要進行身份認證、交易、簽名的地方，都需要電子認證與簽名服務(wù)?！惫I(yè)和信息化部信息安全協(xié)調(diào)司副司長歐陽武在多個不同場合都曾經(jīng)這樣表示。

為什么會這樣說？這是因為，互聯(lián)網(wǎng)迅猛發(fā)展，網(wǎng)絡(luò)經(jīng)濟已經(jīng)成為一種新興的經(jīng)濟形態(tài)。在這一新的經(jīng)濟環(huán)境下，如何讓網(wǎng)絡(luò)具有可信度，是保證網(wǎng)絡(luò)經(jīng)濟時代經(jīng)濟信息安全所面臨的重要挑戰(zhàn)。“事實上，這已經(jīng)成為了互聯(lián)網(wǎng)信息安全的一個突出問題。”歐陽武認為。

“國家正在積極倡導(dǎo)的網(wǎng)絡(luò)實名制，就是要打造一個可信任的網(wǎng)絡(luò)機制，在這其中，使用電子認證和簽名技術(shù)完全能實現(xiàn)可信任網(wǎng)絡(luò)機制的目標?！北本?shù)字證書認證中心有限公司總經(jīng)理詹榜華說，采用數(shù)字證書技術(shù)，對網(wǎng)上個人身份、機構(gòu)的身份、服務(wù)器身份進行認證和簽名，通過第三方中立的電子認證服務(wù)機構(gòu)對數(shù)字證書進行認證，是建立互聯(lián)網(wǎng)上信任機制的一種好辦法。

毫無疑問，電子簽名認證服務(wù)市場巨大，前景喜人。

不過回到現(xiàn)實，情況卻不樂觀。從工業(yè)和信息化部了解到的數(shù)據(jù)，截至到2010年5月31日，中國市場總共發(fā)放的數(shù)字證書只有區(qū)區(qū)1000多萬張，其中機構(gòu)數(shù)字證書6066257張、個人數(shù)字證書5347239張、設(shè)備證書9986張。再看另一組工信部的數(shù)據(jù)，截止到2010年4月22日，中國的上網(wǎng)人數(shù)達到4.04億人。易觀國際最新的數(shù)據(jù)，截止到2010年3月底，中國網(wǎng)銀用戶數(shù)達到2.11億！另據(jù)2010年4月份在Gizmodo上公布的一份由INTAC繪制的全球?qū)Ｓ梅?wù)器數(shù)量圖上看，全球服務(wù)器數(shù)量粗略估計已經(jīng)達到了5000萬臺以上。

數(shù)字不比不知道，一比嚇一跳！《電子簽名法》實施5周年來，中國的數(shù)字證書發(fā)放量比較起網(wǎng)民數(shù)、網(wǎng)銀用戶數(shù)和服務(wù)器數(shù)量，連1/20都不到，實在太微不足道了。這當然一方面說明，中國的電子認證服務(wù)市場大有可為; 另一方面也不得不令人產(chǎn)生疑問，是什么原因阻礙了數(shù)字證書在中國的快速應(yīng)用？

《計算機世界》報社記者經(jīng)過多方調(diào)查采訪，總結(jié)出目前電子認證服務(wù)市場的四大糾結(jié)所在。

糾結(jié)一:數(shù)字證書不為人所知

很多人不了解數(shù)字證書——這是阻礙電子認證服務(wù)市場的第一大攔路虎。

為了了解究竟有多少業(yè)內(nèi)人士了解數(shù)字證書（CA）和數(shù)字證書服務(wù)機構(gòu)（CA機構(gòu)），記者曾經(jīng)在泛普軟件的用戶中心發(fā)起一份調(diào)查: 你了解電子簽名和認證技術(shù)嗎？結(jié)果只有18.9%的人完全了解; 45.67%的人了解一些; 35.43%的人完全不了解。網(wǎng)友對調(diào)查的評論中有人說，“第一次聽到CA，還以為是數(shù)字電視的條件接收呢”; 還有人問，“這個CA機構(gòu)與CA公司是什么關(guān)系？”調(diào)查結(jié)果非常令人失望，這還是在專業(yè)IT人士中的一次調(diào)查。在普通老百姓中呢？有多少人了解電子簽名和認證呢？結(jié)果更不敢想象。

記者身邊的很多朋友，經(jīng)常使用網(wǎng)銀，其中不少使用了諸如U盾等各大商業(yè)銀行發(fā)行的USB Key。當記者詢問他們?yōu)槭裁匆脮r，他們的回答往往很模糊，認為這是銀行推薦的，也不知道為什么有了“用戶名和密碼”或者“刮刮卡”，還要用USB Key？

“這就是普通百姓對數(shù)字證書的最大認識誤區(qū)，很多人只將電子認證作為身份認證的手段，等同于用戶名/密碼、動態(tài)口令等技術(shù)，這是對電子認證作用的片面理解。”詹榜華告訴記者，“電子認證服務(wù)除了對身份進行認證外，最重要的是實現(xiàn)電子簽名。電子簽名能保證信息的完整性和簽名人對數(shù)據(jù)電文的認可，這是用戶名/密碼、動態(tài)口令等技術(shù)無法實現(xiàn)的，這才是電子認證最重要的價值，丟掉這一點，無異于‘自貶身價’、‘丟了西瓜，撿了芝麻’?！?/P>

現(xiàn)實中，包括銀行在內(nèi)的一些數(shù)字認證服務(wù)機構(gòu)，對自己的員工并沒有進行專業(yè)的數(shù)字認證服務(wù)培訓(xùn)，員工可能自己都不懂，就更不具備對普通用戶進行告之、解釋和宣傳的能力了。

北京市東城區(qū)是實施電子簽名與認證技術(shù)應(yīng)用相對比較早的地區(qū)，他們在區(qū)內(nèi)電子政務(wù)應(yīng)用平臺上使用了數(shù)字證書，讓每個公務(wù)員都必須實名登錄進入電子政務(wù)網(wǎng)。另據(jù)東城區(qū)信息化工作辦公室倪東副主任介紹，因為了解了電子認證服務(wù)的好處，東城區(qū)在全區(qū)范圍內(nèi)向社區(qū)全科醫(yī)生也推廣了電子簽名和數(shù)字證書。回想當初在開始推行這套系統(tǒng)時，倪東坦言難度不小?！按蠹覄傞_始用的時候很多人對數(shù)字證書都不了解，也不知道怎么用，所以我們當時是到全區(qū)幾十個社區(qū)醫(yī)療衛(wèi)生服務(wù)點去逐一培訓(xùn)，教會一個再教下一個。”

雖然一方面政府職能部門和電子認證服務(wù)機構(gòu)在大力倡導(dǎo)、積極推進電子簽名的應(yīng)用。但是另一方面，作為用戶機構(gòu)，很多人還是不了解新興的電子簽名認證服務(wù)。比如，雖然電子病歷的熱潮將電子簽名推向前臺，但是很多醫(yī)療機構(gòu)的CIO對于電子簽名的需求目前都還處于認識模糊階段。

“首先對于電子簽名的應(yīng)用場景不甚明了，電子簽名是用于環(huán)節(jié)與環(huán)節(jié)之間（譬如: 醫(yī)生與護士之間、醫(yī)生與執(zhí)行科室之間）的確認？ 用于醫(yī)院向有關(guān)機構(gòu)舉證的確認？用于對完成或者未完成病歷的確認？還是對完成或者未完成醫(yī)療記錄的確認？這些問題目前都還不清楚。其次，對于電子簽名的適用性也比較模糊，譬如: 基礎(chǔ)設(shè)施條件、簽名時機、對系統(tǒng)性能的影響、對數(shù)據(jù)庫中的數(shù)據(jù)如何簽名等?！苯夥跑娍傖t(yī)院計算機室主任薛萬國自稱，他本人對于上述這些問題都是很模糊的，因此，在考慮是否采用數(shù)字證書及電子認證服務(wù)時，也還處于摸索階段。

此外，對于其他一些新興的行業(yè)，比如電子商務(wù)、網(wǎng)絡(luò)游戲領(lǐng)域，數(shù)字證書能為他們帶來什么？目前各方對此都比較謹慎。以網(wǎng)游行業(yè)為例，網(wǎng)游行業(yè)最令人頭疼的問題應(yīng)該是對玩家的虛擬財產(chǎn)、虛擬武器、游戲賬號的安全保護問題。憑想象，電子簽名技術(shù)應(yīng)該是能應(yīng)用在這其中的，但實際情況上，網(wǎng)游領(lǐng)域是數(shù)字證書尚未開墾的一片處女地，需要認證服務(wù)機構(gòu)和網(wǎng)游技術(shù)開發(fā)者共同探討，尋找到數(shù)字證書與應(yīng)用合作的契合點，才可能真正將數(shù)字證書應(yīng)用到網(wǎng)游領(lǐng)域，那時，市場就真正打開了。

總之，人們不了解數(shù)字證書，一方面是因為數(shù)字證書確實還是個新興的市場領(lǐng)域，還需要政府管理部門、CA機構(gòu)不斷反復(fù)地向用戶宣傳、講解; 另一方面，也需要CA機構(gòu)與應(yīng)用單位密切合作，找到真正的應(yīng)用點，才能在一個又一個新領(lǐng)域不斷開花結(jié)果。

糾結(jié)二:證書使用體驗差

當下，越來越多的IT產(chǎn)品和IT服務(wù)都在強調(diào)要給用戶提供最佳的使用體驗。就例如蘋果的手機、平板電腦，自從上市之后，即使是要從自己腰包中掏出不少銀子，它們還是受到了各類用戶的熱捧，究其原因，很重要的一個原因就是這些產(chǎn)品給用戶帶來了極佳的使用體驗。

用戶所理解的電子認證服務(wù)的產(chǎn)品，往往就是存儲了用戶數(shù)字證書的USB Key，雖然它插上電腦就可以使用，但是對于很多不太熟悉電腦使用的人來說，使用起來還是有些麻煩。

首先是安裝的復(fù)雜性導(dǎo)致用戶的擔(dān)心。記者在安裝某商業(yè)銀行網(wǎng)上銀行數(shù)字證書的時候，就曾經(jīng)遇到系統(tǒng)不兼容的問題，記者的電腦安裝了微軟Windows7操作系統(tǒng)，數(shù)字證書安裝中提示要求使用低版本的操作系統(tǒng)。為此，記者向該銀行客服人員咨詢，對方表示這是屬于技術(shù)問題，用戶只能按照要求降低系統(tǒng)版本。試想，誰愿意僅僅為了使用數(shù)字證書而重新安裝操作系統(tǒng)呢？

其次是與其他流行通用軟件不能相互認證性，導(dǎo)致使用體驗差。廣州市信息安全測評中心副主任周曉斌對記者說: “在中國，使用數(shù)字證書的人群中，至少90%不是專業(yè)IT人員，對于數(shù)字證書的使用或多或少都會遇到各種問題。例如，數(shù)字證書的驅(qū)動程序，很多對瀏覽器有很高的要求。比如現(xiàn)在很多網(wǎng)銀使用的數(shù)字證書不支持微軟最新的IE8瀏覽器、不支持Firefox瀏覽器，這給消費者使用會帶來很大的麻煩?！蓖瑫r，不被流行的瀏覽器認證，將導(dǎo)致用戶經(jīng)常面臨“我的數(shù)字證書是否安全”的困惑，由此制約數(shù)字證書的發(fā)放。以服務(wù)器數(shù)字證書為例，國內(nèi)很多電子認證服務(wù)機構(gòu)提供的服務(wù)器數(shù)字證書沒有經(jīng)過微軟瀏覽器的安全認證，這會導(dǎo)致普通用戶在訪問基于微軟瀏覽器的數(shù)字證書時，系統(tǒng)會反復(fù)提示: “你遇到了不安全的數(shù)字證書，是否還要繼續(xù)?！痹囅?，遇到這樣的提示，哪個用戶敢不掂量一下安全的風(fēng)險就繼續(xù)使用？即使有人還繼續(xù)愿意使用，接下來還需要安裝各種控件，這就給很多用戶帶來某種心理陰影——認為自己安裝的證書不一定安全。這種陰影成為了國內(nèi)設(shè)備數(shù)字證書發(fā)放量到目前為止還不超過1萬張的根本原因。

第三，各種CA機構(gòu)頒發(fā)的數(shù)字證書不能相互認證，也是制約數(shù)字證書發(fā)放的原因之一。記者手頭就曾經(jīng)有3家網(wǎng)銀的USB Key，但各自無法通用，使用起來非常不方便。過去有專家曾經(jīng)提議建立“根CA”或“橋CA”，目的是希望通過一個USB Key保存多個數(shù)字證書，來訪問多個應(yīng)用。但由于技術(shù)和商業(yè)模式的原因，這兩種方式最終流產(chǎn)，而各個CA機構(gòu)依然在條塊分割的市場各自為戰(zhàn)，這樣，帶來的最終結(jié)果是增加了用戶的使用難度。

糾結(jié)三:自建CA隱患大

根據(jù)工業(yè)和信息化部網(wǎng)站披露的信息,截至2010年5月31日，全中國有效電子認證證書持有量合計11,423,482張。

但是有業(yè)內(nèi)專家估計，全中國實際使用的數(shù)字證書的數(shù)量是這個數(shù)字的好幾倍。那這些證書從何而來的呢？“都是從那些沒有經(jīng)過國家主管部門審批許可的電子認證服務(wù)機構(gòu)發(fā)出來的?！痹搶＜乙徽Z點破了這個“公開的秘密”。

目前，中國對電子認證服務(wù)行業(yè)實行的是行政許可和市場準入制度，2005年實施的《電子簽名法》及《電子認證服務(wù)管理辦法》確立了合法電子認證服務(wù)機構(gòu)的認定程序和法律責(zé)任: 由國務(wù)院信息產(chǎn)業(yè)主管部門依法對電子認證服務(wù)機構(gòu)實施監(jiān)督管理。這意味著，依照《電子簽名法》成立的獲得了工信部市場許可的CA機構(gòu)，其簽發(fā)的數(shù)字證書以及使用有效數(shù)字證書進行的可靠電子簽名，均具法律效力。而那些沒有獲得工業(yè)和信息化部等權(quán)威部門許可的非第三方CA機構(gòu)，根據(jù)《電子簽名法》的規(guī)定，它們在未取得電子認證服務(wù)許可證前，其涉及的電子簽名的法律效力有待鑒別。目前，沒有獲得國家主管部門批準建立的非第三方電子認證服務(wù)機構(gòu)主要集中在金融行業(yè)。

記者曾經(jīng)通過銀行柜臺和客戶服務(wù)熱線了解到，工、農(nóng)、建、中四大銀行都推出了各自的網(wǎng)銀業(yè)務(wù)，其中前三家可以給網(wǎng)銀用戶提供數(shù)字證書服務(wù)。但據(jù)記者目前掌握的資料，為這些數(shù)字證書提供電子認證服務(wù)的，大都是這些銀行自建的CA; 而根據(jù)來自主管部門的資料，這些CA機構(gòu)都沒有獲得工業(yè)和信息化部頒發(fā)的電子認證服務(wù)許可證。

于是現(xiàn)在就存在著這樣一個現(xiàn)實，銀行的自建CA在沒有得到行業(yè)主管部門的行政許可下，“無證”地進行著電子簽名的認證服務(wù)?！盁o證”服務(wù)會給用戶帶了什么樣的問題和風(fēng)險呢？《計算機世界》報在2009年曾專門針對網(wǎng)上銀行安全問題進行過專門的調(diào)查報道，我們發(fā)現(xiàn)，使用銀行自建CA提供的數(shù)字證書，會帶來以下兩方面的風(fēng)險:

首先，沒有獲得工業(yè)和信息化部等權(quán)威部門許可的銀行自建CA，是自己發(fā)放數(shù)字證書，然后又自己驗證發(fā)放的數(shù)字證書是否可靠，相當于又當“運動員又當裁判”，因此其簽發(fā)的數(shù)字證書的法律效力有待鑒別; 其次，由于銀行自建CA，造成用戶處于一個不平等的弱勢地位，一旦發(fā)生糾紛，需要進行司法解決時，用戶往往會取證困難，容易使自己的合法權(quán)益得不到有效保護。

可見，金融機構(gòu)這樣的重量級用戶沒有采用依法建立的電子認證服務(wù)，不但增加了自身在部署和運營數(shù)字證書中存在的風(fēng)險，更是浪費了電子認證服務(wù)機構(gòu)的優(yōu)勢資源，不能形成合力推廣電子認證服務(wù)，阻礙了電子認證服務(wù)安全、穩(wěn)定、健康地發(fā)展。

糾結(jié)四:服務(wù)有待深化

電子認證服務(wù)機構(gòu)從名稱和定義來說，都應(yīng)該是一個服務(wù)機構(gòu)，但現(xiàn)實情況是，由于許多CA機構(gòu)都具有官方背景，還沒有從管理者的角色中轉(zhuǎn)變出來，因此，往往錯誤地將自己定位為管理機構(gòu)而非服務(wù)機構(gòu)，這就造成了很多CA機構(gòu)光顧了賺錢而忽略了自身的服務(wù)質(zhì)量。

張先生在一家電子商務(wù)公司工作，他對電子認證行業(yè)服務(wù)質(zhì)量就有很大的意見。他告訴記者: “我曾經(jīng)去一個電子認證服務(wù)機構(gòu)申請數(shù)字證書，一開始我以為很簡單，結(jié)果完全不是那么回事。申請USB Key存儲介質(zhì)很復(fù)雜，申請的過程就像當初申辦銀行卡一樣，不可能幾分鐘就能辦好，讓我等了將近半天時間，聽說有人還等上好幾天的?！睆埾壬€向記者抱怨，申請了數(shù)字證書后，每年除了催繳服務(wù)費和數(shù)字證書更新費用時，平時根本見不到CA的工作人員，就是在使用USB Key的過程中出現(xiàn)問題了，都是與對方技術(shù)人員電話溝通，從來沒有見到過上門服務(wù)的情況。

作為業(yè)內(nèi)人士，詹榜華表示，現(xiàn)在全國幾十家電子認證服務(wù)機構(gòu)的服務(wù)支撐能力良莠不齊，很多CA機構(gòu)的服務(wù)水平達不到用戶的需求，這才產(chǎn)生了用戶的抱怨?！拔覀兡壳暗膸资褻A機構(gòu)，最大的問題就是服務(wù)支撐能力。就是說電子認證服務(wù)能提供什么樣的服務(wù)？目前絕大多數(shù)CA機構(gòu)能做的就是發(fā)證書。用戶來了，CA機構(gòu)給發(fā)一個證書，然后什么都沒有了。第二年證書需要更新了，讓用戶再來，還是交錢走人，再給發(fā)一個證書，這根本就不是服務(wù)。”

詹榜華認為，CA機構(gòu)應(yīng)該打造以下四方面的服務(wù)能力: 首先是要讓用戶相信你; 其次讓用戶很方便得到CA機構(gòu)的服務(wù); 第三要讓用戶能很方便地使用這些服務(wù); 第四讓這些服務(wù)能夠給用戶創(chuàng)造更多的價值。因此，北京數(shù)字證書認證中心有限公司很早就開始建立了以客戶為中心的新型電子認證服務(wù)體系建設(shè)，并打造了這樣一個技術(shù)平臺，以便更好地為用戶服務(wù)。

“目前很多CA機構(gòu)的電子簽名服務(wù)中，僅有身份認證和證書服務(wù)，沒有簽名應(yīng)用服務(wù)，更沒有針對電子簽名的司法鑒定和訴訟代理服務(wù)，因此，用戶在使用電子簽名時不放心，還有顧慮。而且在過去，我們關(guān)注更多的是電子簽名中的證書發(fā)放，對證書發(fā)放者的身份進行了認定，而缺乏對證書發(fā)放之后的作用、使用中的問題進行關(guān)注，也缺少相關(guān)的配套措施?！睔W陽武說。

對于未來如何加強推進電子認證服務(wù)，歐陽武希望能建立一種“傻瓜式”的便利服務(wù)體系。這就意味著，不但要完善技術(shù)體系，還需要形成服務(wù)的體系化; 不僅要完善電子認證服務(wù)機構(gòu)的服務(wù)，還需要完善更多的后續(xù)配套的服務(wù)。

“目前全國有30家電子認證服務(wù)機構(gòu)，有的業(yè)務(wù)就開展得很好，既有呼叫中心的服務(wù)，也有上門服務(wù)。所以，業(yè)界正在探討，是否可以建立一個電子認證服務(wù)聯(lián)盟。以一條龍的服務(wù)形式，確保用戶在電子簽名、電子認證、電子取證、司法訴訟中的任何一個環(huán)節(jié)，都有相關(guān)的機構(gòu)可以提供優(yōu)質(zhì)可靠的服務(wù)?！睔W陽武說。

周曉斌也希望未來能形成類似“銀聯(lián)”這樣的電子認證服務(wù)聯(lián)盟組織，可解決不同CA機構(gòu)發(fā)放的數(shù)字證書之間互相認證的問題，這樣，可極大解決數(shù)字證書的易用性問題?！跋Ｍ苡羞@樣一個‘橋梁’，連接起運用電子簽名及數(shù)字證書的機構(gòu)、個人和提供證書認證服務(wù)的機構(gòu)，以及提供相關(guān)技術(shù)服務(wù)的廠商。”

這樣的“橋梁”一旦建好，對電子認證服務(wù)行業(yè)會有怎樣的好處呢？周曉斌表示，如果有了這樣一座橋梁，不但可以把各個應(yīng)用都聯(lián)接起來，同時促使各家CA的證書，以及底層提供密碼支撐的廠家形成統(tǒng)一的技術(shù)規(guī)劃和要求。這樣在未來，條塊化的電子認證服務(wù)市場就可以被打破，促使各家電子認證服務(wù)機構(gòu)成為真正的全國性服務(wù)機構(gòu)，而不是只局限于某一地，從而讓電子認證服務(wù)市場得到進一步發(fā)展大。