湖南省数字证书认证中心建设可行性研究Word文档格式.doc
《湖南省数字证书认证中心建设可行性研究Word文档格式.doc》由会员分享,可在线阅读,更多相关《湖南省数字证书认证中心建设可行性研究Word文档格式.doc(11页珍藏版)》请在冰点文库上搜索。
4、CA中心是电子商务的先决条件
随着互联网的普及应用,网上购物、网上拍卖、网上炒股、网上保险、网上银行、呼叫服务等电子商务活动都获得空前的发展,而确保这些活动能安全正常地进行,数字证书是必不可少的先决条件。
数字认证是为解决电子商务等网上信息交换中的安全问题,而建立的一个第三方权威认证系统,可以为网络应用各方提供身份认证、信息加密,保证网上作业的不可否认、信息的完整等,降低网上交易风险,为网上交易可能发生的纠纷提供解决办法。
总之,从湖南社会、经济和信息产业发展看,综合电子政务、电子商务等网络应用的需求分析,湖南省数字认证中心是一个具有公益性的网络安全基础设施,其建设是十分迫切和必要的。
二、项目建设的总体框架
HNCA的总体目标是为了向在互联网、办公专网以及普通的单位局域网等网络上的服务提供商、用户、各类网络设备、服务器、用户终端等提供数字证书服务,支持电子商务的各种模式和电子政务,为省内和地区范围内的电子商务和电子政务活动提供安全、可信的平台,并且可以实现与其它方面CA的交叉认证。
近期的建设目标是建设认证中心和密钥管理中心。
将采用国家密码管理委员会办公室批准的产品构建系统。
1、HNCA的总体结构
图1
HNCA认证系统总体结构
第一级为HNCA中心,其中包括密钥管理中心,它实现签发用户证书、管理证书和CRL(证书撤销列表),提供密钥管理服务、证书状态查询服务等功能;
第二级为注册中心(RA中心),可根据地理位置以地区为界设置多个,主要完成接受用户申请、审核、证书制作等功能,以后也可根据其它合作部门的行业需求,让第三方代办审核受理业务;
第三级是最终证书用户。
2、HNCA中心
为了确保认证系统的安全性、可靠性、高效性、可扩展性,HNCA中心设计为二层结构,包括根CA和第二层CA。
根CA是HNCA的根结点,也是全部HNCA认证体系的信任源头。
根CA负责制定和审批总体政策(Pocicy)、签发并管理第二层CA的证书,与其他根CA进行交叉认证等;
第二层CA的职责是直接给最终用户签发支持各种应用的数字证书,并管理下级证书受理机构和其所发证书和证书撤销列表。
图2
HNCA总体结构
根CA作为HNCA中心信用的根,也称之为政策CA,它负责为第二层CA制定政策,为第二层CA签发证书及CRL,同时还负责与其它区域性CA、行业CA及其它国家的根CA进行交叉验证。
第二层CA是操作CA,它面向最终用户,直接为用户签发、管理用于各种用途的数字证书及CRL。
如果以后希望为其它行业或地区提供认证服务,就可以从根CA下面建立新的操作CA,也可以在第二层CA中建立逻辑CA。
当证书的签发数量增加到一定程度时,可以建立新的操作CA或逻辑CA,根据证书的用途将不同用途(或种类)的证书分别由不同的操作CA或逻辑CA进行签发和管理,这样可提供管理上的方便,同时也会使系统的效率提高。
HNCA认证体系中的根CA设计为离线操作,该CA无需频繁发证,其CRL发布亦不会频繁,比如每月一次。
信息和文件的传递以软盘/光盘的形式按标准协议进行。
第二层CA需要经常地发证并且需要迅速响应,所以第二层CA必须在线操作,采用在线操作的协议。
证书和CRL分布于一个支持X·
500协议标准的目录服务器中。
证书和CRL的查询通过LDAP协议实现。
最终用户向RA中心申请登记,RA中心向审核通过的用户发放由第二层CA提供的授权码,与CA之间的信息通道由SPKM协议保护。
用户从第二层CA在线下载证书,其下载过程遵循PKCS#7协议。
3、HNCA设计的功能和性能
①根CA功能
根CA负责制定和审批湖南CA认证中心体系的总体政策。
签发并管理第二层CA的证书,并与其它根CA进行交叉认证。
根CA是湖南CA认证中心体系的信用源头,在整个CA信用结构中具有两个作用。
第一,通过给第二层CA发证,将其信用权威纵向下传,第二,通过与其它根CA的交叉认证,将其信用范围扩展。
根CA的发证量小,其CRL的发布量小且更新周期长,可暂设为一个月,现有设计配置肯定能够满足需求,同时有足够的扩充冗余。
②HNCA中心第二层CA的功能
第二层CA负责直接给最终用户发放支持各种应用的数字证书,并管理HNCA的下级证书申请受理机构及其所发证书和CRL。
在HNCA认证体系的信用结构中,第二层CA负责将上级CA的信用通过向大量最终用户发证纵向扩散。
第二层CA最重要的性能指标是其发放和管理证书及CRL的能力。
第二层CA的证书发放和管理能力可以根据湖南省CA所面临的电子商务和电子政务活动的快速增长需求进行配置,实际上将采用的系统配置支持300万张证书的发放和管理,为系统提供充分冗余(注:
湖南省CA项目拟分三期建设:
一期建立湖南省CA根和一个运营CA,一个RA以及多个证书受理点,发证量为30万张证书;
二期建立其它运营CA和RA,发证量为100万张;
三期扩充发证量为300万张)。
第二层CA另一重要的性能指标是处理证书和CRL查询的能力。
根据实际测试结果,拟采用的系统的处理查询能力为50000次以上/小时。
对于单一查询的最佳应答时间为0.03秒。
③HNCA密钥管理中心
密钥的安全管理是CA系统安全性的重要组成部分。
CA系统的安全运营依赖于密钥管理的各个环节,密钥管理包括密钥的生成、备份、保存、使用、传递、更新及销毁等,其中任何一个环节遭到破坏都将严重危及CA系统的安全运营,甚至摧毁整个CA系统。
HNCA的密钥管理中心提供密钥管理服务,按国家商用密码管理政策,归口省委办公厅机要局管理。
④HNCA的RA系统
HNCA的RA系统功能主要包括:
●进行用户身份信息的审核,确保其真实性;
●本区域用户身份信息管理和维护;
●证书硬件载体的制作;
●数字证书的下载;
●数字证书的发放和管理;
●受理点的审核与管理。
⑤HNCA受理点
HNCA受理点主要功能:
●收集和管理申请人申报材料和信息;
●录入证书申请者身份信息;
●初步审核与提交自然人身份信息;
●下载数字证书并制证
●发放数字证书
三、项目建设投资
1、投资规模
HNCA项目总投资1000万元(包括现金与非现金投入),其中:
●硬件设备300万元
●软件费用180万元
●机房装修120万元
●筹备工作费用30万元
●流动资金160万元
2、经费来源
本项目建设采取自筹资金及争取政府支持方式建设,并可根据实际运作情况采取多种方式筹措资金。
资金来源主要包括:
●争取国家政策性投资
●自筹部分资金
●引入投资公司或上市公司资本
●其它社会上的资金
3、投资结构
本项目建设以市场化方式运作,在湖南省数字证书认证中心下面设立有限责任公司,初步设定公司股本结构为:
中心投入300万元现金,无形资产投入210万元(主要包括:
12年130平方米机房场地使用权,12年专有网络线路接入,双向电源提供,机房外围良好的环境和24小时值班,12年CA特许经营权),占总股本的51%;
引入社会资金490万元,占总股本的49%。
四、项目可行性研究
1、国内外CA中心建设现状
①CA在发达国家和地区的发展状况
国外许多发达国家和地区的政府根据网络经济的发展现状和未来趋势,十分重视本国的数字证书体系建设。
●法国于1999年采取政府授权,民间组织运作的方式开展CA认证,主要市场是大型企业集团、银行等电子商务交易。
●美国于1997年采取民间组织、市场运作的方式开展CA认证,主要市场是企业、银行和个人网上商务交易活动。
●新加坡于1999年采取政府授权,民间组织参与运作的方式开始CA认证,主要应用于银行、电子政务、土地管理和专利管理等领域。
●香港CA工作由香港特区政府邮政署负责,香港特别行政区2000年11月5日通过电子交易条例,其中第34条:
邮政署是个人可核证机关。
政府目标是促进电子商务在香港的发展,进行公开密钥基础设施建设,支援香港整个社区的信息化建设。
香港CA证书的应用领域有:
政府采购、网上密件传送服务(包括电子理财、商业管理、申请执照/证书、登记服务、预约申请、香港赛马会、网上证券交易)。
以上这些发达国家和地区开展CA认证的主要特点是:
政府有关部门或民间组织制定和发布有关的电子交易法规和CA认证管理办法,采用国际有关组织发布的技术和规范操作,根据有关法律法规审批CA认证机构。
②国内CA建设与应用现状
CA认证在我国开展已有近5年历史。
随着Internet的普及,伴随着电子政务、电子商务的发展,我国CA认证市场逐步从培育走向成长发展期。
近几年全国已经投入运作的各类CA认证中心有30多家,证书发证量已达200余万张,产生了明显的社会和经济效益。
目前国内CA认证中心主要由行业CA中心和区域CA中心构成。
行业CA中心主要有:
●中国金融认证中心(CFCA)。
2000年10月开始运行,是一个由十家银行参与建设和运作的CA认证体系,主要应用于企业与银行间的资金转帐和往来服务业务,2001年1月19日发放了第一批证书。
●中国电信认证中心(CTCA)。
1999年6月开始运行,是一个全部由中国电信集团建设和运行的CA认证体系,主要应用于企业与个人的电子商务业务,2000年6月形成覆盖全国的CA证书申请发放管理体系。
●海关认证中心。
是一个由国家海关总署建设和运行的CA认证系统,主要应用于企业电子报关业务。
区域CA中心主要有:
●上海市电子商务安全证书管理中心。
该中心隶属于上海市政府,在市政府的大力支持下,目前发证量近20万张,主要应用包括:
东方航空公司网上安全售票系统,上海热线安全电子邮件服务,网上证券交易,上海银行卡网络服务中心支付网卡等。
●福建CA认证中心。
该中心由福建省经贸委承建,省经贸委下属金贸公司等出资,采用公司化运作。
主要应用于企业工商登记、年检、年审等,已发放6万多张证书,是运作较成功的区域CA中心。
●宁夏西部CA中心。
宁夏西部CA中心是由宁夏计委和宁夏科委于2000年共同发起,唯一一家由国家信息产业部批准的西部CA中心,当地科委投入了500万元的启动资金,科委是承建单位。
该中心主要应用包括宁夏税务、工商、技术监督以及商业银行、西北证券等。
●陕西CA中心。
陕西CA中心是由西安市计委、市信息中心和某民营高科技企业三方共同投资组建的股份制企业,投资规模为1550万元,其中计委、信息中心代表政府出资800万元,占股本总额的51%;
民营企业出资750万元,占股本总额的49%。
证书设计容量30万张。
总之,从国内目前其他省市CA中心的建设和应用情况看,具体表现为如下几个方面:
CA项目的应用前景是令人乐观的;
CA中心的建设和应用必须取得当地政府的大力支持;
CA中心的运作必须符合市场发展规律;
好的应用是CA中心成功的保障;
CA中心的建设存在一定的风险;
项目的立面和建设周期不宜拖得太长。
2、项目建设市场需求及应用前景分析
①国内电子商务、电子政务的快速发展为CA认证提供广阔的市场前景。
我国的电子商务现在已处在一个稳定的发展阶段,据统计,目前我国网上股票交易额已达到总交易额3%,并且预计这一比例在2-3年内将达到10%。
电子商务在近期内必将迎来一个大的发展时期,从事电子商务的公司也将从数额巨大的交易中获利,互联网用户也将越来越多地习惯于进行网上交易。
因此CA认证的市场会越来越大。
2000年底,上海电子商务安全证书管理中心宣布,其发行的CA证书已经突破22万张,并已应用于证券、报关等多个领域,广东、福建、山东、北京等CA认证中心的证书发放量也都已突破10万张,有了明显的社会和经济效益。
我国的电子政务由于受到党和国家领导人的高度重视,近年来,得到迅速发展,面向企业和公众的社会服务和社会监督的应用,已经逐步展开,一些部委、省、市开通了面向公众服务和社会监督的电子政务门户网站。
但是,由于缺乏良好的安全保障体系,这些网站的应用远远没有发挥应有的作用,由于网络安全措施的不完善,限制了电子政务的发展。
如北京市政府部门网上审批工程从2001年6月开始启动,在2002年5月底实现整个系统试运行4个月后,全面投入使用。
网上联合审批的安全保障系统最关键的部分就是CA认证。
②HNCA市场需求及应用前景
湖南省数字认证市场刚刚起步,市场应用领域和发展空间很大。
目前湖南省有企业法人单位25万余家,事业法人单位8000多家,还有大量的个人用户、服务器证书用户,这些都是HNCA中心的潜在用户。
结合湖南信息化发展的实际情况,HNCA应用主要有如下领域:
●税务应用。
目前,我省地税、国税系统已基本实现全省联网,有的市州已实现网上报税。
按照全国税务信息化发展规划,税务系统在近几年内,将加大信息化建设投资经费,CA中心将是其中必不可少的一个安全基础。
目前,税务行业CA还没开始建设,依托为当地区域数字认证中心是税务应用的可选方式。
●工商应用。
我省工商系统的网络虽然还没有建好,这在一定程度上影响了CA的应用,但目前工商局正在积极引进企业资金,筹划建设全省工商网络系统;
据了解,全省工商系统已发放近30万张IC卡,通过读卡机实现联网年审等业务。
CA在工商的应用应是值得我们重点关注的。
●技术监督的条码应用。
我省技术监督局承担了对全省事业单位法人、企业单位法人的管理。
其管理是以条码的形式,通过智能IC卡来实现的。
这是数字证书应用的一个巨大潜在市场,目前HNCA中心与湖南省技术监督局达成了合作意向书,在组织机构代码中推广数字证书,这为HNCA中心提供了现实的发展空间。
●电子政务上的应用。
《国家信息化领导小组关于我国电子政务建设指导意见》下发后,湖南省信息化领导小组办公室将对我省电子政务建设有较大的举措,目前正着手电子政务建设规划的设计,如湖南省统一电子政务外网平台建设,CA将是其中一个十分重要的安全保障措施。
CA中心的建立将为一些重要的服务器、上网人员、公务人员在电子政务应用中提供数字安全证书。
③CA认证项目的市场应用领域
●政府部门的网上报表传输
●政府采购的网上招、投标
●网上联合审批
●工商企业的网上登记及年审等
●居民电子身份证
●各政府部门的移动办公
●专利网上申报
●技术监督部门组织代码
●网上采购
●网上炒股
●企业的网上报税
●保险公司网上投保
●网上报关
●各种会员制的网站进行的信息查询和会员注册
3、项目应用案例分析
目前,我国CA认证中心已处在起步发展阶段,虽然还没有一个完整统一协调机构,但全国许多省级区域性CA认证中根据本地区的实际情况,在建立当地政府主办的区域CA认证中心进行了卓有成效的实践探索,取得很好的成绩,如福建、北京、上海、广东、海南、山东、湖北、天津、安徽等。
这里以福建CA认证中心为例。
2002年1月18日,福建省人民政府办公厅下发了《福建省人民政府办公厅同意在全省范围内使用福建省数字安全证书公函》受权福建省经贸委牵头规划建设,并委托福建省工商行政管理局在全省工商企业(全省内外资、私营企业、不含个体户)中发放福建省数字安全证书,有关收费标准通过福建省物价局核定。
在全省范围内发放福建省数字安全证书,建设全省经济组织资信认证信息系统,是基于“数字福建”公共安全平台基础上的骨干工程之一,将广泛应用于工商、税务、技术监督、公安等系统。
“数字福建”建设领导小组组长、省长习近平,副组长、副省长黄小晶,要求各有关单位要加快CA认证的推广和应用建设,要本着统一规划,突出重点,分步实施的原则,推进“数字福建”工程建设。
数字证书就行业应用来看,单从工商部门CA认证来看形势就十分喜人,2002年1月份起,7000多家在全省工商部门参加年检的企业陆续通过申请,领取到一把蓝色的电子钥匙。
同时全省申请这种钥匙的企业越来越多,社会、经济效益十分显著。
4、项目建设的社会、经济效益分析
CA认证项目的建设能够产生明显的社会、经济效益,具体分析如下:
①社会效益分析
CA认证作为一项公益事业,是我省实施信息化的基础,将会产生明显社会效益。
具体表现在如下几方面:
●促进我省电子政务、电子商务的发展,加快信息产业化进程。
CA项目建成后,可以为全省的电子商务、电子政务提供一个保障网上作业、电子交易安全的公共安全平台,对网上审批、电子交易、网上办公等电子政务、电子商务的信息化应用产生明显的推动作用,加快我省信息产业化的实现。
●推动信息化与企业和市场的对接,促进全省经济和社会协调发展。
在当前市场经济日益深化、科学技术迅猛发展的背景下,十届全国人大二次会议明确提出科学的发展观,以促进社会、经济、科技协调发展。
CA项目的建设实施有助于企业与公众通过信息技术手段更好地适应快速变化的市场、经济的全球化和社会的信息化。
个人、企业和社会各界将享有安全可靠的信息网络的高效率服务,这必将促进全省社会和经济全面协调发展,符合当前总体发展趋势。
●发挥示范效应,促进全省信息化。
CA项目是湖南信息化的基础工程之一,而信息化基础设施建设是整个信息化建设的核心。
在CA项目建设和运营过程中,将采取政府指导、市场化运作的模式,能够在全省产生示范效应,真正推动电子政务、电子商务、社区网络建设的发展,加快全省的信息化步伐。
②经济效益分析
CA项目虽然是公益性的,但仍然是企业投资,市场化运作,这样就存在投资回收和运行成本等问题。
经济效益应该包括两个方面,一是间接的经济效益;
二是投资回收和支持项目运行的状况分析。
●间接经济效益。
间接经济效益主要表现两方面:
一是CA项目建成后,可以避免重复建设,节约大量投资。
如在全省范围内建设统一的公共CA认证系统,可以用于电子政务、电子商务等Internet应用,各个行业可以利用这个CA,不要再投入资金进行重复建设。
二是湖南CA建立后,可以使基于Internet的网络应用更加安全,可以减少由于这类问题带来的经济损失,其间接的经济效益是明显的。
●投资回收分析。
从现有CA项目建设的情况来看,收回投资是有较好的基础的。
投资的收回,运行成本,主要靠收放电子证书方式。
建成一个省级区域性CA,需要700—800万元的投资。
福建CA是一个已建成的区域性CA,现已发放证书近10万张。
而湖南CA按2万张电子证书发放的保守估计,以每张证书500元计,年总收入为1000万元。
而费用成本为制作成本为200万元,经营管理费为162万元,应用单位推广费200万元,业务代理费为100万元,宣传广告费100万元,税收50万元,合计各项费用总支出为812万元,年投资回报率为18.8%,投资回收周期为5年左右。
五、项目投资风险
CA项目建设由于需要资金,因而存在一定的投资风险。
1、市场风险
市场运作的成功与否,关键要看电子证书的放发数量。
从发展来看,CA认证系统是发展电子政务、电子商务的关键所在。
对于企业来说,由于能帮助企业省时、省钱、省力,应该是乐于接受的。
但是,由于网络环境的差异,信息技术应用水平的高低,对信息化认知程度不同,将导致企业对电子证书的接受程序也有差异,这些对电子证书的发放是存在一定困难的,这也是存在的市场风险。
从全国各地区域CA项目运行的经验来看,政府的引导和推动,媒体宣传很重要。
2、技术风险
CA是一个高技术的信息安全产品,项目的建设、实施、管理都有很高的要求。
CA在设计、建设中,对于机层环境、安全保障、密码生成、分发、管理都有严格要求,必须按照国家有关标准规范建设和实施。
运行之前,都必须通过国家密码管理委员会组织的验收,技术上和实施上都有很高要求。
现也有建设达不到要求的例子。
3、政策、法律风险
CA认证目前全国还没有专门的法律,故CA证书的法律地位、市场准入、理赔等事项还难以界定和判别。
新的政策、法律的制定和颁布,将对CA中心的市场行为进行规范并产生一定影响,由此也将带来一定风险。
同时,电子证书的应用有待于整个社会信用体系的建设和完善。
六、降低投资风险的措施
1、尽量减少和压缩投资规模
为降低投资风险,CA项目建设可采取稳打稳扎,分步实施,充分利用现在网络基础和条件,尽量减少和压缩投资规模。
在前期产生一定效益的情况,再进一步加大投入,扩大规模。
这方面国内区域CA已有借鉴如:
海南CA、湖北CA都是这么做的,但现在都运行良好。
2、政府有关部门的政策引导和大力支持
CA项目是社会公益项目,从项目的可行性研究、论证、立项、筹备到具体的实施,都得到了政府有关部门的大力支持。
湖南CA项目建设的前期工作曾受到省委、省政府有关领导的关注,
升级会员 