群雄逐鹿数字认证市场 - 网络春秋 - 刘洋河

(这条文章已经被阅读了 70 次) 时间:2001-05-20 13:18:53 来源:刘洋河 (liuyee) 原创-IT

群雄逐鹿数字认证市场

数字认证现在进行时

“国内数字认证市场已经进入战国时代,一场没有硝烟的战争正在悄无声息地拉开战幕。”上海市电子商务安全证书管理中心有限公司市场部经理崔久强对记者说。该公司创建于1998年,是中国第一个CA认证中心,在1999年2月和4月分别建设完成SET证书系统和通用证书系统,形成具有自主知识产权的”中国协卡认证体系”,两年多下来已经发放数字证书12万张。虽然这个数字占不到网络用户的一个零头,但崔说这番话时,带着”战场老兵”的自豪感,毕竟,有对手一起操练网络世界的利器,不至于太寂寞。

按崔的说法,目前国内角逐数字认证市场的几大势力,基本上可按地区类和行业类来划分,前者是由各地方政府支持成立的数字认证中心联合体,目前已成气候的有上海、北京、天津等协作成立的”中国协卡认证体系”以及广东、海南、湖北等省联手的”网证通”CA 联盟;后者由特定行业机构纵向组织而成,典型代表是中国金融认证中心(CFCA)。

“中国协卡认证体系(SHECA)”由上海CA中心发起成立,目前包括上海、北京、天津三地CA中心。上海CA中心1998年经国家密码委员会批准,成为全国第一个CA中心试点单位;于1998年12月31日在市政府揭牌成立,由上海市信息投资股份有限公司、上海邮电、上海市银行卡网络服务中心联合出资组建,经上海市政府批准,从事数字证书制作、颁发和管理业务。上海市CA中心目前已经颁发系列完整的数字证书,包括与信用卡绑定的SET证书,以及不与业务挂钩的通用证书,发证对象包括个人、企事业单位、网站服务器、软件代码等。

“网证通”CA联盟囊括湖北、广东、海南、广西等省市,并在”网证通”这个统一的技术体制和品牌下共筑全国CA体系。广东省电子商务认证中心是经广东省政府批准成立的广东省惟一一家政府认可的安全认证权威机构,前身是南方电子商务中心;湖北CA中心(简称HBECA)是经湖北省政府批准成立,由湖北省信息中心控股,在广东南方通信集团支持下组建的一家高科技有限责任公司,是代表湖北省政府惟一从事电子商务和电子政务安全证书管理的权威性机构;海南省电子商务认证中心,是经海南省政府批准,由海南省商贸信息服务中心和广东南方通信集团公司南方电子商务中心联合出资组建,从事电子商务数字证书制作、颁发、管理和相关网络加密的权威机构。

中国金融认证中心(CFCA)中国人民银行牵头,中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行等十二家商业银行联合共建而成。

CFCA项目包括SETCA和Non-SETCA两套系统,在金融CA工程领导小组的组织下,以公开招标的形式组织建设。这块肥肉自然引来了众多相关厂商的垂涎,共有国内外 24家厂商参加邀标会,10家厂商或集团参加投标。最终,IBM公司中标SET系统,德达 /SUN/Entrust集团中标NON-SET系统,并于1999年8月30日正式签约实施。在保证系统安全可靠的基础上,中国金融认证中心进一步完善了系统的各项功能,完成了密码产品的本地化工作,并于2000年6月20日通过了由国家密码管理委员会和人民银行支付科技司联合主持的密码产品本地化工作的安全性审查。经过9个月的紧张实施,系统建设工程已全面完成,并已于2000年6月29日开始对社会各界提供证书服务,系统进入运行状态。

一证在手,何以走遍天下?

网络无国界,数字证书只有随处通行,才能显示出巨大价值。各CA机构深谙其道,纷纷打出”国字号”招牌,以显得神通广大:”中国协卡认证体系”在对外宣传资料上赫然印着8个大字:”一证在手,走遍天下”,让人对网上安全前景怦然心动;中国金融认证中心一开始就打出”统一中国”的口号,气势高昂;同样,南方几家认证联盟已经把触角伸到西南、西北,整体轮廓依稀可见……看样子,信息化建设一盘棋,谁都想成为主宰棋子的那只手。

地区类CA机构起步早,本地化优势明显,机制灵活,市场化运作强,很快便成为地方性战场的桥头堡。而且,后来者强有力地冲击也使各地方性CA架出联合行动的态势,在表层上形成统一品牌推向全国的行动。行业类CA机构虽然觉醒迟了一刻,但凭借固有基础资源和从属关系,运用行政的手段,强力”推”出一条战线。这条战线结合传统业务的 e化流程,具有得天独厚的政策优势和资源优势,雄心勃勃地勾勒出一统江山后的图画。

在”中国协卡认证体系”网站上,北京站、上海站、天津站同而列之,共推”协卡”这块品牌。崔久强经理介绍,”我们三家,还包括即将进来的几家,经济上完全独立,应用开发和投入上各自去做,做出来的应用方案可以相互借鉴、通用,在技术标准、客户服务标准、保险等方面则是完全统一,以保证市场品牌的统一性和用户使用上的便捷。在发展用户这一点上,我们根据协作关系,地域性的业务,原则上都是在当地的认证中心来做,省部级的项目大家就协商着来做,不可能出现上海这边的业务员跑到北京去拉当地业务的情况。”

中国金融认证中心早在1999年初组建领导小组时,就明确阐明了”统一规划、联合共建”的基本原则。对于这个基本原则,中国金融认证中心总经理刘大隆解释为,金融CA是金融行业联合共建、全国统一的认证中心,各地人民银行不应再牵头建设地方性认证中心,各商业银行也不赞成其分支行参与其他认证中心的建设。这也就意味着,基本上与银行相关的业务,要从网上走的话,必须经过CFCA这个认证关口。

显然,这样的想法有些一厢情愿,没能得到完完全全的落实。同年年底,在上海正式开通的电子商务网上支付系统中,当地的工行、农行、交行等商业银行就已经成为SHECA 数字证书审批受理点。同样在北京等省市,地方CA参与到网上银行业务中更是家常便饭。

各CA中心为使自家证书受用面更广,广开渠道、相互渗透、拓展市场在所难免,但对于最终用户来说,仍存在一张证书只能在一定地域或业务范围内才能使用的尴尬局面,那种”一证在手,走遍天下”在现有阶段,只是各家对未来的憧憬。

打破地方保护、利益条块分割的做法,为中国电子商务发展做一个通盘的考虑,正是政府发展国内信息安全产业的关键所在。具体到数字认证领域,覆盖全局的跨国界、跨地区、跨行业之间的交叉认证是症结所在。据业内权威部门和专家的私下透露,全国有两到三家大的CA认证中心就够了,但具体谁能最终活下来,目前还不好说。

谁是真正的”第三方”?

目前国内对CA的认识尚属初级阶段,知者少,用者微。一般人要么是根本上没有认识,要么是有了些认识,但比较肤浅,停留在把CA仅作为电子商务凭证的阶段,真正能理解CA”第三方”属性的更是少之又少。但电子商务概念的热浪扑面而来,一度催生出各种类型和CA机构和公司,甚至在网上可以看到某个人网站在发送数字证书的景象。

崔久强认为,”国内CA的机构和公司对CA有一个明显的误解就是,好像这是一个谁都随便可以做的东西,而且只要做了就都可以发财的。其实他们忘了这一点,CA是一个要承担很大责任的机构,和一般的赢利机构和公司是两种概念。现在往往是几个企业联合,然后找个政府部门支持就来做,每个地方、每个城市、每个地区都做CA,其实这是不利于CA发展的。这个责任要有几个保障:首先是政府支持,然后是要有经济实力,出了问题要赔得起,相应的保险要做足等等因素缺一不可。”

正如人们常见的彩票中奖现场必须有公证人员宣读公证书这一必不可少的环节一样,数字认证机构/中心/单位不仅是网上安全活动的”保护神”,还是担负”第三方”监控、公证职责的公证员。在某些情况下,”第三方”这一属性显得更为重要,然而恰恰相反它被用户、商家、认证中心所忽视。

同样,对行业类认证机构的”第三方”属性,崔久强表示质疑:”比如证券公司目前提出的交易安全、信息安全概念,主要做的是加解密这一块工作,他们向股民承诺的是有了这个认证,你的资料、交易不会被别人看到,但这只是停留在加解密层面上的安全,但真正的安全还包括身份的确认、整个交易记录完整性的确认等方面,就像做公证一样,有个”第三方”的特性,恰恰这个特性被忽略了。试想,如果一个股民在交易股票时发生了上千万金额的安全问题,而证券公司既是这场交易的承办者,又是安全见证者,处在一个双重身份下,能够保证完全公平地处理问题吗?”崔说此番话时是站在”中国协卡认证体系”的立场上,排除这一因素,不由得让人担忧”既当裁判,又当运动员”的做法在国内电子商务市场上故伎重演。

如此推断下去,国内银行涉足CA领域,看上去很美,属水到渠成的事情,其实未必,从”银行卡”这一业务即可以看出端倪。众所周知,国外的银行一般是不发卡的,而是通过像VISA、MASTERCARD这些中间机构来发卡,银行参与其中,使得这几张卡是最权威、通用的,也方便了卡的持有者。而国内情况大相径庭,每个银行都发自己的卡,造成多卡种、跨地域、跨行、流通困难的局面。同样做CA,各个银行之间、银行上下之间如何做好利益协调、业务共通的工作,依然是紧要的问题。

赢利–黎明前的黑暗

俗话说,大河有水小河满,数字认证作为纯粹的网络原生业务形态,必然与国内外电子商务的大氛围息息相关。SHECA市场部经理崔久强对去年火热的电子商务热浪心存怀念,”桌面上的电话一天到晚响个不停,很多做网上业务的商家都找上门来谈合作,我们的数字证书也发得飞快;但今年变化很大,市场冷静、理性了很多。”

上海、北京、天津等组成的”中国协卡认证体系”在国内是首家信任服务和安全服务的提供商,起步至今已有3年的历史。据了解,SHECA从1999年上半年SET证书系统和通用证书系统建设完成至今,正式对外发放数字证书超过12万张,其中针对个人用户的占绝大部分,约10万左右,主要应用于安全邮件和网上炒股;其余则发放给商家和网络服务器。个人用户的数字证书目前尚属免费阶段,即使用于网上炒股,只要券商不单独对其收费, SHECA也从中直接得不到一分钱;发放给企业用于企业安全电子邮件、企业身份识别的证书以及服务器证书,一般每年年费在1200元左右,再加上相关产品与解决方案,每年收入不过百万元。

如此算一笔帐的话,目前国内认证机构远远还没到达赢利的平衡线,大家仍在做持续的投入来培育这块在”不久的将来”会爆发的市场,只是这个”不久”,再一次被国内一片低迷的气氛所推迟。

“要CA在短期内达到赢利是不现实的,但它作为网络运行的基础之一,必然随着网络的发展而水涨船高。和大多数人一样,我们坚信网络和电子商务的向前发展的趋势不可逆转,因此协卡认证体系在2、3年内达到收支平衡是可能的。”崔久强对SHECA的”钱”景表示出谨慎的乐观。