中国电子认证服务业发展研究报告

2004年8月28日，十届全国人大常委会第十一次会议表决通过了《电子签名法》，该法律将于2005年4月1日起正式施行。
一石激起千层浪。
《电子签名法》明确了电子认证服务机构的主管部门，并要求国家信息化主管部门依照该法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。
《电子签名法》对电子认证服务机构进行市场准入制度，目前100多家电子认证中心如何重新获得服务资格成为大家关心的焦点；
在《电子签名法》出台以前，由于缺乏全国电子认证建设的总体规范和管理指南，电子认证服务行业的发展处于无序状态，相当多的电子认证服务机构低估了建设难度，并缺乏承担电子认证应负的社会责任的自觉性，导致定位不清、业务发展和运营困难，对电子认证行业的长期发展产生了很大的负面作用。如何对电子认证服务中心进行宏观指导和有效管理、引导电子认证服务行业有序发展，成为业界关心的课题；
电子认证服务的提供者、支持电子认证技术的软硬件厂商、应用系统开发提供商、密码解决方案提供商、咨询公司和培训机构等构成了整个电子认证服务业。
中国电子学会电子商务专家委员会长期关注电子认证服务业的发展，实时跟踪了解电子认证服务机构的发展情况，为了解决上述问题，课题组设计了《中国电子认证服务机构调查问卷》发给各认证中心；同时，重点走访了30多家电子认证中心，获得了大量的一手资料，并与电子认证服务行业各个层面的人士进行了广泛接触和专题研讨，在此基础上，形成了本研究报告。希望本报告可以对加强电子认证服务行业管理、规范电子认证服务机构行为、促进电子认证服务行业发展有所帮助。

1 中国电子认证服务业的发展状况
1.1 电子认证服务机构的基本状况
我们课题组走访了30多个机构，收回了近50份调查问卷。了解的基本情况如下：
自1998年5月17日第一家CA认证中心产生以来，目前已建成和在建中的CA认证中心已超过100家，但能有效发放数字证书的不足50家。
按照国家密码管理委员会办公室对CA中心使用密码的审批要求，截止到2004年底，有22家区域性CA中心被批准立项，其中10家通过了技术鉴定。

企业股东的组成：纯国有资本的占35 %； 纯民营的占5 %；多种成分的占60 %；三资企业占0 %；基本都是有限责任公司。
注册资金：在8000万元到1亿的有 1 家，其余基本在2000万元以下。
各机构投入建设资金，基本在 1500～3000万元之间。多数在1500～2000万元之间。
各机构在回答“电子认证服务机构的注册资金为多少合适”时，答案 从1000万到一个亿不等。一般都不能科学地给出分析意见。

各机构盈利状况：盈利的占5 %，不盈利的占95 %。
各机构签发证书在 1000张 ～ 60万张范围中，差异较大。
所签发证书中，免费证书占22 %，收费证书占78 %；但是，有接近50%的机构，其发放的免费证书数量大于收费证书数量。


个人证书占24%，机构证书占75%，设备证书占1 %。

在电子政务领域的证书应用占80%以上。
各电子认证机构成立时获得批准的部门不尽相同，信息产业部批准的占10 %；地方信息产业部门批准的占80%；其他机构批准的占10 %。

各机构从业人数基本在30～55 人之间（个别有15人或65人的）。其中，技术开发人员占26 %， 运营维护人员占14%， 安全管理人员占11 %，客户服务人员占12%，市场营销人员占24 %，其他人员占13 %。


1.2有关的政策、法律与标准逐渐完善
1.2.1有关商用密码的政策与法律
密码技术是解决信息安全问题的关键技术。使用密码对信息进行加密保护和安全认证，是信息安全的重要手段。

1996年7月，中共中央政治局常委会议专题研究了我国发展商用密码问题，做出了在我国大力发展商用密码和加强对商用密码管理的重大决策。随后，下发了中办发【1996】27号文件，确定了“统一领导、集中管理、定点研制、专控经营、满足使用”的二十字方针，为我国商用密码的发展和管理指明了方向。

1999年10月7日，根据国务院第273号令，发布施行《商用密码管理条例》。按照《商用密码管理条例》的规定，商用密码产品的科研、生产、销售和使用由国家实行专控管理。

配套文件有：

? 《商用密码科研管理规定（试行）》

? 《商用密码产品生产管理规定（试行）》

? 《商用密码产品销售管理规定（试行）》

2003年9月，中办发【2003】27号文件明确提出，要充分发挥密码在保障电子政务、电子商务安全和保护公民个人信息等方面的重要作用。要建立协调管理机制，规范和加强以身份认证、授权管理、责任认定为主要内容的网络信任体系建设。

基于密码技术的网络信任体系建设，包括密码管理体制、身份认证、授权管理、责任认定，已经成为国家信息安全建设工作的要点。为落实27号文件精神，国务院信息化工作办公室组织有关专家起草了“国家网络信任体系建设指导意见”等一系列配套文件。

1.2.2有关电子认证的政策与法律
为加强对数字认证的管理，一些地区相继出台了有关电子认证的管理办法或条例：

《海南省数字证书认证管理试行办法》，2001年颁布。

《上海市数字认证管理办法》，2002年11月18日由上海市信息化办公室、上海市国家密码管理委员会办公室、上海市国家保密局发布。

《广东省电子交易条例》，2002年12月6日在广东省第九届人民代表大会常务委员会第三十八次会议上通过，自2003年2月1日起施行。

《陕西省数字认证管理办法》，2003 年10月23日由陕西省信息办、陕西省国密办、陕西省保密局发布。

《山东省数字认证管理办法(暂行)》，2003 年12月24日发布执行。

北京、重庆、辽宁、山西等地区也都出台了相关的管理办法或条例。

国家一级也出台了相关的法律：

2000年3月，全国人大的一号议案就提出了电子商务立法。

2001年底，国务院信息化工作办公室着手起草电子签名法，由政策规划组来具体负责。当时的起草单位为外经贸部和信息产业部。

2002年4月，国务院信息化工作办公室向中国电子信息产业发展研究院签发了委托后者研究起草《中华人民共和国电子签章条例（草案）》的任务书。

2004年3月24日，国务院原则通过了《中华人民共和国电子签名法（草案）》，4月6日结束的十届全国人大常委会第八次会议上、6月21日举行的十届全国人大常委会第十次会议上，该法草案两度被提请审议。

2004年8月28日，十届全国人大常委会第十一次会议表决通过了《中华人民共和国电子签名法》，电子认证行业终于有了明确的法律。这部法律规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。《电子签名法》对电子认证服务设立了市场准入制度，规定电子认证服务机构从事相关业务，应当向国务院信息产业主管部门提出申请，并提交相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，作出许可或者不予许可的决定。同时，《电子签名法》要求国务院信息产业主管部门制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理，从而明确了电子认证服务业的主管部门，信息产业主管部门将对行业管理出台具体的办法。《中华人民共和国电子签名法》将于2005年4月1日起施行。

1.2.3行业标准的制订
经国家标准化管理委员会批准，全国信息安全标准化技术委员会于2002年4月15日在北京正式成立。全国信息安全标准化技术委员会（简称信息安全标委会， TC260）为国家标准化管理委员会的直属标委会，负责全国信息安全技术、安全机制、安全服务、安全评估等领域标准化工作。2004年，根据国标委高新函[2004]1号文件规定，全国信息安全标准化技术委员会负责统一申报信息安全国家标准年度计划项目，并组织国家标准的送审、报批工作。从2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标准化技术委员会组织申报；在标准制定进程中，标准工作组或主要起草单位要与信息安全标准化技术委员会积极合作，并由信息安全标准化技术委员会组织完成国家标准送审、报批工作。

信息安全标委会主要以工作组形式开展工作，初步拟订成立11个工作组。近期的工作重点是数字签名、PKI/PMI技术、信息安全评估、信息安全管理、应急响应等关键性标准的研究、制定。

2002年7月成立了PKI/PMI工作组（WG4）并召开第一次工作会议，确定2002年标准化工作的重点是：国内外PKI/PMI标准体系的分析；研究PKI/PMI标准体系；国内急用的标准调研；完成一批PKI/PMI基础性标准的制定工作。

WG4工作组安排七个项目组开展工作:

国家标准（X.509V4/V3版）的转化工作和信息安全有关专用术语项目组；

国内外PKI/PMI标准现状分析项目组；

PKI/PMI标准体系研究项目组；

基于X.509的国内证书标准X.509C证书格式规范项目组；

PKI组件最小互操作规范项目组；

X.509在线证书状态查询协议项目组；

X.509C PKI证书管理协议项目组。

WG4工作组在2002年完成了证书管理规范、PKI组件最小互操作规范、在线证书状态查询规范、证书格式规范四个标准的征求意见稿；完成X.509证书框架的报批稿并通过了专家评审；2003年对2002年四个标准的征求意见稿进行了讨论和修改，完成送审稿通过专家评审会，根据有关专家意见完成修改，形成报批稿。

目前，标准制订的情况是：

2002－2003年已报批的国标（8个）：

《证书管理规范》、《PKI组件最小互操作规范》、《在线证书状态查询协议》、《数字证书格式规范》《X509数字证书框架》、《实体鉴别-使用零知识技术的体制》、《带附录的数字签名-基于身份的方案》和《带附录的数字签名-基于证书的方案》

列入国家2003－2004年度的标准研制计划（7个）：

(1)属性授权机构技术规范　

(2)证书认证机构管理规范　

(3)证书载体应用程序接口规范　

(4)PKI安全支撑平台规范　

(5)PKI应用支撑平台规范 　

(6)时间戳规范　　　　　　　

(7)证书策略与认证业务描述规范　

1.3中国电子认证服务业的技术基础发展状况
1.3.1密码技术
《商用密码管理条例》自1999年10月7日发布施行以来，我国商用密码产业队伍初步形成。截止2004年9月，全国共有商用密码科研定点单位7家，商用密码产品生产定点单位103家，商用密码产品销售许可单位217家。

经国家密码管理委员会办公室批准立项的商用密码产品500余项，其中通过技术鉴定并投入应用的产品230余项。

为规范商用密码在电子证书认证系统中的运用，国家密码管理委员会办公室于2004年6月制定了《证书认证系统密码及其相关安全技术规范（试行）》。

目前，商用密码产品生产定点单位提供的电子认证产品有：SRQ05电子证书认证系统，SRQ08身份认证系统，SRQ10商业性PKI/CA电子证书认证系统，SRQ10-A数字证书认证系统，SRQ11电子证书认证系统，SRQ13证书认证系统，SRQ14数字证书认证系统，SRQ15电子证书认证系统，SRQ16网络身份认证系统，SRQ18数字证书认证系统，SRQ19数字证书认证系统，SRQ20数字证书认证系统，SRQ21数字证书认证系统，SRQ23身份认证系统，SRQ24证书认证系统，SRQ25数字证书认证系统，SRQ26身份认证系统等等。

商用密码产品生产定点单位采用以上产品，为电子认证服务机构集成数字证书认证中心的运营系统，由电子认证服务机构开展业务运营工作。

1.3.2 PKI技术
随着我国电子政务和电子商务建设重点逐步向内部办公及面向企业和公众的各种网上服务等应用转移，相应的网络应用已经或即将纷纷推出，但真正要使之发挥有效的网上办公服务及商业作用，形成生产力，需要在各种具体的网络应用中解决其安全问题；至今全球解决应用层安全问题的最完整、最成熟、应用最为广泛的解决方案是基于PKI（即公钥密码基础设施，Public Key Infrastructure）的安全解决方案。

PKI应用系统类型主要为网络应用（Web Application）、点对点（端对端）认证SSL、安全电子邮件S/MIME、虚拟专网（VPN）等。 此外，其他的PKI应用范畴包括：无线PKI、企业之电子作业流程管理、客户交易系统、机密文件管理、网络报税、金融信息交换等。

PKI应用行业主要分布于电子政务、金融服务业、电信服务、制造业、电子商务等；其中电子政务、电子商务的市场为市场重点，金融与电信为另外两大领域。

1.3.3基于SSL的应用安全软件
目前，国内基于SSL的安全应用软件总体来说体现以下几个方面的特点：

在安全性方面主要采用标准的密码算法，支持128位的对称加密强度。也不受美国安全产品出口40位密钥长度的限制，可以说安全性能比较强；

在互操作方面，严格遵循SSLv3.0标准设计开发，可以独立使用，可与其它支持SSL协议的安全产品互操作。

透明性方面，与原有业务系统透明连接。与具体应用无关，对原有系统无须修改，即可透明地提供安全支持。

在效率方面，通过SSL的Cache与压缩模式，大幅度提高安全连接的效率和降低网络带宽的占用。

由于SSL协议是建立在TCP/IP应用层之间的一种数据安全协议，该协议可以有效地避免网上信息的偷听、篡改以及信息的伪造，但是只提供了安全通道，并没有数字签名，而签名机制是在应用端完成的，因此，国内厂商提供了各种各样的客户端代理系统和控件来弥补这方面的问题，造成各种代理软件和控件繁多、没有统一的标准和机制的现象，而应用软件本身就存在很大的安全漏洞，这一点应该引起特别关注。

1.4其他
在电子认证服务机构的发展过程中，还有很多部门和机构都参与了组织管理与协调工作。

科技部、委、局批准了相关的科研项目，原经贸委、原计委、发改委批准了相关的工程项目，信息产业部批准了相关的试点项目，地方信息化管理部门批准了本地区的数字证书认证中心。

国务院信息化工作办公室委托“中国PKI论坛”联合国内相关单位，开展了《国家PKI体系建设规划课题》的研究。

信息产业部的国家电子商务认证机构管理中心起草了《电子商务认证机构建设、运营和管理规范指南（讨论稿）》。

中国国家信息安全产品测评认证中心开展了对PKI/CA产品和系统认证业务。

中国电子学会、中国PKI论坛（挂靠在国家信息中心）、中国电子商务协会等社会团体组织了相应的调查研究工作。

2 中国电子认证服务业的问题分析
2.1政府组织管理方面的问题
2.1.1长期陷于“三无”困境
《电子签名法》颁布之前，中国电子认证服务业属于长期无统一主管部门、无行业标准、无管理办法的“三无”行业。中国电子认证服务机构的建设缺乏国家统一指导和规范，管理问题突出。有公安部、保密局、国家密码管理委员会办公室、安全部、商务部、信息产业部、发改委（含原计委）、原经委、科技部（含原科委）、质检总局等多个部门涉及对这个领域的“多头”管理，但是却缺乏统一的、实质性的组织协调与管理。

2.1.2缺少行业整体规划
从国内电子认证服务机构开始建设至今，国家政府部门一直没有出台一个指导国内电子认证服务机构建设的总体规划和管理指南，使得电子认证服务机构建设处于无序状态。

由于国内电子认证建设没有总体规划，全国各行业各地区已经建有100多家电子认证中心，但是哪些是支付性电子认证，哪些是非支付性电子认证；哪些属于行业性，哪些属于地方性；哪些属于国家级的，哪些属于社会公众性的；哪些电子认证支持电子商务应用，哪些电子认证支持电子政务应用，都没有明确的分工与协作。

2.1.3标准规范严重滞后
虽然有关部门也组织了人力投入了财力，开展了相关的标准和规范的研究。但与国外相比，与需要配套的标准和规范严重滞后。长期以来，电子认证服务业的建设和运营一直都缺少统一的标准和规范，严重影响了中国电子认证服务行业的发展。目前国内的电子认证服务机构颁发数字证书时所采用的标准和规范都不一样，证书的发放和运用范围、审核方式也不尽相同，所涉及到的信息保存及披露更是有较大的差别。

2.2电子认证服务机构本身的问题
2.2.1对电子认证服务市场需求分析不充分
电子认证服务机构应该是第三方机构，应该是社会共享资源。但是，由于缺少统一的规划和管理，国内电子认证服务机构建设过热，有一定的盲目性，重复建设和资源浪费现象严重。

我国电子政务、电子商务处在一个发展的过程中，同时我国经济发展不平衡，沿海地区和中西部地区的需求不同。所以，电子认证服务机构在各地所能发挥的作用也不一样。一些在经济欠发达的地区盲目设立的电子认证服务机构，由于当地市场容量有限，不仅不能发挥作用，甚至认证机构本身也难以维持正常的运营，长期亏损；而在经济发达地区，建设的盲目性就表现为重复建设，资源浪费严重。

2.2.2对电子认证服务机构的作用认识不足
网络上之所以需要电子认证，是由于网络化带来的信任问题引起的。而电子认证中心正是这样一个服务机构，它提供网上实体身份标识的第三方公证服务，广泛地服务于电子政务、电子商务、网上银行、网上身份证、电子公证、安全电邮、电信、保险等领域。

然而，在国内电子认证服务行业建设和发展过程中，政府、企业、个人都对电子认证服务机构的作用认识不足，对电子认证服务机构的作用认识存在偏差。

一些电子认证服务机构不顾用户需求，将设立认证机构作为一种形象工程，按事业单位的方式管理，错误地认为认证机构可以执行某种行政职能，并能依此而产生经济效益。

还有一些电子认证中心规模小，自身实力不足，又对电子认证中心运营和推广的复杂性和难度考虑不够，本以为一旦运营并向外提供服务，即可获得后续生存和发展资金。谁料目前市场需求不足，应用不成熟，不少电子认证中心后续资金不充裕，有的甚至已经陷入资金危机中，经营难以为继。这些电子认证中心的失败反过来又影响了电子认证服务机构的信誉和用户的信心，使更多的用户继续观望，从而影响了整个电子认证服务行业发展。

2.2.3对电子认证服务机构的法律责任认识不足
电子签名法中规定，电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部门责令限期改正；逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。

电子认证服务机构作为权威性、可信任性和公正性的第三方机构，负有相应的社会义务和责任。

电子认证服务机构对外宣布证书认证声明中，必须规定当交易发生争端时，提供解决争议仲裁的有效证明和全部审计资料；当由于电子认证服务机构自身的工作失误，造成用户使用证书的经济损失时，电子认证服务机构必须给予一定的经济赔偿。

电子认证服务机构要维持其运作，就要有相应的用户规模。而要用户相信认证机构提供的数字身份证是可靠的，不仅要求电子认证服务机构具备相应的安全保证和严格的管理规章，还需要有足够的经济实力来保证电子认证系统的安全性和电子认证服务机构的赔偿能力，从而保证电子认证服务机构的长期稳定运营。

国内很多电子认证服务机构初始投入资金有限，所建设的电子认证系统达不到需要的安全标准，而且后续运营资金缺乏保障，其可信性和权威性必将打折扣。据调查，目前国内众多的电子认证服务机构中很少公开如上所述的责任和义务的声明，而且经济赔偿能力不足。

2.2.4电子认证服务机构缺少必要的规章制度
一个电子认证服务机构运行时，必须制定配套的CP和CPS，对外宣布证书认证声明。CPS中要规定用户的义务，也要规定电子认证服务机构的义务，其中包括电子认证服务机构要保护用户的隐私权、知识产权、商业秘密等等。CPS中还要规定电子认证服务机构对社会、对用户所承担的社会责任和经济责任，如保护好用户的私钥、加密密钥的备份、负责证书的正确使用和黑名单CRL的成功查询。CPS中还必须规定当交易发生争端时，提供解决争议仲裁的有效证明和全部审计资料，当由于电子认证服务机构自身的工作失误，造成用户使用证书的经济损失时，电子认证服务机构必须给予一定的经济赔偿。

据调查，目前国内众多的电子认证服务机构中不仅很少发表上述的责任和义务声明，也缺乏完善的内部管理规章制度和业务流程控制。

2.2.5电子认证服务机构的技术问题
2.2.5.1电子认证服务机构的总体技术水平偏低
技术基础问题将直接影响着中国的电子认证服务业的发展：

电子认证目前使用的主要是数字签名技术，也主要是指PKI；而从技术角度看，PKI潜在问题是涉及到证书机制，对客户不透明；对证书签发后管理问题技术实现和管理方法落后，不方便客户。

公钥算法的生命周期问题目前成为关注的焦点，各种算法的应用将面临挑战；

PKI的核心机构就是CA，而目前信息孤岛现象比较严重，一个CA一个信任域，信息交流和互联互通是一个迫在眉睫的问题；

基于SSL的应用安全软件本身存在巨大的安全隐患，没有统一的规划和监管；

整体上看，不仅技术水平低，而且平台建设成本非常高；

当验证方有大量客户时（或者并发时），目录服务器的数据库管理是一个严重的问题，特别是速度和系统承载能力问题将面临严峻考验；从客户端看，客户使用方便性差，操作不方便；

公钥加密对CPU来说是一个很耗时的事情，所以必须要采取技术手段来减少从头开始的连接数目，然而这就降低了效率。

2.2.5.2电子认证服务机构存在安全隐患
PKI/CA是一种遵循标准的利用公钥加密技术为网上通信提供一整套安全保障的基础平台，它自身是一个安全度要求很高的机构，比一般信息中心安全标准要求高得多。电子认证服务机构的认证系统安全性涉及到访问控制、责任分割、识别和鉴别、密钥管理、审计、可行路径和数据保护、密码安全、物理安全、人员安全等多个方面。

比如物理安全，按国际标准，它的机房六面墙体要求用3毫米的钢板砌成，机房内划分军事区和非军事区，双道门禁系统，每道门禁采用双指纹识别。并非在普通机房里，摆上几张桌子，放几台PC机，装上电子认证软件，就建成电子认证中心了。

网络安全要求采用多道异构防火墙并加防黑客实时检测系统；对电子认证密钥必须采取严密保护措施，私钥用硬件产生，私钥不出卡，加密模块必须国产化；电子认证所用到的所有加密算法必须是经国家密码办批准的国内研制的算法。

国内已建立的100多家电子认证中心中，相当一部分在筹建时就带有一定的盲目性，系统建设时采用的PKI产品不够完善，建设方案破绽百出，电子认证系统自身安全考虑不够全面，安全强度弱，风险大，建设完毕后没有进行足够的风险和安全评测，开展业务过程中又缺乏一个审计、监督机制促使其规范运营。这些电子认证中心从开始建立到最后运行，整个过程中都存在安全隐患，整个系统的安全性和稳定性不符合电子认证服务中心的要求。

2.3应用推广问题
大部分中国人目前还都习惯于到商店进行传统方式的购物和到银行柜台进行传统的交易，对在网上虚拟电子商城中购物还有个认识、习惯的过程。这是影响电子认证服务发展的一个主要因素。

国内电子商务、电子政务的发展有个过程，信息化的建设不可能一蹴而就。目前国内企业电子化的程度低，各大型企业不建立起自己的ERP，是建设不成“卖方主导型”、“买方主导型”或“电子交易市场型”的电子商务网站的。现在上网的电子商务应用项目大都停留在产品介绍、相关信息发布等简单的应用上，真正实现在线交易的企业更是凤毛麟角。这种状况又进一步制约了电子认证服务业的发展。

调查发现，电子认证服务机构人员的服务意识普遍不强，服务很不到位，对电子认证的普及宣传的力度不够，加之一些数字证书的使用还有一定的不方便性，使得电子认证服务业的发展受到影响。

2.4本章归纳
我们的调查发现，电子认证服务业的主要问题集中在管理和应用两个方面。社会有强烈的呼吁，在管理上既要实现“裁判员式”的监督管理，更要进行“教练员式”的服务管理；同时，要针对应用没有真正开展起来的现象，弄清楚真正的问题所在，是意识相对超前，还是服务相对滞后，从而为大规模的应用创造必要条件。

3 中国电子认证服务业发展建议
3.1加强政府统一规划
首先，要明确主管部门。《电子签名法》确定我国将采用“政府主导型”管理模式，规定了采用强制性许可制度，因此应尽快确定电子认证服务业管理的具体部门，特别是要明确行业的发展和整体布局的主管部门。其次，要细化规则，要使《电子签名法》更具有可操作性，要在2005年4月1日《电子签名法》正式实施前出台以规范电子认证服务为核心的实施细则，比如电子认证的准入许可等具体管理办法。第三，要加强各部门间的协调。电子认证服务行业涉及到多个方面，应加强各部门间的协调、沟通与合作，合力保障我国新生的电子认证服务业的健康规范发展，维护相关各方的正当权益，并追究违法者的责任，对市场进行有效的监督，建立公平公正的市场服务秩序。

同时，要积极采取符合我国国情的行动和改革。一要加强对国家电子认证体系的研究和规划。要在各监管部门间建立电子认证工作组（或领导小组），加强政府部门间协调，从大局出发，统一规划，协调发展；第二，推出示范工程，集中我国现有的人、财、物力，避免重复投资，在示范工程取得经验的基础上，加大政府推广应用力度，促进电子认证服务业的发展；第三，坚持技术中立原则，即：政府对技术应采取非歧视性政策，提出基本原则，指导创建开放、平等、竞争的市场环境，由市场决定技术标准；第四，支持国有企业先行采用电子支付的手段处理内、外部业务和相关事务，发挥其影响力、带动力和示范作用；第五，培养专业人才，拓宽人才培养途径，打造我国电子认证服务的中坚力量，加强岗位职业培训，提高从业人员水平，全面推进执业资格、专业资格证书制度，建立电子认证服务业执业资格、专业资格标准体系，支撑产业发展；第六，普及电子认证知识，提高用户的使用意识。

3.2改善宏观环境
鉴于电子认证服务业在国民经济中的重要地位，政府应为其发展创造良好外部环境，积极推动我国电子认证服务业的发展。政府的作用主要体现在：加强服务基础设施的建设；加强对人力资本及科技方面的投入，提高劳动力素质和科技水平；完善服务业的法律、法规，创造公平竞争的市场环境；完善社会保障体系；向社会提供信息服务等。

首先，完善法律和政策环境。安全认证需要的法律包括信用立法、电子签名法、电子交易法、认证管理法律等，《电子签名法》对电子认证服务管理只是做了框架性的规定，配套的法律法规、行业规范亟待健全。如果从一部全面的电子商务基本法的角度衡量，与国外的相关立法比较(如美国的《国际与国内电子签名法》、新加坡的《电子交易法》等)，目前我国的这部电子签名法至少还缺乏三个领域的基本内容：电子合同、电子商务消费者保护与电子商务经营者的法律责任。也就是说，虽然目前我国的这部电子签名法相当精练，但还不是一部全面的电子商务基本法，数据电文、电子签名之外的其他电子商务法律基本问题还需要通过其他法律予以解决。

其次，完善应用环境。通过加强应用的推广和宣传力度，在用户层面建立信心。通过建立征信机制，扶植征信产业，建立有效的信用评估体系，完善电子认证服务的应用环境。通过鼓励加强密码技术和认证技术及相关产品的自主研发，减少对国外技术和标准的依赖，做到在遵循国际标准的基础上，创建一整套具有中国特色的操作规范。

3.3条块协调，完善布局
统筹规划，完善布局，构建全国性跨地区、跨行业、跨领域的电子认证技术体系、运营体系和服务体系。加强各电子认证服务机构之间的互通合作，提高各不同机构间发放的证书的兼容性，提升产业集群水平，在使得中国电子认证服务产业各利益主体能够取得健康平衡的前提下，充分发挥市场的竞争机制和汰劣择优功能，使电子认证服务机构为各个行业、各个地方的用户提供更大的便利和专业性的服务。电子认证服务体系未来的稳定与平衡局面，仅仅靠行政的手段、技术的方式是不能真正实现的。一定是按经济的规律、依靠资本的力量来实现的。

目前，“条”是越分越细，“块”是越划越小，各地区各行业都误把建立电子认证服务机构和数字证书管理中心作为信息化建设的积极举措，而没有真正从应用上着眼。考虑到这一现状，我们建议，可多挂“牌子”，要少建“CA”。各行业或地区可以通过挂一些“数字证书管理中心”的“牌子”有效推进数字证书的应用，但一定不能滥建电子认证服务机构即CA认证中心。很多行业和地区通过RA或LRA的方式把电子认证的业务积极开展起来，其社会效益和经济效益两个方面都不会比建一个独立的电子认证服务机构即CA认证中心逊色。

3.4加强对现有认证机构的整顿
电子认证概念1996年被引进到中国，1999年进入疯狂发展的泡沫时代，各地区、各领域、各行业纷纷建立自己的电子认证中心。其中很多电子认证服务机构没有任何国家认证资质，只是在行业和政府部门内部使用。而在发达国家，电子认证服务机构的数量只有几家而已。政府将如何对国内现有的100多家电子认证服务机构和已发放的数百万张数字证书进行分类管理平稳过渡，如何规定电子认证服务的法律责任，成为关注的焦点。只有电子认证服务机构本身安全，其签发的电子签名证书才是安全的，从而保证电子商务和电子政务的安全性。

建议抬高电子认证服务机构市场准入的门槛，并要求电子认证服务机构采取安全可靠的技术和严格高效的管理来保证自身的可信度。提倡“对内军事化的管理和对外五星级的服务”。进一步明确电子认证服务机构的法律责任，甄别电子认证服务机构的违约赔付能力。对于现有的电子认证服务机构，采用“疏”的办法，进行重新整合，归到几家权威寡头机构来运营。放慢审批速度，从而在此过程中，各个现有电子认证服务机构把自己放到能做的层面，保证自己机构的利益，找到出路。对现有的数百万张已发放证书，进行条分缕析，属于通过主管部门资格认证的电子认证服务机构所发放证书范畴的，证书继续使用；属于未通过主管部门资格认证的电子认证服务机构所发放证书范畴的，由这些机构安排由通过主管部门资格认证的电子认证服务机构来承接服务，平稳过渡。

3.5积极发挥社会团体中介组织的协调作用
电子认证服务在我国属于新生业务，如何探索符合国情的服务模式，巩固产业利基，拓展服务利得，成为业界关注的焦点。在当前的形势下，广大用户对于电子认证服务还比较陌生，市场需要培育，市场的诚信环境还不太理想。电子认证服务业要想形成自己的核心竞争力，就需要服务模式的创新，提高服务水平，撬动服务需求，打开市场之门。

尽管中国电子认证服务的宏观管理，主要依靠市场引导和行业自律的条件还不太具备，需要政府主导，但是，在具体的行业监管过程中，仅仅依靠政府一个方面也是不够的，对于这一新生行业，应充分发挥学术团体、行业协会、企业联盟的组织协调作用，加强行业自律，积极探索符合国情的服务模式。要按照市场经济的原则和国际惯例，在政府与企业之间对社会团体等中介机构进行准确定位，充分发挥其作用。譬如，根据电子认证服务机构必备条件的相关规定，社会团体可以组织相关专家，协助政府进行市场准入审核的调查、监督和年检、认证工作，以配合政府主管部门更好地完成行业监管职责。又譬如，社会团体可以组织相关调研，推出电子认证服务机构管理评级的指标体系、电子认证审计的具体内容等，协助进行管理评级、审计等，并对从业人员进行相关培训等。凡此种种，积极发挥社会团体中介组织的协调作用，对政府主管部门的工作给予有力地支撑。

3.6主动参与国际合作
电子商务的本质决定了与电子商务相关的服务必然逐步显现国际化的趋势。电子认证服务也毫不例外，从长远的角度看，电子认证在国际范围内的交叉认证、统一和标准化是必然的趋势。在这一过程中，会产生不断的协调、互相渗透、竞争和兼并，这是电子商务自身的要求，也是市场竞争的要求和结果。近年来，国际组织为建立全球电子认证中心制订了一系列的标准与法规，如ISO已颁布的密钥鉴别架构标准ISO 9594-8、开放系统连接安全架构ISO 10181等。根据ISO各项已颁布及草拟中的相关标准，IETF在安全领域方面正进行基于X.509的PKI建设标准制定工作，并将逐步建成世界权威性的全球电子认证中心机制。特别是当前，随着加入WTO，我国政府放松了对服务业的经济限制，加之信息通信技术的发展影响深远、网络无界限的特点，这些都要求我们参与国际对话，建立沟通机制，通过必需的组织、规划和政策、外交策略、措施，力求建立一个覆盖全国、联通世界并为国际社会所普遍接受的电子认证服务国际框架，维护我国电子认证服务应有的权属利益和发展平台。

4 中国电子认证服务业未来展望
2005年4月1日，《中华人民共和国电子签名法》将正式实施，我国电子认证服务业将进入规范发展的新阶段。随着政府管理力度的加强、市场准入门槛的提高、行业管理的规范，电子认证服务也将出现新一轮洗牌。现有电子认证服务机构的技术实力、运营水平、服务水平和保障能力还有所欠缺，通过政府推动、行业协调、服务促进、市场需求的拉动和资本力量的整合，电子认证服务机构将逐步进入有序发展的时期。

《电子签名法》确认了可靠电子签名的法律效力并对数据电文作了相关规定，这将简化手续、提高效率，并且可以使网上交易的真实性、有效性、防抵赖性等问题有法可依，将促进电子商务、电子政务的蓬勃发展，从而带动电子认证服务业的发展。电子认证服务业的需求将出现高速增长，行业总体景气水平将稳步提升。电子认证服务业将在未来的3-5年成为新的高增长行业，对信息经济增长的贡献能力将稳步提高。随着市场的不断培育和良性发展、网民数量的持续发展、网上交易数量的增大，电子认证服务业将快速发展，申领电子证书和使用电子签名将成为新的时尚，而企业用户将为电子认证服务业提供更多的用户支撑和经济贡献，中国也将成为全球第一大电子认证服务市场。

信息科技，尤其是网络造就了我们今天有史以来持续时间最长的经济繁荣，而电子签名法的实施，必将为欣欣向荣的中国新经济发展提供新的动力。电子认证服务业作为一个新生的行业在可以预期的未来必将走入规范发展和快速发展之路，拥有美好的明天！

第三章 销售管理
第十条 商用密码产品由国家密码管理机构许可的单位销售。未经许可，任何单位或者个人不得销售商用密码产品。
第十一条 销售商用密码产品，应当向国家密码管理机构提出申请，并应当具备下列条件：
（一）有熟悉商用密码产品知识和承担售后服务的人员；
（二）有完善的销售服务和安全管理规章制度；
（三）有独立的法人资格。 经审查合格的单位，由国家密码管理机构发给《商用密码产品销售许可证》。
第十二条 销售商用密码产品，必须如实登记直接使用商用密码产品的用户的名称（姓名）、地址（住址）、组织机构代码（居民身份证号码）以及每台商用密码产品的用途，并将登记情况报国家密码管理机构备案。
第十三条 进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。

第四章 使用管理 　
第十四条 任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。
第十五条 境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备，必须报经国家密码管理机构批准；但是，外国驻华外交代表机构、领事机构除外。
第十六条 商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障，必须由国家密码管理机构指定的单位维修。报废、销售商用密码产品，应当向国家密码管理机构备案。

第五章 安全、保密管理 　
第十七条 商用密码产品的科研、生产，应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品，应当采取相应的安全措施。
从事商用密码产品的科研、生产和销售以及使用商用密码产品的单位和人员，必须对所接触和掌握的商用密码技术承担保密义务。
第十八条 宣传、公开展览商用密码产品，必须事先报国家密码管理机构批准。
第十九条 任何单位和个人不得非法攻击商用密码，不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动。
第六章 罚则 　
第二十条 有下列行为之一的，由国家密码管理机构根据不同情况分别会同工商行政管理、海关等部门没收密码产品，有违法所得的，没收违法所得；情节严重的，可以并处违法所得１至３倍的罚款；

（一）未经指定，擅自生产商用密码产品的，或者商用密码产品指定生产单位超过批准范围生产商用密码产品的；
（二）未经许可，擅自销售商用密码产品的；
（三）未经批准，擅自进口密码产品以及含有密码技术的设备、出口商用密码产品或者销售境外的密码产品的。
经许可销售商用密码产品的单位未按照规定销售商用密码产品的，由国家密码管理机构会同工商行政管理部门给予警告，责令改正。
第二十一条 有下列行为之一的，由国家密码管理机构根据不同情况分别会同公安、国家安全机关给予警告，责令立即改正：
（一）在商用密码产品的科研、生产过程中违反安全、保密规定的；
（二）销售、运输、保管商用密码产品，未采取相应的安全措施的；
（三）未经批准，宣传、公开展览商用密码产品的；
（四）擅自转让商用密码产品或者不到国家密码管理机构指定的单位维修商用密码产品的。 使用自行研制的或者境外生产的密码产品，转让商用密码产品，或者不到国家密码管理机构指定的单位维修商用密码产品，情节严重的，由国家密码管理机构根据不同情况分别会同公安、国家安全机关没收其密码产品。
第二十二条 商用密码产品的科研、生产、销售单位有本条例第二十条、第二十一条第一款第（一）、（二）、（三）项所列行为，造成严重后果的，由国家密码管理机构撤销其指定科研、生产单位资格，吊销《商用密码产品销售许可证》。
第二十三条 泄露商用密码技术秘密、非法攻击商用密码或者利用商用密码从事危害国家的安全和利益的活动，情节严重，构成犯罪的，依法追究刑事责任。
有前款所列行为尚不构成犯罪的，由国家密码管理机构根据不同情况分别会同国家安全机关或者保密部门没收其使用的商用密码产品，对有危害国家安全行为的，由国家安全机关依法处以行政拘留；属于国家工作人员的，并依法给予行政处分。
第二十四条 境外组织或者个人未经批准，擅自使用密码产品或者含有密码技术的设备的，由国家密码管理机构会同公安机关给予警告，责令改正，可以并处没收密码产品或者含有密码技术的设备。
第二十五条 商用密码管理机构的工作人员滥用职权、玩忽职守、徇私舞弊，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，依法给予行政处分。
第七章 附则
第二十六条 国家密码管理委员会可以依据本条例制定有关的管理规定。
第二十七条 本条例自发布之日起施行。
1999年10月7日

5.4国外及港、台地区电子认证服务业的发展状况
5.4.1联合国
1985年联合国国际贸易法委员会（以下简称“贸法会”）第18次会议通过了关于电脑记录的法律价值，呼吁各国政府和国际组织酌情按照贸法会的建议采取行动，以便在国际贸易尽可能广泛使用自动化数据处理的情况下，确保法律安全。
1996年12月，贸法会第29届会议在通过了《电子商业示范法》之后，讨论了电子商务领域以后的工作方向，会议认为，贸法会应当着手编制关于数码式签字的规则，同时制定验证局的行动或授权就数码式签字的电文来源和归属签发电子证书或其他形式保证的其他个人行动的法律。贸法会请电子商业工作组审查数码式签字和验证局问题编写统一规则的可取性和可行性。
在贸法会电子商业工作组（以下简称工作组）第31届会议（1997年2月）上，工作组听取了工作组秘书长《电子商业问题今后工作的规划：数码式签字、验证局和有关法律问题》的报告[1]，普遍认为，缺乏关于数码式签字和其他电子签字的法律制度会对通过电子方式进行经济交易造成障碍。各国考虑采取的做法和可能采取的解决办法各不相同，使这个专题成为适合由贸法会加以统一的对象。[2]
贸法会第30届会议（1997年）核准了电子商业工作组第31届会议的意见，即肯定了电子商业法律协调的重要性和必要性，并委托工作组起草《数字签字统一规则（Uniform Rules on Digital Signature）》。
在电子商业工作组第32届会议（1998年1月）上，工作组开始制定《电子签字统一规则（Uniform Rules on Electronic Signature）》。 并于第33届会议（1998年6月）正式推出了《电子签字统一规则》草案。
在电子商业工作组第34届会议（1999年2月）上和第35届会议（1999年9月）上，代表们对电子签字的法律问题的理解方面取得了很大进展。第35届会议形成了《电子签字统一规则草案》，第36届会议（2000年2月）形成了《联合国国际贸易法委员会电子签字示范法》（以下简称《电子签字示范法》）。2000年6月，贸法会第33届会议审定了《电子签字示范法》，并提出修改意见。
2002年1月24日，联合国国际贸易法委员会第85次全体会议正式通过了《联合国国际贸易法委员会电子签字示范法》[3]，该法是联合国国际贸易法委员会继《贸易法委员会电子商务示范法》[4] 后通过的又一部涉及电子商务的重要法律。该法从1997年组织起草，到2002年正式通过，起草过程长达5年时间。其立法思路经过多次反复，反映出对现代化核证技术的不断深化的认识。
《电子签字示范法》共12条，内容涉及：适用范围、定义、签字技术的平等对待、符合签字要求、签字人的行为、验征服务提供商的行为、可信赖性、依赖方的行为、对外国证书和电子签字的承认。其中，第9条、第10条、第12条都是涉及认证机构。
《电子签字示范法》规定，认证服务提供人提供服务，以支持可用作具有法律效力的签字而使用的电子签字的，应当按其所作出的关于其政策和做法的表述行事；应当采取合理的谨慎措施，确保其作出的关于证书整个有效期的或需要列入证书内容的所有实质性表述均精确无误和完整无缺； 应当提供合理可及的手段，使依赖方得以从证书中证实认证服务提供人的身份、证书中所指明的签字人在签发证书时拥有对签字制作数据的控制、在证书签发之时或之前签字制作数据有效；应当提供合理可及的手段，使依赖方得以在适当情况下从证书或其他方面证实用以鉴别签字人的方法、签字制作数据或证书的可能用途或使用金额上的任何限制、签字制作数据有效，且未发生失密、认证服务提供人规定的责任范围或程度上的任何限制等内容。认证服务提供人如果不能满足上述要求的应承担相应的法律后果。

《电子签字示范法》规定，在确定认证服务提供人使用的任何系统、程序和人力资源是否可信赖以及在何种程度上可信赖时，需要考虑其财力和人力资源，包括是否存在资产；硬件和软件系统的质量；证书及其申请书的处理程序和记录的保留；是否可向证书中指明的签字人和潜在的依赖方提供信息；由独立机构进行的审计的经常性和审计的范围；是否存在国家、资格鉴定机构或认证服务提供人作出的关于上述条件的遵守情况或上述条件是否存在的声明等。
《电子签字示范法》规定，对于外国证书和电子签字是否具有法律效力或在多大程度上具有法律效力时，不应考虑签发证书或制作或使用电子签字的地理位置；或签发人或签字人营业地的地理位置。应赋于在[颁布国]境外签发的证书，具有实质上同等可靠性的，在[该颁布国]境内具有与在[该颁布国]境内签发的证书同样的法律效力；在[颁布国]境外制作或使用的电子签字，具有实质上同等可靠性的，在[该颁布国]境内具有与在[该颁布国]境内制作或使用的电子签字同样的法律效力。
5.4.2欧盟
5.4.2.1 基本情况
欧盟于1999年末制定的《欧盟电子签名统一框架指令》结构紧凑，由15个条款和4个附件组成，主要用于指导和协调欧盟各国的电子签名立法。其中比较有特色的主要的四个方面：电子认证服务的市场准入、电子认证服务管理的国际协调、认证中的数据保护、电子认证书内容的规范。
从长远的角度看，电子认证在国际范围内的统一和标准化是必然的趋势，在这一过程中，会产生不断的协调、互相渗透、交叉认证、竞争和兼并，这是电子商务自身的要求，也是市场竞争的要求和结果。所以，欧盟的电子签名统一框架指令在这方面可谓目光远大，分别在其第三条和第七条中，对电子认证服务的市场准入、电子认证服务管理的国际协调进行了规定。其第三条第一款明确规定“成员国不得为证书服务规定任何事先授权。”此外，该条其他款还规定了认证服务管理的客观透明、适当和非歧视的原则。另一个方面，该条第七款也明确指出“成员国可以对电子签名在公用部门的使用而附加一些可能的附属要求，这些要求应该是合格、透明、客观和非歧视的”。而其第七条第一款则明确规定：“成员国应保证在第三国设立的认证机构配发的资格证书能和在联盟内设立的认证机构配发的证书一样在法律上被承认”。应该说，这些基本原则和技术处理应在世界范围内得到推广。
欧盟电子签名统一框架指令另一个有特点的部分就是其有关数据保护的规定。因为在电子商务的各个环节中，认证机构不仅在电子签名、身份认证方面能起关键的作用，而且在数据保护或隐私权保护这一促进和稳定电子商务发展的关键环节上，认证机构也完全可以起到相关重要作用，至少应承担起相当的义务。欧盟电子签名统一框架指令第八条的设立正是从这个宗旨出发的，这种结构很好地弥补了以前大部分电子商务立法的不足。
最后，欧盟电子签名统一框架指令另一个比较有特色的部分是其附件中对合格证书、签发合格证书的认证服务提供人、可靠签名生成设备的具体要求，全面、细致地规范了认证服务的几个关键环节，可以有效地促进认证服务的规范化。
欧盟各国非常重视PKI的建设，各国分别建立了自己的根电子认证，并于2001年3月正式成立了欧洲的桥接电子认证，用于电子商务和电子政务。在1997年欧盟发表了“欧洲电子商务主导权”报告，2002年6月数字签名法生效。

5.4.2.2欧洲桥电子认证
目标
欧洲桥电子认证的目标是：促进使用数字签名和数字证书的安全电子商务解决方案的使用；在采用不同解决方案的参与方之间建立世界范围内的信任和互操作桥梁。
应用
欧洲桥电子认证主要用于电子邮件的安全应用。
体系结构
欧洲桥电子认证采用的体系结构如下图所示，称为信任HUB。

该信任HUB的实现是通过一个证书信任列表，将所有经过注册和认证的电子认证和根证书存放在一个压缩文件中，桥电子认证对该压缩文件进行签名，用这个压缩文件和相应签名构造一个PKCS#7结构。桥电子认证使该证书信任列表能为各PKI的主电子认证获取。
要加入欧洲桥电子认证计划的PKI主电子认证，先向欧洲桥电子认证注册，欧洲桥电子认证审查通过后，将该电子认证加入信任列表。在信任列表中的电子认证是欧洲桥电子认证信任的，而且桥电子认证对该信任列表进行了签名，因此各参与方PKI信任该信任列表中的电子认证。

证书与证书撤销列表
欧洲桥电子认证采用X.509 V3证书、X.509 V2属性证书和标准证书撤销列表（包括增量证书撤销列表）。
管理协议
欧洲桥电子认证采用基于CMC的简单PKI管理协议。
与联邦桥电子认证的差别
美国联邦桥电子认证的体系结构是一个标准交叉认证形式的桥接信任模型，而欧洲桥电子认证是一个采用信任列表实现的桥接信任模型。
联邦桥电子认证中，各主电子认证信任桥电子认证交叉认证的电子认证，是因为桥电子认证颁发给该电子认证交叉证书；欧洲桥电子认证中，各主电子认证信任桥电子认证信任的电子认证，是因为桥电子认证对信任列表进行了签名。

联邦桥电子认证中交叉认证需要策略映射的检查，而欧洲桥电子认证计划中不需要进行策略映射的检查。
5.4.3德国
德国1997年通过了《数字签名法》，该法基本上属于技术规章，它虽然规定了认证机构之工作程序，但却并没确定数字签名之法律效力，也没涉及认证机构之法律责任。该法明确规定，验证服务营业无须批准，只要达到一定的从业标准，即可以经营该业务。政府并不组建或授权安全认证机构，有能力的组织都可以进入安全认证市场；因此，对我国的电子认证服务业的发展参考作用不大。
5.4.4美国
5.4.4.1 基本情况
电子签字法发源于美国，1991年，美国律师协会（ABA）信息安全委员会开始着手拟订《数字签字示范法》。历时四年后，委员会仍未能就示范法的关键问题达成共识，于是决定以指南的形式将草案公之于众。1995年夏，一部对美国各州乃至对全世界都有重大影响的《ABA数字签字指南》终于诞生。它的意图在于“提供一种解决方案，使得获得州政府许可的认证机构在应用PKI系统后，数字签字能得到承认。”这种直接依赖于数字签字技术的立法模式深刻地影响了美国立法较早的州。
1995年5月1日，犹他州率先公布了《数字签字法》（Utah Digital Signature Act），其特点在于首倡针对认证机构实行许可证管理制度，并为数字证书当事人规定了详尽的法律义务。紧步犹州后尘的是《华盛顿电子认证法》（Washington Electronic Authenticate Act）。华州州法非常近似于犹他州法，于是此类立法被通称为"犹他/华盛顿"模式，该模式的特点在于法律直接锁定某种具体技术，将大量的技术术语与技术标准直接纳入法律规范，又被称为“指定式”（prescriptive）立法。明尼苏达等数州也沿袭了这种立法模式。
美国《犹他州数字签名法》201-1-8“认证机构的许可与资格”中,规定认证机构取得和保有主管部门颁发的许可证必须具备的条件之一是在本州拥有办公室或为在本州办理服务确立了服务代理人。
1999年7月1日正式生效的伊利诺电子商务安全法（Illinois Electronic Commerce Security Act）则糅合了各大派别的特色，将数字签字与电子签字两套独立的法律-技术语言符号熔于一炉，并通过较为技巧的法律处理使之形成有机的体系。它的基本思路是将电子签字分为高密级与一般电子签字两种，同时将符合条件的数字签字纳入高密级的电子签字中去，从而巧妙地使两套体系得以衔接。这种大胆思路给了外国立法相当的启发，如新加坡法就大量因袭了伊州立法。另外，衣阿华州1999年5月19日通过了自己的《电子商务安全法》，基本上也原文照搬了这部法律。
美国总统克林顿在1999年6月30日以数字签字的方式签署了《全球与国家商务中的电子签字法》，直接从联邦政府的层面对州法中的未达之处包括州际和国际贸易作了规范，进一步丰富了美国电子签字法的法律渊源。该项立法作为美国政府推动电子商务的重要举措，为电子签字和电子记录的法律地位的确定制定了重要的程序和规则。根据该法案规定，在该法案确定的标准得到遵守的前提下，即可赋于电子签字、电子合同和电子记录以法律上的确定性。
美国是PKI使用先进国家的代表，在美国PKI的研究和使用已有20年的历史，美国各大企业和联邦、州政府分别建立了电子认证。他们的系统结构是：策略批准机构（PAA）——策略执行机构（PCA）——认证机构（CA）。后来又建立了联邦桥接电子认证，实现了各种电子认证的交叉认证。美国PKI主要用于电子政务和电子商务。企业级电子认证主要用于企业内部的安全管理。
2000年克林顿总统批准了《国际与国内电子商务签章法》。除关于电子签章一般性的内容外，美国的《国际与国内商务电子签章法》主要有三个比较有特色的部分：电子签名适用的例外、当事人意思自治与保护消费者、电子代理人。
5.4.4.2 美国联邦桥电子认证
背景
美国联邦政府大大小小各个部门职能和组织结构各不相同，相互之间独立性比较强，各自采用不同的电子认证产品和PKI体系结构，而许多应用是跨部门的，所以需要一个互联互通方案，最终选择了桥电子认证在各个部门PKI之间建立联系。
体系结构
在EMA2000测试阶段，联邦桥电子认证组成包括两个电子认证和一个具备LDAP功能的前端X.500目录服务系统。两个电子认证分别是Entrust 技术公司和GTE CyberTrust的产品，两个电子认证互相交叉认证，共同组成了桥电子认证。
七个主电子认证与联邦桥电子认证交叉认证，其中两个与使用CyberTrust公司产品的电子认证交叉认证，其余五个与使用Entrust公司产品的电子认证交叉认证。主电子认证中有一个本身就是一个桥电子认证，与另外三个PKI域的主电子认证交叉认证。整个PKI中包含18个电子认证。
如下图所示：

图表1 EMA 2000中联邦桥电子认证 PKI的体系结构

资料库
联邦桥电子认证使用PeerLogic i500目录产品作为资料库，桥目录服务器提供匿名访问，存储着桥电子认证的目录实体，其目录实体属性包括电子认证证书、交叉证书对和证书撤销列表。
各个企业PKI使用自己的X.500目录服务器，这些服务器以桥目录服务器为中心连接，结构如下图所示：

图 3 EMA2000中联邦桥电子认证系统资料库组成

证书策略
加拿大政府PKI（GoC PKI）在1997年建立一个四个级别的证书策略。美国联邦桥电子认证仔细研究了这个证书策略，认为这个模式同样适用于联邦政府，而且便于GoC PKI与联邦桥电子认证之间实现交叉认证，所以联邦政府决定建立一个四个级别的证书策略，且与GoC PKI中的证书策略保持一致。这四个级别的证书策略各有自己的OID。
证书与证书撤销列表
联邦桥电子认证 PKI中使用X.509 V3证书和X.509 V2证书撤销列表，桥电子认证使用X.500的可辨别名（DN），各主电子认证使用X.500或者DNS的可辨别名。证书签名可以使用任意一种FIPS批准的签名算法，证书主体公钥使用的签名算法可以是任意一种FIPS批准的算法。联邦桥电子认证只颁发电子认证证书，证书主体的公钥对应的私钥总是签名密钥。
证书的扩展域只有两个是关键的：基本约束扩展域，标志证书主体是电子认证；密钥使用扩展域，标志证书主体公钥对应的私钥适合用来签发证书和证书撤销列表。
管理协议
联邦桥电子认证可以扩展支持多种PKI管理协议，便于交叉认证的建立。
应用
联邦政府各部门之间的应用主要是安全电子邮件（S/MIME），虚拟专用网（VPN）、安全Web页面。
运行现状
2001年6月7日，联邦桥电子认证开始进入实际运行。
2002年9月18日，在美国白宫会议中心举行了仪式，确认四个政府部门PKI与联邦桥电子认证成功进行交叉认证：美国航空航天局（NASA）、美国国防部(DoD)、美国财政部（DoT）、美国联邦农业部/国家金融中心。
5.4.5加拿大
加拿大工业部部长Robillard（Minister of Industry）于2004年宣布推行电子认证准则（Principles for Electronic Authentication），这是加拿大政府为21世纪数字化社会建立信心的最新措施。准则由商业、工业、专业机构以及消费者，与加拿大工业部（Industry Canada）共同讨论产生。准则有助企业确认线上交易者身份，确保双方联系内容保密且未经篡改，进而增加电子商务发展及线上购物。
电子认证准则如下：
（一）参与者的责任：参与者的责任受可合理预期的知识和控制能力影响。
（二）风险管理：认证过程的风险应以合理、公平和有效的态度来了解、评估和管理。
（三）安全：藉由完善的安全措施，所有参与者均有责任减少风险发生。
（四）隐私权：应尽量减少收集、使用和揭露认证过程中的个人资料。
（五）要求揭露：参与者提供认证服务，应揭露信息给其它参与者，以利了解风险和责任。
（六）申诉服务：组织机构执行认证过程，应建立有效率之申诉管道。
加拿大PKI体系
加拿大政府PKI体系结构是由政策管理机构(PMA)、中央认证机构(CCF)、一级电子认证和当地注册机构(LRA)组成。其中PMA是一个若干部门共同组建的机构，由加拿大政府财政部秘书处领导，为政府PKI体系提供全面的政策指导，负责监督和管理加拿大政府PKI体系的政策实施情况。CCF是中央认证机构，它实施政府PKI体系中的所有策略，签署和管理与一级电子认证交叉认证的证书。一级电子认证是由政府运营，制定一个和多个证书担保的等级，分发和管理数字证书，定期颁布证书注销黑名单。LRA是一级电子认证设置的登记机构，其职责是认证和鉴别申请者的身份，为密钥恢复或证书恢复请求进行审批，接受并审批证书的注销请求。
加拿大政府PKI体系是一个完全政府行为的公开密钥体系结构，充分考虑了交易的保密性和安全性，并把保护交易保密性和安全性列为信息高速公路的首要问题。
加拿大政府PKI体系是由若干电子认证组成，这些电子认证形成树状结构，每个用户的公钥和身份验证的信息都放在证书中，证书签发电子认证在每个证书上签名，并使其包含公钥的证书对外公开。任何用户都能够方便地得到其他用户的公钥，通过公钥验证该用户的签名，辨别真伪。



从上图中我们可以发现，加拿大政府PKI体系的信任域都是树状结构，查找信任关系更加快捷，建立信任关系也更加容易，只需要和相应的一级电子认证进行交叉认证即可，不像网状结构需要确定哪个电子认证与联邦的桥电子认证进行交叉认证。另外，两种树状结构建立信任关系必须通过中央认证机构，不允许一个树状结构与另一个树状结构直接发生信任关系，中央认证机构是与外界建立信任关系的唯一接口。加拿大政府PKI体系简单，易于操作，是一个值得借鉴的PKI体系。
5.4.6日本
1998年6月日本电子商务促进委员会，发布了《认证机构指南》及《交叉认证指南》。在前一个指南中规定了对认证机构在管理、操作、系统和设备方面的要求，后一指南则建议：在不同行业或区域的证书可以交叉承认其效力，以避免大量的多重证书的产生。
日本2000年制定的《电子签名与认证服务法》主要的篇幅都用于规范认证服务，这一点与欧盟的电子签名统一框架指令十分类似。在其第二章、第三章和第四章中，以指定认证服务的许可、境外指定认证服务的许可、指定调查机构的调查、调查机构的成立批准等几个方面对认证服务进行了全面细致的规定，其中，对于认证服务的许可、境外认证服务的许可，与欧盟不同的是，日本采用了须经官方许可的做法，并且对许可的条件、不予许可的情形、许可资格的续殿、继承、变更、中止等都做了严格的规定，为了保证相关机制的运转，该法中还明确了指定调查机构的权利与义务，形成了一个很有特色的监管模式。
日本的电子签名与认证服务法的另一个特色是其中关于相应罚则的详细规定，这是很多国家的电子签名法所不具备的。当然，这种结构是与其行政管制比较细致全面相适应的，处罚条款可以在一定程度上保障认证服务机构、认证管理机构的合法运作。
日本将PKI/CA分为两大类：公众服务类及私人服务类。在日本PKI的应用很普及，根据日本PKI论坛2001年调查报告显示，日本已有42%的企业应用了PKI基础设施，主要用于电子商务及电子政务领域及企业内部管理。日本于2000年发起了亚洲PKI论坛，主要成员有日本、新加坡、韩国、中国台湾、中国香港和中国大陆。日——新——韩三国还进行了PKI互操作实验，其方案是桥接架构。日、新、韩各国都已颁布了电子签章法。
日本政府在认证方面的做法有三个主要特点：
政府认证只做份内事
在日本行政机关层面，政府认证系统由中介认证机构和政府认证机构构成。政府认证机构的主要作用是，认证具有行政手续处理权力的官职；中介认证机构如同政府和民间认证的通道，要与民间部门等认证机构相互认证，与此同时，还要与政府机构相互认证。政府各部门与民间认证机构透过中介机构相互信赖，政府机构并不涉及民间认证，从不“与民争利”。
申请者需要先由民间认证机构、商业登记认证机构认证后，再通过中介认证机构与各行政部门认证机构发生关系。经过反复确认，申请者和行政部门可以在线办理各种手续。
值得注意的是，日本的行政电子认证总在依据国际标准，适应新的信息技术环境，同时以具体策略防止盗用和应对事故。另一方面，为减轻行政认证机构的负担，中介认证机构对电子证明书进行有效验证，其设施可以由各行政机构共享。
由政府认证系统提供的服务，可作为确认身份和数据的原物性证明，但涉及合同和申请的时间证明等具体认证项目由专门公司提供服务，其提供的时间认证精确到100万年误差一秒。

银行获益于“电子证明书”
电子认证是日本网上商务的核心，公司在线交易时根据对方电子认证书确定彼此身份。日本从2001年4月建立了政府主管的企业电子商务认证制度。由政府指定的有关部门认定进行电子商务活动企业的真实性和合法性。

进行电子商务活动的企业，首先向当地法务局提出电子签名认证申请，后者根据企业注册的资料对企业情况进行严格审查后，由法务局或委托民间企业设立的电子认证中心发给电子证明书。实际上，证明书是一张输入密码和有关数据的电子卡，可在网络上多次使用。
电子认证的产业聚集
作为独立产业，电子认证为日本带来了可观效益。据日本总务省估计，以发行电子证明书为主的电子认证市场，面向法人、团体和个人的电子认证服务、软件开发市场总额，到2006年度将达419.5亿日元。
得到政府批准进行电子认证服务的公司收益倍增。日本的电子证明书是有价格的，如日本总务省指定的发行电子证明书的公司JCSI，发行2年有效期电子证明书每份价格为1.8万日元，3年有效期电子证明书为2.4万日元。其他关联企业如BALTIMORE公司也就此开展各种各样的支援电子认证服务，其电子证明书发行管理系统具有世界最高的安全水准，可以把顾客资料在该公司的认证中心保存，确保电子署名的长期有效性。
此外，各公司纷纷开发面向手机电子认证服务的软件，提供电子认证基础知识和实践训练，为企业培训掌握电子认证技术人员，为电子认证的安全管理、故障排除提供技术支持等服务。这也产生了产业聚集效应。
5.4.7韩国
韩国于1999年通过了《电子商务基本法》，其中涉及到了认证机构的定义及对认证机构的管理与控制。该法是最典型的综合性电子商务立法，如果要订立一部关于电子商务的基本的、全面的法律，则韩国的做法很有借鉴意义。该法共分六章，包括：关于电子信息和数字签名的一般规定；电子信息；电子商务的安全；促进电子商务的发展；消费者保护及其他，这样基本就可以做到对电子商务的各方面都做出基础性的规范。
韩国的认证架构主要分三个等级：最上一级是信息通讯部（MIC），中间是由信息通讯部设立的国家CA认证中心，最下一级是由信息通讯部指定的下级授权认证机构（LCA）。信息通讯部还负责相关政策的制定和执行，以及与国外的交叉认证；认证中心则承担根CA的运作和对LCA的评估、支持。在韩国要成立一家CA认证中心并得到授权，必须满足三个条件：要有600万美元的资产；至少12个专业操作人员；拥有适当的设备及设施。
韩国在1999年成立了国际CA认证中心。
5.4.8新加坡
新加坡于1998年通过了《新加坡电子交易法》，1999年通过了《新加坡电子交易（认证机构）规则》和《新加坡认证机构安全方针》。该国《电子交易法》规定了认证机构及其限定性责任；认证机构的许可证由指定的管理机关颁发，可以自愿申请；由取得许可的认证机构核发的认证证书，具有较强的证据效力。《电子交易（认证机构）规则》授权成立了认证机构管理署，而国家计算机委员会是认证机构管理署的主管机关。该规则还规定了认证机构的内部管理结构、评估标准、申请费用、证书的证据推定效力以及限定性责任等。
《电子交易法》中反映出，政府并不组建或授权安全认证机构，有能力的组织都可以进入安全认证的市场（新加坡境外的安全认证机构要进入其市场则必须经新加坡政府管理机构的批准），凭借自己的市场竞争能力建立信用。但是，新加坡在安全认证市场管理方面还是非常严格的。
5.4.9马来西亚
马来西亚于1997年通过了《数字签名法》，该法承认数字签名的法律效力，要求认证机构必须持有许可证，方可从事营业。
数字签名法采用了以公共密钥技术为基础并配套建立认证机制的技术模式。该法用大量篇幅对认证市场进行规范，认证机构的管理由马来西亚政府部长任命的官员或人士来负责，该法将其称为监控人。监控人可以根据工作的需要在部长的许可下组织自己的监控工作机构。该法还规定应根据有关法律成立全国性认证机构进行具体的认证工作。该法同时对认证工作进行了极为详细的规定，包括许可证的申请手续、生效与拒绝、撤消、遗失、有限期延长、放弃等问题。
5.4.10香港
香港邮政电子认证被作为金融行业的统一电子认证，香港电子认证由政府统一管理，并颁布了电子交易条例（ETO）。香港邮政是第一家在《电子交易条例》（香港法例第533条章）下的认可公共认证机构，亦已启动全球首个流动电子认证系统，签发流动电子认证证书支持客户使用流动装置进行网上服务。香港邮政电子认证证书及香港邮政流动电子认证证书有效认证网上身份，确保电子交易在安全及可信任的环境下完成。香港邮政更设立证书储存库及公开目录，方便巿民进行网上交易前，查核对方的证书是否有效。
香港邮政电子认证证书符合X.509第三版本标准，因此可国际通用。
5.4.11台湾
台湾于2002年对已建电子认证进行了整合，将TAI电子认证改为TF电子认证，即台湾金融电子认证，由台湾金融公会出面联合各家商业银行，联合共建台湾金融电子认证。
5.4.11.1台湾金融行业电子认证
为了解决证书互通的问题，台湾银行公会(简称银行公会)分别制定了《金融机构办理电子银行业务安全控管作业基准》、《金融证书共通性规范》及《金融评证载具共通性技术规范》作为证书互通的参考依据。
而为了使负责发放证书的认证机构电子认证(Certificate Authentication)所发的证书能够互通，银行公会采用层次信任模型，将各金融机构所核发的证书整合到单一金融最高证书管理机构之下；并由台湾网络认证公司(以下简称台网)担任此金融最高层证书管理机构(Taiwan Financial Root CA，简称TFCA)，以建立金融PKI认证架构。
台湾地区金融PKI架构的最上层为证书政策管理组织PMA (Policy Management Authority)，负责欲加入成为UCA(User CA)认证单位的资格拟定及审核，目前由银行公会另外成立一个工作小组负责；而台湾金融最高证书管理机构(Taiwan Financial Root CA，TFCA)及台湾金融政策证书机构(Taiwan Financial Policy CA，TFPCA)则是由台网担任，协助银行公会整合PKI的政策拟定，及相关证书的签发及管理金融交易的安控需求。

因此，在此架构底下，PMA将负责申请成为UCA者的资格审核，若其申请书送审通过，便可与负责技术面的台网相互测试，若互通成功，便可成为UCA；而担任RA角色者，即为发给在线交易使用者证书的金融机构。因为能担任U电子认证者代表其和TF电子认证证书能够互通，因此也就代表各家UCA所发的证书能够互通，所以网络银行使用者只要申请一张证书便可以跨行使用。
而银行公会所订的证书互通目标资金流(Cash)计划的九家银行厂商能率先达成证书互通；其余有建设网络银行之会员银行则于2003年底上线；其它其银行公会的会员银行则接续于2004年底要完成互通。
5.4.11.2中国台湾的《电子签章法》
中国台湾的《电子签章法》于2001年11月出台，是结构最精炼、篇幅最短的电子签章法（只有17条）。由于大陆与台湾在民法体系上一脉相承，所以从这个角度看，中国台湾的《电子签章法》可能更贴近我们的实际状况，从而更具借鉴价值。
关于立法原则，中国台湾的《电子签章法》概括了五大原则，它们是：

对电子文件的使用赋予法律效力，并为落实契约自由原则和当事人自治原则的立法精神，规定相对人须明确同意使用电子文件、电子签章。
排除电子文件签章与“书面、签字盖章”等法定要式行为的适用障碍，规定在特定条件下，电子文件、电子签章应满足法律关于书面、签章要式的要求。
对于认证机构的管理，采取尊重市场机制的低度管理制度，但要求认证机关应依主管机关制定的作业基准运行并对外公布，以保护消费者权益。
制定平等互惠原则的国际交互认证条款以适应电子商务国际化环境的发展。
明确认证机构应承担的损害赔偿责任。
最后，中国台湾《电子签章法》的精炼结构也很有代表性，其优点是简洁明了、重点突出，缺点是还需再订立实施细则。
5.4.12 相关公司
目前，国际上比较有影响力的PKI产品与服务提供商有美国的VeriSign公司和加拿大的Entrust Technologist以及爱尔兰的Baltimore Technologist等。
5.4.12.1 Verisign公司
Verisign成立于1995年4月，位于美国Califonia，上市于Nasdaq版块，主要经营Internet的安全服务，包括安全认证和支付系统。
同时，Verisign负责着一大部分Internet的域名管理，大约超过155,000,000的.com, .net, .org and .tv是由Verisign管理的，发放了近305,000的Web服务器证书，Verisign的支付系统服务于19,900个商家。目前，全球雇员达2300人 。
Verisign提供的服务除证书业务外还包括：Web站点安全性服务、代码签名、安全电子邮件、电子认证、无线安全、培训服务。
5.4.12.2 Entrust公司
Entrust公司为客户进行数字认证和信息安全管理提供独特的解决方案，该方案可以应用在各种设备、系统平台和环境下。
Entrust公司在全球50个国家和地区拥有客户，其中包括：
全球十大Commercial Saving Banks 中的七家；
全球十大电子政府中的八家；
全球十大电信公司中的八家；
全球十大医药企业中的七家；
全球五大石油公司中的四家；

Entrust公司在全球20个国家和地区拥有530名员工。
5.4.12.3 Baltimore公司
Baltimore公司致力于开发安全产品和服务，为客户提供开展电子商务、网络交易及移动商务需要的安全解决方案。Baltimore公司的产品包括一系列PKI产品和服务、接入控制和授权解决方案、内容安全管理方案、无线电子安全解决方案、安全应用及硬件加密设备。同时，Baltimore公司为该公司的授权解决方案和基于PKI的认证系统提供全球范围内的支持。
Baltimore公司拥有800多名员工，在英国、美国、澳大利亚和爱尔兰等国家的28个城市设有分公司。
Baltimore公司在拉斯达克（BALT）和伦敦证券交易所（BLM）上市。
5.4.12.4 HiTRUST公司
位于台湾的网际威信成立于1998年3月，主要业务是发展安全电子商务。2000年4月，英属维京群岛商网际威信公司(HiTRUST.COM Inc.)正式成立，集资美金近一亿元，主要股东成员包括宏碁集团(Acer Group)、香港上海汇丰银行（HSBC）、香港新世界集团(New World Group)、美国国际集团(AIG)以及美商VeriSign公司。网际威信成长的关键在专注于安全电子商务本业，以产品创新与服务用心，为大中华区的企业、电信业者、金融机构及服务提供商，提供全方位、客户化以及高附加价值的安全电子商务服务。
网际威信目前在大中华区的布局包括台湾、香港、上海以及北京，其主要客户在台湾的银行证券业，与中油公司合作推出中油加油卡，预计至年底前达100万张。同时在香港，是第一家获得通过香港政府审核成为「认可核证机关」执照的外资公司，在中国大陆，目前设立了北京、上海、广州三家分公司。
5.4.13启示
5.4.13.1电子认证立法模式不同
目前世界各国已经推出的有关电子认证的立法，从立法中所采用的技术方案入手，将这些立法分为三大类：技术特定方式；最低要求主义或叫技术中立方式；折衷方式（技术特定方式和技术中立方式并用）。
（一）技术特定式立法
这种方式将数字签名技术作为电子签名的法定技术，集中规定了数字签名的技术规则和法律效果，又可分为三小类：纯技术标准型、确认法律效果型和组织机构型。
1.纯技术标准型
这种立法方式将数字签名技术作为安全电子商务的技术标准。它涉及到了数字签名的一般应用，但却并没解决由此而产生的一系列法律后果的问题，不包含有关责任分配的条款。这方面的例子是德国的《数字签名法》。
2.确认法律效果型
这种立法方式不但规定了对于数字签名的法律确认，而且详细规定了有关责任分配的条款。这方面的例子有美国犹他州的《数字签名法》、明尼苏打州的《电子认证法》及华顿州的《电子认证法》等。
3.组织机构型
这种立法模式并没将数字签名作为一个技术标准，而是对认证机构的组织提出一系列要求，例如规范它们的管理、操作、系统和设备的安全性等。其目的是通过确保认证机构的可靠性与安全性来加强人们对电子商务的信心。这种模式不包含明确的对认证活动各方的责任分配，而是建议认证机构自己制定政策以明确认证机构自身与证书使用者之间的权利义务分配，并要求将该政策在认证机构的认证业务声明（CPS）中公开。这方面的例子是日本电子商务促进委员会的《认证机构指南》。
技术特定立法有其优越性也有其明显的缺陷：数字签名技术是目前唯一比较成熟、能够推向市场的电子签名技术，将其作为法定技术标准，可使电子交易在稳定、明确的环境下进行，消除对于在开放电脑网络上进行交易存在的风险忧虑。其主要缺陷是限制了其他同类技术的发展和应用。
（二）技术中立式立法
这种立法模式又称最低要求主义、功能等价方式，此方式并不确定具体的技术方案，而是采取技术中立的立场，对广义范围的电子签名给予法律确认。这种立法方式由于不特别地确认数字签名技术作为法定技术，因此也就没有关于认证活动各方责任分配的内容。
这方面的例子有：联合国贸法会的《电子商务示范法》、澳大利亚《电子交易法案》、加拿大《统一电子商务法案》、美国《统一电子交易法案》、英国《电讯法案》。
技术中立式立法的优点在于由市场和用户对电子签名技术手段的优劣作出判断和选择，有利于各种电子签名技术的自由发展。其缺点是法律仅仅对广义的电子签名的法律效力予以确认，而没有具体的责任分配条款，其规定过于笼统，可操作性不强，在实践中的作用很有限。
（三）折衷式立法
这种立法模式下，一个层面提供了对于一种广义的电子签名的法律确认，另一个层面提供了应用数字签名或以数字签名为范例的安全电子签名的法律后果，通常包含有责任分配的条款，其具体内容与美国犹他州《数字签名法》相似，但都没有犹他州《数字签名法》详细。
安全电子签名，又称强化电子签名，是指经过一定的安全应用程序，能够达到传统签名的等价功能的电子签名方式。其具体形式是开放型的，任何能够达到同一效果的技术形式，都可囊括于内。安全电子签名是电子签名的下位概念，而数字签名又是安全电子签名的下位概念。
这方面的例子有：欧盟《关于电子签名的共同框架的指令》、新加坡《电子交易法》、联合国贸法会《统一电子签名规则草案》等。
折衷式立法不失为一种理想的模式，它结合了技术特定与技术中立方案的优点，避免了二者的缺点，既能够切实地满足当前电子商务实践的需要，又为将来的技术发展预留了空间。
5.4.13.2电子认证机构的管理模式各异
各国各地区的情况，大概分为三种模式，一是强制性许可制度。如韩国、日本、德国、马来西亚以及我国台湾和香港地区。这些国家和地区对认证机构的许可做出了规定，认证机构必须通过了许可才能开展业务。第二类是非强制性的许可制。经政府认证的认证机构，政府会给很多的优惠。如果不经过认证，没有优惠好处，但仍可以运营。如：奥地利、新加坡。第三种方式是对完全依靠市场调节，通过行业自律予以规范；如美国。
中国电子认证机构主要靠市场引导行业自律的条件不太具备。《电子签名法》规定了采用强制性许可制度，并对电子认证服务应当具备的条件做出了规定，是符合我国国情的。
5.4.13.3电子认证机构的管理方案不同
从目前世界各国的立法情况来看，在认证机构的管理、选任上大致有如下几种做法：
一、是官方集中管理型。这一方法是由美国犹他州率先采用的，不仅被美国其他许多州所效仿、而且被其他一些国家所借鉴。譬如新加坡、韩国、德国就在认证机构的管理与选任上，采取了此种做法。其具体做法大致如下：（1）以法律授权政府相关的机构（通常为商务署），对认证机构进行管理，颁发许可证；（2）规定认证机构所必须具备的可靠条件，包括硬件、软件、业务人员等方面；（3）政府允许符合法定条件的认证机构承担有限责任；（4）法律上推定经认证机构核实的电子签名具有证据力。该种方法充分显示了政府的行政力量，其目的是让安全数字签名完全成为手书签名的替代品，进而促使广大的消费者进入电子商务领域。然而，这也是受到抨击最多的一种方案。
二、是民间合同约束型。这是市场自由、技术中立原则的充分体现。澳大利亚、美国的加利弗尼亚州是采用这种方法的典型代表，追随者也不在少数。其具体做法是，政府只宣布承认计算机网络通讯记录的书面效力，认可电子签名与手写签名有同等效力，说明电子签名安全性的原则性标准，至于采用何种电子技术做出签名，由谁来充当网络交易中的认证人，政府一般不问，可由交易当事人自己决定。这种对电子商务的概括性规范，被称为“最低限度主义方法”，它在适应新技术发展方面有灵活性，但却留下很多重要问题没有规定。比如交易中的风险责任分担等关键性法律问题就不是靠当事人的协议所能完全解决的。这种自由宽松的交易环境，或许有利于电子商务企业施展才华，却不利于广大消费者的参与。这种“无为”政策，在电子商务发展的初期，还能算作一种策略，但它决不是解决问题的长久之计。
三、是行业自律型。该方案设想如下：认证机构的管理机关应当由政府主管部门（如财政部或商务部等）和全国认证机构协会来承担，后者是根据法律而成立的行业协会，并不具体从事认证业务，协会负责成立一个电子认证标准审查委员会，具体对适用于电子认证行业的标准负责开发、修订与确认，并且负责对其会员所采用的密码、标准的选定。任何官方的和非官方的实体，都可以成为认证机构，但它必须是在全国认证协会登记的成员。这一方案采取了官方监督，行业自律的方法，实际上是前两种方案的折衷，也较具可行性。
以上三种方法，无论是已被一些国家的立法所采用的，还是正在拟议与争论中的，都各有利弊优劣。究竟何种方案会被广泛采纳，还有待于实践的锤炼，时间的考验，以及各个法律制订国的具体抉择。
5.4.13.4电子认证机构的责任明确
电子认证机构在从事签发电子凭证，证明电子签名正确性的业务活动中，承担着很大的法律责任的风险。例如，如果申请电子凭证的一方提供了虚假的身份信息，而安全认证机构没有通过仔细核查发现，没有及时告知接收电子签名文件的一方，就需要承担责任。又如，当某个电子凭证已经失效，安全认证机构又没有及时告知对方，也需承担责任。在电子商务中，安全认证机构的地位类似于网络服务提供者，既重要又危机四伏，如果不对其法律责任的风险加以适当的限制，安全认证机构就可能很难生存下去，安全认证市场也会萎缩、消亡，因此，各国电子商务立法基本都考虑到对安全认证机构的责任需要加以适当限制。
5.4.13.5互联互通的解决方案值得借鉴
不同国家根据自己的实际情况，解决互联互通的方案也有所不同，但是欧盟、美国、加拿大和日本的方案值得我们借鉴：
欧盟主要采用的是信任HUB建立一个信任列表的方式，桥电子认证使该证书信任列表能为各PKI的主电子认证获取。
美国联邦桥电子认证的体系结构是一个标准交叉认证形式的桥接信任模型，而欧洲桥电子认证是一个采用信任列表实现的桥接信任模型。
联邦桥电子认证中，各主电子认证信任桥电子认证交叉认证的电子认证，是因为桥电子认证颁发给该电子认证交叉证书；欧洲桥电子认证中，各主电子认证信任桥电子认证信任的电子认证，是因为桥电子认证对信任列表进行了签名。
联邦桥电子认证中交叉认证需要策略映射的检查，而欧洲桥电子认证计划中不需要进行策略映射的检查。
加拿大政府PKI体系的信任域都是树状结构，查找信任关系更加快捷，建立信任关系也更加容易，只需要和相应的一级电子认证进行交叉认证即可，不像网状结构需要确定哪个电子认证与联邦的桥电子认证进行交叉认证。另外，两种树状结构建立信任关系必须通过中央认证机构，不允许一个树状结构与另一个树状结构直接发生信任关系，中央认证机构是与外界建立信任关系的唯一接口。加拿大政府PKI体系简单，易于操作，是一个值得借鉴的PKI体系。
日本将PKI/CA分为两大类：公众服务类及私人服务类；这样政府可以加强监管，责任明确。

中国电子学会电子签名专家委员会
中国电子学会电子商务专家委员会
2004年12月

《 中国电子认证服务业发展研究(2004年)》课题组
高级顾问： 曲成义
成员：（按姓氏拼音排序）
龚炳铮 关振胜 黄京华 黄永勤
李正男 林步圣 吕廷杰 梅绍祖
王红星 王云黎 吴亚非 杨坚争
尹 涛


[1] United Nations Commission on International Trade Law Working Group on Electronic Commerce, Thirty-first session,《Planning of Future Work on Electronic Commerce Digital Signatures, Certification Authorities and Related Legal Issue----Note by the Secretariat》, A/CN.9/WG.IV/WP.71, 18~28 February 1997
[2] 当时，美国已经有了数码式签字的立法实践。1991年，美国律师协会（ABA）信息安全委员会开始着手拟订《数码式签字示范法》。历时四年后，委员会仍未能就示范法的关键问题达成共识，于是决定以《美国律师协会数码式签字指导原则》（1996年8月1日）的形式将草案公之于众。它的意图在于“提供一种解决方案，使得获得州政府许可的认证机构在应用PKI系统后，数字签名能得到承认。”这种直接依赖于数字签名技术的立法模式深刻地影响了美国立法较早的州。（参见阚凯力, 张楚: 外国电子商务法, 北京邮电大学出版社, 2000年11月第一版, pp. 410~501）。1995年5月1日，犹他州率先公布了《数字签名法》（Utah Digital Signature Act），其特点在于首倡针对认证机构实行许可证管理制度，并为数字证书当事人规定了详尽的法律义务。紧步犹州后尘的是《华盛顿电子认证法》（Washington Electronic Authenticate Act）。华州州法非常近似于犹他州法，于是此类立法被通称为“犹他/华盛顿”模式。该模式的特点在于法律直接锁定某种具体技术，将大量的技术术语与技术标准直接纳入法律规范，又被称为“指定式”（prescriptive）立法。明尼苏达等数州也沿袭了这种立法模式。
[3] United Nations General Assembly Fifty-sixth session,《Model Law on Electronic Signatures of the United Nations Commission on International Trade Law》A/56/588, 24 January 2002
[4] United Nations General Assembly 85th Plenary Meeting,《UNCITRAL Model Law on Electronic Commerce With Guide to Enactment 1996》, A/51/628/, 16 December 1996

网格应用提升企业效率

网格计算的现状和挑战

网格计算开发入门基本概念

网格计算与分布式超级计算

网格与公用计算中的自动化 

网格---未来的Internet应用