北京数字证书认证中心：以应用 促发展
   北京数字证书认证中心（以下简称“北京CA”）相对于全国其他CA公司，成立并非全国最早；在PKI技术的研发方面，北京CA的技术力量也并非全国最强；但就PKI应用的推广和发展而言，北京CA走自己有特色的道路，这与北京CA贯彻“立足于应用，带动PKI发展”的方针密不可分。

1、应用概况
   北京CA积极参与北京市电子政务、电子商务的建设，积极开发基于数字证书的安全解决方案。首先，在通过与北京市地税局和北京市技术监督局合作以及积极参与北京市电子政务网上审批试点工程，实现了企业通过使用北京CA所颁发的数字证书进行网上报税、网上年检和电子政务网上审批，大大节省了企业人力、物力和财力和时间成本；其次，与北京市商业银行以及许多证券公司进行多方面合作，积极推进个人数字证书在证券行业、金融行业的发放工作，实现个人网络银行交易，网络炒股。

2、PKI与USB KEY的结合是一种发展趋势
   USB KEY目前可以简单的分为两大类：一类是存贮型的，内部不带RSA运算器件；一类是运算型支持在USB    KEY内完成RSA运算。这两类产品有不同的用法，与PKI应用的结合和使用方式也不同，需要根据市场需求而定。存储型USB KEY，作为一种载体可以取代目前广泛使用的软盘，具有携带更方便，更耐用和一定的防复制等的优点。但USB KEY需要安装相应的驱动，增加了用户的使用复杂度。因此，需要CA中心和USB KEY厂商之间具有很强的整合能力，既要充分发挥USB KEY的优势，又要克服USB KEY的缺点，这样才能推动存储型USB KEY与PKI应用的结合。
   PKI和运算型USB KEY的结合，从某种角度来看是PKI和USB KEY长期结合的发展趋势，因此有很多问题值得探讨。运算型USB KEY与PKI应用相结合的接口有两种方式：一种方式是通过通用标准接口，另一种是厂商自身提供的特定接口。通用标准接口又有两个，一个是基于微软标准的CSP；另一个基于RSA的PKCS＃11。目前这两种通用标准都有相应的应用产品。从Windows平台来说，CSP的应用更方便、更广泛，因为微软在其相应的系统中已经内嵌许多支持CSP的工具和产品。PKCS＃11的优点是跨平台，是开放的标准，但目前整体上应用比较窄。对于这两种标准，不同的用户都有使用，也有不同的方案。
   目前，USB KEY在北京CA的使用还比较少，处于试点阶段。针对存储型的USB KEY，我们已经制定了统一的使用规范，准备大规模推广。对运算型的USB KEY，与我们目前的应用环境不太一样，还需要继续进行整合。
   在PKI与USB的结合过程中，真正制约其发展的不完全在于USB KEY的技术发展上，关键还是PKI应用的模式。PKI应用还有很长的路程要走，如何更方便最终用户使用，达到既安全又方便使用才是最重要的。

3、新的市场环境下对企业的新要求
   随着PKI应用的推广和宣传，越来越多的企业、政府机构和个人对PKI的认识和了解也逐步加深。PKI应用处在一个快速上升的发展阶段。社会和市场对PKI的需求也是越来越多，对USB KEY的认识也越来越清晰。
   目前PKI应用大体可以分为三类：其一，面向公众，如网上报税、网上审批、网上年检等。其二，面向个人或面向桌面，如文件加密、安全登录、虚拟安全硬盘、屏保等。其三，面向政府、企事业单位的内部办公系统，如办公OA系统、企业MIS系统等。
   如何解决目前各自为阵，USB KEY应用产品过于单一，不同产品之间、不同厂商之间的互通性差的问题；如何解决USB KEY与PKI应用结合中的问题，让用户使用更简单；需要USB KEY企业进行不断地反思。
   北京CA是全国CA中心中第一家通过国际ISO9000认证，本着为用户提供高优质服务的理念，我们积极和国内的USB KEY厂商进行密切的技术合作。目前我们和国内的厂商如：握奇、武汉天喻、明华澳汉、济南得安、飞天诚信等都有很好的合作。在合作过程中，北京CA根据客户的需求，不断的提出新的结合模式和技术要求，并与上述厂商进行技术探讨，以期满足客户的需求。
   北京CA在继续贯彻“以应用促发展”的方针下，将不遗余力的继续研究和创新PKI应用和USB KEY结合的模式，制定相应的技术规范，真正将高深的PKI技术融入实际应用中。

上海市电子商务安全证书管理中心有限公司：USB KEY的发展，离不开各CA中心积极应用

   网络经济发展时代，人们对信息安全的需求随之增长，基于PKI体系的数字证书及CA认证系统越来越引起人们的重视，出现了大量基于数字证书的应用。但是，如何让用户更方便、更简单的获得、使用数字证书如何和各类厂家合作提供更多的数字证书应用，成为各家CA服务商着力思考的问题。上海市CA中心（SHECA）经过了几年的探索，找到了一条比较好的思路，那就是开放各类标准的应用接口，让各应用开发商进行自主的开发，将数字证书和自身的应用系统结合提供灵活多样的CA应用。而如何让用户安全、方便的携带数字证书，也是SHECA一直考虑的问题。USB KEY作为一种新型的证书存储介质，不但小巧、方便、安全，而且直接支持PKI的相关技术和标准，对于数字证书的使用必将起到积极的推进作用。

   从CA的角度来看，通常将USB KEY分为两种：支持RSA算法的和不支持RSA算法的。两者均可以存放数字证书的私钥等相关信息，其中对于自带算法的KEY，它可以自行产生密钥对，而且与私钥有关的运算，比如签名运算和加密运算均在KEY内进行，不会占用CPU的资源，私钥始终保留在KEY里面，也无法取出；而后者则无法自行生成密钥对，只是作为证书的存储设备，但成本相应较低，市场的接受程度相对要高一些。为此，如果用户对安全性的要求较高或者进行电子政务方面的应用，可以选择前者，对于通常的商务应用，则用户可以根据自己的需要进行综合性考虑。目前，常用的USB KEY存储空间的规格主要包括16K、32K、64K等，都可以满足一般的CA应用，但是随着CA应用的增多和复杂，较大容量的USB KEY可能会更能满足要求。从市场前景来看，伴随证书应用的不断深入以及单位成本的降低，支持RSA算法的高端USB KEY将更加符合发展的趋势。

   USB KEY除了可作为数字认证的介质，还可用于基于PKI技术开发出来的多种应用，包括计算机开机登录，自动锁屏，文件及文件夹加密，以及开发软件的产权保护等。作为用户，能够——KEY多用自然是最好的选择，而且这点在技术实现上也不存在问题。目前，计算机已经获得了大量的普及，用户可以将USB KEY作为计算机启用的钥匙标识身份的工具，实现多种应用的安全信任操作。因此利用同一KEY中的数字证书实现开机保护等操作，或者将计算机钥匙功能与软件产权保护功能一起使用，会使USB KEY更具有推广意义和价值。

   在IC卡中，有一类PKI卡，也是一种非常安全非常可靠的数字证书存储介质，它内置加密算法程序，能够完成加/解密和签名运算，但是PKI卡需要有读卡器支持来与计算机连接，而且在兼容性和互通性上局限性比较大，因此在使用的方便性方面受到了一定的限制。相比而言，USB KEY体积小巧、易插易拔，且无论在成本、技术含量、性能指标等方面都不占劣势，而且，USB接口属于工业标准接口，不存在兼容性和互通性，因此在目前的PKI市场，二者存在较强的竞争关系，而且大有USB KEY胜出之势。但是基于IC卡技术的PKI卡的应用面依旧会很广，在无线PKI市场、以及未来可能融合PKI技术的规模型公众服务项目如社保卡系统中，PKI卡仍是最佳选择，只是PKI卡的表现形式不会再如此单一，或者是集成在手机中的小小SIM卡，或者是一张显示有个人身份信息的智能卡……人人拥有一张PKI卡，也许正是将来信息生活的一种真实写照。

   USB KEY将来的发展，会离不开各个CA中心的大力倡导和积极应用。现在，数字证书在金融、保险、安全邮件、电子商务、企业内部已经获得了广泛应用，而从去年开始，电子政务的飞速发展更带动了对数字证书的需求，而这将对USB KEY类的产品产生比较大的需求。

   最近，上海市CA中心（SHECA）与高校以及开发商合作，将基于SHECA数字证书开发的数字印章无缝嵌入到了USB KEY当中，数字证书、持有人的印章和签名图像、USB KEY被统称为数字印章。随着基于数字签名技术的数字印章的产品的出现和推广，将不仅推动PKI技术新的应用发展，同时也将极大的推动USBKEY市场的进一步发展。