我國電子認證服務體系的建立與發(fā)展

　　摘要：隨著我國信息化程度的不斷提高，社會對電子認證服務的要求也隨之提高。本文介紹了電子認證服務的認證原理，及其在網(wǎng)絡信任體系中的作用。分析了當前我國電子商務認證服務體系的現(xiàn)狀以及存在的問題，給出了我國電子認證服務體系建設的發(fā)展建議。
　　關(guān)鍵詞：數(shù)字認證技術(shù)；網(wǎng)絡安全；PKI
　　中圖分類號：F062.5 文獻標識碼：A
　　
　　隨著信息技術(shù)的迅速發(fā)展，因特網(wǎng)已進入社會生活的各個領(lǐng)域，基于網(wǎng)絡環(huán)境下的電子商務、電子政務、電子事務正在蓬勃迅猛的發(fā)展。信息化程度已經(jīng)成為國家乃至個人現(xiàn)代化程度的重要標志。但網(wǎng)絡安全一直困擾著信息化進程，缺乏誠信的網(wǎng)絡世界充滿了欺詐和風險，影響了經(jīng)濟發(fā)展和社會秩序。建立完善的網(wǎng)絡信任體系，保證網(wǎng)絡信息安全是推進信息化必須面對的課題。而電子服務認證是保證網(wǎng)絡信息真實、完整和信息發(fā)送不可抵賴，建立起完善網(wǎng)上信任體系的重要手段和措施，大力發(fā)展電子認證服務對于加快信息化建設進程具有重要意義。
　　
　　一、電子認證服務
　　
　　1.電子認證的認證原理
　　電子認證服務所采用的數(shù)字證書認證技術(shù)是以密碼技術(shù)為核心，在國際上廣泛流行的是采用PKI(Pubic Key Infrastructure)技術(shù)。在PKI鑰系統(tǒng)中，為每個用戶生成一對相關(guān)的密鑰：公開密鑰和私有密鑰。雙方進行信息交換的過程是：發(fā)送方通過網(wǎng)絡或其他公開途徑得到接收方的公鑰，然后使用該密鑰對信息加密后發(fā)送給接收方；接收方用自己的私鑰對收到的信息進行解密，得到信息明文。在這里，只有接收方才能成功地解密該信息，因為只有接收方擁有與之相對應的私有密鑰，從而保證了信息的機密性。如果發(fā)送方在發(fā)送信息時附上自己的數(shù)字簽名，則接收方通過驗證數(shù)字簽名可以保證信息的完整性和不可抵賴性。
　　PKI框架中的核心元素是數(shù)字證書；PKI的核心實施者是CA認證中心。數(shù)字證書又稱為數(shù)字標識（Digital Certificate，Digital ID）。它提供了一種在網(wǎng)絡上身份驗證的方式，是用來標志和證明網(wǎng)絡通信雙方身份的數(shù)字信息文件。在網(wǎng)上進行電子政務和電子商務活動時，雙方需要使用數(shù)字證書來表明自己的身份，并使用數(shù)字證書來進行有關(guān)的操作。
　　
　　2.電子認證服務在網(wǎng)絡信任體系中的作用
　　網(wǎng)絡信任體系是以密碼技術(shù)為基礎，以法律法規(guī)、技術(shù)標準和基礎設施為主要內(nèi)容，以解決網(wǎng)絡應用中身份認證、授權(quán)管理和責任認定等為目的的完整體系，它是網(wǎng)絡環(huán)境下各項業(yè)務活動有序開展的基礎保障。電子認證服務就是利用數(shù)字證書技術(shù)為電子商務、電子政務等網(wǎng)絡業(yè)務提供行為主體的真實身份和控制權(quán)限，保證信息資源的真實性和可靠性的第三方服務，是建立網(wǎng)絡信任體系的基礎和核心。
　　
　　二、我國電子認證服務體系的建立
　　
　　1.法律法規(guī)與標準規(guī)范建設
　　2005年4月1日《中華人民共和國電子簽名法》（簡稱《電子簽名法》）正式實施。隨后，信息產(chǎn)業(yè)部和為國家密碼管理局出臺了一系列的配套規(guī)章和標準規(guī)范，包括《電子認證服務管理辦法》、《電子認證服務密碼管理辦法》、《電子認證業(yè)務規(guī)則規(guī)范（試行）》、《證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》。等。《電子簽名法》是我國電子商務、電子認證領(lǐng)域的第一部法律，具有極其重要的歷史意義和現(xiàn)實意義，它給網(wǎng)上數(shù)字化的商務活動以法律認同的效力和地位，這對推動我國網(wǎng)絡經(jīng)濟的健康發(fā)展可謂意義重大。
　　2007年2月1日，國家標準化委員會發(fā)布《信息安全技術(shù)公鑰基礎設施數(shù)字證書格式》、《信息安全技術(shù)公鑰基礎設施特定權(quán)限管理中心技術(shù)規(guī)范》和《信息安全技術(shù)公鑰基礎設施時間戳規(guī)范》三項信息安全國家標準，對《電子簽名法》的實施和我國網(wǎng)絡信任體系建設將起到重要的規(guī)范作用。
　　
　　2．我國電子認證服務的現(xiàn)狀
　　電子認證服務在我國開展已有近10年的歷史。隨著因特網(wǎng)的普及，伴隨著電子政務 、電子商務的發(fā)展，我國數(shù)字認證市場逐步從培育期走向成長發(fā)展期。《電子簽名法》、《電子認證服務管理辦法》等法律法規(guī)出臺后，電子認證服務逐步走向規(guī)范化。截至2007年10月10日，我國已有25家電子認證服務機構(gòu)獲得信息產(chǎn)業(yè)部頒發(fā)的電子認證服務許可證獲得電子認證服務資質(zhì)。由于服務資質(zhì)認證開始的時間不長，還有100多家認證機構(gòu)未獲得電子認證服務許可證。
　　
　　三、我國電子認證服務體系建設存在的問題
　　
　　1.法律環(huán)境體系不完善
　　雖然國家在2005年出臺了《電子簽名法》，信息產(chǎn)業(yè)部也相繼出臺了與之配套的法規(guī)和標準，但還是缺乏對認證服務過程中的一些實質(zhì)性的操作進行規(guī)范和約束，也沒有確定電子認證在實際應用中的基礎性保障地位。其它法律法規(guī)沒有做出相應的調(diào)整，無法體現(xiàn)數(shù)字認證在法律活動中的法律效力。
　　
　　2.認證服務缺少行業(yè)整體規(guī)劃，標準規(guī)范滯后
　　從國內(nèi)電子認證服務機構(gòu)開始建設至今，國家政府部門一直沒有出臺一個指導國內(nèi)電子認證服務機構(gòu)建設的總體規(guī)劃和管理指南，使得電子認證服務機構(gòu)建設處于無序狀態(tài)。長期以來，電子認證服務業(yè)的建設和運營一直都缺少統(tǒng)一的標準和規(guī)范，嚴重影響了中國電子認證服務行業(yè)的發(fā)展。目前國內(nèi)的電子認證服務機構(gòu)頒發(fā)數(shù)字證書時所采用的標準和規(guī)范都不一樣，證書的發(fā)放和運用范圍、審核方式也不盡相同，所涉及到的信息保存及披露更是有較大的差別，導致很多用戶擁有多張證書，無法交叉認證和互聯(lián)互通。
　　
　　3．對電子認證服務機構(gòu)的作用認識不足
　　網(wǎng)絡上之所以需要電子認證，是由于網(wǎng)絡化帶來的信任問題引起的。而電子認證中心正是這樣一個服務機構(gòu)，它提供網(wǎng)上實體身份標識的第三方公證服務，廣泛地服務于電子政務、電子商務、網(wǎng)上銀行、網(wǎng)上身份證、電子公證、安全電郵、電信、保險等領(lǐng)域。然而，在國內(nèi)電子認證服務行業(yè)建設和發(fā)展過程中，政府、企業(yè)、個人都對電子認證服務機構(gòu)的作用認識不足，對電子認證服務機構(gòu)的作用認識存在偏差。
　　
　　4.區(qū)域發(fā)展不平衡
　　電子認證服務機構(gòu)應該是第三方機構(gòu)，應該是社會共享資源。但是，由于缺少統(tǒng)一的規(guī)劃和管理，國內(nèi)電子認證服務機構(gòu)建設過熱，有一定的盲目性，重復建設和資源浪費現(xiàn)象嚴重。一些在經(jīng)濟欠發(fā)達的地區(qū)盲目設立的電子認證服務機構(gòu)，由于當?shù)厥袌鋈萘坑邢蓿粌H不能發(fā)揮作用，甚至認證機構(gòu)本身也難以維持正常的運營，長期虧損；而在經(jīng)濟發(fā)達地區(qū)，建設的盲目性就表現(xiàn)為重復建設，資源浪費嚴重。
　　
　　5.認證業(yè)務整體發(fā)展水平偏低
　　技術(shù)基礎問題將直接影響著中國的電子認證服務業(yè)的發(fā)展：電子認證目前使用的主要是數(shù)字簽名技術(shù)，也主要是指PKI；而從技術(shù)角度看，PKI潛在問題是涉及到證書機制，對客戶不透明；對證書簽發(fā)后管理問題技術(shù)實現(xiàn)和管理方法落后，不方便客戶。公鑰算法的生命周期問題目前成為關(guān)注的焦點，各種算法的應用將面臨挑戰(zhàn)；PKI的核心機構(gòu)就是CA，而目前信息孤島現(xiàn)象比較嚴重，一個CA一個信任域，信息交流和互聯(lián)互通是一個迫在眉睫的問題。
　　
　　四、電子認證服務體系發(fā)展建議
　　
　　1.建立健全法律規(guī)范，完善標準體系建設
　　法律法規(guī)是大力發(fā)展電子認證服務的基本保障，《電子簽名法》對電子認證服務管理只是做了框架性的規(guī)定，配套的法律法規(guī)、行業(yè)規(guī)范亟待健全；技術(shù)規(guī)范是電子認證服務的安全核心，電子認證的技術(shù)標準和服務規(guī)范繼續(xù)統(tǒng)一和完善。
　　
　　2.從國家戰(zhàn)略高度統(tǒng)籌規(guī)劃
　　應該加強電子認證服務業(yè)發(fā)展的基礎性研究，做好電子政務服務的整體發(fā)展規(guī)劃。政府部門應該針對我國電子認證服務機構(gòu)的發(fā)展現(xiàn)狀，做出統(tǒng)籌規(guī)劃，進行合理布局，以構(gòu)建適合我國國情的電子認證技術(shù)體系、運營體系和服務體系。
　　
　　3.積極提升技術(shù)水平，加強安全監(jiān)控
　　電子認證服務機構(gòu)的認證系統(tǒng)安全，涉及到諸多方面。政府部門和認證機構(gòu)應該積極合作，密切配合，盡力消除安全隱患，提高安全強度，采取多種方式提高整個認證系統(tǒng)運行的安全性和穩(wěn)定性。
　　
　　4.積極地參與電子認證的國際合作
　　電子商務的本質(zhì)，決定了與之相關(guān)的服務必然逐步呈現(xiàn)國際化的趨勢，電子認證服務也不例外。從長遠的角度看，電子認證在國際范圍內(nèi)的交叉認證、統(tǒng)一和標準化是一種必然趨勢。
　　作者單位: 遼東學院 信息技術(shù)學院
　　
　　參考文獻：
　　[1]謝先江.淺論我國數(shù)字認證建設[J].現(xiàn)