建設行業電子認證互聯互通的探索

隨著我國建設行業各項事務的快速發展，建設行業信息化也取得了巨大的成就，有力促進了各項網絡業務以及電子政務、電子商務工作的發展。信息化建設離不開網絡安全的保障，在網絡安全中，基于電子認證的PKI安全體系是目前各行各業所尤為關注的重點。但是，從總體上看，建設行業PKI安全體系仍存在一定問題。表現在：很多業務單位對PKI安全不了解，無從下手；部分省市建設單位自行設計，沒有形成一個總體；建設標準不統一，共享程度較低。這種現狀已開始被廣大業務用戶所熱議。

基于此，在建設行業內建立一個統一的電子認證體系，構建一個在業務和地域上都可互聯互通的認證環境已是民心所向。

一、建設行業電子認證業務互通的必要性

建設行業業務系統分工精細，業務流程較為復雜多樣。很多流程，同一用戶在不同流程中開展工作，要經過多次身份認證。如獲得資質的企業參加招投標，中標企業進行協同設計等。同樣，用戶的業務工作在不同區域開展時，也被要求重新審核，從一個地區購買的數字證書在另一個地區不能投標等等。這不僅加大了用戶的成本，也為業務主管部門綜合獲取用戶大數據增加了難度。歸其原因，在于各地獨立建造的電子認證信用體系，成為了一個個的信息孤島。另外，由于建設目標、建設方式的不同，各地建立的認證系統安全性強度也有所差異，存在一定的安全漏洞，更缺乏持續的服務和互助。因此，無論是業務管理部門，還是廣大使用者，都在對一個統一的行業電子認證體系翹楚以待。

二、建設行業電子認證現狀

我國建設行業電子認證發展起步較晚，2010年起各地建設部門開始逐步關注這項技術手段并在業務領域使用，沈陽市城鄉建設委員會《沈陽市建設工程電子文件與電子檔案管理暫行辦法》（2011.07.26）、《沈陽市建設工程電子文件與電子檔案管理辦法》（2014.10.1），吉林省住房和城鄉建設廳《吉林省建設工程電子招標投數字證書和電子印章管理暫行辦法》（2014.7.15）等地方管理辦法相繼出臺。這個階段，由于并沒有一家專門服務于建設行業的CA公司。因此各地一般選擇了本省的電子認證服務企業進行數字證書發放工作。

2013年建設行業電子認證中心（CSCA）成立，即時向國家信息安全管理部門提交了建設行業電子認證業務發展報告，并在國家密碼管理局進行密鑰入根，接入了國家大信任體系。國家工信部經過專家論證，于2015年3月為CSCA頒發了《電子認證服務許可證》，批準作為服務于建設行業的CA中心開展運營。

CSCA目前已建立完整的電子認證服務體系，包括認證中心（CA中心）、密鑰管理系統（KM）、注冊審核服務系統（RA）、證書狀態在線查詢系統（OCSP）等。2015年9月，四川省住房和城鄉建設管理部門率先與CSCA展開合作，將省內多條業務線的數字證書進行重新規劃，逐步換發。

三、建設行業電子認證開展的工作范圍

目前在建設行業電子認證應用點非常廣泛，凡是需要對法人主體的識別，需要對網絡交易進行保護、需要對雙方行為進行法律有效性保護的行為均可以采用電子認證技術進行，在建設行業主要應用包括：規劃、勘察、設計、施工、監理、檔案備案過程中的設立登記、變更登記、經營許可、項目申報、項目審批、工程建設、年審年檢、繳費、招投標、注銷撤銷等。在針個人的業務中，注冊師資質審批和登記、社會保障、住房服務、中介服務、一卡通認證服務、公積金管理等均產生了試點應用?？梢灶A料，隨著各業務條線對網絡安全要求的提升，電子認證很快將應用到建設行業的方方面面。

四、建設行業統一電子認證體系模式設計概覽

設計中的統一電子認證體系采用運營級認證方式。業務以國家根證書為依托，建設行業認證中心作為行業服務總結點，為下級認證中心（二級CA）進行電子認證服務。設置統一的證書項、設計統一的證書認證規則。規劃中的二級認證中心將包括地區認證中心、大業務條線認證中心、業務云認證中心、關鍵設備認證中心四個維度的節點。各級認證中心部署簽名驗簽服務器（SVS），為日后的驗證簽名工作做好準備。同時，二級認證中心還可以根據需要，建立下級業務系統的認證節點。建設行業電子認證中心同時設立托管RA，為一些零散的系統進行接入服務。

這種體系最大優勢就是采用統一的根證書，為日后業務的互聯互通創建了基礎。建設行業CA中心為每一個接入的業務進行登記，形成白名單。將信任的證書鏈傳遞給二級認證中心，各二級中心可根據需要將允許互信的認證中心白名單導入到SVS中，形成互信體系。

五、業務場景案例探討

在一個典型應用場景中，我們設想一個參加招投標的企業，從認證中心（可以是建設行業內任意認證中心）領取了數字證書。

該企業使用數字證書參與了招投標公司的投標活動，并中標。

該企業期望使用同一個數字證書開展協同設計平臺的工作。

該需求為典型的跨業務使用統一數字證書的場景。為實現以上需求，只需要完成以下幾步：

協同設計平臺認可企業在投標階段所使用的數字證書的有效性。

招投標平臺將證書鏈授權給協同設計平臺并導入到設計平臺的簽名驗簽設備中。

招投標平臺將用戶信息以標準格式進行導出，并發送給設計平臺進行接入。（這一步根據需要進行，很多情況下是由設計平臺自行創建用戶信息）。

用戶登錄設計平臺，設計平臺通過簽名驗簽設備中的導入的證書鏈進行合法性驗證。并連入認證中心進行狀態查詢。

在設計平臺開展工作。

六、統一互通電子認證體系的價值

統一的電子認證體系有效降低了建設行業從業人員的認證的復雜度，做到一點認證、全行業使用的應用模式。并且無需任何一方增加投入。

統一的電子認證使各業務平臺互通共享成為可能，減輕了在不同業務業務間數據轉換傳遞的困擾。

統一的電子認證體系可以在法律層面責任界定更加清晰，為建設工程實行“終身責任制”、提升“合約有效性”提供基礎，并可以提供貫穿始終無死角的證據佐證鏈。

統一的電子認證體系，可以為誠信體系建設、行業管理大數據分析、企業人員動態軌跡跟蹤等業務，提供堅實的數據基礎。