2018我国电子认证服务体系的建立与发展

6583257

　　摘要：随着我国信息化程度的不断提高，社会对电子认证服务的要求也随之提高。本文介绍了电子认证服务的认证原理，及其在网络信任体系中的作用。分析了当前我国电子商务认证服务体系的现状以及存在的问题，给出了我国电子认证服务体系建设的发展建议。
/2/view-383914.htm
　　关键词：数字认证技术；网络安全；PKI
　　中图分类号：F062.5 文献标识码：A
　　
　　随着信息技术的迅速发展，因特网已进入社会生活的各个领域，基于网络环境下的电子商务、电子政务、电子事务正在蓬勃迅猛的发展。信息化程度已经成为国家乃至个人现代化程度的重要标志。但网络安全一直困扰着信息化进程，缺乏诚信的网络世界充满了欺诈和风险，影响了经济发展和社会秩序。建立完善的网络信任体系，保证网络信息安全是推进信息化必须面对的课题。而电子服务认证是保证网络信息真实、完整和信息发送不可抵赖，建立起完善网上信任体系的重要手段和措施，大力发展电子认证服务对于加快信息化建设进程具有重要意义。
　　
　　一、电子认证服务
　　
　　1.电子认证的认证原理
　　电子认证服务所采用的数字证书认证技术是以密码技术为核心，在国际上广泛流行的是采用PKI(Pubic Key Infrastructure)技术。在PKI钥系统中，为每个用户生成一对相关的密钥：公开密钥和私有密钥。双方进行信息交换的过程是：发送方通过网络或其他公开途径得到接收方的公钥，然后使用该密钥对信息加密后发送给接收方；接收方用自己的私钥对收到的信息进行解密，得到信息明文。在这里，只有接收方才能成功地解密该信息，因为只有接收方拥有与之相对应的私有密钥，从而保证了信息的机密性。如果发送方在发送信息时附上自己的数字签名，则接收方通过验证数字签名可以保证信息的完整性和不可抵赖性。
　　PKI框架中的核心元素是数字证书；PKI的核心实施者是CA认证中心。数字证书又称为数字标识（Digital Certificate，Digital ID）。它提供了一种在网络上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。在网上进行电子政务和电子商务活动时，双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的操作。
　　
　　2.电子认证服务在网络信任体系中的作用
　　网络信任体系是以密码技术为基础，以法律法规、技术标准和基础设施为主要内容，以解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系，它是网络环境下各项业务活动有序开展的基础保障。电子认证服务就是利用数字证书技术为电子商务、电子政务等网络业务提供行为主体的真实身份和控制权限，保证信息资源的真实性和可靠性的第三方服务，是建立网络信任体系的基础和核心。
　　
　　二、我国电子认证服务体系的建立
　　
　　1.法律法规与标准规范建设
　　2005年4月1日《中华人民共和国电子签名法》（简称《电子签名法》）正式实施。随后，信息产业部和为国家密码管理局出台了一系列的配套规章和标准规范，包括《电子认证服务管理办法》、《电子认证服务密码管理办法》、《电子认证业务规则规范（试行）》、《证书认证系统密码及其相关安全技术规范》。等。《电子签名法》是我国电子商务、电子认证领域的第一部法律，具有极其重要的历史意义和现实意义，它给网上数字化的商务活动以法律认同的效力和地位，这对推动我国网络经济的健康发展可谓意义重大。
　　2007年2月1日，国家标准化委员会发布《信息安全技术公钥基础设施数字证书格式》、《信息安全技术公钥基础设施特定权限管理中心技术规范》和《信息安全技术公钥基础设施时间戳规范》三项信息安全国家标准，对《电子签名法》的实施和我国网络信任体系建设将起到重要的规范作用。
　　
　　2．我国电子认证服务的现状
　　电子认证服务在我国开展已有近10年的历史。随着因特网的普及，伴随着电子政务 、电子商务的发展，我国数字认证市场逐步从培育期走向成长发展期。《电子签名法》、《电子认证服务管理办法》等法律法规出台后，电子认证服务逐步走向规范化。截至2007年10月10日，我国已有25家电子认证服务机构获得信息产业部颁发的电子认证服务许可证获得电子认证服务资质。由于服务资质认证开始的时间不长，还有100多家认证机构未获得电子认证服务许可证。
　　
　　三、我国电子认证服务体系建设存在的问题
　　
　　1.法律环境体系不完善
　　虽然国家在2005年出台了《电子签名法》，信息产业部也相继出台了与之配套的法规和标准，但还是缺乏对认证服务过程中的一些实质性的操作进行规范和约束，也没有确定电子认证在实际应用中的基础性保障地位。其它法律法规没有做出相应的调整，无法体现数字认证在法律活动中的法律效力。
　　
　　2.认证服务缺少行业整体规划，标准规范滞后
　　从国内电子认证服务机构开始建设至今，国家政府部门一直没有出台一个指导国内电子认证服务机构建设的总体规划和管理指南，使得电子认证服务机构建设处于无序状态。长期以来，电子认证服务业的建设和运营一直都缺少统一的标准和规范，严重影响了中国电子认证服务行业的发展。目前国内的电子认证服务机构颁发数字证书时所采用的标准和规范都不一样，证书的发放和运用范围、审核方式也不尽相同，所涉及到的信息保存及披露更是有较大的差别，导致很多用户拥有多张证书，无法交叉认证和互联互通。
　　
　　3．对电子认证服务机构的作用认识不足
　　网络上之所以需要电子认证，是由于网络化带来的信任问题引起的。而电子认证中心正是这样一个服务机构，它提供网上实体身份标识的第三方公证服务，广泛地服务于电子政务、电子商务、网上银行、网上身份证、电子公证、安全电邮、电信、保险等领域。然而，在国内电子认证服务行业建设和发展过程中，政府、企业、个人都对电子认证服务机构的作用认识不足，对电子认证服务机构的作用认识存在偏差。
　　
　　4.区域发展不平衡
　　电子认证服务机构应该是第三方机构，应该是社会共享资源。但是，由于缺少统一的规划和管理，国内电子认证服务机构建设过热，有一定的盲目性，重复建设和资源浪费现象严重。一些在经济欠发达的地区盲目设立的电子认证服务机构，由于当地市场容量有限，不仅不能发挥作用，甚至认证机构本身也难以维持正常的运营，长期亏损；而在经济发达地区，建设的盲目性就表现为重复建设，资源浪费严重。
　　
　　5.认证业务整体发展水平偏低
　　技术基础问题将直接影响着中国的电子认证服务业的发展：电子认证目前使用的主要是数字签名技术，也主要是指PKI；而从技术角度看，PKI潜在问题是涉及到证书机制，对客户不透明；对证书签发后管理问题技术实现和管理方法落后，不方便客户。公钥算法的生命周期问题目前成为关注的焦点，各种算法的应用将面临挑战；PKI的核心机构就是CA，而目前信息孤岛现象比较严重，一个CA一个信任域，信息交流和互联互通是一个迫在眉睫的问题。
　　
　　四、电子认证服务体系发展建议
　　
　　1.建立健全法律规范，完善标准体系建设
　　法律法规是大力发展电子认证服务的基本保障，《电子签名法》对电子认证服务管理只是做了框架性的规定，配套的法律法规、行业规范亟待健全；技术规范是电子认证服务的安全核心，电子认证的技术标准和服务规范继续统一和完善。
　　
　　2.从国家战略高度统筹规划
　　应该加强电子认证服务业发展的基础性研究，做好电子政务服务的整体发展规划。政府部门应该针对我国电子认证服务机构的发展现状，做出统筹规划，进行合理布局，以构建适合我国国情的电子认证技术体系、运营体系和服务体系。
　　
　　3.积极提升技术水平，加强安全监控
　　电子认证服务机构的认证系统安全，涉及到诸多方面。政府部门和认证机构应该积极合作，密切配合，尽力消除安全隐患，提高安全强度，采取多种方式提高整个认证系统运行的安全性和稳定性。
　　
　　4.积极地参与电子认证的国际合作
　　电子商务的本质，决定了与之相关的服务必然逐步呈现国际化的趋势，电子认证服务也不例外。从长远的角度看，电子认证在国际范围内的交叉认证、统一和标准化是一种必然趋势。
　　作者单位: 辽东学院 信息技术学院
　　
　　参考文献：
　　[1]谢先江.浅论我国数字认证建设[J].现代情报,2004,(11):20-22.
　　[2]全国信息安全标准化技术委员会秘书处. 我国电子认证相关标准简介[J]. 信息网络安全,2007,(3):2-4.
　　[3]郭硕佳.通过第三方约束建立在线市场信任[J].当代经济,2006,11:55-56.
　　[4]魏志光.数字认证―电子政务平台的重要基石[J].电子政务,2006,(8):134-137.