中国电子认证服务体系的现状和未来

服务器
现今,信息技术飞速发展,网络应用无处不在已然融入了每个人的生活。基于网络环境的电子商务、电子政务等网络服务是现代化社会的一个标志,也是人们日常生活所经常接触的。但是庞大复杂的网络环境中信息安全隐患颇多,这些安全问题一直影响着网络商务等业务的发展。为了保障电子商务等网络应用的安全可靠,电子认证服务应运而生。电子认证主要解决了网络社会中的身份难识别、权限难控制、责任难认定等问题。电子认证是保证网络信息真实、完整、机密及建立起网上信任体系的重要手段和措施,建立规范的、统一的电子认证服务体系对于加快信息

现今,信息技术飞速发展,网络应用无处不在已然融入了每个人的生活。基于网络环境的电子商务、电子政务等网络服务是现代化社会的一个标志,也是人们日常生活所经常接触的。但是庞大复杂的网络环境中信息安全隐患颇多,这些安全问题一直影响着网络商务等业务的发展。为了保障电子商务等网络应用的安全可靠,电子认证服务应运而生。电子认证主要解决了网络社会中的身份难识别、权限难控制、责任难认定等问题。电子认证是保证网络信息真实、完整、机密及建立起网上信任体系的重要手段和措施,建立规范的、统一的电子认证服务体系对于加快信息化建设和保障网络应用安全具有重要意义。

电子认证的定义/特征/作用

电子认证是以电子认证证书(又称数字证书)为核心技术的加密技术,它以PKI技术为基础,对网络上传输的信息进行加密、解密、数字签名和数字验证。电子认证是电子政务和电子商务中的核心环节,可以确保网上传递信息的保密性、完整性和不可否认性,确保网络应用的安全。 

电子认证具有四大特征:

  (1)真实性 。要确保交易双方的身份真实、信息内容真实以及交易发生时间的真实性。  

  (2)完整性。确保双方交易的信息是完整的、没有被篡改过和伪造过。 

  (3)机密性。确保电子交易中数据电文、交换数据、信息的保密性,使之不被交易双方以外的交易无关个体获知和解读。 

(4)不可否认性。不可否认性确保了交易双方不能对其参与过交易的事实进行抵赖,它为日后可能存在的交易纠纷提供了一个可信的证据。

电子认证具有如下作用:

(1)确认交易双方的身份和交易内容,防止电子认证交易当事方以外的人实施欺诈行为。认证机构通过向其用户提供可靠的在线证书状态查询,满足用户实时证书验证的要求,从而解决了可能被欺骗的问题。如果有A和B两个用户,认证机构的在线证书状态查询可以同时查到两者的证书公开信息。证书中包括用户的姓名、公开密钥、电子邮件地址、证书有效期等数字化信息。认证机构还对每个证书附加有电子签名,来证明证书内容的可靠性。

(2)防止电子签名人对己进行认证的信息予以否认。电子认证的最终目的就是为了在电子商务交易的当事人之间发生纠纷的情况下,提供有效的认证解决方法。信息发送人难以否认电子认证程序与规则,而信息接收人也不能否认自己已经接到信息的事实。这就为交易双方当事人提供了预防性的保护措施,避免任何一方的当事人抵赖曾发送或接收到数据信息的行为。通过电子认证可以保证数据信息的发送行为、接收行为和所发送内容的不可否认性。

我国电子认证服务体系建设现状

(1) 我国电子认证服务体系的法律法规建设。

  2004年全国人大常委会通过了《中华人民共和国电子签名法》(简称《电子签名法》)。随后,出台了一系列的制度,包括《电子认证服务管理办法》、《电子认证服务密码管理办法》、《电子认证业务规则规范(试行)》等。《电子签名法》被认为是中国首部真正电子商务法意义上的立法,具有极其重要意义和作用。它主要解决数据电文和电子签名的法律效力,这对推动我国网络经济的健康发展可谓意义重大。 

  2007年国家标准化委员会发布《信息安全技术公钥基础设施数字证书格式》、《信息安全技术公钥基础设施特定权限管理中心技术规范》和《信息安全技术公钥基础设施时间戳规范》三项信息安全国家标准,对《电子签名法》的实施和我国网络信任体系建设将起到重要的规范作用。

在一些专门的行业或领域中,电子认证被很好的应用和实践,所以为了更好地规范这一领域的电子认证服务,我国针对这些专门的领域制定其更符合领域特点的电子认证制度。比如在卫生行业中,为保障卫生信息系统安全,规范卫生系统电子认证服务体系建设,依据《中华人民共和国电子签名法》和《电子认证服务管理办法》(工业和信息化部令2009年第1号),结合卫生系统业务特点,制定《卫生系统电子认证服务管理办法(试行)》。同时还制定了《卫生系统电子认证服务规范》、《卫生系统数字证书格式规范》、《卫生系统数字证书介质技术规范》、《卫生系统数字证书应用集成规范》和《卫生系统数字证书服务管理平台接入规范》等卫生行业的电子认证服务制度。进一步细化了电子认证服务的制度,为电子认证服务在不同领域的实施提供了更加明确的制度依据。

(2)我国电子认证服务现状。

我国不断推进电子认证服务的体系化、规范化建设,其主要目标就是建设安全可靠的网络信任体系。建立了电子认证服务资质申请机制以及电子认证服务机构的监管机制,并且对监督管理工作不断进行完善和创新。为推动电子认证行业的发展,中国电子签名与认证服务专家组和中国电子认证服务产业联盟(CEAIA)于12月5、6日先后成立。这一联盟的主要宗旨就是推动电子认证产业的发展、加强电子认证技术和创新电子认证服务。我国现阶段还大力促进数字证书交叉认证,推进电子签名与认证应用。在推进数字证书交叉互认工作方面,一方面推进了跨境证书的互认工作,另一方面推进了跨区域的数字证书互认应用。目前,江苏省、浙江省、安徽省、上海市三省一市电子认证服务机构联合建设了“长三角数字证书应用互联互通应用平台”,在开展数字证书应用互认方面,进行了积极的探索。   

我国电子认证服务体系存在的问题

(1)缺乏统一的证书分类、分级策略。

    缺乏证书分类分级标准规范及技术手段,各合法电子认证服务机构大都围绕业务开展,根据证书使用对象的不同对证书类型进行简单划分,制定相应的证书策略,并未形成国家层面的、全局的证书策略体系,难以充分发挥证书策略在交叉认证、规范服务、引导市场、方便监管等方面的重要作用,严重阻碍了电子认证服务的进一步推广。

(2)没有实现电子认证证书的互信互认。

虽然在三省一市中已经展开数字证书互联互通应用,但是在全国的范围内还没有实现数字证书互联互通应用。缺乏统一、规范的证书策略管理手段是推广基于统一证书策略的数字证书互信互认的主要障碍。目前普遍的情况是各个电子认证机构签发的数字证书还不能在同一个第三方应用平台上实现互信互认。

(3)电子认证服务机构的管理部门缺乏信息化管理的技术支撑。

国家管理部门对于已经存在的各个电子认证机构的管理方式滞后。随着电子认证服务需求的日益增加,各个电子认证机构的业务信息也是与日俱增, 面对这些不断增加的庞大业务数据,如果仍然采用原有的人工统计方式就显得力不从心,不但会耗费大量人力资源,而且还容易造成人为的计算错误。并且受到人力限制不能很快的统计分析出所获得的数据,不能很好的支撑管理者制定方案、决策全局。

(4)对于各个电子认证机构的服务质量缺乏监督管理。

国家的管理部门缺乏客观有效的监管各电子认证机构服务质量的技术手段。电子认证机构的业务数据只能反映电子认证业务的发展情况,不能反映电子认证机构的服务质量。对于国家管理部门而言缺乏一个便捷有效的平台和电子认证服务的客户进行沟通获知电子认证机构的服务质量。因而不能知悉电子认证服务的漏洞,不能很好的管理规范电子认证服务机构,不利于电子认证服务的发展。

对我国电子认证服务体系改进的建议和展望

    根据上面提出的问题,以下给出几点建议:

(1)建立统一的策略管理体系,实现统一的证书分类、分级策略,并且各个电子认证服务机构都按照统一的策略体系签发数字证书。首先,由专门的管理机构按照统一的策略体系为各个电子认证机构签发策略文件;然后,各个电子认证机构根据获得的策略文件签发数字证书。根据统一的策略体系签发的数字证书才能在同一个第三方应用平台上实现互信互认。

(2)建立电子认证服务机构的管理平台,为管理部门管理各个电子认证服务机构提供技术支撑。平台应提供收集、存储电子认证机构数据信息,并能统计分析这些数据,为管理者制定决策、制度提供可参考的客观信息。

(3)建立电子认证机构的服务质量管理平台,为管理部门监督考察各个电子认证机构的服务情况提供技术支撑。平台为电子认证机构服务的客户提供渠道向管理者上报各个电子认证机构服务情况的信息。通过这个平台管理者可以得到真实可靠的服务质量信息,便于管理者掌握各个电子认证机构的服务情况,制定出相应的管理措施更好的管控电子认证机构。

未来我国电子认证服务体系要建设成一个统一的电子认证服务平台,摆脱现在各个行业、各个电子认证服务机构各自运营的分裂局面。平台会对与电子认证服务相关的所有机构、人员和业务进行统一的管理。平台会为管理部门提供电子认证相关数据的统计分析信息以供管理者制定决策;为各家电子认证机构提供统一体系的策略文件等相关信息保障电子认证机构的日常运营;为互联网上的各类第三方应用提供互信互认的技术支持。最终这一平台会为广大的用户提供可靠的身份认证和丰富安全的网络服务。

 

责任编辑:常疆 来源: 工信部计算机与微电子发展研究中心
相关推荐

2012-12-21 10:52:12

2018-03-28 15:27:55

CITE

2021-04-06 09:43:41

微服务架构数据

2021-08-17 10:37:10

分层设计领域划分架构

2009-11-23 12:39:26

2010-06-10 10:55:30

2011-09-28 14:28:14

飞天诚信身份认证

2023-07-04 15:00:47

微服务架构开发

2022-12-16 09:29:23

携程微服务

2014-01-22 16:46:22

中国电信云服务可信云

2014-05-09 14:30:03

思科人才培养思科

2021-12-01 14:57:26

蓝信工作群

2021-07-29 16:24:34

安全电子云认证

2021-09-06 16:51:02

阿里云Serverless计算机

2012-12-28 16:30:05

IT运维服务企业

2009-09-16 14:56:23

C++

2019-01-31 07:09:27

物联网IOT连接

2023-12-21 07:11:18

数据服务体系

2022-06-08 18:02:33

云计算

2010-06-30 12:51:40

UML业务建模
点赞
收藏

51CTO技术栈公众号