我國電子認證服務體系的建立與發展

　　摘要：隨著我國信息化程度的不斷提高，社會對電子認證服務的要求也隨之提高。本文介紹了電子認證服務的認證原理，及其在網絡信任體系中的作用。分析了當前我國電子商務認證服務體系的現狀以及存在的問題，給出了我國電子認證服務體系建設的發展建議。
　　關鍵詞：數字認證技術；網絡安全；PKI
　　中圖分類號：F062.5 文獻標識碼：A
　　
　　隨著信息技術的迅速發展，因特網已進入社會生活的各個領域，基于網絡環境下的電子商務、電子政務、電子事務正在蓬勃迅猛的發展。信息化程度已經成為國家乃至個人現代化程度的重要標志。但網絡安全一直困擾著信息化進程，缺乏誠信的網絡世界充滿了欺詐和風險，影響了經濟發展和社會秩序。建立完善的網絡信任體系，保證網絡信息安全是推進信息化必須面對的課題。而電子服務認證是保證網絡信息真實、完整和信息發送不可抵賴，建立起完善網上信任體系的重要手段和措施，大力發展電子認證服務對于加快信息化建設進程具有重要意義。
　　
　　一、電子認證服務
　　
　　1.電子認證的認證原理
　　電子認證服務所采用的數字證書認證技術是以密碼技術為核心，在國際上廣泛流行的是采用PKI(Pubic Key Infrastructure)技術。在PKI鑰系統中，為每個用戶生成一對相關的密鑰：公開密鑰和私有密鑰。雙方進行信息交換的過程是：發送方通過網絡或其他公開途徑得到接收方的公鑰，然后使用該密鑰對信息加密后發送給接收方；接收方用自己的私鑰對收到的信息進行解密，得到信息明文。在這里，只有接收方才能成功地解密該信息，因為只有接收方擁有與之相對應的私有密鑰，從而保證了信息的機密性。如果發送方在發送信息時附上自己的數字簽名，則接收方通過驗證數字簽名可以保證信息的完整性和不可抵賴性。
　　PKI框架中的核心元素是數字證書；PKI的核心實施者是CA認證中心。數字證書又稱為數字標識（Digital Certificate，Digital ID）。它提供了一種在網絡上身份驗證的方式，是用來標志和證明網絡通信雙方身份的數字信息文件。在網上進行電子政務和電子商務活動時，雙方需要使用數字證書來表明自己的身份，并使用數字證書來進行有關的操作。
　　
　　2.電子認證服務在網絡信任體系中的作用
　　網絡信任體系是以密碼技術為基礎，以法律法規、技術標準和基礎設施為主要內容，以解決網絡應用中身份認證、授權管理和責任認定等為目的的完整體系，它是網絡環境下各項業務活動有序開展的基礎保障。電子認證服務就是利用數字證書技術為電子商務、電子政務等網絡業務提供行為主體的真實身份和控制權限，保證信息資源的真實性和可靠性的第三方服務，是建立網絡信任體系的基礎和核心。
　　
　　二、我國電子認證服務體系的建立
　　
　　1.法律法規與標準規范建設
　　2005年4月1日《中華人民共和國電子簽名法》（簡稱《電子簽名法》）正式實施。隨后，信息產業部和為國家密碼管理局出臺了一系列的配套規章和標準規范，包括《電子認證服務管理辦法》、《電子認證服務密碼管理辦法》、《電子認證業務規則規范（試行）》、《證書認證系統密碼及其相關安全技術規范》。等。《電子簽名法》是我國電子商務、電子認證領域的第一部法律，具有極其重要的歷史意義和現實意義，它給網上數字化的商務活動以法律認同的效力和地位，這對推動我國網絡經濟的健康發展可謂意義重大。
　　2007年2月1日，國家標準化委員會發布《信息安全技術公鑰基礎設施數字證書格式》、《信息安全技術公鑰基礎設施特定權限管理中心技術規范》和《信息安全技術公鑰基礎設施時間戳規范》三項信息安全國家標準，對《電子簽名法》的實施和我國網絡信任體系建設將起到重要的規范作用。
　　
　　2．我國電子認證服務的現狀
　　電子認證服務在我國開展已有近10年的歷史。隨著因特網的普及，伴隨著電子政務 、電子商務的發展，我國數字認證市場逐步從培育期走向成長發展期。《電子簽名法》、《電子認證服務管理辦法》等法律法規出臺后，電子認證服務逐步走向規范化。截至2007年10月10日，我國已有25家電子認證服務機構獲得信息產業部頒發的電子認證服務許可證獲得電子認證服務資質。由于服務資質認證開始的時間不長，還有100多家認證機構未獲得電子認證服務許可證。
　　
　　三、我國電子認證服務體系建設存在的問題
　　
　　1.法律環境體系不完善
　　雖然國家在2005年出臺了《電子簽名法》，信息產業部也相繼出臺了與之配套的法規和標準，但還是缺乏對認證服務過程中的一些實質性的操作進行規范和約束，也沒有確定電子認證在實際應用中的基礎性保障地位。其它法律法規沒有做出相應的調整，無法體現數字認證在法律活動中的法律效力。
　　
　　2.認證服務缺少行業整體規劃，標準規范滯后
　　從國內電子認證服務機構開始建設至今，國家政府部門一直沒有出臺一個指導國內電子認證服務機構建設的總體規劃和管理指南，使得電子認證服務機構建設處于無序狀態。長期以來，電子認證服務業的建設和運營一直都缺少統一的標準和規范，嚴重影響了中國電子認證服務行業的發展。目前國內的電子認證服務機構頒發數字證書時所采用的標準和規范都不一樣，證書的發放和運用范圍、審核方式也不盡相同，所涉及到的信息保存及披露更是有較大的差別，導致很多用戶擁有多張證書，無法交叉認證和互聯互通。
　　
　　3．對電子認證服務機構的作用認識不足
　　網絡上之所以需要電子認證，是由于網絡化帶來的信任問題引起的。而電子認證中心正是這樣一個服務機構，它提供網上實體身份標識的第三方公證服務，廣泛地服務于電子政務、電子商務、網上銀行、網上身份證、電子公證、安全電郵、電信、保險等領域。然而，在國內電子認證服務行業建設和發展過程中，政府、企業、個人都對電子認證服務機構的作用認識不足，對電子認證服務機構的作用認識存在偏差。
　　
　　4.區域發展不平衡
　　電子認證服務機構應該是第三方機構，應該是社會共享資源。但是，由于缺少統一的規劃和管理，國內電子認證服務機構建設過熱，有一定的盲目性，重復建設和資源浪費現象嚴重。一些在經濟欠發達的地區盲目設立的電子認證服務機構，由于當地市場容量有限，不僅不能發揮作用，甚至認證機構本身也難以維持正常的運營，長期虧損；而在經濟發達地區，建設的盲目性就表現為重復建設，資源浪費嚴重。
　　
　　5.認證業務整體發展水平偏低
　　技術基礎問題將直接影響著中國的電子認證服務業的發展：電子認證目前使用的主要是數字簽名技術，也主要是指PKI；而從技術角度看，PKI潛在問題是涉及到證書機制，對客戶不透明；對證書簽發后管理問題技術實現和管理方法落后，不方便客戶。公鑰算法的生命周期問題目前成為關注的焦點，各種算法的應用將面臨挑戰；PKI的核心機構就是CA，而目前信息孤島現象比較嚴重，一個CA一個信任域，信息交流和互聯互通是一個迫在眉睫的問題。
　　
　　四、電子認證服務體系發展建議
　　
　　1.建立健全法律規范，完善標準體系建設
　　法律法規是大力發展電子認證服務的基本保障，《電子簽名法》對電子認證服務管理只是做了框架性的規定，配套的法律法規、行業規范亟待健全；技術規范是電子認證服務的安全核心，電子認證的技術標準和服務規范繼續統一和完善。
　　
　　2.從國家戰略高度統籌規劃
　　應該加強電子認證服務業發展的基礎性研究，做好電子政務服務的整體發展規劃。政府部門應該針對我國電子認證服務機構的發展現狀，做出統籌規劃，進行合理布局，以構建適合我國國情的電子認證技術體系、運營體系和服務體系。
　　
　　3.積極提升技術水平，加強安全監控
　　電子認證服務機構的認證系統安全，涉及到諸多方面。政府部門和認證機構應該積極合作，密切配合，盡力消除安全隱患，提高安全強度，采取多種方式提高整個認證系統運行的安全性和穩定性。
　　
　　4.積極地參與電子認證的國際合作
　　電子商務的本質，決定了與之相關的服務必然逐步呈現國際化的趨勢，電子認證服務也不例外。從長遠的角度看，電子認證在國際范圍內的交叉認證、統一和標準化是一種必然趨勢。
　　作者單位: 遼東學院 信息技術學院
　　
　　參考文獻：
　　[1]謝先江.淺論我國數字認證建設[J].現