國家密碼管理局副局長何良生在“2021信任互聯(lián)大會”上發(fā)表題為《密碼是構(gòu)建網(wǎng)絡(luò)信任體系的基石》的演講。
第一����,網(wǎng)絡(luò)信任技術(shù)的基礎(chǔ)支撐是密碼技術(shù)����。
網(wǎng)絡(luò)信任的核心要素是要解決各類網(wǎng)絡(luò)主體的身份真實性、網(wǎng)絡(luò)行為的可信性、網(wǎng)絡(luò)信息內(nèi)容的完整性機密性等問題����,當前解決這些問題的技術(shù)手段有很多種,但是最為安全����、最為有效、最為經(jīng)濟����、最為可靠的手段還是基于現(xiàn)代密碼技術(shù)的數(shù)字認證技術(shù)手段,這既是由網(wǎng)絡(luò)信任的內(nèi)在安全要求所決定����,也是由密碼技術(shù)與生俱來的基本安全屬性所決定的����,因此,最早在《關(guān)于網(wǎng)絡(luò)信任體系建設(shè)的若干意見》中就明確提出網(wǎng)絡(luò)信任體系是指以密碼技術(shù)為基礎(chǔ)����,解決網(wǎng)絡(luò)應(yīng)用中的身份認證、授權(quán)管理和責任認定問題的完整體系?���,F(xiàn)代密碼技術(shù)能夠很好地為網(wǎng)絡(luò)信任體系提供加密和認證機制支持����,當前用的最多的是基于PKI體系的數(shù)字證書認證技術(shù)����。數(shù)字證書認證技術(shù)的核心是公鑰密碼技術(shù),按照公鑰密碼基礎(chǔ)設(shè)施(PKI)的技術(shù)架構(gòu)����,可以通過為私鑰持有者簽發(fā)公鑰密碼數(shù)字證書來鑒別網(wǎng)絡(luò)實體的身份,進而實現(xiàn)身份����、數(shù)據(jù)、行為的可信����。目前國內(nèi)外科研機構(gòu)和產(chǎn)業(yè)界提出的大量身份管理解決方案及標準基本都是基于公鑰密碼技術(shù)構(gòu)建的,而且其作為身份認證的核心憑據(jù)(Token)也都是基于公鑰密碼的數(shù)字簽名技術(shù)����。
第二,網(wǎng)絡(luò)信任管理的基礎(chǔ)支撐是密碼管理����。
網(wǎng)絡(luò)信任管理是確保網(wǎng)絡(luò)信任體系得以構(gòu)建并持續(xù)運行����、保障網(wǎng)絡(luò)信任服務(wù)能夠有效發(fā)揮作用的關(guān)鍵要素����,最主要的就是確認網(wǎng)絡(luò)信任技術(shù)、服務(wù)的法定性����、權(quán)威性,確保網(wǎng)絡(luò)信任服務(wù)����、功能的合規(guī)性、有效性����,可以用于指導(dǎo)信任服務(wù)提供者開展合格的信任服務(wù)����。主要目的是針對合格信任服務(wù)提供者和合格信任服務(wù)進行事前、事中����、事后的監(jiān)管����。主要任務(wù)是負責網(wǎng)絡(luò)信任體系的構(gòu)建����,網(wǎng)絡(luò)信任服務(wù)政策和策略的制定、實施和監(jiān)督����,確保信任服務(wù)策略制定的科學性、有效性����、適應(yīng)性,信任服務(wù)策略實施的合理性����、針對性、可行性����,并對服務(wù)策略目標的達成效果進行檢測評估,與時俱進的提出優(yōu)化完善網(wǎng)絡(luò)信任技術(shù)和服務(wù)的對策與舉措����。網(wǎng)絡(luò)信任管理主要依據(jù)與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)����、技術(shù)標準和網(wǎng)絡(luò)信任基礎(chǔ)設(shè)施來達成����。在我國,網(wǎng)絡(luò)信任管理的核心依托和載體就是密碼管理����,也可以說密碼管理是網(wǎng)絡(luò)信任管理的基礎(chǔ)支撐,這主要體現(xiàn)在以下三個方面:
一是我國與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)明確了電子認證在網(wǎng)絡(luò)信任體系建構(gòu)中的法律地位����,確保了網(wǎng)絡(luò)信任體系的正確性,特別是以密碼認證技術(shù)作為信任技術(shù)的核心����,實現(xiàn)實體身份可信、信息來源可信����、數(shù)據(jù)完整可信����、網(wǎng)絡(luò)行為可信的網(wǎng)絡(luò)信任要求����,已得到深入廣泛的應(yīng)用及立法的普遍認可����。2005 年頒布實施的《電子簽名法》第十四條規(guī)定,可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力����,確立了電子簽名的法律效力。2009年工信部頒布《電子認證服務(wù)管理辦法》明確����,電子認證服務(wù)是指為電子簽名相關(guān)各方提供真實性、可靠性驗證的活動����,國家密碼管理局發(fā)布《電子認證服務(wù)密碼管理辦法》和《電子政務(wù)電子認證服務(wù)管理辦法》,對電子政務(wù)電子認證服務(wù)機構(gòu)的設(shè)立����、服務(wù)開展情況和電子認證密碼有關(guān)事項進行管理,有效推進了網(wǎng)絡(luò)認證體系的建設(shè)和管理����。2017年施行的《網(wǎng)絡(luò)安全法》進一步明確了網(wǎng)絡(luò)信任體系建設(shè)目標����,支持了電子認證技術(shù)發(fā)展����,第二十四條規(guī)定國家要實施網(wǎng)絡(luò)可信身份戰(zhàn)略,支持研究開發(fā)安全����、方便的電子身份認證技術(shù),推動不同電子身份認證之間的互認����。2020年實施的《密碼法》第二十九條規(guī)定,國家密碼管理部門要對采用密碼技術(shù)從事電子政務(wù)電子認證服務(wù)的機構(gòu)進行認定����,會同有關(guān)部門負責政務(wù)活動中使用電子簽名、數(shù)據(jù)電文的管理����,明確了密碼之于電子認證服務(wù)的法定性。
二是強化電子認證服務(wù)中的密碼使用要求,確保網(wǎng)絡(luò)信任體系的合規(guī)性����,特別是密碼作為電子認證的核心����,其在電子認證中的應(yīng)用也在國家政策和專門立法中得到了確認和規(guī)范。2014 年國辦印發(fā)的 《 金融領(lǐng)域密碼應(yīng)用指導(dǎo)意見 》 從密碼支撐金融網(wǎng)絡(luò)信任體系建設(shè)的角度明確要求要抓緊完成密鑰管理系統(tǒng)����、第三方電子認證基礎(chǔ)設(shè)施以及金融機構(gòu)自建電子認證基礎(chǔ)設(shè)施的密碼升級工作。2015 年印發(fā)的 《關(guān)于加強重要領(lǐng)域密碼應(yīng)用的指導(dǎo)意見》 則進一步指出����,對面向社會服務(wù)的信息系統(tǒng),應(yīng)當加快推進基于密碼的網(wǎng)絡(luò)信任����、安全管理和運行監(jiān)管體系建設(shè),規(guī)范密碼在電子文件����、電子證照、電子印章����、身份認證����、電子簽名����、數(shù)據(jù)存儲和傳輸?shù)确矫娴膽?yīng)用,實現(xiàn)面向社會服務(wù)的政務(wù)信息系統(tǒng)運行的安全可靠����,對各重要領(lǐng)域面向社會服務(wù)的網(wǎng)絡(luò)信任管理提出明確密碼應(yīng)用要求。2018年印發(fā)的《關(guān)于密碼應(yīng)用與創(chuàng)新發(fā)展的工作規(guī)劃》著重強調(diào)要充分發(fā)揮密碼在網(wǎng)絡(luò)信任體系構(gòu)建����、網(wǎng)絡(luò)綜合治理中的支撐作用,構(gòu)建網(wǎng)絡(luò)實體鑒別����、網(wǎng)絡(luò)身份管理、網(wǎng)絡(luò)域名����、網(wǎng)絡(luò)合約、網(wǎng)絡(luò)行為分析����、網(wǎng)絡(luò)違法取證及溯源等應(yīng)用的密碼支撐體系����,要通過密碼管理和有效應(yīng)用牢固支撐網(wǎng)絡(luò)空間時代的社會治理����。
三是加強電子認證中的密碼檢測評估����,確保網(wǎng)絡(luò)信任體系的有效性。按照 《 密碼法 》 關(guān)于加強事中事后監(jiān)管和密碼應(yīng)用安全性評估的要求����,嚴格落實國家有關(guān)密碼管理規(guī)定,督促重要網(wǎng)絡(luò)信息系統(tǒng)建設(shè)者和運營者規(guī)范使用密碼����,為網(wǎng)絡(luò)空間信任體系建設(shè)提供堅實支撐。適應(yīng)新時代網(wǎng)絡(luò)空間的新變化以及對于全域安全����、動態(tài)安全、信任關(guān)系復(fù)雜多變的新情況����,有針對性的開展了關(guān)于身份認證系統(tǒng)����、身份認證基礎(chǔ)設(shè)施的密碼應(yīng)用安全性評估����,確保密碼合規(guī)、正確����、有效使用。加強網(wǎng)絡(luò)空間信任體系涉及到的密碼產(chǎn)品和密碼應(yīng)用的“雙隨機”檢查����,確保密碼產(chǎn)品和密碼應(yīng)用符合要求,確保信任體系構(gòu)建科學����、合理。通過對電子認證中相關(guān)密碼基礎(chǔ)設(shè)施和各類密碼應(yīng)用的檢測評估����,優(yōu)化完善電子認證產(chǎn)品、電子認證系統(tǒng)的密碼功能����,提升電子認證服務(wù)與密碼融合的產(chǎn)品����、服務(wù)和支撐體系供給能力����,打造網(wǎng)絡(luò)信任體系上下游產(chǎn)業(yè)鏈協(xié)同支持密碼的生態(tài)體系,積極構(gòu)建以密碼為引領(lǐng)的網(wǎng)絡(luò)信任體系創(chuàng)新鏈����、價值鏈����,服務(wù)網(wǎng)絡(luò)信任體系的持續(xù)性、穩(wěn)定性����、有效性,讓每家單位����、每位公民都能享受到安全可靠的信任服務(wù),暢通網(wǎng)絡(luò)互聯(lián)����。
第三����,網(wǎng)絡(luò)信任服務(wù)的基礎(chǔ)支撐是密碼服務(wù)����。
網(wǎng)絡(luò)信任服務(wù)的核心是為各類網(wǎng)絡(luò)信息系統(tǒng)提供身份認證、權(quán)限管理����、責任認定等的服務(wù),通過信任服務(wù)確保網(wǎng)絡(luò)身份可信����,各種數(shù)據(jù)來源和內(nèi)容可信、各類網(wǎng)絡(luò)行為可信����。而密碼服務(wù)是指基于密碼技術(shù)和產(chǎn)品,實現(xiàn)密碼應(yīng)用功能����,提供密碼保障的行為,它是網(wǎng)絡(luò)信任服務(wù)的根本����,從當前和今后相當長的一段時期來看����,只有依靠基于密碼數(shù)字證書服務(wù)的身份認證����、數(shù)字簽名與驗證等服務(wù),才能保證網(wǎng)絡(luò)主體身份的真實性����,保證數(shù)據(jù)傳輸交互的真實性、完整性和抗抵賴����,也只有實現(xiàn)了有效的身份鑒別認證才能正確管理網(wǎng)絡(luò)用戶的授權(quán)行為����,從而保障網(wǎng)絡(luò)用戶的行為可信,進而明晰行為責任����,厘清責任主體。
經(jīng)過近二十年的發(fā)展����,我國基于密碼的電子認證服務(wù)成效顯著����,有力地促進了電子認證服務(wù)行業(yè)健康有序發(fā)展����,截至目前,國內(nèi)已有取得電子認證密碼使用許可證的電子認證服務(wù)機構(gòu)57家����,電子政務(wù)電子認證服務(wù)機構(gòu)49家,已發(fā)布近20項國家電子認證密碼服務(wù)相關(guān)標準����,如SM3密碼雜湊算法、SM2橢圓曲線公鑰密碼算法等算法標準����、數(shù)字證書認證系統(tǒng)密碼協(xié)議規(guī)范、基于SM2密碼算法的數(shù)字證書格式規(guī)范����、數(shù)字證書互操作檢測規(guī)范、基于數(shù)字證書的身份鑒別接口規(guī)范����、基于SM2密碼算法的證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范����、證書認證系統(tǒng)檢測規(guī)范����、證書認證密鑰管理系統(tǒng)檢測規(guī)范等,這些標準涵蓋了密碼算法����、電子認證基礎(chǔ)設(shè)施、證書應(yīng)用接口����、認證系統(tǒng)檢測等各個層面,有力指導(dǎo)了各電子認證服務(wù)機構(gòu)開展認證服務(wù)和密碼應(yīng)用����。密碼數(shù)字證書應(yīng)用已經(jīng)涵蓋國民經(jīng)濟和社會管理的各個領(lǐng)域����,在工商稅務(wù)、社會保障����、質(zhì)量監(jiān)管����、醫(yī)療衛(wèi)生����、公共安全、海關(guān)商務(wù)����、文化教育、交通通信����、金融證券、電子支付等重要領(lǐng)域密碼數(shù)字證書應(yīng)用效果都非常明顯����,在轉(zhuǎn)變政府職能、優(yōu)化便民惠民利民服務(wù)����、保障組織和個人正當權(quán)益等方面發(fā)揮了重要作用。
