权威刊物 重要平台 关键渠道
邮发代号 2-786
信任是社会公序良俗,是人类共同价值观的基本要素,是人类社会正常运转的润滑剂,是良好社会秩序建立的基石,是推动人类社会发展和经济繁荣的社会公共资源。当今,人类社会已经进入网络时代,建立和传递信任是维护网络空间秩序、保障数字经济繁荣和社会稳定的基础性关键性环节,建立网络信任已经成为各类信息网络和行为主体的共同价值追求,构建具有良好生态的网络空间信任体系已成为全社会的共识。在《关于网络信任体系建设的若干意见》中,明确提出网络信任体系是指以密码技术为基础,解决网络应用中的身份认证、授权管理和责任认定问题的完整体系。密码对网络信任体系建设的支撑主要体现在信任技术、管理和服务三方面。
基于现代密码技术的数字认证技术手段是解决网络信任中各类网络主体的身份真实性、网络行为的可信性、网络信息内容的完整性、机密性等问题最安全、最有效、最经济、最可靠的手段。这既是由网络信任的内在安全要求所决定,也是由密码技术与生俱来的基本安全属性所决定的。现代密码技术能够很好地为网络信任体系提供加密和认证机制支持,最主流的是基于公钥密码基础设施(PKI)体系的数字证书认证技术。数字证书认证技术的核心是公钥密码技术,按照 PKI 的技术架构,通过为私钥持有者签发公钥密码数字证书的方式鉴别网络实体的身份,进而实现身份、数据、行为的可信。
当前,国内外科研机构和产业界提出大量的基于公钥密码技术的身份管理解决方案及标准,其身份认证的核心凭据(Token)也都是基于公钥密码的数字签名技术。
网络信任管理是确保网络信任体系得以构建并持续运行、保障网络信任服务能够有效发挥作用的关键要素,其核心在于确认网络信任技术、服务的法定性、权威性,确保网络信任服务、功能的合规性、有效性。网络信任管理的主要目的是针对合格信任服务提供者和合格信任服务进行事前、事中、事后的监管,指导信任服务提供者开展合格的信任服务。网络信任管理的主要任务是负责网络信任体系的构建,网络信任服务政策和策略的制定、实施和监督,确保信任服务策略制定的科学性、有效性、适应性,信任服务策略实施的合理性、针对性、可行性,并对服务策略目标的达成效果进行检测评估,与时俱进地提出优化完善网络信任技术和服务的对策与举措。
网络信任管理主要依据与网络安全相关的法律法规、技术标准和网络信任基础设施来达成。在我国,网络信任管理的核心依托和载体是密码管理,也可以说密码管理是网络信任管理的基础支撑,主要体现在以下三个方面。
我国与网络安全相关的法律法规明确了电子认证在网络信任体系建构中的法律地位,确保网络信任体系的正确性,特别是以密码认证技术作为信任技术的核心,实现实体身份可信、信息来源可信、数据完整可信、网络行为可信的网络信任要求,已得到深入广泛的应用及立法的普遍认可。2005 年颁布实施的《电子签名法》第十四条规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力,确立了电子签名的法律效力。2009 年,工信部颁布《电子认证服务管理办法》明确,电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。国家密码管理局发布《电子认证服务密码管理办法》和《电子政务电子认证服务管理办法》,对电子政务电子认证服务机构的设立、服务开展情况和电子认证密码有关事项进行管理,有效推进了网络认证体系的建设和管理。2017 年施行的《网络安全法》进一步明确了网络信任体系建设目标,支持了电子认证技术发展,其第二十四条规定国家要实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。2020 年实施的《密码法》第二十九条规定,国家密码管理部门要对采用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理,明确了密码之于电子认证服务的法定性。
强化电子认证服务中的密码使用要求,确保网络信任体系的合规性,特别是密码作为电子认证的核心,其在电子认证中的应用在国家政策和专门立法中得到了确认和规范。近年来,国办印发文件强调要充分发挥密码在网络信任体系构建、网络综合治理中的支撑作用,构建网络实体鉴别、网络身份管理、网络域名、网络合约、网络行为分析、网络违法取证及溯源等应用的密码支撑体系,要通过密码管理和有效应用牢固支撑网络空间时代的社会治理。2019 年修订后的《电子政务电子认证服务业务规则规范》提出了电子认证服务机构采用密码技术,通过数字证书提供电子认证服务的主要内容及要求;从服务内容、服务质量、业务操作规范等主要方面明确电子认证服务过程中的关键环节和操作规范,明确了电子认证服务的相关法律责任与关系,为电子政务电子认证能力评估和监督检查工作提供了依据。
加强电子认证中的密码检测评估,确保网络信任体系的有效性。按照《密码法》关于加强事中、事后监管和密码应用安全性评估的要求,严格落实国家有关密码管理规定,督促重要网络信息系统建设者和运营者规范使用密码,为网络空间信任体系建设提供坚实支撑。适应新时代网络空间的新变化以及对于全域安全、动态安全、信任关系复杂多变的新情况,有针对性地开展了关于身份认证系统、身份认证基础设施的密码应用安全性评估,确保密码合规、正确、有效使用。加强网络空间信任体系涉及的密码产品和密码应用的“双随机”检查,确保密码产品和密码应用符合要求,确保信任体系构建科学、合理。通过对电子认证中相关密码基础设施和各类密码应用的检测评估,优化完善电子认证产品、电子认证系统的密码功能,提升电子认证服务与密码融合的产品、服务和支撑体系供给能力,打造网络信任体系上下游产业链协同支持密码的生态体系,积极构建以密码为引领的网络信任体系创新链、价值链,服务网络信任体系的持续性、稳定性、有效性,让全社会都能享受到安全可靠的信任服务,畅通网络互联。
密码服务是指基于密码技术和产品,实现密码应用功能,提供密码保障的行为,它是支撑网络信任服务提供身份认证、权限管理、责任认定等的服务,确保网络身份可信,数据来源和内容可信、各类网络行为可信的根本。从当前和今后相当长的一段时期来看,只有依靠基于密码数字证书服务的身份认证、数字签名与验证等服务,才能保证网络主体身份的真实性,保证数据传输交互的真实性、完整性和抗抵赖,也只有实现了有效的身份鉴别认证才能正确管理网络用户的授权行为,保障网络用户的行为可信,进而明晰行为责任,厘清责任主体。
经过近二十年的发展,我国基于密码的电子认证服务成效显著,有力地促进了电子认证服务行业健康有序发展。截至目前,国内已有取得电子认证密码使用许可证的电子认证服务机构 57 家,电子政务电子认证服务机构 49 家,已发布近 20 项国家电子认证密码服务相关标准,如 SM3 密码杂凑算法、SM2 椭圆曲线公钥密码算法等算法标准、数字证书认证系统密码协议规范、基于 SM2 密码算法的数字证书格式规范、数字证书互操作检测规范、基于数字证书的身份鉴别接口规范、基于 SM2 密码算法的证书认证系统密码及其相关安全技术规范、证书认证系统检测规范、证书认证密钥管理系统检测规范等。这些标准涵盖了密码算法、电子认证基础设施、证书应用接口、认证系统检测等各个层面,有力指导了各电子认证服务机构开展认证服务和密码应用。密码数字证书应用已经涵盖国民经济和社会管理的各个领域。在工商税务、社会保障、质量监管、医疗卫生、公共安全、海关商务、文化教育、交通通信、金融证券、电子支付等重要领域密码数字证书应用效果都非常明显,在转变政府职能、优化便民惠民利民服务、保障组织和个人正当权益等方面发挥了重要作用。
未来,信任将在信息化的发展发挥举足轻重的作用。物联网发展离不开各类智能终端的身份鉴别,大数据发展离不开数据来源鉴别、权属管理,区块链应用离不开不可信实体间的信任建立,云计算应用离不开平台可信、数据可信和行为可信,可信通信发展离不开身份可信。新技术新应用的发展离不开先进的网络信任体系的支持,根本在于构建一个先进的密码体系作为支撑。没有先进的密码体系的支撑,信任服务就如同无根之木,无源之水。未来需要继续实施一批引领性示范性工程,加快推进密码与其他认证技术的融合应用,以构建能够适应物联网、大数据、云计算、区块链、可信通信、数字货币等信任服务需求的先进的数字信任体系,并在重要行业、重要领域实现规模应用,特别是在关键信息基础设施、重要通信基础设施、等保三级以上信息系统、国家政务信息系统等重要网络信息系统中的全面规范深入应用,不断提高我国密码服务自主可控水平和网络空间密码保障能力。
密码是构建网络信任体系的基础支撑,发展基于密码的网络空间信任体系建设,将赋能国家信息化和信息社会建设,助力我国数字经济高质量发展。“政产学研用测”各方应当通力协作,积极开展基于密码的数字信任基础研究,特别是要高度关注复杂网络与业务架构下的跨域信任密码问题和信任度评估等密码问题;充分激发密码在现代数字信任体系构建中的创新应用,面向智能化和数字化安全发展新需求,开展适用于不同网络环境和业务场景信任需求的先进密码认证技术与多元化技术相融合的信任服务体系研究,加快数字信任管理和服务标准建设;面向未来发展需求,推动密码技术在网络信任体系中的基础性、原创性、前瞻性理论创新和技术突破,为构建以支撑可信身份为核心的现代数字信任基础设施提供坚实支撑。
(本文刊登于《中国信息安全》杂志2021年第5期)
本文始发于微信公众号(中国信息安全):国家密码管理局何良生:密码是构建网络信任体系的基石
评论