前  言
电子政务电子认证体系是国家电子政务建设的重要组成部分，随着国家信息化战略的深入实施，电子政务电子认证服务体系建设的实施提上了议事日程。
本文在对国家政务外网建设现状和业务应用需求的基础上，提出“政务外网电子认证服务体系”建设思路，目标是满足现阶段基于国家政务外网业务应用对身份认证的要求，在政务外网范围内提供电子认证服务。
一、国家政务外网和“政务电子认证系统”建设现状
国家政务外网
国家政务外网是一个由中央政务外网和地方政务外网组成的政务公共网络，与互联网逻辑隔离，为党委、人大、政府、政协、法院和检察院各级政府部门提供网络服务。目前有70多个中央政务部门连入政务外网，十几项覆盖全国的业务系统在网上运行；有31个省、自治区、直辖市与新疆建设兵团的地方政务外网已与中央政务外网连接，全国342个地（市）中的232个地（市），3063个县（市）中的1234个县（市），43多万台终端接入了政务外网。国家政务外网已成为我国覆盖面最广、规模最大的政务公用网络。
政务电子认证系统
在国家政务外网工程建设中，建设了国家政务外网“政务电子认证系统”。具体内容包括：CA中心（最大容量为100万张证书）、KMC（最大托管容量为300万对密钥）和两个注册管理中心（RA）。
二、国家对电子认证体系建设整体规划
2003年9月，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003] 27号），首次在国家信息安全保障层面明确“要建立协调管理机制，规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设”。
2006年2月，国务院办公厅转发《关于网络信任体系建设的若干意见》（国办发[2006] 11号），明确了“国家密码管理局要会同有关部门做好电子政务中电子认证工作的规划和管理”。
2007年12月，国家密码管理局、信息产业部、国务院信息化工作办公室联合印发了《电子政务电子认证体系建设总体规划》（国密局联[2007] 2号），对我国电子政务电子认证体系进行了统一规划，其中对电子政务外网电子认证的规划要点是：
电子政务外网电子认证体系为各级政务部门社会管理、公共服务等面向社会服务的政务活动提供电子认证服务，主要服务对象是国家公务人员和接受政府实施社会管理、提供公共服务的机构与被授权的人员。
国家电子政务外网电子认证基础设施建设布局采用树状结构，包括源点和认证结点两部分。

图1
源点为电子政务外网电子认证信任源头，负责制定和发布认证策略，为认证结点提供可信证明，由国家密码管理局进行管理。
认证结点包括为党委、人大、政府、政协、法院、检察院等系统的中央级政府部门面向社会管理、公共服务等政务活动提供服务的电子认证结点，以及为各省（市、区）政务部门面向社会管理、公共服务等的政务活动提供电子认证服务的认证结点。
三、政务部门证书需求分析
国家政务外网中的业务应用可归纳为如下几种类型：
网状业务流类型
由中央政务部门发起的跨部门、跨地区的全国性业务。如：国务院应急系统、国务院扶贫系统等，其业务特点是在北京地区横向涵盖各有关中央政务部门，纵向由中央至下级相应部门或者到基层单位。
纵向业务流类型
 主要是指各部门“自上而下”及“自下而上”的业务流。由中央政务部门发起的本部门纵向业务，其业务特点是由中央政务部门一直向下延伸到下级相应部门或者到基层单位。如：国家监察部、国土资源部（金土工程）、国家审计署、国家安全监督管理总局等，其纵向业务延伸到全国32个省级及其下属的市县相应政务业务部门。
横向业务流类型
由中央政务部门发起的连接在京中央政务部门的业务，主要指中央政务部门各部门之间的横向业务流等。如：国务院事务管理局业务系统、住房与建设部的中央政务部门公积金管理系统等。
政务部门对证书需求的分析
中央政务部门
在目前多个电子认证机构提供证书服务的情况下，存在不同电子认证机构之间的证书管理协调和证书应用的互联互通问题，会给证书应用部门带来诸多不方便，同时增加了应用系统技术的复杂性和开发与管理成本。这是中央政务部门迫切希望解决的问题。
根据对中央政务部门证书使用需求的调查，中央政务部门均认同数字证书是保证业务系统安全的一种手段，并且希望由一个电子认证机构统一提供全国性证书服务，这样便于业务的管理和使用。在政务外网范围内采用统一证书格式的“一证通”方式，是解决该问题的最好方式。
中央政务部门对电子认证服务机构的共同要求是，电子认证机构在全国范围内有统一的技术支撑系统和服务体系，当中央政务部门的某项业务延伸到地方时，即可在当地得到证书服务，可简化服务层级，降低服务费用。证书服务半径越小，服务效率越高。
地方政务部门
省级或市级政务部门发起的应用业务，大多局限在本地区范围内，个别应用业务需跨部门、跨地区提供服务。业务流类型与中央政务部门业务流类型相似。
基于证书的应用需求
目前“国家政务外网数字证书中心”已经为中纪委纠风系统、国务院扶贫系统，国务院应急系统国家发改委、国土资源部、农业部、民政部、全国总工会、国家审计署、国家自然资源与空间地理信息库系统等全国性信息系统提供全国性证书服务。另外有安监总局金安工程等多个中央政务部门将使用政务外网数字证书。
现状与应用需求的差距
目前国家政务外网“政务电子认证系统”只在北京建有两个证书注册系统（RA），为在京的中央政务部门提供证书服务不存在问题，如果要为中央政务部门延伸到地方的应用提供数字证书服务，在保障服务能力和质量上存在困难。
解决思路
根据以上实际情况分析，为满足中央政务部门对数字证书服务的需求，必须尽快在国家政务外网上建立全国性的电子认证服务体系，以满足政务外网应用服务需求。
综合考虑各种因素，最可行的方式是：充分利用国家政务外网在全国的资源以及其完备的运维体系，建立政务外网电子认证服务体系，在该体系内实现全网范围“一证通”。该方案要达到以下目的：
●全网统一的证书服务能力和服务质量管理；
●集中管理、便于监管；
●证书管理属地化；
●系统建设、维护成本低；
●证书服务标准化。
四、政务外网电子认证服务体系建设构想
“政务电子认证系统”是国家电子政务外网电子认证结点之一
根据国家密码管理局《电子政务电子认证体系建设总体规划》，“政务电子认证系统”在国家电子政务外网电子认证基础设施建设布局总体中的位置如图所示：

图2
在该体系结构中，源点由国家密码管理局建设和管理，“政务电子认证系统”属于电子政务外网电子认证基础设施中的一个认证结点，与其它认证结点为平行关系，整体构成电子政务外网电子认证体系。
 
服务体系建设原则
 
1）统一领导、统一规划、统一标准、统一认证、统一管理
 
2）充分依托各地政务外网服务部门和各地密码管理部门；
 
3）以应用为向导，充分满足应用需求；
 
4）充分利用已有资源，避免重复建设；
构建统一的技术支撑服务系统。
 
服务系统的整体技术架构包括数字证书中心（CA）、密钥管理中心（KMC）、国家证书审核注册管理中心（NRA）以及各部门和省级的注册服务中心（RA）和数字证书服务点。它们的关系如下图所示：
 
 
图3
其中，信任源点由国家密码管理局管理；KMC负责提供和管理签发数字证书所需的密钥； CA则负责签发、管理、维护和汇总数字证书，统一管理和发布CRL，提供证书状态查询服务，制定和发布证书策略与规范等。
 
CA和KMC共同组成认证服务系统的核心区。
 
国家RA、部门RA和省级RA共同组成服务系统中的二级服务区，主要完成数字证书的申请、审核、制作、发放等，包括制作与证书发放、证书更新、证书吊销与废止等，执行 CA 制定的策略，是政务外网电子认证服务的受理点，是最主要的数字证书服务管理平台。原则上，建设RA的单位也是RA系统的管理与维护单位，须服从上级中心的管理与指导。
RA部署
 
在服务系统中，所有的RA受CA中心的管理与协调，相互之间为平等并行关系，按照统一的管理和服务规范以及各自的管理范围，进行自身的属地化管理和服务。部署地点由当地政务外网管理部门和密码管理部门确定。
 
RA的主要任务是在当地受理、制作、发放数字证书，是开展电子认证业务的重要服务平台。
密钥管理
 
CA中心和地方RA节点的密钥管理，要服从国家密码管理局的领导，制定相应的密钥管理办法。
构建统一的证书受理服务组织体系
 
服务对象和范围
 
紧密依托国家政务外网网络平台（即政务公用专网），为国家政务外网应用业务涵盖的政务用户提供证书服务。主要服务对象是国家公务人员和接受政府实施社会管理、提供公共服务的机构与被授权的人员。
 
组织机构
 
国家设立“政务外网数字证书中心”，负责政务外网证书应用过程中的协调管理；CA中心的运行维护；负责为不建RA的中央政务部门证书用户在北京地区的证书申请、身份审核、证书制作、证书分发和证书更换等事宜。
 
地方设立“**省政务外网数字证书分中心”，负责本省证书用户和中央政务部门下属单位证书用户在本地区的证书申请、身份审核、证书制作、证书分发和证书更换等事宜，接受国家中心证书应用过程中的协调管理和技术指导；负责本省RA的运行与维护。
 
中央政务部门设立“**部政务外网数字证书分中心”，负责本部门及在京下属单位证书用户的证书申请、身份审核、证书制作、证书分发和证书更换等事宜，接受国家中心证书应用过程中的协调管理和技术指导，负责本部门RA的运行与维护。
 
可根据发展需求，设立多级证书服务点，形成统一管理、分布式服务的政务外网证书受理服务系统。
构建统一的服务管理系统
 
将各省或部委RA平台纳入到统一服务管理系统中进行管理，总部对各省和部委的RA系统提供统一管理和认证服务，除对各省RA中心帐户的管理功能外，还应充分考虑各RA中心对最终用户证书的发放、管理和使用过程中的流程控制和审计；最终用户证书载体-USBKEY硬件设备的后台维护、管理和前台终端故障检测功能；

 
图4
构建统一的标准化服务模式
 
服务系统建设要遵循标准化原则，制定政务外网数字证书应用的技术ˎ服务和管理的标准规范，统一政务外网政务电子认证服务系统服务的运营模式。技术和管理规范包括（包括但不限于）：
 
《政务外网数字证书格式规范》；
 
《政务外网属性证书命名空间规范》；
 
《政务外网数字证书应用接口规范》；
 
《政务外网数字证书服务规范》；
 
《政务外网RA建设审批规范》；
 
《政务外网RA建设指南》。
应用推广
 
服务系统提供的电子认证服务不以赢利为目的，一切为满足国家电子政务认证服务需求。要尽快制定相应的业务规则，发布应用指南，统一应用接口，规范服务模式，加强技术研发，努力满足政务部门的应用需求。服务系统不仅仅推广数字证书，解决身份认证问题，同时要以证书为核心，提供一揽子解决方案，有效解决应用系统面临的安全问题，如授权问题、责任鉴定问题等。
在用户群体扩大以后，国家电子政务外网电子认证体系的服务能力是否能够满足需要成为一个需要关注的焦点。服务能力是一个综合的课题，包括系统的性能、功能、技术支持能力、售后服务能力等多个环节，如果没有一个可持续的保障机制，会直接制约国家电子政务外网电子认证服务体系的推广。
收费原则：
 
各级机关公务员、全额拨款事业单位人员的数字证书费用分别由各级财政统一负担。其他联网的企事业单位的数字证书费用由各单位自行负担。
采用以上的网状服务体系，可以有效地解决证书服务的便捷性问题和标准化问题，真正实现“统一管理、就近服务”，达到“一证通”的使用效果。
五、政务外网电子认证服务体系建设现状
经国家密码管理局审核评估，国家政务外网数字证书中心已取得了在政务外网开展电子政务电子认证服务的资质，成为一个正式的电子认证服务机构；外网CA系统已建成并投入使用，已为十多个中央政务部门业务系统提供证书服务；全国性的电子认证服务体系建设正在有序的推进过程中，已有25个以上的省落实了建设RA的资金，2010年年底能完成省级RA建设任务；6个中央部委完成了RA的建设并投入使用；认证服务体系的管理规范和服务规范已完成，近期将对各省技术和服务人员开展培训；政务外网证书综合管理服务平台将在年内完成开发任务并投入运行。与国家北斗导航卫星管理中心签署协议，成为我国北斗导航卫星民用服务的唯一证书提供商。这些工作完成后，一个具有“统一技术平台、统一服务流程和规范、统一认证服务管理”特征的，为各级政务部门社会管理、公共服务等政务活动提供证书服务的全国性电子政务电子认证服务体系初步建成，我国的电子认证服务事业将步入新的时代。
 
（作者：吴亚非、任金强 、李素明、孟凡利 、罗红斌  国家信息中心 信息安全研究与服务中心）