刘权

　2011年12月15日比特网报道,由中国计算机用户协会、中国电子学会和北京市软件协会指导，天极传媒集团主办，比特网、比特CIO俱乐部和IT专家网承办的第四届中国CIO年会，在北京国家会议中心召开，本届中国CIO年会是一场“云”的盛宴!以云计算应用为着眼点，引来着众多知名CIO、行业信息化专家和相关云计算厂商的广泛关注。
 

　　工信部信息化研究中心刘权
 
　　在第四届中国CIO年会下午的信息安全分论坛中,工信部信息化研究中心刘权给我们带来以我国电子认证服务业十二五发展规划解读为题的精彩演讲：我现在是中国电子认证服务产业联盟秘书长，赛迪信息安全研究所的所长，非常高兴今天有幸跟大家共同探讨一下电子认证服务业“十二五”发展规划。电子认证这个词，在座的有可能不是特别清楚，所以我今天有必要跟大家介绍一下。
 
　　咱们今天的主题就是智享应用，互联网环境下怎么能够达到智享应用这样一个状态？在互联网环境下，网上教育主体身份的确认，包括网上主体行为怎么样可追溯，甚至在王上签订电子合同，怎么样能保证合同是具有法律效率的，发生交易纠纷的时候，在互联网上用哪些东西来解决，这些问题实际上都是电子认证服务业解决的问题。
 
　　对于有些人来讲，可能是比较熟悉电子认证或者说电子签名，11月4号的时候，工信部正式发布了互联网一个电子认证服务业的商务发展规划，今天我对规划做简单解读，不对规划详细内容做全面介绍，对大家关心的互联网应用当中有一些基本提法或者有些基本应用，给大家做一些个别点上的深入剖析，不做全面的介绍。
 
　　对《规划》来讲，咱们这个《规划》内容是全面的，发展形式、发展目标，提出来六项重点任务，一个重大工程，最后提出来四项保障措施，这个网上《规划》的全文全部都有了，接下来我对《规划》当中大家所关心的点做一些深入的剖析。
 
　　电子认证或者电子签名对于有些人来讲，或者对于大多数人来讲，可能不是特别熟悉，但是我提几个应用，大家就很清楚了。比如网络银行，目前工商银行作为安全防范的两个手段，一个是现在用的U盾，还有是网上动态卡，普遍银行都推出了这两种保护资金安全的手段。电子认证所指的就是其中的USK，就是咱们平常所说的U盾，目前工商银行这一家就超过30万张，这个事情应该说是电子签名或者是说电子认证的一个最典型的应用，但它是合法的或者有些情况是否合法，这个事情一会儿还会介绍，但至少这个应用来讲是一个电子签名或者电子认证。
 
　　另外一个应用，咱们现在用的支付宝，目前支付宝证书用户超过1000万张，同时也发了一个硬件类似于银行U盾，这个用户也超过300多万张，这也是一个典型的电子认证应用。同时作为企业内部员工在办公的时候，办公系统登陆的时候，有些企业也是采用了这种方式来确认这个人是谁，这都是我们今天所介绍的电子认证或者电子签名的一种应用，这种应用已经非常广泛了。从这几个应用来讲，虽然电子认证的概念或者电子签名的概念对多数人比较陌生，但是从应用来讲，应该说咱们每个人接触的还是比较多的。
 
　　接下来从六个方面对规划进行分解剖析。
 
　　1、内容和目标。这里重点介绍一下，作为电子认证服务业它是有法律依据的，在2004年的时候中国推出来电子认证法，这里明确必须取得电子认证服务的资格。
 
　　2、第三方电子认证服务，银行和阿里巴巴的应用，第三方服务，刚才所提到的这两种服务是不是第三方服务？哪一种是第三方，哪一种是法律有保障的。
 
　　3、数字证书策略，它的应用怎么能够实现一张证书适用于不同的应用。
 
　　4、在“十二五”期间，我们部里面这次规划提出来两项工程，重点是解决数字证书交叉认证，这两项工程设计到哪些机会，这里会简单提一下。
 
　　5、可靠电子签名和数据电文认证。
 
　　1、从规划的内容上来讲，这个规划经过10年的发展历程，在电子认证服务业上，作为第一部《规划》出现的，这个《规划》对电子认证的定义进行了梳理，明确电子认证服务的产业有哪些环节，“十二五”期间电子认证的发展目标。
 
　　电子认证服务的概念来讲，究竟怎么样的是电子认证服务，我们这次《规划》给明确的概念。对电子签名验证过程当中产生一系列的影响，究竟什么是电子签名？在互联网上登陆，用到基于PKI的非对称技术，这个过程都是叫电子认证。电子认证服务这个概念是非常广泛的，围绕电子签名验证过程当中产生一系列的服务，都是电子认证服务的概念。现在从应用上来看，一个人在登陆的时候有相对的认证，网络现在认证的问题要有一个签名，同时咱们在网上不同人之间发文件的时候，在交互过程当中，可以在文件上签一个名，对于合同的签名可以通过电子认证，这个概念包含是很广泛的。
 
　　在《规划》当中给电子认证服务的定义，电子认证服务是为电子签名的真实性、可靠性提供利用，这个定义把刚才所说的电子认证服务的概念给聚焦了一下，电子认证服务《规划》当中所强调是电子签名的真实性和可靠性。电子签名有真章、有假章，电子认证服务是对电子签名真实性和可靠性的，在网络登陆的网络主体是不是真实，签过的文件是不是真实，内容是不是完整可靠的，我们的电子认证服务就是解决这个问题。包括签名人身份认证，可靠性认证，涉及到传递、接收、保存、提取、鉴定各个环节，涵盖电子认证专用设备提供，再加上产品研发，专业队伍建设等各个方面，它是一种综合性的高技术服务。
 
　　电子签名包含三个重要环节，一个是签名人的真实性，这个人是谁，是解决这个问题，二个是签过的电子合同是不是可靠，还有数据电子相互之间的东西是不是完整的，在传输过程当中有没有丢失，涉及到这三个环节。另外从产业上来讲，包含设备提供，技术应用，系统集成，系统评估等等，涉及面非常广。
 
　　电子认证服务的范围，在“十一五”或者“十五”期间，或者现在全国经过工信部授权的合法的私营机构目前是31家，他们目前发的USK或者一般的数字证书，目前这种应用基本上处于网络身份认证。“十二五”清明确提出来，究竟电子认证服务的范围包括哪些方面，是从一个网络主体，登陆网络的时候有网络身份的认证，有可靠电子身份的认证，还有电子数据的保全，发生纠纷或者对于传递文件有质疑的时候，发生争议的时候，会有网上的一个仲裁，各个环节都给了一个界定，应该说网上从签名，到交易，各个环节都涉及到电子认证服务。
 
　　在《规划》当中就明确提出来，到“十二五”末的时候，要形成覆盖全国的网络身份认证的服务体系，基本形成可靠的电子签名认证体系，并且在可靠性认证服务模式方面去进行认证。“十二五”期间提出了明确的目标，就是网络身份认证再加上可靠的电子签名，有一个可信性认证，在“十二五”末的时候达到这几个主要的环节。同时在重大工程部分也提出了，要建立可靠的电子签名服务平台，切实保障交易主体身份真实和交易的安全。
 
　　从产业链上来讲，刚才在介绍定义的时候也简单提到，电子认证服务产业链包含电子认证相关的软硬件，同时也包含数字认证系统的建设，电子认证相关系统的集成，同时也包含网上银行、阿里巴巴、新浪微博认证等等一些应用的东西，应该说它涉及的面还是非常宽的。
 
　　电子认证在“十一五”期间究竟是怎么样一个状况？到“十二五”的目标是什么？电子认证服务业整体竞争力还是比较小，截止到去年年底的时候，从事电子认证服务业这样一个市场是有一个门槛，需要取得资质的企业才有资格提供这样的服务，目前全国经过工信部行政许可的企业达到了31家，数字证书的发放量，合法机构发放量截止到去年年底是1563万张，我们最新的数据到11月底的时候，这个数已经超过3100万张，经过今年一年的时间，合法机构发放的证书量已经翻了一翻，今年达到3100万张这样一个数量。从市场规模上来讲，31家机构的收入达到14.3亿，包括上游的硬件设备，到去年年底的时候，已经超过了20个亿。
 
　　电子认证目前仅仅是解决网络主体身份的认证，而且网络主体多数下是企业或者是自然人的网络主体认证，我们在“十二五”期间，其实现在好多机构也都在开展新的应用，比如说到“十二五”期间，有些市场的设备，咱们手里所拿到的每一个移动终端，对设备的身份认证，包括现在在网上下载一些应用软件的时候，这个应用软件有一个身份认证，这在下载过程当中软件肯定是没有经过任何改动的。同时有些企业在内部发送邮件的时候，也是一种应用，还有网站上的服务器，电子认证应用的主体、客体的领域是非常广泛的。
 
　　2、刚才提到电子签名和电子认证服务，这里就涉及到第三方电子认证服务问题，为什么电子认证服务在电子签证法当中有一个明确的规定，需要第三方认证的是要依法到信息产业主管部门取得资质，才允许提供服务。
 
　　第三方电子认证服务是网络认证的可信之基，刚才所说的问题，只有第三方电子认证服务才具有法律效力。现在从这个意义上来讲，对电子认证的重要意义现在不用再过多去争议，现在网上的一些纠纷，或者网上一些欺骗性的，或者在交易过程当中货到付款，有的时候货是假的，或者货送到之后客户拒收等等一系列的问题，那么这样一些问题的解决，可以说它是迫切需要政府部门来推动解决这样的问题。
 
　　简单介绍一下什么叫第三方电子认证服务？什么第二方电子认证服务？对于做信息安全的工作来讲，我们在电子商务或者在电子政务，甚至信息化应用当中，我们都用用到了PKI这样一个技术，整个PKI应用涉及到三个角色，这三种角色有的时候是综合的，有的时候是独立的，在大多数情况下，现在目前所应用的多数情况下，还是将电子签名的依赖方和提供电子服务的服务角色是重合的。比如工商银行，工商银行现在发的U盾，提供电子签名这套服务，是他底下的一个安全部门来做的，这两个角色是重合的，这当中就不存在第三方服务，自己既为用户提供服务，也为自己的应用提供服务，同时自己提供电子签名服务，这里面也是不存在第三方角色的。有些情况下可以说，也有第三方服务的，比较典型的就是工商银行U盾，第三方提供的服务。
 
　　从法律上规定，这种安全保障具有法律效力的，只有第三方依法取得资质的企业提供服务，应该说是有保障的。只要具备了四个条件，是可以认为可靠性电子签名，而可靠性电子签名可以视为咱们手写签名的同等法律效力，但是这里面没有提到第二方具有这样的效力，在应用过程当中，自己的权益得到较好保障的情况下，只有第三方的应用，他有专门自己的机构去给你解决发生的纠纷问题，有专门的机构来给你提供服务。
 
　　但是对第二方来讲可能这个时候就很难，我在网上看到一个例子，在08年的时候，在工行江苏有一个支行，当时有900万的存款，存完之后，当时申请了工行的U盾，这个U盾在申请过程当中可能是通过客户经理，在这个过程当中，客户经理通把900万给转走了，这里面的取证问题，上了法院已经上了四次，到现在为止问题还没有解决，他们争议的最大问题就是这个U盾当时在使用的时候究竟是在谁手里头。但是工行的这个案件，说明了第二方服务存在很大的问题。
 
　　我再举个例子，工商银行现在发无盾已经超过3000万张，还有一种是在支付宝上为支付宝提供网络身份认证服务，这种服务已经属于第三方服务，这种服务如果不取得工信部的资质，如果去提供这种服务，那就是合法。第三方服务和第二方服务是非常明确的，而且工商银行明确表态希望得到我们的授权。
 
　　再说一下阿里巴巴这个例子，咱们对支付宝用户来讲，最近网上也出现过很多支付宝身份认证过程当中，拿一个身份证号，或者拿一个身份证复印件，做一个真实性的网上身份认证，这样好多人支付宝帐户当中莫名其妙的钱就被卷走了，这也暴露出来一个问题，这个身份认证是支付宝自己提供的，没有第三方介入，所以这里面就存在这样的问题。这个事件的发生率还是非常高的，而且发生了之后，这个事情的举证或者纠纷处理就遇到很大的困难，这是第三方和第二方的一个区别。
 
　　第三方和第二方它的角色是不同的，对于第二方来讲，它既是活动的一个依赖方，也是一个服务方，客观性和公正性是不一样的。另外法律地位上也不同，用自己的营运系统所提供的服务，它没有明确的法律效力，但是第三方的认证服务，电子签名法里面明确规定这里面的法律效力，另外可靠性电子签名的使用条件，证书的发出者必须是依法取得资质的，只有合法的机构发出的证书才具备了可靠性，才具有法律效率，这样一个基本的前提条件，目前为止自建的电子认证服务系统所发出的证书，从法律上或者主管部门角度来讲，没有人去承担这个法律的责任的。
 
　　第三方和第二方的发展趋势是显著不同，在2005年之前，没有一个机构是合法的，我们第一个证书是2006年发放的签名许可证。现在全国合法技工已经达到了31家，自建的系统都有意向采用第三方的服务，从工信部的角度来讲，也是正在推动相关的政府部门或者重要系统应用的电子认证服务向第三方转移。
 
　　3、数字证书策略。刚才说31家合法机构发放的数字证书到11月底已经超过3100万张，而且31家服务机构遍布全国28个省市。怎么样去解决一张证书能够在所有地方去用，在各个应用的电脑系统去用每一个发放的证书，这是我们下一步要重点推进的工作。
 
　　数字证书策略这个概念是什么？数字证书策略是一组安全规则，描述了数字证书的前方和管理过程当中的物理安全、网络安全、审计评估、赔偿和责任等方面的规范性要求。可以说这个数字证书策略，目前31家机构所发的证书，31家机构服务的能力，赔偿的能力都是不同的，那么怎么区别出来这个问题？我是选择A机构的证书，还是选择B机构的证书？我们下一步要建立一个数字证书策略，不仅把证书分类，而且要根据它的安全和服务进行分析，让用户很好的选择，根据你自己的需要，假如有资金交易的时候，需要安全保障比较高的，你可以选择安全性比较高的证书，如果一般的没有涉及到个人信息的敏感信息的泄露的问题，你可以选择其他的人数。既能满足发放证书的条件，又能满足服务上的要求。
 
　　《规划》当中的数字策略是怎么提的呢？“十二五”规划首次提出来推行数字策略，这个证书的对象不同，针对个人、机构分类分级。我们现在研究出了自然人和法人的证书服务规范，这已经报到部长办公厅，批完之后就可以实施了，这样大家再去选自数字证书的时候，可能就有一个很高的依据，这里面涉及到它的安全指标和服务指标，选出了13项安全指标，再加上12项服务指标，最后定了25项指标，对数字策略进行分析。
 
　　4、数字证书不能交叉认证，我们在“十二五”期间明确提出来，要推进这个工作，布置两项重点工程，来推进该项工作的实施。
 
　　从《规划》上来看，第一项工程是网络身份统一认证服务体系，重大工程解决两个问题，一个是解决一张证书可以在全国通用，就是建立覆盖全国的统一网络身份体系，围绕这个工作，在重点任务和重大工程部分都提供相应的服务，而且在重大部分提出要建立网络身份统一认证服务平台，打破电子认证服务机构之间的技术壁垒，实现不同电子认证的服务，一证多用。
 
　　建立数字证书交叉应用平台，建立网络身份认证，整合不同层级，为应用系统提供统一的验证接口。这个平台我们也有企业去做，假如说这个平台建完之后，在这样一个平台上所有证书都可以通过这个平台连接到所有的应用系统，就类似于现在各个银行系统所发的银行卡一样，在银联这个平台出现之前，不同的卡之间不能互用，有了银联卡之后，在全国各地都可以用。这个平台进来之后，通过这个平台可以把所有机构发的证书在所有系统上都可以应用上。
 
　　5、可靠电子签名和数据电文认证，这个事情也是我们“十二五”期间，信息安全领域业界人士非常关注的问题。现在好多企业在网上缴费的凭据，这个凭据的法律效力怎么去用？只有把凭据打印出来再盖上章才能用。下一步如果利用上电子签名的手段之后，电子证据的效力问题可以说是具备的。
 
　　可靠性电子签名要满足四个条件，可靠性电子签名，简单的理解，和每个人的个人章是类似的。电子签名的任何改动都可以被发现，对内容和形式上的任何改动都可以发现。可靠性电子签名的法律效力是很明确的，只要满这四个条件，是和手签文件具有同等法律效力。
 
　　在《规划》当中，也是希望整合行业的力量，去推动电子认证服务业的壮大，同时为全社会提供更好的服务，在《规划》当中也明确提出来，要成立中国电子认证产业联盟。12月5号成立中国电子签名认证服务专家组，这个专家组也是经过我们主管的副部长批过的，同时也成立中国电子认证产业联盟。明年在电子认证方面也会有大的举措。
 
　　这里我主要介绍了一下电子认证工作的主要内容，谢谢大家。