作者：上海市政府公众信息网管理中心

　　
　　2006年，上海市政务外网实施了“上海市政务外网数字证书应用示范”项目，借助于上海市统一的网络信任体系，以上海市政务外网网上办事应用支撑平台（以下简称“应用支撑平台”）的应用系统为示范，在身份认证、责任认定、权限控制等方面使用了数字证书。该项目的实施，为深化和完善政务外网中数字证书的应用提供了有益的实践经验，但同时也暴露了目前数字证书认证体系建设中的一些问题以及遇到的阻碍。针对该项目的具体实施情况，笔者在此对如何建设和管理一个更加符合政务外网实际情况的统一数字证书认证体系提出几点建议和设想。

一、“上海市政务外网数字证书应用示范”项目实施情况

（一）实施数字证书应用示范的上海市政务外网应用系统

　　上海市政务外网将应用支撑平台上的两个典型应用系统作为实施数字证书应用示范的试点项目，分别是：“市容城管投诉信息系统”和“政府信息公开申请网上处理系统”。这两个政务外网应用系统，都是基于上海市政务外网物理网络平台，利用应用支撑平台快速构建而成的。

　　1、“市容城管投诉信息系统”

　　该应用系统由上海市市容城管局业务牵头建设。它的建立有效地改善了“上海市市容城管投诉服务热线”在处理市民诉求过程中存在的投入成本大、执行效率低等问题，从根本上优化了的传统业务处理模式，真正地形成了城市综合执法、投诉管理、咨询解答等投诉处理业务的市、区、街道三级管理框架，实现了业务处理的全过程电子化。

　　2、“政府信息公开申请网上处理系统”

　　该应用系统是根据《上海市政府信息公开规定》的要求，由上海市政府信息公开联席会议办公室进行业务牵头建立的。它实现了包括申请、受理、告知、信息提供等在内的政府信息公开业务流程的网上办理，增强了申请公开的互动性，有效地增强了政府信息公开服务的能力，提升了政府的公众服务水平。

（二）数字证书应用示范的实施情况及其效果 

　　根据应用系统的实际需求，我们分别在应用支撑平台的身份认证、责任认定、权限控制等多个方面使用了数字证书技术：首先，向业务人员发放个人数字证书，并统一使用数字证书的强认证方式登录政务外网应用支撑平台，代替了传统的用户名/口令的弱认证方式；当业务人员通过应用支撑平台处理业务时，需使用个人数字证书对每个操作进行签名，为后续的业务操作或政府部门间的处理流转提供责任认定的佐证；同时，应用支撑平台支持一张个人数字证书访问多个应用系统，用户的身份由应用支撑平台统一识别认证，用户的权限由应用支撑平台统一控制。

　　为了保障数据传输的真实性、有效性，对与应用支撑平台系统对接的各单位自建业务系统，要求其在进行数据交换时必须采用数字证书认证方式。并且，政务外网也为应用服务器安装了身份证书，以标识政务外网应用服务器身份，供各对接业务系统能正确识别和认证。此外，除了根证书验证和时间有效性验证外，还提供了数字证书的“黑名单”验证，通过部署“黑名单”服务器，有效防止无效证书的继续使用。

　　参与本次示范的两个政务外网应用系统均是全市范围的面向社会公众的统一应用，业务覆盖全市49家委办局、19个区县以及各街道，且分别在电子政务的社会化管理应用、政务信息窗口服务、跨部门并联审批等领域中有着一定的代表性和典型性。因此，通过该示范项目的实施，为推进数字证书在以政务外网为基础的电子政务各领域中的大规模应用积累了宝贵的实施经验，产生了良好的示范效应和广泛的社会影响，为积极探索政务外网统一数字证书认证体系的科学模式提供了有益的借鉴，打下了扎实的基础。

二、“上海市政务外网数字证书应用示范项目”实施中的难题

（一）现存的各类CA有待进一步整合

　　根据上海市政府的规划，要依托市数字证书认证中心和市密钥管理中心建立统一的数字证书认证体系，但在推进并联审批项目数字证书应用的过程中，遇到了多个CA并存，无法相互信任的问题。虽然国家相关文件已明确指出“除已经国家密码管理部门批准建立的国家行业数字证书认证系统外，各地区、各部门的业务信息系统不得自行建设面向社会公众发放数字证书的认证系统”，但由于某些历史原因，部分业务条线的应用系统早已自行建立了数字认证系统，颁发了应用专属的数字证书，并且这些CA互不相同，互不信任，给证书用户增加了一定的经济负担和管理成本。在实际应用推进过程中，我们发现要整合现存的各类CA，使之互相信任，存在很多难以解决的问题，例如依法设立的CA与自行建设的CA的关系问题、应用的标准问题、服务的规范问题等。但是，鉴于政务外网的业务特点，需要建立统一的CA，因此我们必须提出整合现有各类CA的思路。

（二）证书的应用模式有待进一步规范

　　即使是同一CA签发的数字证书，在实际的应用当中也存在着一些问题，需要进一步规范，包括：证书的唯一标识问题、证书应用时的验证问题、证书使用的介质问题等。目前，部分已使用数字证书的业务条线，根据各自对数字证书应用的特殊需求，定义了适合自身业务的证书唯一标识符，以便业务系统读取和识别。但是，由于不同条线定义的唯一标识符各不相同，例如有税务登记号、营业执照号、组织机构代码证号等多种类型，造成数字证书无法通用。在实际的应用过程中，不同的业务条线对于证书的验证也有不同的做法，例如有的不验证证书有效期、不验证证书黑名单等。诸如此类的问题，导致一个用户在使用不同业务部门的应用系统时，需要申请不同的数字证书。这也给电子政务互联互通，推动跨部门网上协同办事带来了困难，一定程度上已经阻碍了政务外网统一数字证书认证体系的建设。

　　（三）缺乏统一的数字证书服务受理渠道

　　政务外网目前没有建立专门的证书服务受理机构，在数字证书应用示范项目实施过程中，也没有形成合理、便捷、高效的数字证书服务流程。目前，是由上海市政府公众信息网管理中心和各业务部门的相关人员接受数字证书服务的申请，并审核相关资料，通过物理方式分别递交给上海CA中心，由其签发和制作数字证书，然后再分发到各业务部门。这种服务模式，缺乏统一对外的受理窗口和标准的服务流程，给用户造成了一定的麻烦。而且，证书的到期更新、挂失、撤销等业务的服务模式也随着应用的开展一点点正在摸索之中，尚未形成标准的流程。

三、对政务外网数字证书认证体系建设的建议和设想 

（一）政务外网数字证书认证体系与全市统一数字证书认证体系的关系

　　根据上海市政府的规划和国家有关网络信任体系建设的精神，上海市已明确了建立全市统一的数字证书认证体系，以满足电子政务、电子商务和社会信息化应用中对身份认证、授权管理和责任认定的需求。全市统一的数字证书认证体系以上海CA中心为主体，以数字证书服务为手段，向全市各级政府机构、各类企事业单位和个人发放数字证书，提供网络信任服务。

　　本着“统一规划、协同发展、资源共享、安全保密”的原则，政务外网应利用全市统一的CA认证服务平台建设一套布局合理、功能适度的数字证书认证服务体系，为电子政务提供安全信任服务,实现资源共享。政务外网数字证书认证服务体系是政务外网安全支撑平台的组成要素，主要为在政务外网平台上开展电子政务应用的机构、公务员等发放数字证书，因此又是全市统一的数字证书认证体系的有机组成部分。政务外网数字证书认证服务体系应当遵从全市统一的数字证书认证体系的标准和要求，以全市统一的数字证书服务机构为信任源点、管理源点、业务源点，按照全市一致的体系结构及技术标准进行建设，遵循上海CA中心的规范提供数字证书的相关服务，同时又根据政务外网应用中证书用户的特殊性要求，形成具有自身特点的认证服务模式，包括资料审核、服务提供、费用结算等。

（二）关于政务外网数字证书认证体系架构的设想

　　政务外网数字证书认证体系并不是一个独立的认证体系，而是依托全市统一的数字证书认证体系建立起来的受理服务体系，承担为政务外网用户发放、管理数字证书以及提供其它数字证书服务的职责。政务外网数字证书认证体系的整体架构，除了作为证书来源的上海密钥管理中心（KM）、上海市数字证书认证中心（CA）外，还需要设立政务外网数字证书注册服务中心（RA）以及下设的政务外网数字证书受理点（RAT）。

　　它们的关系如下图所示：
　　　
　　　　
　　
　　其中，第一级是作为全市统一数字证书认证体系主体的上海市密钥管理中心（KM）和上海市数字证书认证中心（Certificate Authority，CA）。KM中心负责提供和管理签发数字证书所需的密钥；CA中心则负责签发、管理、维护和汇总数字证书，统一管理和发布CRL，提供证书状态查询服务，制定和发布证书策略与规范等。

　　第二级为政务外网数字证书注册服务中心（Registration Authority，RA），主要完成政务外网用户证书服务的申请、审核等，包括发放证书、更新证书、吊销证书等，执行CA中心制定的策略，设置和管理下属的政务外网受理点，是政务外网最主要的数字证书服务管理平台。

　　第三级是政务外网数字证书受理点（Registration Authority Terminal，RAT），是政务外网数字证书注册服务中心的下属机构，直接面向最终证书用户，进行用户身份审核、数字证书的受理和发放工作。

（三）关于政务外网数字证书认证体系管理模式的设想

　　1、设立统一的管理机构

　　为了完善市政务外网数字证书认证体系，建设和管理统一的数字证书认证服务平台，更好地满足电子政务对数字证书认证的需求，建议设立或指定统一的管理服务机构，履行对政务外网数字证书认证体系的建设、管理和运营服务职能。

　　2、统一经费开支

　　国内如成都等省市，将所有的城市信息化建设经费都纳入一个管理部门，这样一来，虽然许多矛盾都集中了，但由于统一管理，资金统一分配，建设发展速度反而加快了，并有效地遏制了基础部门重复建设。政务外网统一数字证书认证体系的建设应当学习这种有效的管理模式，凡是使用财政资金支付证书服务及相关费用的，归口到一个机构进行申请、划拨和管理。

　　3、强化标准和规范的实施

　　建议制定政务外网数字证书应用的技术标准和管理规范，建立电子政务安全信任机制和授权管理机制，统一政务外网数字认证服务的运营模式，加强数字证书在工商、房地、财税、社保、质监、统计、卫生等行业各类网上办事项目和并联审批业务中的应用，推动政务外网数字证书认证体系与电子商务等面向社会公共服务的电子认证系统的互联互通。

　　4、统一使用依法设立的CA中心提供的数字证书服务

　　根据国家有关规定，数字证书服务应走社会化、专业化的道路，必须由取得国家电子认证服务经营许可证的第三方电子认证服务机构负责签发数字证书。目前，上海本地范围内取得该许可的仅上海CA中心一家。建议各区县政府、市政府各部门的业务信息系统不再自行建设面向社会公众发放数字证书的电子认证系统和基于数字证书的电子印章服务系统；必需要建设的，可以建成政务外网证书服务分中心或受理点；而未经批准已自行建设的，建议其进行整改，最终纳入全市政务外网统一的数字证书认证体系当中。

　　5、建立专业的政务外网数字证书注册服务中心

　　该服务中心主要承担政务外网用户的证书申请接收、审核、证书制作等证书服务管理功能，负责根据CA中心的策略和政务外网用户的特殊性，制定政务外网证书服务策略和身份认证措施，在安全、可靠、便捷的基础上进行身份审核和服务申请受理，并制定数字证书应用的规范。建议该服务中心可由熟悉政务外网平台建设情况的政务外网建设管理部门负责设立，也可根据政务外网的发展需求，在政府直属部门或区县建设多个RA分中心或受理点。

　　6、用户身份认证工作由政务外网应用支撑平台统一考虑

　　所有业务系统只对应用支撑平台进行认证，用户可通过该平台访问相关业务系统提供的服务。这种由政务外网应用支撑平台统一进行用户身份认证的建设方式，避免了重复投入、重复建设，充分考虑了整体和局部的利益，体现了“统一规划、统筹安排、统一标准、相互配套”的原则。

（四）关于统一政务外网数字证书唯一标识符的设想

　　政务外网数字证书应使用统一的唯一标识，制定统一的命名规则，以便能有效地区分政务外网用户和非政务外网用户。

　　建议个人用户可使用身份证号码作为身份唯一码，机构用户则可将组织机构代码证号作为标志单位身份的唯一码，当然，根据实际业务的需要，还可以采取综合编码、分别使用的方式，将主要的代码，如组织机构代码、工商注册号码、税务登记号码、社会保障号码等主要的号码统一编码，作为用户标志身份的唯一码，应用单位根据自身应用的需要，从综合编码中解析出自己需要的业务编码。而各应用层面特定的证书应用需求，可在证书扩展域的自定义扩展项中加入标记代码。

（五）关于政务外网数字证书受理服务体系的设想

    参考国内其他省市的电子认证受理服务体系建设模式，特别是北京、青岛等建设成果显著的城市，设想上海市政务外网数字证书受理服务体系应为如下结构：

　　1、受理服务机构：建立分中心和受理点两级服务网络，形成统一管理、分布式服务的政务外网受理服务体系。

　　2、政务外网数字证书认证体系建设管理部门负责政务外网数字证书应用过程中的协调管理。

　　3、建议各市级部门、各区县在政务外网上的面向公众的网上政务系统和公共服务，凡需要进行数字签名认证的，一律统一使用政务外网数字证书，不得另行发放和使用其他证书。已经发放和使用其他证书的应对业务系统进行改造，以方便企业和市民使用统一的数字证书进行签名认证。

　　4、收费原则：各级机关、全额拨款事业单位及公务员的数字证书费用分别由各级财政统一负担，由相应的政务外网数字证书注册服务中心统一管理和划拨。其他联网的企事业单位的数字证书费用由各单位自行负担。