隨著信息技術(shù)的發(fā)展，信息網(wǎng)絡(luò)國際化、社會化、開放化和個人化的特點，在給人們帶來方便、高效和信息共享的同時，也給信息安全帶來許多問題。在網(wǎng)絡(luò)信息的交互操作中，除了信息加密以外，必須要解決的是信息收發(fā)雙方真實身份的認(rèn)定問題，即采用密碼技術(shù)建立網(wǎng)絡(luò)環(huán)境下的信任體系，實現(xiàn)網(wǎng)上信息的數(shù)字簽名和身份認(rèn)認(rèn)證。由此，核心為數(shù)字證書認(rèn)證系統(tǒng) (CA) 的 PKI 技術(shù)應(yīng)運而生。

一、我國網(wǎng)絡(luò)信任體系的建設(shè)和管理概況

    由于 CA 在電子商務(wù)安全中起著非常重要的作用，從 1998 年開始，國家密碼主管部門就積極介入，一方面推動產(chǎn)品的開發(fā)和研究，另一方面積極研究相關(guān)的管理問題。電子商務(wù) CA 的關(guān)鍵是數(shù)字證書的應(yīng)用和管理。按照商用密碼的管理原則，結(jié)合我國的實際情況，目前我國電子商務(wù)數(shù)字證書認(rèn)證系統(tǒng)采用“雙中心”、“雙證書”的技術(shù)和管理體制，“雙中心”就是要建立“數(shù)字證書認(rèn)證中心”和“密鑰管理中心”，其中“密鑰管理中心”由各地密碼管理部門負(fù)責(zé)管理。“雙證書”就是指在“數(shù)字證書認(rèn)證中心”所發(fā)放的用戶證書要包括“加密證書”和“簽名證書”這兩個證書。針對“數(shù)字證書認(rèn)證中心”的建設(shè)，一個地區(qū)搞一個統(tǒng)一的電子商務(wù)數(shù)字證書認(rèn)證中心比較符合當(dāng)前的需要以及全國范圍內(nèi)的管理規(guī)范。“雙證書”、“雙中心”的技術(shù)和管理體制是中國的特色，其核心是設(shè)置兩對非對稱密鑰，一對用于數(shù)字簽名和認(rèn)證，另一對用于數(shù)據(jù)加密和解密，“雙密鑰對”分別管理。用于簽名和驗證的密鑰對由用戶自己產(chǎn)生，私鑰自己保存，這是為了保證簽名的唯一性，將公鑰公開，放在證書中提供給驗證方用于驗證簽名。用于數(shù)據(jù)加解密的密鑰對由密鑰管理中心產(chǎn)生和管理，私鑰交用戶自己保存使用，將公鑰公開（放在證書中），數(shù)據(jù)加密時使用對方的公鑰，由對方使用自己的私鑰進(jìn)行解密，在實際系統(tǒng)中，由于公鑰運算效率較低，目前加密密鑰對主要用于數(shù)據(jù)加密密鑰的協(xié)商和交換。對加密密鑰對的這種管理，可以做到不允許用戶使用加密功能的，不發(fā)給加密證書。這種“雙證書”、“雙中心”的技術(shù)和管理體制，完全適應(yīng)我國的實際，一方面可以為用戶提供高可靠性和唯一的密鑰對，同時也便于加強對信息加密功能的管理。

    1998 年 8 月，上海作為全國的試點，第一個建立地區(qū)性的電子商務(wù)數(shù)字證書授權(quán)中心和密鑰管理中心，負(fù)責(zé)頒發(fā)并管理電子商務(wù)數(shù)字證書。此后，山東、深圳和福建也陸續(xù)建立了地區(qū)性電子商務(wù)證書認(rèn)證中心和密鑰管理中心。目前，經(jīng)過國家密碼主管部門批準(zhǔn)建立的地區(qū)性數(shù)字證書認(rèn)證（ CA ）中心和密鑰管理（ KM ）中心的有重慶、陜西、廣東等 14 個省市。

    同時，隨著電子商務(wù)的發(fā)展，各行各業(yè)紛紛建立本行業(yè)的 CA 。 1998 年以來，經(jīng)國家密碼主管部門批準(zhǔn)的行業(yè)性的 CA 中心和 KM 中心有：海關(guān)總署的國家口岸管理公共執(zhí)法數(shù)據(jù)系統(tǒng)安全保密子系統(tǒng)、中國電信湖南電子商務(wù)安全認(rèn)證系統(tǒng)、上海證券交易所安全在線信息系統(tǒng)等 7 個 CA 系統(tǒng)。

    近年來，我國的 CA 發(fā)展很快， CA 建設(shè)已成為熱點，目前全國建立的 CA 中心已達(dá)幾十個之多，還有眾多的 CA 中心正在籌劃建設(shè)之中。這些 CA 系統(tǒng)大體可分為地區(qū)性 CA 、行業(yè)性 CA 和商業(yè)性 CA 三類，地區(qū)性 CA 以本地區(qū)的用戶群體為服務(wù)對象，行業(yè)性 CA 結(jié)合自身業(yè)務(wù)特點，以本行業(yè)的用戶群體為服務(wù)對象。電子政務(wù)的發(fā)展也需要建立 CA ，構(gòu)建電子政務(wù)的信任體系，加強電子政務(wù)的信息安全保障。根據(jù)規(guī)劃，電子政務(wù)內(nèi)網(wǎng) CA 按涉密系統(tǒng)建設(shè)，電子政務(wù)外網(wǎng) CA 將與電子商務(wù) CA 合而為一。

二、我國網(wǎng)絡(luò)信任體系的應(yīng)用現(xiàn)狀

    幾年來，經(jīng)國家密碼主管部門批準(zhǔn)建設(shè)的數(shù)字證書認(rèn)證系統(tǒng)在實際應(yīng)用大多發(fā)揮了較好的作用。

    比如，福建省的 CA 中心，經(jīng)國家密碼主管部門審批，采用商用密碼生產(chǎn)定點單位自主研制的證書認(rèn)證系統(tǒng)進(jìn)行建設(shè)，并于 2002 年 3 月通過國家密碼主管部門組織的技術(shù)鑒定，一年內(nèi)發(fā)放證書 8 萬多張，配合“數(shù)字福建”的建設(shè)，有力地推動了福建省電子政務(wù)、電子商務(wù)的發(fā)展和應(yīng)用，在建立網(wǎng)絡(luò)信任體系保障信息安全方面發(fā)揮了很好的作用。

    海關(guān)總署的國家電子口岸執(zhí)法系統(tǒng)安全子系統(tǒng)，采用自主知識產(chǎn)權(quán)的 CA 系統(tǒng)作為基礎(chǔ)和核心進(jìn)行建設(shè)，已發(fā)放證書 30 余萬張，結(jié)合海關(guān)業(yè)務(wù)系統(tǒng)特點，在加強國家宏觀調(diào)控能力，強化有關(guān)部門對進(jìn)出口貿(mào)易的監(jiān)督管理職能，維護(hù)外貿(mào)秩序，加強進(jìn)出口管理，加強口岸執(zhí)法，打擊走私、騙稅、騙匯等違法犯罪行為等方面發(fā)揮了重要作用，取得了巨大的經(jīng)濟效益和社會效益。

    經(jīng)過幾年來的努力，我國以 CA 為核心的網(wǎng)絡(luò)信任體系建設(shè)已經(jīng)具有一定的規(guī)模，初步形成了產(chǎn)業(yè)化雛形，探索了 CA 的應(yīng)用模式，積累了管理經(jīng)驗，技術(shù)標(biāo)準(zhǔn)化、規(guī)范化工作取得了初步成效，擴大了信息安全保障工作在社會上的影響，為進(jìn)一步推動電子政務(wù)的發(fā)展和應(yīng)用奠定了較好的基礎(chǔ)。

三、對我國網(wǎng)絡(luò)信任體系現(xiàn)狀的一些思考

    隨著信息化發(fā)展對信息安全保障工作要求的進(jìn)一步提高，我們應(yīng)該看到，我國的網(wǎng)絡(luò)信任體系建設(shè)還處在起步階段，還存在著諸多的問題，這就需要國家的主管部門努力研究積極尋找解決的方法。

1 、目前，關(guān)于網(wǎng)絡(luò)信任體系的建設(shè)，存在多頭管理的現(xiàn)象，信息產(chǎn)業(yè)廳、保密局、國密辦等單位都參與信息安全保障工作， CA 系統(tǒng)的建設(shè)究竟由誰來負(fù)責(zé)管理，由誰來負(fù)責(zé)驗收和監(jiān)督，都缺乏統(tǒng)一的規(guī)劃和管理。建議成立專門的協(xié)調(diào)小組，由某一個部門牽頭，其他部門配合工作，對建設(shè) CA 系統(tǒng)擬定一套申辦的流程，各個部門負(fù)責(zé)自己職能范圍內(nèi)的管理。

2 、盲目建設(shè)、重復(fù)建設(shè)現(xiàn)象嚴(yán)重，許多 CA 規(guī)模較小，使用效率低，造成資源的極大浪費。建議在全國范圍內(nèi)統(tǒng)籌規(guī)劃，組建國家級的證書授權(quán)與身份認(rèn)證中心和國家級的 KM 中心，由國家密碼主管部門統(tǒng)一管理 CA 授權(quán)和 KM 發(fā)放，解決各 CA 之間的交叉認(rèn)證問題。

3 、缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，沒有相應(yīng)的管理制度和法律規(guī)范。建議按照我國的特色，積極研究探索 CA 和 KM 建設(shè)的技術(shù)規(guī)范和標(biāo)準(zhǔn)指南，以引導(dǎo)建設(shè)單位按照國家的標(biāo)準(zhǔn)和要求來建設(shè)網(wǎng)絡(luò)信任體系。同時，應(yīng)出臺相應(yīng)的管理條例和應(yīng)用方面的法規(guī)，例如《電子簽章法》等，可以從法律的角度確認(rèn)網(wǎng)絡(luò)信任體系的作用，進(jìn)一步推廣其應(yīng)用，規(guī)范其管理。

4 、進(jìn)一步加大科研力度，研究高技術(shù)含量，能夠滿足市場需求的產(chǎn)品。信息發(fā)展的速度日新月異，我們的科研部門應(yīng)該根據(jù)市場需求，組織研究先進(jìn)技術(shù)，同時引導(dǎo)有能力的企業(yè)去生產(chǎn)能夠跟上網(wǎng)絡(luò)發(fā)展，滿足市場需求的安全產(chǎn)品，以確保網(wǎng)絡(luò)信任體系建設(shè)的先進(jìn)性。

5 、要嚴(yán)格對信息安全承建單位及使用產(chǎn)品的管理。眾所周知，目前，承建信息安全建設(shè)的企業(yè)，有的是持保密局頒發(fā)的《涉密計算機系統(tǒng)集成單位》資質(zhì)，有的是國密辦授與的《商用密碼生產(chǎn)定點單位》等資質(zhì)。對于不同的行業(yè)，不同的領(lǐng)域，承建單位應(yīng)該具有什么樣的資質(zhì)應(yīng)該有統(tǒng)一的規(guī)定，對于用戶及承建單位都是一個參照的標(biāo)準(zhǔn)。而且，項目建設(shè)中所采用的設(shè)備、產(chǎn)品，應(yīng)當(dāng)是通過什么部門認(rèn)可的，經(jīng)過什么部門檢測的，都應(yīng)該有明確的標(biāo)準(zhǔn)，這樣才會有利于項目建設(shè)的規(guī)范性和可控性，避免因為資質(zhì)的原因而造成豆腐渣工程，影響整個網(wǎng)絡(luò)信任體系的安全性。

6 、加強信息安全人才的培養(yǎng)，以滿足管理和研發(fā)的需要。從政府內(nèi)部來講，要加快建立公務(wù)員的信息安全技術(shù)知識和管理的培訓(xùn)制度、統(tǒng)一標(biāo)準(zhǔn)和培訓(xùn)大綱；充分利用院校的教育資源，對在職的公務(wù)員進(jìn)行安全意識、技術(shù)知識和管理規(guī)范等方面的培訓(xùn)。從社會角度來講，要鼓勵各大院校開設(shè)信息安全專門學(xué)科，培養(yǎng)信息安全方面的專門人才，從學(xué)科研究方面加強科研力度。切實做到有人研發(fā)、有人管理、分工合作，為建設(shè)網(wǎng)絡(luò)信息體系奠定人才方面的基礎(chǔ)。

    綜上所述，只有按照滿足需求、方便使用、加強管理的原則，努力解決安全與發(fā)展的問題，圍繞信息化戰(zhàn)略的實施，加強網(wǎng)絡(luò)信任體系的建設(shè)，切實做好信息安全保障工作，才能推動國家信息化建設(shè)事業(yè)健康有序發(fā)展。