FOCUS
國家密碼管理局何良生談《密碼是構建網(wǎng)絡信任體系的基石》
國家密碼管理局副局長何良生在“2021信任互聯(lián)大會”上發(fā)表題為《密碼是構建網(wǎng)絡信任體系的基石》的演講。
第一,網(wǎng)絡信任技術的基礎支撐是密碼技術。
網(wǎng)絡信任的核心要素是要解決各類網(wǎng)絡主體的身份真實性、網(wǎng)絡行為的可信性、網(wǎng)絡信息內(nèi)容的完整性機密性等問題,當前解決這些問題的技術手段有很多種,但是最為安全、最為有效、最為經(jīng)濟、最為可靠的手段還是基于現(xiàn)代密碼技術的數(shù)字認證技術手段,這既是由網(wǎng)絡信任的內(nèi)在安全要求所決定,也是由密碼技術與生俱來的基本安全屬性所決定的,因此,最早在《關于網(wǎng)絡信任體系建設的若干意見》中就明確提出網(wǎng)絡信任體系是指以密碼技術為基礎,解決網(wǎng)絡應用中的身份認證、授權管理和責任認定問題的完整體系。現(xiàn)代密碼技術能夠很好地為網(wǎng)絡信任體系提供加密和認證機制支持,當前用的最多的是基于PKI體系的數(shù)字證書認證技術。數(shù)字證書認證技術的核心是公鑰密碼技術,按照公鑰密碼基礎設施(PKI)的技術架構,可以通過為私鑰持有者簽發(fā)公鑰密碼數(shù)字證書來鑒別網(wǎng)絡實體的身份,進而實現(xiàn)身份、數(shù)據(jù)、行為的可信。目前國內(nèi)外科研機構和產(chǎn)業(yè)界提出的大量身份管理解決方案及標準基本都是基于公鑰密碼技術構建的,而且其作為身份認證的核心憑據(jù)(Token)也都是基于公鑰密碼的數(shù)字簽名技術。
第二,網(wǎng)絡信任管理的基礎支撐是密碼管理。
網(wǎng)絡信任管理是確保網(wǎng)絡信任體系得以構建并持續(xù)運行、保障網(wǎng)絡信任服務能夠有效發(fā)揮作用的關鍵要素,最主要的就是確認網(wǎng)絡信任技術、服務的法定性、權威性,確保網(wǎng)絡信任服務、功能的合規(guī)性、有效性,可以用于指導信任服務提供者開展合格的信任服務。主要目的是針對合格信任服務提供者和合格信任服務進行事前、事中、事后的監(jiān)管。主要任務是負責網(wǎng)絡信任體系的構建,網(wǎng)絡信任服務政策和策略的制定、實施和監(jiān)督,確保信任服務策略制定的科學性、有效性、適應性,信任服務策略實施的合理性、針對性、可行性,并對服務策略目標的達成效果進行檢測評估,與時俱進的提出優(yōu)化完善網(wǎng)絡信任技術和服務的對策與舉措。網(wǎng)絡信任管理主要依據(jù)與網(wǎng)絡安全相關的法律法規(guī)、技術標準和網(wǎng)絡信任基礎設施來達成。在我國,網(wǎng)絡信任管理的核心依托和載體就是密碼管理,也可以說密碼管理是網(wǎng)絡信任管理的基礎支撐,這主要體現(xiàn)在以下三個方面:
一是我國與網(wǎng)絡安全相關的法律法規(guī)明確了電子認證在網(wǎng)絡信任體系建構中的法律地位,確保了網(wǎng)絡信任體系的正確性,特別是以密碼認證技術作為信任技術的核心,實現(xiàn)實體身份可信、信息來源可信、數(shù)據(jù)完整可信、網(wǎng)絡行為可信的網(wǎng)絡信任要求,已得到深入廣泛的應用及立法的普遍認可。2005 年頒布實施的《電子簽名法》第十四條規(guī)定,可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力,確立了電子簽名的法律效力。2009年工信部頒布《電子認證服務管理辦法》明確,電子認證服務是指為電子簽名相關各方提供真實性、可靠性驗證的活動,國家密碼管理局發(fā)布《電子認證服務密碼管理辦法》和《電子政務電子認證服務管理辦法》,對電子政務電子認證服務機構的設立、服務開展情況和電子認證密碼有關事項進行管理,有效推進了網(wǎng)絡認證體系的建設和管理。2017年施行的《網(wǎng)絡安全法》進一步明確了網(wǎng)絡信任體系建設目標,支持了電子認證技術發(fā)展,第二十四條規(guī)定國家要實施網(wǎng)絡可信身份戰(zhàn)略,支持研究開發(fā)安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。2020年實施的《密碼法》第二十九條規(guī)定,國家密碼管理部門要對采用密碼技術從事電子政務電子認證服務的機構進行認定,會同有關部門負責政務活動中使用電子簽名、數(shù)據(jù)電文的管理,明確了密碼之于電子認證服務的法定性。
二是強化電子認證服務中的密碼使用要求,確保網(wǎng)絡信任體系的合規(guī)性,特別是密碼作為電子認證的核心,其在電子認證中的應用也在國家政策和專門立法中得到了確認和規(guī)范。2014 年國辦印發(fā)的 《 金融領域密碼應用指導意見 》 從密碼支撐金融網(wǎng)絡信任體系建設的角度明確要求要抓緊完成密鑰管理系統(tǒng)、第三方電子認證基礎設施以及金融機構自建電子認證基礎設施的密碼升級工作。2015 年印發(fā)的 《關于加強重要領域密碼應用的指導意見》 則進一步指出,對面向社會服務的信息系統(tǒng),應當加快推進基于密碼的網(wǎng)絡信任、安全管理和運行監(jiān)管體系建設,規(guī)范密碼在電子文件、電子證照、電子印章、身份認證、電子簽名、數(shù)據(jù)存儲和傳輸?shù)确矫娴膽茫瑢崿F(xiàn)面向社會服務的政務信息系統(tǒng)運行的安全可靠,對各重要領域面向社會服務的網(wǎng)絡信任管理提出明確密碼應用要求。2018年印發(fā)的《關于密碼應用與創(chuàng)新發(fā)展的工作規(guī)劃》著重強調(diào)要充分發(fā)揮密碼在網(wǎng)絡信任體系構建、網(wǎng)絡綜合治理中的支撐作用,構建網(wǎng)絡實體鑒別、網(wǎng)絡身份管理、網(wǎng)絡域名、網(wǎng)絡合約、網(wǎng)絡行為分析、網(wǎng)絡違法取證及溯源等應用的密碼支撐體系,要通過密碼管理和有效應用牢固支撐網(wǎng)絡空間時代的社會治理。
三是加強電子認證中的密碼檢測評估,確保網(wǎng)絡信任體系的有效性。按照 《 密碼法 》 關于加強事中事后監(jiān)管和密碼應用安全性評估的要求,嚴格落實國家有關密碼管理規(guī)定,督促重要網(wǎng)絡信息系統(tǒng)建設者和運營者規(guī)范使用密碼,為網(wǎng)絡空間信任體系建設提供堅實支撐。適應新時代網(wǎng)絡空間的新變化以及對于全域安全、動態(tài)安全、信任關系復雜多變的新情況,有針對性的開展了關于身份認證系統(tǒng)、身份認證基礎設施的密碼應用安全性評估,確保密碼合規(guī)、正確、有效使用。加強網(wǎng)絡空間信任體系涉及到的密碼產(chǎn)品和密碼應用的“雙隨機”檢查,確保密碼產(chǎn)品和密碼應用符合要求,確保信任體系構建科學、合理。通過對電子認證中相關密碼基礎設施和各類密碼應用的檢測評估,優(yōu)化完善電子認證產(chǎn)品、電子認證系統(tǒng)的密碼功能,提升電子認證服務與密碼融合的產(chǎn)品、服務和支撐體系供給能力,打造網(wǎng)絡信任體系上下游產(chǎn)業(yè)鏈協(xié)同支持密碼的生態(tài)體系,積極構建以密碼為引領的網(wǎng)絡信任體系創(chuàng)新鏈、價值鏈,服務網(wǎng)絡信任體系的持續(xù)性、穩(wěn)定性、有效性,讓每家單位、每位公民都能享受到安全可靠的信任服務,暢通網(wǎng)絡互聯(lián)。
第三,網(wǎng)絡信任服務的基礎支撐是密碼服務。
網(wǎng)絡信任服務的核心是為各類網(wǎng)絡信息系統(tǒng)提供身份認證、權限管理、責任認定等的服務,通過信任服務確保網(wǎng)絡身份可信,各種數(shù)據(jù)來源和內(nèi)容可信、各類網(wǎng)絡行為可信。而密碼服務是指基于密碼技術和產(chǎn)品,實現(xiàn)密碼應用功能,提供密碼保障的行為,它是網(wǎng)絡信任服務的根本,從當前和今后相當長的一段時期來看,只有依靠基于密碼數(shù)字證書服務的身份認證、數(shù)字簽名與驗證等服務,才能保證網(wǎng)絡主體身份的真實性,保證數(shù)據(jù)傳輸交互的真實性、完整性和抗抵賴,也只有實現(xiàn)了有效的身份鑒別認證才能正確管理網(wǎng)絡用戶的授權行為,從而保障網(wǎng)絡用戶的行為可信,進而明晰行為責任,厘清責任主體。
經(jīng)過近二十年的發(fā)展,我國基于密碼的電子認證服務成效顯著,有力地促進了電子認證服務行業(yè)健康有序發(fā)展,截至目前,國內(nèi)已有取得電子認證密碼使用許可證的電子認證服務機構57家,電子政務電子認證服務機構49家,已發(fā)布近20項國家電子認證密碼服務相關標準,如SM3密碼雜湊算法、SM2橢圓曲線公鑰密碼算法等算法標準、數(shù)字證書認證系統(tǒng)密碼協(xié)議規(guī)范、基于SM2密碼算法的數(shù)字證書格式規(guī)范、數(shù)字證書互操作檢測規(guī)范、基于數(shù)字證書的身份鑒別接口規(guī)范、基于SM2密碼算法的證書認證系統(tǒng)密碼及其相關安全技術規(guī)范、證書認證系統(tǒng)檢測規(guī)范、證書認證密鑰管理系統(tǒng)檢測規(guī)范等,這些標準涵蓋了密碼算法、電子認證基礎設施、證書應用接口、認證系統(tǒng)檢測等各個層面,有力指導了各電子認證服務機構開展認證服務和密碼應用。密碼數(shù)字證書應用已經(jīng)涵蓋國民經(jīng)濟和社會管理的各個領域,在工商稅務、社會保障、質量監(jiān)管、醫(yī)療衛(wèi)生、公共安全、海關商務、文化教育、交通通信、金融證券、電子支付等重要領域密碼數(shù)字證書應用效果都非常明顯,在轉變政府職能、優(yōu)化便民惠民利民服務、保障組織和個人正當權益等方面發(fā)揮了重要作用。