聚焦信安

FOCUS

國家密碼管理局何良生談《密碼是構建網絡信任體系的基石》

國家密碼管理局副局長何良生在“2021信任互聯大會”上發表題為《密碼是構建網絡信任體系的基石》的演講。


第一,網絡信任技術的基礎支撐是密碼技術。


網絡信任的核心要素是要解決各類網絡主體的身份真實性、網絡行為的可信性、網絡信息內容的完整性機密性等問題,當前解決這些問題的技術手段有很多種,但是最為安全、最為有效、最為經濟、最為可靠的手段還是基于現代密碼技術的數字認證技術手段,這既是由網絡信任的內在安全要求所決定,也是由密碼技術與生俱來的基本安全屬性所決定的,因此,最早在《關于網絡信任體系建設的若干意見》中就明確提出網絡信任體系是指以密碼技術為基礎,解決網絡應用中的身份認證、授權管理和責任認定問題的完整體系?,F代密碼技術能夠很好地為網絡信任體系提供加密和認證機制支持,當前用的最多的是基于PKI體系的數字證書認證技術。數字證書認證技術的核心是公鑰密碼技術,按照公鑰密碼基礎設施(PKI)的技術架構,可以通過為私鑰持有者簽發公鑰密碼數字證書來鑒別網絡實體的身份,進而實現身份、數據、行為的可信。目前國內外科研機構和產業界提出的大量身份管理解決方案及標準基本都是基于公鑰密碼技術構建的,而且其作為身份認證的核心憑據(Token)也都是基于公鑰密碼的數字簽名技術。


第二,網絡信任管理的基礎支撐是密碼管理。

網絡信任管理是確保網絡信任體系得以構建并持續運行、保障網絡信任服務能夠有效發揮作用的關鍵要素,最主要的就是確認網絡信任技術、服務的法定性、權威性,確保網絡信任服務、功能的合規性、有效性,可以用于指導信任服務提供者開展合格的信任服務。主要目的是針對合格信任服務提供者和合格信任服務進行事前、事中、事后的監管。主要任務是負責網絡信任體系的構建,網絡信任服務政策和策略的制定、實施和監督,確保信任服務策略制定的科學性、有效性、適應性,信任服務策略實施的合理性、針對性、可行性,并對服務策略目標的達成效果進行檢測評估,與時俱進的提出優化完善網絡信任技術和服務的對策與舉措。網絡信任管理主要依據與網絡安全相關的法律法規、技術標準和網絡信任基礎設施來達成。在我國,網絡信任管理的核心依托和載體就是密碼管理,也可以說密碼管理是網絡信任管理的基礎支撐,這主要體現在以下三個方面:


是我國與網絡安全相關的法律法規明確了電子認證在網絡信任體系建構中的法律地位,確保了網絡信任體系的正確性,特別是以密碼認證技術作為信任技術的核心,實現實體身份可信、信息來源可信、數據完整可信、網絡行為可信的網絡信任要求,已得到深入廣泛的應用及立法的普遍認可。2005 年頒布實施的《電子簽名法》第十四條規定,可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力,確立了電子簽名的法律效力。2009年工信部頒布《電子認證服務管理辦法》明確,電子認證服務是指為電子簽名相關各方提供真實性、可靠性驗證的活動,國家密碼管理局發布《電子認證服務密碼管理辦法》和《電子政務電子認證服務管理辦法》,對電子政務電子認證服務機構的設立、服務開展情況和電子認證密碼有關事項進行管理,有效推進了網絡認證體系的建設和管理。2017年施行的《網絡安全法》進一步明確了網絡信任體系建設目標,支持了電子認證技術發展,第二十四條規定國家要實施網絡可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。2020年實施的《密碼法》第二十九條規定,國家密碼管理部門要對采用密碼技術從事電子政務電子認證服務的機構進行認定,會同有關部門負責政務活動中使用電子簽名、數據電文的管理,明確了密碼之于電子認證服務的法定性。


是強化電子認證服務中的密碼使用要求,確保網絡信任體系的合規性,特別是密碼作為電子認證的核心,其在電子認證中的應用也在國家政策和專門立法中得到了確認和規范。2014 年國辦印發的 《 金融領域密碼應用指導意見 》 從密碼支撐金融網絡信任體系建設的角度明確要求要抓緊完成密鑰管理系統、第三方電子認證基礎設施以及金融機構自建電子認證基礎設施的密碼升級工作。2015 年印發的 《關于加強重要領域密碼應用的指導意見》 則進一步指出,對面向社會服務的信息系統,應當加快推進基于密碼的網絡信任、安全管理和運行監管體系建設,規范密碼在電子文件、電子證照、電子印章、身份認證、電子簽名、數據存儲和傳輸等方面的應用,實現面向社會服務的政務信息系統運行的安全可靠,對各重要領域面向社會服務的網絡信任管理提出明確密碼應用要求。2018年印發的《關于密碼應用與創新發展的工作規劃》著重強調要充分發揮密碼在網絡信任體系構建、網絡綜合治理中的支撐作用,構建網絡實體鑒別、網絡身份管理、網絡域名、網絡合約、網絡行為分析、網絡違法取證及溯源等應用的密碼支撐體系,要通過密碼管理和有效應用牢固支撐網絡空間時代的社會治理。


是加強電子認證中的密碼檢測評估,確保網絡信任體系的有效性。按照 《 密碼法 》 關于加強事中事后監管和密碼應用安全性評估的要求,嚴格落實國家有關密碼管理規定,督促重要網絡信息系統建設者和運營者規范使用密碼,為網絡空間信任體系建設提供堅實支撐。適應新時代網絡空間的新變化以及對于全域安全、動態安全、信任關系復雜多變的新情況,有針對性的開展了關于身份認證系統、身份認證基礎設施的密碼應用安全性評估,確保密碼合規、正確、有效使用。加強網絡空間信任體系涉及到的密碼產品和密碼應用的“雙隨機”檢查,確保密碼產品和密碼應用符合要求,確保信任體系構建科學、合理。通過對電子認證中相關密碼基礎設施和各類密碼應用的檢測評估,優化完善電子認證產品、電子認證系統的密碼功能,提升電子認證服務與密碼融合的產品、服務和支撐體系供給能力,打造網絡信任體系上下游產業鏈協同支持密碼的生態體系,積極構建以密碼為引領的網絡信任體系創新鏈、價值鏈,服務網絡信任體系的持續性、穩定性、有效性,讓每家單位、每位公民都能享受到安全可靠的信任服務,暢通網絡互聯。


第三,網絡信任服務的基礎支撐是密碼服務。

網絡信任服務的核心是為各類網絡信息系統提供身份認證、權限管理、責任認定等的服務,通過信任服務確保網絡身份可信,各種數據來源和內容可信、各類網絡行為可信。而密碼服務是指基于密碼技術和產品,實現密碼應用功能,提供密碼保障的行為,它是網絡信任服務的根本,從當前和今后相當長的一段時期來看,只有依靠基于密碼數字證書服務的身份認證、數字簽名與驗證等服務,才能保證網絡主體身份的真實性,保證數據傳輸交互的真實性、完整性和抗抵賴,也只有實現了有效的身份鑒別認證才能正確管理網絡用戶的授權行為,從而保障網絡用戶的行為可信,進而明晰行為責任,厘清責任主體。


經過近二十年的發展,我國基于密碼的電子認證服務成效顯著,有力地促進了電子認證服務行業健康有序發展,截至目前,國內已有取得電子認證密碼使用許可證的電子認證服務機構57家,電子政務電子認證服務機構49家,已發布近20項國家電子認證密碼服務相關標準,如SM3密碼雜湊算法、SM2橢圓曲線公鑰密碼算法等算法標準、數字證書認證系統密碼協議規范、基于SM2密碼算法的數字證書格式規范、數字證書互操作檢測規范、基于數字證書的身份鑒別接口規范、基于SM2密碼算法的證書認證系統密碼及其相關安全技術規范、證書認證系統檢測規范、證書認證密鑰管理系統檢測規范等,這些標準涵蓋了密碼算法、電子認證基礎設施、證書應用接口、認證系統檢測等各個層面,有力指導了各電子認證服務機構開展認證服務和密碼應用。密碼數字證書應用已經涵蓋國民經濟和社會管理的各個領域,在工商稅務、社會保障、質量監管、醫療衛生、公共安全、海關商務、文化教育、交通通信、金融證券、電子支付等重要領域密碼數字證書應用效果都非常明顯,在轉變政府職能、優化便民惠民利民服務、保障組織和個人正當權益等方面發揮了重要作用。


地址 北京市西城區宣武門外大街甲1號環球財訊中心C座四層

4006705518

X

?2017 北京信安世紀科技股份有限公司 京ICP備16060718號-1 京公網安備11010202007927

多宝体育