近日,北京数字认证股份有限公司(简称:数字认证)首席科学家、研究院院长夏鲁宁出席中国网络空间安全协会主办的沙龙活动,他以《构建以密码为基础的信任服务》为题,畅谈了电子认证行业从认证服务到网络信任服务的发展思路。
夏鲁宁认为,建立安全有序的网络空间,信任是最关键的环节,而密码技术是建立网络空间信任的核心技术和基础支撑。
密码技术的法定作用
《密码法》指明,密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。对于密码的法定作用,在2005年发布的《电子签名法》中就有所论述。考虑到技术中立性,《电子签名法》虽没有直接指定使用密码技术实现电子签名,但它所说的电子签名的两大作用,即识别签名人身份和表明签名人认可其中内容,目前为止只有基于密码算法的数字签名才能够实现。也就是说,符合法律效力的电子签名,目前只有使用密码技术才能做得到。
此外,2020年1月,国办印发《国家政务信息化项目建设管理办法》,其中第十五条明确提出“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”这说明,使用密码对信息系统进行保护,已经不单单是技术上的需求,同时也是法定的义务。
基于密码技术
构建安全可信的网络空间
《电子签名法》第十六条提出:“电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。”这使得电子认证成为构建网络信任体系的安全基础支撑。当前,电子认证机构的主流业务仍然聚焦在认证服务上,即以电子签名法所述“识别签名人身份”为主。但随着市场安全需求和信任需求的不断释放,单纯的认证服务已远不能满足多样化的网络信任需求。
此背景下, 以“识别签名人身份”为核心的认证服务,开始向“表明签名人认可其中内容”为核心的信任服务转变。以密码技术为基础、与信息技术深度融合、开展与业务相关的网络信任服务成为电子认证行业新蓝海。相比传统认证服务,网络信任服务呈现如下特点:
业务强相关
从认证服务到信任服务再到信息化业务过程中,对密码建设信任的作用,已经逐渐从与业务无关,过渡到和业务紧密相关。这意味着,密码服务机构,要逐步从“一招吃遍天”过渡到深入用户业务、深度沟通业务需求中。
一体化交付
证书服务仍属于产品交付范畴,而信任服务则是体系交付。信任服务提供商直接向客户提供身份管理、责任认定、数据保全、电子合同等服务体系,并与客户的信息系统无缝衔接,客户无需再实施二次开发。这使得电子认证机构需要更加深入了解用户信息系统的技术细节,对研发能力的要求有了质的提高。
持续性运维
认证服务提供商主要运维自身电子认证基础设施,而信任服务提供商则还要承担客户信任体系的经常性运维。这意味着“项目”不再是简单的证书购销行为,而是信任体系设计、建设、运维的持续性活动。这对电子认证机构提出了面向不同客户、面向不同系统建立运维力量的新要求。
这些特点将深刻影响电子认证机构的经营模式和盈利模式,迫使电子认证机构在企业战略、投入方向上做出转变。
作为电子认证行业龙头企业,数字认证已从聚焦身份认证扩展到构建可信身份、可信内容、可信行为的全链条网络信任体系,通过与新兴业务应用场景的深度融合,已在电子合同、电子档案、互联网医疗、互联网金融、在线教育等领域,用前瞻性的创新为客户和行业创造价值。