用数字证书打造可信网络社会
- 来源:计算机世界
- 关键字:数字,证书,打造,网络
- 发布时间:2010-07-05 15:53
本报记者 汤铭
物联网、云计算的出现,对身份管理造成了很大的挑战,需要先进技术手段来保证这种管理。未来,数字认证和数字签名服务在这些领域有更大的发展空间。
网络社会需要建立可信机制
孙定:最近国家一直在倡导建立互联网上实名制,同时国家规定,从今年7月1日开始,在网上开店的个人用户需用实名开店。这一切对电子认证服务意味着什么?
詹榜华:实名制其实是建立可信任社会、可信任城市、可信任网络的基础。因为人们工作和生活的一切基础,都是建立在可信任的基础之上的。
2009年,北京市曾经提出,要将北京建设成为信息安全一流的可信城市。为什么提出“可信城市”的概念?因为信任是一个社会复杂性的简化机制,如果城市实现了可信化,那么人们要做的很多事情就会变得异常简单。这是公众幸福生活的重要基础。
如何实现可信城市呢?在信息化日益渗透进人们生活和工作的方方面面的时代,首先要做的是建立一个可信任的网络空间。如果要在当前复杂的网络环境中建立起这样一种机制的话,首先就需要有维持这种机制的工具,而电子签名、电子认证就是很好的工具。
以医疗卫生行业为例,医疗救诊逐渐转变到以患者为中心,患者经常去不同的医院就诊,这样,病人的相关诊疗信息也需要随之在不同的医疗机构之间移动。为了保证信息可以大规模地在不同医疗机构中流动,就一定需要建立一种可信的责任机制。而权威、合法的第三方认证服务机构通过以《电子签名法》为依据、以电子认证和电子签名技术为手段,完全可以以完善的技术体系为保障,营造安全、可信任的电子医疗卫生环境。
孙定:如您所说,可信城市、可信机制的建设已经展开。那么,可信任机制的具体含义是什么?
詹榜华:以北京打造可信城市为例,北京市所提出的可信城市建设中含有三个关键概念:可信的身份、可信的电文和可信的行为。其中,可信的身份是基础。例如,在北京市东城区的政务网络中,目前已经全部实现了实名制。在东城区所有政府职能部门的网络系统中,从区长到基层的每个公务员,都通过实名接入网络中,从而保证了对政务网上的人和行为的可控。
而可信行为首先用来界定用户在网上行为的权限,从而界定用户可以做哪些事,不能做哪些事。在此基础上,还能建立起对行为的审计机制和责任认定机制,以保证所有网上行为有证据、有痕迹、可追责。
孙定:近年来,物联网、云计算等概念备受追捧。物联网和云计算是否更需要这种可信机制了?
詹榜华:的确是的。如果说现在的信息化还处在“农业文明”时代,那么物联网、云计算就是信息化从“农业文明”走向“工业文明”的象征。物联网、云计算所产生的社会化大分工,需要社会各界广泛的相互协作、支持,这种协作必须建立在有效的可信任基础之上。
并且,物联网、云计算的出现,对身份管理造成了很大的挑战——什么人能做什么?什么人不能做什么?这需要明确的管理理念,也需要先进技术手段来保证这种管理。试想一下,实现了物联网后,如果没有一种可信的机制,外人可以随便地把你家的空调打开、把你的汽车启动,那岂不是很可怕的事情?以前大家说RFID很安全,不会带来攻击。但是最近已经有了这样的攻击手段:有人将一段短的恶意代码放在RFID的芯片中,一旦这些代码通过RFID被读取后,后端系统就会遭受到攻击。
因此,未来,数字认证和数字签名服务在这些领域有更大的发展空间。
很多地方只将电子认证作为身份认证的手段,等同于用户名/密码、动态口令等技术,一起去争夺身份认证市场,而更重要的实现电子签名手段的作用却被忽视了。
电子认证需与应用深度结合
孙定:《电子签名法》实施5年来,中国的电子签名及认证服务业得到了极大的发展,依法设立的电子认证服务机构达到30家,发放有效证书超过了1000万张。但有人认为,比较起中国广大的网名数量,目前市场上发放的证书数量还是太少,电子认证服务市场的发展有些慢。您如何看待这一现象?
詹榜华:行业内很多人对电子认证服务的发展非常悲观。但我不这么认为。未来的电子认证服务市场空间巨大。以北京CA为例,我们今年的销售额有可能突破亿元大关,每年保持着很高的增长速度。电子认证服务的领域,也逐渐从传统的电子政务、网络银行领域,逐渐扩展到医疗、电子商务、网游、云计算服务、物联网等多个领域。可以这么说,随着应用日渐丰富,信息安全需求在不断提高,这为电子认证服务搭建了更广阔的施展才华的舞台。未来,在现实生活中需要签名、出示各种证件的地方,以及在互联网虚拟空间中,都有可能要用到电子签名与电子认证服务。
当然,虽然市场前景广阔,但是我们也要充分看到目前电子认证服务中存在的一些问题。例如对电子认证服务作用认识的片面性问题,很多地方只将电子认证作为身份认证的手段,等同于用户名/密码、动态口令等技术,一起去争夺身份认证市场,而更重要的实现电子签名手段的作用却被忽视了。电子签名能保证信息的完整性和签名人对数据电文的认可,这是用户名/密码、动态口令等技术无法实现的,这才是电子认证最重要的价值,丢掉这一点,无异于“自贬身价”、“捡了芝麻,丢了西瓜”。
出现这样的情况,主要原因在于,目前电子签名与电子认证服务的应用深度太浅。现在,很多服务机构只是将电子签名和电子认证拿去做类似网上身份认证的应用,让人很容易误解为它是一种安全性较强的身份识别手段,与用户名和口令在同一竞争层次,这样做就是“自贬身价”。虽然电子签名和电子认证技术应用在普通的身份认证上,安全性的确要比“用户名+密码”的方式好很多,但前者成本更高,使用方便性上也不如后者,这就让不明真相的用户自然认为电子签名和电子认证的竞争力不大。这显然是人们认识和应用上的误区。
因此,要想进一步放大整个电子认证服务产业的空间,必须提高应用的深度。
孙定:既然如此,如何才能提高应用的深度呢?我国目前有没有深度应用电子签名的成功案例。
詹榜华:提高应用的深度,就是要让数字证书与应用深度整合。目前,在数字证书应用方面,北京市做了大量的工作。比如说北京的网上报税,过去纳税人报税是需要提供各种纸质申报材料的,而纳税企业需要每月进行缴税申报和缴税。从2009年7月1日开始,北京市的纳税人只要用数字证书对申报材料进行可靠的电子签名,形成符合《电子签名法》要求的可信电子凭据,就可以实现网上申报,而不需要再提供纸质材料了。
再例如,在北京市东城区社区卫生服务领域,也已经开始推广通过可靠电子签名,实现无纸化的处方和电子病历。现在,东城区社区医疗服务点,全科医生看病的时候除了拿着听诊器外,每个人都配有电脑以及数字证书的介质USB Key。医生写病历、开处方,都是通过电脑来完成,通过电子签名来实现无纸化;而北京市在举行市人大、政协会议的时候,所有的人大代表、政协委员都拿到了能够证明自己数字身份的数字证书,通过使用这些证书提案进行签名,从而实现网上提案。
以上这些,都是电子签名与应用深度结合的最好例子。可见,如果CA机构将电子签名与认证服务更好地与应用契合,无论其在打造可信机制方面还是易用性方面,都会实现最好的应用效果。
孙定:就应用方面,我们来做一个对比。国外电子认证服务目前发展到了哪个层次?国外与国内之间是否存在差距?
詹榜华:国外在电子认证服务的应用深度方面比我们做得更好。例如在欧盟推出了“电子发票计划”,这个计划的目标是建成一个欧盟统一的电子发票,同时利用电子签名及认证技术,保证电子发票的可信性,并将该电子发票系统广泛连接,应用在各种电子支付系统中,方便税务部门的纳税以及统计工作等。这个计划非常庞大,将会在欧盟各个国家的各种交易系统中推广使用。
我觉得欧盟做得特别好的一点,就是他们首先进行了统一、整体的规划,包括从技术底层的算法一直到上层的应用。这一点我国与欧盟还有差距,我们做的很多系统都缺乏统一、整体的规划,每一个阶段都单独做,缺乏整体的战略部署。我们需要向欧盟学习,形成一个打通全部环节的统一机制。
中国的电子认证服务业要取得长足的发展,最重要的是要保证市场的统一和完整,并建立有效的竞争机制。
电子认证是服务不是管理
孙定:虽然电子认证服务市场前景广阔,但从目前的情况看,获得工业和信息化部市场准入的30家认证服务机构的规模普遍偏小,各自条块分割严重,整体做不大。造成这种现象的主要原因是什么?
詹榜华:《电子签名法》颁布以后,电子认证服务机构做了很多市场推广工作,电子认证服务在全国也在如火如荼地展开。但我们也不得不承认,市场推广状况并不理想,市场认知度低,整体规模不大。
造成这一现象的原因是多方面,但其中一个重要原因是:电子认证服务机构没有摆好自己的角色,认为自己只是个数字证书的管理机构,而没有意识到,自己其实更应该是一个提供电子认证的服务机构,普遍缺乏服务意识。
因此,目前的几十家CA机构,最大的问题就是服务支撑能力不足,提供的服务还停留在简单地发放数字证书,到第二年对证书进行更新时,用户交钱后再给发一个证书,如此而已。很多用户会认为,CA机构纯粹是为了赚钱。这是许多CA机构认识上的误区:把自己当成一个数字证书管理机构,简单地认为:我发证书是一种权利,用户你来找我申请证书,我还不一定发给你呢。他们根本没有想过,我应该为用户提供什么样的服务。这其实是非常错误的。
孙定:那您认为,电子认证服务应该包含哪些具体的服务内容?北京CA是如何为用户提供服务的?
詹榜华:近年来,在业务的开展中,北京CA开始了以客户为中心的新型电子认证服务体系建设,从以下4方面打造服务能力:首先就是要让用户相信你;其次让用户很方便得到服务;第三要很方便地使用服务;第四让服务能够给用户创造更多的价值。
对此,用户反应很不错,觉得这是耳目一新。现在,北京CA不强调发一个单位证书或个人证书,强调得更多的是服务如何做。只有这样用户才会发现,我们能够服务的事情很多,而且服务的方式也会随之发生很大变化,他们的满意度也在不断提高。
孙定:那么您觉得,未来中国的电子认证服务业该如何发展,才能进一步茁壮成长?
詹榜华:没有大市场,就不可能有大企业,没有竞争,就不可能有创造力,因此我认为,中国的电子认证服务业要取得长足的发展,最重要的是要保证市场的统一和完整,并建立有效的竞争机制。应该说,现状并不乐观,由于历史原因,目前,中国的电子认证服务市场事实上存在被条块分割掉的危险,各个CA机构偏居一隅,小富即安,很难取得突破性的增长。这样的结果是很糟糕的,非常不利于中国电子认证服务市场的总体发展,也让广大的CA机构处于低水平、缺乏竞争力的状态。我希望,未来政府能打破这些条块,建立一个开放、公正的市场环境,让整个中国的电子认证服务行业中,能成长出一批全国性的龙头企业,能提供更多更好的服务,形成一个全国性的、市场规模够大、开放的市场。
总裁感悟
人才成为发展瓶颈
詹榜华认为,电子认证服务是一个高技术的服务业,高技术就需要高投入,特别是在研发方面投入大量资金。但是,除了研发投入外,人才问题也成为了困扰电子认证服务企业发展的一大难点。
“举目一看,没有地方去挖人。”詹榜华感慨,国内现在非常欠缺电子认证服务领域的专业人才,特别是了解如何把电子签名法用好、服务好的这一类技术的人才。
在他看来,现在电子认证服务所遇到的一个核心问题是,如何去把电子签名和证书用好,与业务结合好,这是需要很强的技术来支撑的。“所以说,在推动数字证书应用方面,人才是关键。”他呼吁,国家应尽快建立这样细分领域的人才培养体系,同时呼吁更多的有志于保障信息安全的人才投入到数字证书应用行业中来。
采访手记
不能靠发证书度日
根据工业和信息化部网站披露的信息,截至2010年5月31日,全中国有效电子认证证书持有量合计11423482张。平摊到全国30家电子认证机构,每家平均持有证书将近38万多张。
单纯将将这个数字与近两亿的网上银行用户进行比较的话,1000多万张证书显得还是太少,尽可能多发证书显然还是未来各家CA机构重点开展的业务之一。但是平均到30多家CA机构而言,38万张证书对于大多只有几十人规模的CA来说,也不算少了。“这几十万张证书,足够让CA的日子过得很不错了。”某业内专家表示。
正是这种“小康”的情况,造成了某些CA机构小富即安的思想,甚至是为了固守某些局部利益,而采取了垄断、封闭市场的行为。这不禁让我想到了今年高考的作文题目《有鱼吃还捉老鼠?》。这些只看到眼前利益的CA机构,不就是那些有鱼吃而再不抓老鼠的猫吗?
就拿上亿网上银行用户来说,他们中的绝大多数人还在用着非国家认证的CA机构发放的证书。抛开一些政策性的原因,现有CA机构的服务能力、认证系统性能,都是制约这些用户采用合法CA证书的原因之一。面对这样的情况,CA机构显然不能“有鱼吃就不抓老鼠”了。
未来,在努力拓展证书发放量的同时,给用户创造一个可信、方便、易用的网络环境,仍旧是所有电子认证服务机构所要追求的目标。而且,进一步深入研究各行业的应用需求特点,开发出具有针对性的、客户方便易用的应用技术和业务模式,也是未来CA应该着重研究的方向。(文/汤铭)
关注读览天下微信,
100万篇深度好文,
等你来看……