新闻中心

何良生:密码是构建网络信任体系的基石

时间:2021-04-26 来源:何良生

国家密码管理局副局长何良生在“2021信任互联大会”上发表题为《密码是构建网络信任体系的基石》的演讲,以下为演讲内容分享。

信任是社会公序良俗,是人类共同价值观的基本要素,是人类社会正常运转的润滑剂,是良好社会秩序建立的基石,是推动人类社会发展和经济繁荣的社会公共资源。当今人类社会已经进入网络空间时代,在网络空间建立和传递信任是维护网络空间秩序、保障数字经济繁荣和社会稳定的基础性关键性环节,建立网络信任已经成为各类信息网络和行为主体的共同价值追求,构建具有良好生态的网络空间信任体系已成为全社会的共识。今天的信任互联大会,以“见证信任的力量”为主题,围绕密码技术、网络信任、数据安全等方面进行探讨和交流,非常有意义。我相信一定会积极促进我国网络空间信任体系的构建,赋能国家信息化和信息社会建设,助力我国数字经济高质量发展。

密码为什么是构建网络信任体系的基石,要从网络信任技术、管理和服务三个方面讲起:

第一,网络信任技术的基础支撑是密码技术。

网络信任的核心要素是要解决各类网络主体的身份真实性、网络行为的可信性、网络信息内容的完整性机密性等问题,当前解决这些问题的技术手段有很多种,但是最为安全、最为有效、最为经济、最为可靠的手段还是基于现代密码技术的数字认证技术手段,这既是由网络信任的内在安全要求所决定,也是由密码技术与生俱来的基本安全属性所决定的,因此,最早在《关于网络信任体系建设的若干意见》中就明确提出网络信任体系是指以密码技术为基础,解决网络应用中的身份认证、授权管理和责任认定问题的完整体系。现代密码技术能够很好地为网络信任体系提供加密和认证机制支持,当前用的最多的是基于PKI体系的数字证书认证技术。数字证书认证技术的核心是公钥密码技术,按照公钥密码基础设施(PKI)的技术架构,可以通过为私钥持有者签发公钥密码数字证书来鉴别网络实体的身份,进而实现身份、数据、行为的可信。目前国内外科研机构和产业界提出的大量身份管理解决方案及标准基本都是基于公钥密码技术构建的,而且其作为身份认证的核心凭据(Token)也都是基于公钥密码的数字签名技术。

第二,网络信任管理的基础支撑是密码管理

网络信任管理是确保网络信任体系得以构建并持续运行、保障网络信任服务能够有效发挥作用的关键要素,最主要的就是确认网络信任技术、服务的法定性、权威性,确保网络信任服务、功能的合规性、有效性,可以用于指导信任服务提供者开展合格的信任服务。主要目的是针对合格信任服务提供者和合格信任服务进行事前、事中、事后的监管。主要任务是负责网络信任体系的构建,网络信任服务政策和策略的制定、实施和监督,确保信任服务策略制定的科学性、有效性、适应性,信任服务策略实施的合理性、针对性、可行性,并对服务策略目标的达成效果进行检测评估,与时俱进的提出优化完善网络信任技术和服务的对策与举措。网络信任管理主要依据与网络安全相关的法律法规、技术标准和网络信任基础设施来达成。在我国,网络信任管理的核心依托和载体就是密码管理,也可以说密码管理是网络信任管理的基础支撑,这主要体现在以下三个方面:

一是我国与网络安全相关的法律法规明确了电子认证在网络信任体系建构中的法律地位,确保了网络信任体系的正确性,特别是以密码认证技术作为信任技术的核心,实现实体身份可信、信息来源可信、数据完整可信、网络行为可信的网络信任要求,已得到深入广泛的应用及立法的普遍认可。2005 年颁布实施的《电子签名法》第十四条规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力,确立了电子签名的法律效力。2009年工信部颁布《电子认证服务管理办法》明确,电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动,国家密码管理局发布《电子认证服务密码管理办法》和《电子政务电子认证服务管理办法》,对电子政务电子认证服务机构的设立、服务开展情况和电子认证密码有关事项进行管理,有效推进了网络认证体系的建设和管理。2017年施行的《网络安全法》进一步明确了网络信任体系建设目标,支持了电子认证技术发展,第二十四条规定国家要实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。2020年实施的《密码法》第二十九条规定,国家密码管理部门要对采用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理,明确了密码之于电子认证服务的法定性。

二是强化电子认证服务中的密码使用要求,确保网络信任体系的合规性,特别是密码作为电子认证的核心,其在电子认证中的应用也在国家政策和专门立法中得到了确认和规范。2014 年国办印发的 《金融领域密码应用指导意见》 从密码支撑金融网络信任体系建设的角度明确要求要抓紧完成密钥管理系统、第三方电子认证基础设施以及金融机构自建电子认证基础设施的密码升级工作。2015 年印发的 《关于加强重要领域密码应用的指导意见》 则进一步指出,对面向社会服务的信息系统,应当加快推进基于密码的网络信任、安全管理和运行监管体系建设,规范密码在电子文件、电子证照、电子印章、身份认证、电子签名、数据存储和传输等方面的应用,实现面向社会服务的政务信息系统运行的安全可靠,对各重要领域面向社会服务的网络信任管理提出明确密码应用要求。2018年印发的《关于密码应用与创新发展的工作规划》着重强调要充分发挥密码在网络信任体系构建、网络综合治理中的支撑作用,构建网络实体鉴别、网络身份管理、网络域名、网络合约、网络行为分析、网络违法取证及溯源等应用的密码支撑体系,要通过密码管理和有效应用牢固支撑网络空间时代的社会治理。

三是加强电子认证中的密码检测评估,确保网络信任体系的有效性。按照 《密码法》 关于加强事中事后监管和密码应用安全性评估的要求,严格落实国家有关密码管理规定,督促重要网络信息系统建设者和运营者规范使用密码,为网络空间信任体系建设提供坚实支撑。适应新时代网络空间的新变化以及对于全域安全、动态安全、信任关系复杂多变的新情况,有针对性的开展了关于身份认证系统、身份认证基础设施的密码应用安全性评估,确保密码合规、正确、有效使用。加强网络空间信任体系涉及到的密码产品和密码应用的“双随机”检查,确保密码产品和密码应用符合要求,确保信任体系构建科学、合理。通过对电子认证中相关密码基础设施和各类密码应用的检测评估,优化完善电子认证产品、电子认证系统的密码功能,提升电子认证服务与密码融合的产品、服务和支撑体系供给能力,打造网络信任体系上下游产业链协同支持密码的生态体系,积极构建以密码为引领的网络信任体系创新链、价值链,服务网络信任体系的持续性、稳定性、有效性,让每家单位、每位公民都能享受到安全可靠的信任服务,畅通网络互联。

第三,网络信任服务的基础支撑是密码服务

网络信任服务的核心是为各类网络信息系统提供身份认证、权限管理、责任认定等的服务,通过信任服务确保网络身份可信,各种数据来源和内容可信、各类网络行为可信。而密码服务是指基于密码技术和产品,实现密码应用功能,提供密码保障的行为,它是网络信任服务的根本,从当前和今后相当长的一段时期来看,只有依靠基于密码数字证书服务的身份认证、数字签名与验证等服务,才能保证网络主体身份的真实性,保证数据传输交互的真实性、完整性和抗抵赖,也只有实现了有效的身份鉴别认证才能正确管理网络用户的授权行为,从而保障网络用户的行为可信,进而明晰行为责任,厘清责任主体。

经过近二十年的发展,我国基于密码的电子认证服务成效显著,有力地促进了电子认证服务行业健康有序发展,截至目前,国内已有取得电子认证密码使用许可证的电子认证服务机构57家,电子政务电子认证服务机构49家,已发布近20项国家电子认证密码服务相关标准,如SM3密码杂凑算法、SM2椭圆曲线公钥密码算法等算法标准、数字证书认证系统密码协议规范、基于SM2密码算法的数字证书格式规范、数字证书互操作检测规范、基于数字证书的身份鉴别接口规范、基于SM2密码算法的证书认证系统密码及其相关安全技术规范、证书认证系统检测规范、证书认证密钥管理系统检测规范等,这些标准涵盖了密码算法、电子认证基础设施、证书应用接口、认证系统检测等各个层面,有力指导了各电子认证服务机构开展认证服务和密码应用。密码数字证书应用已经涵盖国民经济和社会管理的各个领域,在工商税务、社会保障、质量监管、医疗卫生、公共安全、海关商务、文化教育、交通通信、金融证券、电子支付等重要领域密码数字证书应用效果都非常明显,在转变政府职能、优化便民惠民利民服务、保障组织和个人正当权益等方面发挥了重要作用。

未来发展将会进一步见证信任的力量,物联网的发展离不开各类智能终端的身份鉴别,大数据发展离不开数据来源鉴别、权属管理,区块链的应用离不开不可信实体间的信任建立,云计算的应用离不开平台可信、数据可信和行为可信,可信通信的发展离不开身份可信,这些新技术新应用的发展都离不开先进的网络信任体系的支持,最根本的是需要构建一个先进的密码体系作为支撑,没有先进的密码体系的支撑信任服务就如同无根之木,无源之水。今后将需要继续实施一批引领性示范性工程,加快推进密码与其它认证技术的融合应用,以构建能够适应物联网、大数据、云计算、区块链、可信通信、数字货币等信任服务需求的先进的数字信任体系,并在重要行业、重要领域实现规模应用,特别是在关键信息基础设施、重要通信基础设施、等保三级以上信息系统、国家政务信息系统等重要网络信息系统中的全面规范深入应用,不断提高我国密码服务自主可控水平和网络空间密码保障能力。


从技术、管理、服务三个方面讲述密码是构建网络信任体系的基础支撑,政产学研用测各方通力协作,积极开展基于密码的数字信任基础研究,特别是要高度关注复杂网络与业务架构下的跨域信任密码问题和信任度评估密码问题,充分激发密码在现代数字信任体系构建中的创新应用,面向智能化和数字化安全发展新需求,开展适用于不同网络环境和业务场景信任需求的先进密码认证技术与多元化技术相融合的信任服务体系研究,加快数字信任管理和服务标准建设,面向未来发展需求,推动密码技术在网络信任体系中的基础性、原创性、前瞻性理论创新和技术突破,为构建以支撑可信身份为核心的现代数字信任基础设施提供坚实支撑。