摘要：工业和信息化部于2011年11月发布了《电子认证服务业“十二五”发展规划》(以下简称《规划》)，该《规划》围绕贯彻落实《电子签名法》、《2006～2020年国家信息化发展战略》、《国民经济和社会发展信息化“十二五”规划》，在总结“十一五”我国电子认证服务业发展现状的基础上，明确了“十二五”电子认证服务业的发展目标和思路，确定了6项重点任务及2项重大工程，并提出了相关保障措施。

　　本文针对社会各界普遍关心的内容和关键点做一些深入解读。

　　内容和目标：基本覆盖全国

　　电子认证服务涉及内容和范围。本次《规划》重新界定了电子认证服务的定义，梳理了电子认证服务的内容和范围。在此以前，人们对电子认证的理解局限于PKI体系，将电子认证服务等同于在对电子签名验证过程中产生的一系列服务。《规划》在《电子签名法》基础上，给出了电子认证服务的定义，即电子认证服务是为电子签名的真实性和可靠性提供证明的活动，包括签名人身份的真实性认证、电子签名过程的可靠性认证和数据电文的完整性认证三个部分，涉及数据电文的生成、传递、接收、保存、提取、鉴定各环节，涵盖电子认证专有设备提供、基础设施运营、技术产品研发、系统检测评估、专业队伍建设等各方面，是综合性高技术服务。

　　从上述定义可以看出，《规划》将电子认证服务范围从以前仅仅是数字证书和网络身份管理拓展到了网络身份认证、可靠电子签名认证以及可信数据电文认证、电子数据保全、电子举证、网上仲裁等领域。《规划》在目标部分也明确提出了到“十二五”末期，形成覆盖全国的网络身份认证服务体系，基本形成可靠的电子签名认证体系，并在数据电文可靠性认证服务模式探索方面取得积极进展。在重大工程部分提出了要建立可靠的电子签名和数据电文服务平台，切实保障交易主体身份真实性、交易行为不可抵赖性和交易资金安全性。

　　电子认证服务市场现状和发展目标。《规划》首次明确界定了电子认证服务产业链，既包含电子认证软、硬件和服务市场等与数字证书发放紧密相关的环节，也包含数字证书认证系统建设、硬件介质数字证书发放、电子认证相关应用系统集成及服务等电子认证上游环节。

　　根据上述依据，《规划》还给出了我国电子认证服务市场规模，截至2010年年底，总规模超过20亿元，“十一五”期间年平均增长速度约为38%，2010年的增长率接近100%。未来几年，电子认证服务内容将更为丰富，可靠电子签名认证、可靠数据电文认证市场将快速发展，设备认证、代码认证等数字证书应用需求将急增，电子认证服务市场规模将保持快速增长态势，《规划》提出了到2015年市场规模突破80亿元的目标。

　　数字证书策略：重点规范服务

　　经过多年发展和推广，我国电子认证应用领域逐步拓宽，在公共服务、电子商务等领域应用不断扩大，数字证书类别日益丰富。电子认证在网上报税、电子报关、工商年检、社保缴纳、公积金管理等公共服务领域获得广泛应用。在网上招投标、在线支付、在线合同等电子商务领域应用迅速增长，并逐步向知识产权保护、物流和供应链管理等领域扩展。数字证书种类也从最初的个人数字证书、企业法人数字证书、服务器数字证书等几个类别拓展到了邮件证书、代码证书、设备证书等数十种证书。《规划》在重点任务中明确提出要在网络服务器、移动智能终端、可信软件认证服务等方面取得突破，占据网络设备等认证服务市场的主导地位。电子认证应用领域逐步拓宽和数字证书类别日益丰富过程中沉淀了诸多问题，如应用市场有待进一步培育，信息化监管手段亟待建立，身份认证与签名应用有待规范，数字证书交叉认证还没有实现等等。这些问题的解决需要推行数字证书策略。

　　所谓数字证书策略是指一组安全规则，描述了数字证书签发和管理过程中物理安全、网络安全、审计评估、赔偿和责任等方面的规范性要求，既为电子认证服务机构提出了安全和服务方面的要求，也为应用方选择证书提供了可参考的标准和依据，同时也为主管部门开展行业监管提供技术手段，为实现数字证书交叉互认提供支撑。

　　《规划》首次提出了将推行数字证书策略作为“十二五”期间规范电子认证服务的重点任务，并明确指出根据数字证书标识对象不同和安全保障等级不同，针对个人、机构、设备、软件代码等分类分级制定证书策略，规范电子认证服务行为，为证书互认奠定基础。
　　此外，为了推行证书策略，行业主管部门已经组织力量研究起草了《自然人证书分级服务规范》和《法人证书分级服务规范》等文本规范。该规范主要内容包括“信息发布和证书资料库职责”、“身份标识与鉴别”、“证书生命周期操作要求”等9个章节，用以规范电子认证服务机构在提供自然人/法人数字证书服务过程中应当遵循的各项要求。根据安全保障等级和服务能力的不同，将自然人和法人证书分为A、B、C三个级别，确定了需要进行分级的13项安全指标和10项服务指标。身份鉴别是最主要的分级安全指标，C级、B级、A级证书分别要求“非当面鉴别”、“当面鉴别”和“当面鉴别且权威部门认定”。保险范围是最主要的分级服务指标，C级、B级、A级证书中的要求分别为“暂不做规定”、“设立风险保障金或购买商业保险”和“设立一定数额以上的风险保障金或购买商业保险”。服务规范中给出了每级证书的推荐应用场景，也明确提出了不同等级证书中各分级指标的不同要求。

　　数字证书交叉认证：实施试点工程

　　数字证书交叉认证服务需求迫切。随着网上购物和网上银行等网络活动不断升温，跨区域网络应用需求日益旺盛，迫切需要在国家统一的证书策略体系框架下，搭建网络身份统一验证公共服务平台，为国内30多家CA机构2000多万张数字证书提供高效、便捷、统一的查询和验证服务，实现各家电子认证服务机构数字证书的互认和一证多用、一证通用。为此，《规划》单独提出了数字证书交叉认证及应用试点工程，旨在建立统一的网络身份认证服务平台，推进网络诚信体系建设。

　　可以说，《规划》的颁布为网络身份统一认证服务体系建设带来了机遇。第一，《规划》高度重视网络身份认证服务体系建设。《规划》将形成覆盖全国的网络身份认证服务体系作为在“十二五”时期电子认证服务三大目标之一。这项目标主要是围绕网络身份认证服务提出的，旨在打造满足多样化网络身份认证服务需求的覆盖全国的网络身份认证服务。第二，在重大工程部分，《规划》提出了数字证书交叉认证及应用试点工程。该工程事实上就是要建立网络身份统一认证服务平台，明确要开发数字证书应用接口标准、证书类别和安全等级验证系统、平台综合管理系统等，实现不同电子认证服务机构的数字证书互通、不同硬件密码产品的互操作、用户一张证书在多个部署了不同CA后台的电子认证应用系统中漫游使用等，打破了电子认证服务机构之间公平有序竞争的技术壁垒，有效地降低数字证书的应用成本和使用成本。该工程也明确提出了要建立数字证书交叉认证平台，建立网络身份凭证交换的信任机制，整合不同层次和级别的身份信任源，提供不同层次、不同级别的开放式的网络身份认证服务，实现网络身份服务的统一管理和接入，为应用系统提供统一验证接口，为公众开放数字证书查询窗口、为实现各电子认证服务机构的证书在不同应用系统中使用奠定基础。

　　可靠电子签名和数据电文认证：提上议事日程

　　开展可靠性电子签名和数据电文认证是电子认证服务行业重中之重的工作。根据《电子签名法》规定可靠电子签名必须满足4个条件：(1)电子签名制作数据用于电子签名时，属于电子签名人专有；(2)签署时电子签名制作数据仅由电子签名人控制；(3)签署后对电子签名的任何改动能够被发现；(4)签署后对数据电文内容和形式的任何改动能够被发现。可靠电子签名和数据电文认证涉及电子认证服务机构的认证系统、依赖方应用系统等相关软硬件，开展可靠性电子签名和数据电文认证技术难度高、操作复杂，目前还没有启动该项工作。但只有可靠性电子签名才是法律认可、具有与手写同等法律效力的签名，因此开展可靠性电子签名和数据电文认证是电子认证服务行业的头等大事。

　　《规划》将开展可靠电子签名认证工作提上了议事日程，在发展目标、主要任务和重大工程部分都做了部署。在发展目标部分，《规划》提出了到“十二五”末，基本形成可靠电子签名认证体系，满足社会对可靠电子签名的应用需求。在主要任务部分，《规划》提出组织制定《可靠电子签名指南》，明确对不同格式数据电文进行签名的程序、流程和认定标准。研究制定电子签名设备、系统检测等技术类标准，推动制定电子签名行业应用标准。培育和发展专业化机构，对含可靠电子签名模块相关系统和产品进行检测，对认证服务过程和质量进行监督。在重大工程部分，《规划》提出了可靠电子签名与数据电文应用试点工程。明确提出要建立可靠电子签名服务平台，开发可靠电子签名和数据电文检测工具，搭建电子签名可靠性认证服务平台，围绕数据电文生成、传递、接收、保存、提取、鉴定等可靠性认证各环节开展试点。

　　电子认证产业联盟：发挥桥梁作用

　　针对跨地区、跨行业的网络应用需求旺盛，对电子认证服务机构综合服务能力的要求越来越高的现象，电子认证行业迫切需要采用多种形式整合电子认证资源，形成合力，实现优势互补。为推动电子认证行业资源整合，《规划》在保障措施部分明确提出了要成立行业组织，加强交流，推动行业自律，推广应用，促进行业发展。

　　为了落实《规划》，在行业主管部门指导下，中国电子信息产业发展研究院电子认证服务中心已经联合从事电子认证服务、专业设备提供、技术和软件开发、基础设施建设及产业战略规划研究的企/事业单位及有关机构即将发起成立中国电子认证产业联盟。联盟的目的是为促进电子认证关键技术和产品研发，提升电子认证服务创新能力和水平，推动可靠电子签名的广泛应用。联盟的业务范围主要包括：

　　第一，促进电子认证服务产业内部及与其他产业在技术、产品、服务及应用等方面的合作，协调联盟成员之间的关系，建立并完善电子认证服务产业链。
　　第二，推动制定电子认证服务产业的行业标准和国家标准，使其在本行业和其他相关行业中得到广泛的认可和推广，推动可靠电子签名认证标准和体系的建立与完善，推动电子认证服务运营管理、服务质量评估等体系的建立和完善。
　　第三，鼓励电子认证服务模式创新，推动可靠电子签名在电子合同、电子凭证、电子记录等典型应用领域取得突破性进展，推进电子认证服务的跨行业、跨区域应用，推进移动电子商务等新兴应用，拓展电子认证服务应用市场。
　　第四，协助政府部门制定电子认证服务产业发展政策和监督管理规范性文件，协助开展行业突发事件调查和重大问题研究，为政府部门决策提供研究支撑。
　　第五，搭建电子认证服务产业共享信息、培训交流的平台，促进企业间资源共享和互惠互利，提升联盟成员的整体竞争力。
　　第六，扩大与国内外相关组织、企业的联系和交流，开展多种形式的国际交流与合作，推动我国电子认证服务走向世界。
　　第七，组织联盟成员防止产业不正当竞争行为，营造良好的产业环境和舆论氛围，积极应对国内或国际纠纷。

　　第三方电子认证服务：网络认证可信之基

　　信息技术革命引发的全球信息化浪潮，推动形成了覆盖全球的网络空间，为人类经济和社会活动提供了一个开放、高效、便捷、低碳的全新领域，网络空间日益成为经济社会不可或缺的活动空间，网络安全已经成为国家安全的一个重要组成部分。建立网络秩序，构建可信、安全的网络空间已经成为保障经济繁荣和社会和谐的关键。

　　电子认证服务是建设网络信任体系，构建可信、安全的网络空间的不可或缺的基础设施。电子认证可以实现虚拟社会和现实社会的主体绑定，解决网络空间中的身份认证和行为确认问题，是确认网络主体、认定网络行为从而明确法律责任的重要手段，是网络空间秩序构建的重要支撑。《电子签名法》明确了电子认证的法律效力和实现原则，奠定了电子认证服务的法律基础。

　　培育、发展、壮大电子认证服务业，是建设网络信任体系的重要内容，是贯彻落实《电子签名法》的重要举措，对于建立健全覆盖全社会的诚信系统，推进政务诚信、商务诚信、社会诚信和司法公信建设具有十分重要的意义。

　　在我们的电子商务和电子政务等信息化活动中，广泛地采用了PKI(Public Key Infrastructure，公开密钥基础设施)体系作为安全保障措施，这样就产生了电子签名方、电子签名依赖方和电子认证服务机构(CA)这三种角色。其次，如果是这三个角色由两个实体来扮演的话，举例来说，依赖方自建CA，依赖方既扮演CA角色，同时又是电子签名的依赖方，这种情况我们认为不存在第三方电子认证服务，如果电子认证服务机构(CA)是依法设立的独立实体，则其提供的服务为第三方电子认证服务。第三方电子认证服务是由独立于依赖方和用户的具有法人资格的实体提供的服务，与自建CA相比，具有显著特点。

　　第一，第三方电子认证服务的价值在于身份解决中的独立地位。由于具有独立、公正的地位和作用，因此第三方认证服务在保障网络身份真实、网络行为可溯、数据电文可信、维护用户在互联网环境下的合法权益和实现可靠电子签名具有重要作用。

　　第二，第三方电子认证服务机构与PKI体系中的认证机构(CA)的职责和角色不同。PKI体系中的认证机构仅仅是提供数字证书发放、验证等电子签名验证过程中的系列服务，而《规划》中提到的第三方电子认证服务机构是指《电子签名法》第16条规定的提供电子签名服务的依法设立的电子认证服务机构。因此第三方电子认证服务机构提供的服务包括数字证书发放、电子签名验证、可靠电子签名认证、数据电文认证等诸多事项。

　　第三，法律地位显著不同。自建CA的法律效力不足、法律风险较大，第三方电子认证服务具有法律效力和公信力。

　　第四，应用场景显著不同。第三方电子认证服务应用于独立责任主体之间的信息交换过程，自建CA主要应用于企业(政府)内部办公及员工间的信息交换。

　　第五，发展趋势不同。第三方电子认证服务将得到社会的普遍认同，发展前景广阔。自建CA将被第三方电子认证机构所取代，逐渐走向消亡。《规划》明确提出了鼓励和引导第三方电子认证服务，大力推动应用各方采用依法设立的电子认证服务机构的服务，积极推进电子认证服务的专业化、市场化。(来源：中国电子报）