国家密码管理局副局长何良生在“2021信任互联大会”上发表题为《密码是构建网络信任体系的基石》的演讲，以下为演讲内容分享。

信任是社会公序良俗，是人类共同价值观的基本要素，是人类社会正常运转的润滑剂，是良好社会秩序建立的基石，是推动人类社会发展和经济繁荣的社会公共资源。当今人类社会已经进入网络空间时代，在网络空间建立和传递信任是维护网络空间秩序、保障数字经济繁荣和社会稳定的基础性关键性环节，建立网络信任已经成为各类信息网络和行为主体的共同价值追求，构建具有良好生态的网络空间信任体系已成为全社会的共识。

密码为什么是构建网络信任体系的基石，要从网络信任技术、管理和服务三个方面讲起：

第一，网络信任技术的基础支撑是密码技术。

网络信任的核心要素是要解决各类网络主体的身份真实性、网络行为的可信性、网络信息内容的完整性机密性等问题，当前解决这些问题的技术手段有很多种，但是最为安全、有效、经济、可靠的手段还是基于现代密码技术的数字认证技术手段，这既是由网络信任的内在安全要求所决定，也是由密码技术与生俱来的基本安全属性所决定的，因此，最早在《关于网络信任体系建设的若干意见》中就明确提出网络信任体系是指以密码技术为基础，解决网络应用中的身份认证、授权管理和责任认定问题的完整体系。现代密码技术能够很好地为网络信任体系提供加密和认证机制支持，当前用的最多的是基于PKI体系的数字证书认证技术。数字证书认证技术的核心是公钥密码技术，按照公钥密码基础设施（PKI）的技术架构，可以通过为私钥持有者签发公钥密码数字证书来鉴别网络实体的身份，进而实现身份、数据、行为的可信。目前国内外科研机构和产业界提出的大量身份管理解决方案及标准基本都是基于公钥密码技术构建的，而且其作为身份认证的核心凭据（Token）也都是基于公钥密码的数字签名技术。

第二，网络信任管理的基础支撑是密码管理。

网络信任管理是确保网络信任体系得以构建并持续运行、保障网络信任服务能够有效发挥作用的关键要素，最主要的就是确认网络信任技术、服务的法定性、权威性，确保网络信任服务、功能的合规性、有效性，可以用于指导信任服务提供者开展合格的信任服务。主要目的是针对合格信任服务提供者和合格信任服务进行事前、事中、事后的监管。主要任务是负责网络信任体系的构建，网络信任服务政策和策略的制定、实施和监督，确保信任服务策略制定的科学性、有效性、适应性，信任服务策略实施的合理性、针对性、可行性，并对服务策略目标的达成效果进行检测评估，与时俱进的提出优化完善网络信任技术和服务的对策与举措。网络信任管理主要依据与网络安全相关的法律法规、技术标准和网络信任基础设施来达成。在我国，网络信任管理的核心依托和载体就是密码管理，也可以说密码管理是网络信任管理的基础支撑，这主要体现在以下三个方面：

一是我国与网络安全相关的法律法规明确了电子认证在网络信任体系建构中的法律地位，确保了网络信任体系的正确性，特别是以密码认证技术作为信任技术的核心，实现实体身份可信、信息来源可信、数据完整可信、网络行为可信的网络信任要求，已得到深入广泛的应用及立法的普遍认可。

二是强化电子认证服务中的密码使用要求，确保网络信任体系的合规性，特别是密码作为电子认证的核心，其在电子认证中的应用也在国家政策和专门立法中得到了确认和规范。

三是加强电子认证中的密码检测评估，确保网络信任体系的有效性。按照 《 密码法 》 关于加强事中事后监管和密码应用安全性评估的要求，严格落实国家有关密码管理规定，督促重要网络信息系统建设者和运营者规范使用密码，为网络空间信任体系建设提供坚实支撑。

第三，网络信任服务的基础支撑是密码服务。

网络信任服务的核心是为各类网络信息系统提供身份认证、权限管理、责任认定等的服务，通过信任服务确保网络身份可信，各种数据来源和内容可信、各类网络行为可信。而密码服务是指基于密码技术和产品，实现密码应用功能，提供密码保障的行为，它是网络信任服务的根本，从当前和今后相当长的一段时期来看，只有依靠基于密码数字证书服务的身份认证、数字签名与验证等服务，才能保证网络主体身份的真实性，保证数据传输交互的真实性、完整性和抗抵赖，也只有实现了有效的身份鉴别认证才能正确管理网络用户的授权行为，从而保障网络用户的行为可信，进而明晰行为责任，厘清责任主体。

经过近二十年的发展，我国基于密码的电子认证服务成效显著，有力地促进了电子认证服务行业健康有序发展，截至目前，国内已有取得电子认证密码使用许可证的电子认证服务机构57家，电子政务电子认证服务机构49家，已发布近20项国家电子认证密码服务相关标准，如SM3密码杂凑算法、SM2椭圆曲线公钥密码算法等算法标准、数字证书认证系统密码协议规范、基于SM2密码算法的数字证书格式规范、数字证书互操作检测规范、基于数字证书的身份鉴别接口规范、基于SM2密码算法的证书认证系统密码及其相关安全技术规范、证书认证系统检测规范、证书认证密钥管理系统检测规范等，这些标准涵盖了密码算法、电子认证基础设施、证书应用接口、认证系统检测等各个层面，有力指导了各电子认证服务机构开展认证服务和密码应用。密码数字证书应用已经涵盖国民经济和社会管理的各个领域，在工商税务、社会保障、质量监管、医疗卫生、公共安全、海关商务、文化教育、交通通信、金融证券、电子支付等重要领域密码数字证书应用效果都非常明显，在转变政府职能、优化便民惠民利民服务、保障组织和个人正当权益等方面发挥了重要作用。

未来发展将会进一步见证信任的力量，物联网的发展离不开各类智能终端的身份鉴别，大数据发展离不开数据来源鉴别、权属管理，区块链的应用离不开不可信实体间的信任建立，云计算的应用离不开平台可信、数据可信和行为可信，可信通信的发展离不开身份可信，这些新技术新应用的发展都离不开先进的网络信任体系的支持，最根本的是需要构建一个先进的密码体系作为支撑，没有先进的密码体系的支撑信任服务就如同无根之木，无源之水。今后将需要继续实施一批引领性示范性工程，加快推进密码与其它认证技术的融合应用，以构建能够适应物联网、大数据、云计算、区块链、可信通信、数字货币等信任服务需求的先进的数字信任体系，并在重要行业、重要领域实现规模应用，特别是在关键信息基础设施、重要通信基础设施、等保三级以上信息系统、国家政务信息系统等重要网络信息系统中的全面规范深入应用，不断提高我国密码服务自主可控水平和网络空间密码保障能力。

从技术、管理、服务三个方面讲述密码是构建网络信任体系的基础支撑，政产学研用测各方通力协作，积极开展基于密码的数字信任基础研究，特别是要高度关注复杂网络与业务架构下的跨域信任密码问题和信任度评估密码问题，充分激发密码在现代数字信任体系构建中的创新应用，面向智能化和数字化安全发展新需求，开展适用于不同网络环境和业务场景信任需求的先进密码认证技术与多元化技术相融合的信任服务体系研究，加快数字信任管理和服务标准建设，面向未来发展需求，推动密码技术在网络信任体系中的基础性、原创性、前瞻性理论创新和技术突破，为构建以支撑可信身份为核心的现代数字信任基础设施提供坚实支撑。

转自：商密君

来源：国家密码管理局  何良生