文/唐鹏

   电子政务内网和外网用户必须持有内、外网电子认证结点签发的证书能才够访问受保护的安全区以及受保护的业务应用，内网用户可以通过CA认证实现统一用户管理、身份认证、授权管理、访问控制、数据安全交换标识等功能。

   政府机构从事的行业性质与国家紧密联系,所涉及的众多信息均带有保密性,信息安全问题尤其重要。如何实现各级单位CA证书的申请和发放是其中至关重要的问题。利用数字证书，可以在电子政务办公网络的办公系统、业务处理系统、邮件收发系统中，实现身份认证、数字签名、信息加密等功能；与此同时，可以利用证书的身份认证、数字签名、信息加密功能，建立安全的对外网站，实现安全的信息发布。那么，要如何构建电子政务CA认证服务的架构体系呢？

一、电子政务CA认证服务总体技术框架

电子政务CA认证服务中心的建设是为了保证电子政务的应用安全，它的最终目标是在保证政务网络、应用安全的基础上，实现跨部门、跨地区信息资源共享、业务应用的互联互通。电子政务内网和外网用户必须持有内、外网电子认证结点签发的证书能才够访问受保护的安全区以及受保护的业务应用，内网用户可以通过CA认证实现统一用户管理、身份认证、授权管理、访问控制、数据安全交换标识等功能。

政务内、外网在总体架构上基本上类似，自下而上由网络基础设施层、资源层、业务层和展现层组成，CA中心作为内、外网网络基础设施层的组成部分，与IP业务承载网、网管中心、数据中心、灾备中心和安全管理中心共同构成基础设施支撑平台。总体框架如下图所示：

图一  电子政务内、外网总体技术架构示意图

电子政务外网CA认证的功能主要表现为通过数字认证和密码技术使公务人员通过互联网通道安全访问政务外网；通过认证服务实现跨地区、跨部门的业务应用。电子政务内网CA认证的功能主要表现为通过数字认证和密码技术使公务人员安全访问政务内网，通过认证服务拥有不同的授权，进而实现对不同网络区域的访问以及跨部门的业务应用。

二、我国电子政务CA认证服务中心结构体系

（一）我国电子政务外网CA认证服务体系

我国电子政务外网电子认证服务体系由国家政务外网数字证书中心（CA）和分布于全国31个省、自治区、直辖市和新疆建设兵团的注册中心（RA）和相关部委的RA组成，证书中心成立的目标是通过在全国范围内，为党委、人大、政府、政协、法院和检察院各级政府部门提供“统一证书标准、统一服务规范、统一服务质量、统一服务流程”，其服务对象是各级政府部门的公务人员和经授权的有关人员。在国家信息中心发布的《国家电子政务外网建设总体规划（2009年-2013年）》的近期目标（2009-2010年）中，明确提出“要建设完善政务外网网络信任体系，完善数字证书中心建设，建成政务外网密钥管理基础设施。整合资源，完成2/3以上的省级数字证书注册服务分中心（RA）的建设任务，初步形成政务外网统一电子认证的全网服务能力”。目前，外网CA系统已建成并投入使用，已为十多个中央政务部门业务系统提供证书服务。[1]

外网CA认证服务体系具体流程如下：

由外网信任源点作为根结点向二级各省、直辖市RA注册中心统一签发数字证书，各各省、直辖市RA注册中心作为本地的根结点向本区域内分中心统一签发证书。地市级和区县级可根据实际需要建设分中心，各分中心根据业务开展需要，可在本地统一的数字认证系统平台下建设独立的注册审核系统或受理终端系统。其系统建设方案或系统重大变更方案需报省、直辖市认证中心审批后建设。

图二  电子政务外网CA认证服务体系结构示意图[2]

（二）我国电子政务内网CA认证服务体系

由于我国电子政务内网建设起步较晚，到目前为至，仍有部分省市尚未搭建完成完全符合国家要求的电子政务内网骨干传输网，因此作为政务内网安全保障的基础设施CA认证服务中心和密钥管理中心大部分仍处在建设或者待建阶段。其深入应用在现阶段可谓少之又少。

经过多方考证以及资料查阅，结合天津电子政务内网建设实践，并借鉴国家信息中心关于电子政务外网CA认证服务体系总体架构的示意图，初步如下电子政务内网CA认证服务体系总体架构示意图。对比图二、图三，我们发现内外网CA认证服务体系总体架构图的最大区别就在于，内网出于安全考虑增加了“内网党委系统一级CA结点”，内网信任源点只负责监督管理证书的使用与管理，签发证书则需经过党委系统一级CA结点的审核方能签发。

内网CA认证服务体系具体流程如下：

内网信任源点作为根CA负责制定和审批总体政策，向党委系统一级CA的证书签发证书，并对各结点签发的证书进行监督管理。党委系统一级CA结点的职责是向全国各省市结点签发各种应用的根证书，省级、部委二级认证结点证书的签发要经过党委系统一级CA结点的审核方能下发。由于内网联网范围小，按照国家规定最多向下延伸到地市级，因此二级CA结点的职责是直接给本地区地市级RA注册点或者CA分中心签发支持各种应用的数字证书，并管理下级证书受理机构和其所发证书和证书撤销列表。

图三  电子政务外网CA认证服务体系结构示意图

三、地方政务外网CA认证服务体系结构

为进一步说明电子政务CA认证服务体系结构，在上述国家电子政务内、外网电子政务CA认证服务体系总体架构的基础上，我们以浙江省政务外网CA认证服务体系为例，对省、直辖市级地方电子政务外网CA认证服务体系架构与流程做进一步介绍。

（一）  浙江省电子政务外网CA认证服务体系建设现状

浙江省于2002年5依托省电子政务网络体系成立了浙江省数字认证中心，根据国密办《关于同意浙江省数字认证中心使用商用密码和建立密钥管理中心的批复》（国密办字［2002］277号）文件，同意浙江省数字认证中心使用商用密码和建立密钥管理中心，建立了以双中心（CA中心和KMC中心）、双证书（签名证书和加密证书）和双支持（支持SSF33算法和RSA算法）为内容的电子认证服务平台，为全省电子政务建设和电子商务活动提供共享统一的安全认证基础设施。[3]迄今为止，浙江基本建立了完整的电子认证服务体系架构，形成了数字认证中心、注册机构和审核受理点三级服务网络，已在杭州、宁波、绍兴、温州和衢州五市设立了分中心，在全省设立了140余个电子证书受理点，形成了受理、审核、签发和管理的运营体系。[4]

具体来说，省密钥管理中心主要负责密钥生成和管理，由浙江省国密办实施业务领导和管理，省中心负责统一签发数字证书，各分中心根据业务开展需要，可在全省统一的数字认证系统平台下建设独立的注册审核系统或受理终端系统。其系统建设方案或系统重大变更方案需报省中心审批并报省信息办备案后再予建设。系统建成后，经省信息办验收（省中心参与）合格后可投入运行。”

（二）  浙江省电子政务外网CA认证服务体系架构

国家根CA是浙江CA的根结点，也是全部浙江CA认证体系的信任源头。国家根CA负责制定和审批总体政策、签发并管理第二层CA（省、直辖市级根CA）的证书，它负责为第二层CA制定政策，为第二层CA签发证书及CRL，同时还负责与其它区域性CA、行业CA及其它国家的根CA进行交叉验证。浙江省根CA作为第二层CA是操作CA，它的职责是直接给最终用户签发支持各种应用的数字证书，并管理本省杭州、宁波等五个分中心等下级证书受理机构和其所发证书和证书撤销列表。如果以后希望为其它行业或地区提供认证服务，就可以从根CA下面建立新的操作CA，也可以在第二层CA中建立逻辑CA。

图四  浙江省电子政务外网CA认证服务体系架构

四、内、外网CA认证服务体系结构的差别

由于电子政务内、外网在涉密性要求、具体职能、业务范围以及服务对象等存在着差异，这些差异的存在决定了内、外网在CA认证服务上存在着一定的差别。具体表现在以下四个方面：

（一）安全性要求不同决策结点层级不同

外网信任源点作为统一的根CA，由统一的机构实行对二级CA结点进行监督管理并签发二级证书。内网作为涉密网，为提高其安全性和保密性，内网信任源点作为根CA只承担监督管理的职能，其下设内网党委系统一级CA结点，由该结点向二级结点签发证书。

（二）业务范围不同决定签发、注册过程不同

内网作为涉密网，在内网密钥管理基础设施和电子认证基础设施的基础上构建安全保密体系，采取多种措施保障内网的网络安全、系统安全及应用安全，实现内网的物理安全及运维管理。在建设的过程中按照“规模尽可能小，覆盖层级尽可能少”的原则，按照国家硬性要求向下延伸到“副省级”，各省、市可根据实际情况进行建设。内网建设由于保密性要求高、投入成本大，所以各省市在建设过程中基本上到地市级。同时，由于内网业务范围、业务量较小，面向的服务对象为特定的政府部门和重大企事业单位，其发证量较少，易于管理，因此由省级统一签发证书，统一注册，统一管理。

按照国家相关要求，政务外网作为向公众提供社会公共服务的基础网络，需向下延伸到县级，其业务范围集中于受众较广的工商、税务、社保、医疗等领域，由于承载面向公众服务的网上业务，证书发放量较大，因此实行由省级统一签发证书，在地市级RA注册点和分中心进行证书申请与注册。

（三）业务服务对象不同决定认证服务对象不同

内、外网职能不同决定了内外网CA认证服务终端对象不同。政务外网CA认证服务通过向外网接入单位发放证书提供统一用户管理、身份认证、授权管理等功能，同时加强服务公众、社会管理等的应用，充分发挥政务外网的服务功能，外网证书发放的终端服务对象为公众、企业和政府部门相关人员。由于内网涉密业务需求不是特别大，内网CA认证应用仅限于向内网接入单位发放，用于保护内网应用安全，因此内网证书发放的终端服务对象为政府部门及重要企事业单位工作人员。

（四）证书签发、管理部门不同

国家层面上，政务外网由国家信息中心建设管理，密钥管理中心和CA认证中心作为外网的重要基础设施由国家信息中心管理，因此外网根证书（外网信任源点）由国家信息中心负责。为加强对国家政务外网CA认证管理，专门成立了国家电子政务外网数字证书中心，由其统一承担和管理政务外网认证工作。地方层面上，政务外网管理比较复杂，大致分为两种情况，一种是由地方经济和信息化委员会或者信息化办公室负责外网建设和管理工作，具体实施由其成立专门机构或者实行托管给第三方，例如天津。另一种情况是根据国家外网建设模式，由各省市信息中心负责外网具体建设和日常运维管理工作，例如北京、上海、浙江、江西、湖南等，目前我国大部分省市外网建设采用后一种建设和管理模式。因此，地方政务外网CA认证中心基本上也由本地信息中心负责注册管理。

政务内网作为涉密网用于承载涉密或者敏感的政务工作信息，根据处理信息的不同密级及系统的重要性程度，副省级以上接入单位按机密级保护要求进行保护，县区以下及街道可根据需要采用终端方式接入内网网络平台，接入终端原则上为秘密级，按秘密级要求进行保护。正是出于安全考虑，我国电子政务内网密码保障基础设施由国家密码管理局负责建设和管理，地方层面上，大部分省市内网密钥管理中心和CA认证中心由各省、直辖市机要局（密码管理局）负责建设和管理，由机要局统一签发和管理内网CA认证证书。

（作者单位：浙江大学政府网站评测与规划中心）