【正文】 交易時，當接收者接收到發(fā)送者數(shù)字簽名的電子文件時，為了驗證簽名的有效性，接收者的應用軟件必須作三件事： ? 首先接收者的軟件必須確定發(fā)送者的信任域和接收者的信任域之間是否存在信任關系，這可以通過建立兩個信任域之間的證書 “ 信任路徑 ” 來實現(xiàn)； ? 接收者必須確定發(fā)送者證書中所描述的政策即證書包含的擔保級別滿足本次交易的需要； ? 確定在這個信任路徑中，所有的證書都必須是有效的，即他們既沒有超過有效期，也沒有被注銷。 聯(lián)邦 PKI體系的當前狀況和聯(lián)邦政府計劃 加拿大政府 PKI體系結構 ? 加拿大對于政府 PKI體系的研究要比美國早，在 1993年加拿大通信安全部（ CSECommunications Security Establishment）就已經開始了政府PKI體系雛形的研究工作，當時主要是開發(fā)一種滿足政府需求的 PKI產品，實現(xiàn)無貨架商業(yè)貿易。隨后，陸續(xù)有部分聯(lián)邦政府機構參入了 GOC PKI體系的開發(fā)工作，他們是：加拿大公民移民局（ Citizenship and Immigration Canada） ,加拿大外事和國際貿易部（ Department of Foreign Affairs and International Trade） ,國防部（ Department of National Defence） ,加拿大電信和信息服務中心（ Government Telemunications and Informatics Services） ,加拿大公共建設工程和政府服務中心（ PWGSCPublic Works and Government Services Canada）的一個分部，加拿大衛(wèi)生局（ Health Canada） ,加拿大皇家騎警（ Royal Canadian Mounted Police）和財政部秘書處（ Treasury Board Secretariat）等 。經過若干年的研究，在 2022年， 在建立一個開放的PKI體系方面獲得重要的進展，政府 PKI體系為聯(lián)邦政府與公眾機構，商業(yè)機構等進行電子數(shù)據(jù)交換時提供信息安全的保障，從而推動了政府內部管理電子化的進程，其結構如圖 49所示。 兩種體系的比較 ? 美國聯(lián)邦 PKI體系和加拿大政府 PKI體系都是政府行為的 PKI體系，是在政府的倡導和主持下研究開發(fā)的，其目的都是為了本國的各級政府部門和政府機構高效、低成本、安全地從事電子政務、電子采購活動，其成員主要是各級政府，不同的政府機構，在兩種體系中均有一個交叉認證中心（ FPKI體系中是聯(lián)邦的橋 CA,加拿大政府 PKI體系中的中央認證機構） ,由它來溝通不同信任域之間的信任關系，同時也是與其他政府 PKI/CA建立信任關系的接口，是該體系與外界建立信任關系的唯一通道，當然它必須接受政府在政策上的支持和監(jiān)督，在技術上都集成了如智能卡技術等其他技術。美國在開發(fā)聯(lián)邦 PKI體系時充分考慮了與加拿大政府 PKI體系的兼容性。然而美國聯(lián)邦 PKI體系和加拿大政府 PKI體系并不完全一致，他們都有各自的特點，其表現(xiàn)為： 我國的 PKI發(fā)展規(guī)劃 ? 由于 PKI 作為國家信息安全基礎設施的重要戰(zhàn)略地位以及核心技術（密碼技術）的特殊敏感性，中國 PKI 體系的建立與發(fā)展既不能簡單地照搬國外的技術與架構，也不能盲目地完全走自由市場的道路。國家 PKI 體系應在國家控制和主導下，制定統(tǒng)一的發(fā)展戰(zhàn)略和管理模式，在走向市場化道路的同時，應由國家負責統(tǒng)一協(xié)調、管理和監(jiān)控，以打破一些行業(yè)內部的變相壟斷，加強各行業(yè)之間的合作，避免重復建設，促進平等競爭，建設一個有利于發(fā)展我國網絡經濟的體系。我國的PKI 體系結構如圖 410所示。 我國的 PKI體系建設情況 ? 自 1998 年中國出現(xiàn)第一家 CA證書機構（中國電信 CA 認證中心， CTCA）以來，已有許多 CA 證書機構建成并運行，開始在電子商務和電子政務應用中發(fā)揮作用。目前我國的 CA證書機構可分為區(qū)域類、行業(yè)類、商業(yè)類和內部自用（企業(yè)）類。區(qū)域類 CA證書機構大多以地方政府為背景、以公司機制來運作，主要為本地行政區(qū)域內電子商務業(yè)務與面向公眾服務的電子政務業(yè)務發(fā)放證書；行業(yè)類 CA證書機構以部委或行業(yè)主管部門為背景，以非公司機制或公司機制運作，在本部委系統(tǒng)或行業(yè)內為電子政務業(yè)務和電子商務業(yè)務發(fā)放證書；商業(yè)類 CA證書機構以公司機制運作，面向全國范圍為電子商務業(yè)務發(fā)放證書；內部自用類 CA 證書機構，主要是企事業(yè)單位自建的證書機構，為自身內部業(yè)務發(fā)放證書，不向公眾提供證書服務。 ? 截止 2022 年底，目前國內的 CA機構已有區(qū)域型、行業(yè)型、商業(yè)型和企業(yè)型四類，前三種 CA機構已有 60 余家，58%的省市建立了區(qū)域 CA，部分部委建立了行業(yè) CA，數(shù)字證書在電子政務、網絡銀行、網上證券、 B2B 交易、網上稅務申報、資金結算、財政預算單位資金劃撥、工商網上申報和網上年檢等眾多領域行業(yè)得到應用。 ? 另有部分部委與省市已將建設本部門和本地化的 CA 證書機構中心列入信息化計劃。其中北京、上海、天津、山西、福建、寧夏等地，已經將 CA 證書應用到政府網上辦公、企業(yè)網上納稅、股民網上炒股、個人安全電子郵件等多個方面，并取得了良好的社會效益和經濟效益。 ? 北京市 CA中心已經成功的將 CA證書應用于市政府的電子政務網、稅務系統(tǒng)的網上報稅、技術監(jiān)督系統(tǒng)的組織代碼證、信息傳呼中心的網上招標及商業(yè)銀行的網上銀行。 ? 上海市 CA中心從 1998 年底給江總書記頒發(fā)第一張 CA 證書起，已經有超過 35 萬的各類企業(yè)、政府機構和個人成為了上海市 CA中心數(shù)字證書的用戶，應用領域遍及電子政務、網絡銀行、網上證券、 B2B 交易、網上稅務申報等等眾多領域；和上海熱線聯(lián)合推出安全電子郵件服務，用數(shù)字證書對郵件加密和數(shù)字簽名，確保郵件內容的安全和防止他人冒名發(fā)信與發(fā)件人否認已發(fā)郵件。 ? 天津市 CA 中心已經將 CA證書應用于網上納稅、網上炒匯、資金結算、財政預算單位資金劃撥，年資金流量超過 2 億元。 國內 PKI相關法規(guī)和標準建設 ? 簽發(fā)了委托后者研究起草 《 中華人民共和國電子簽章條例（草案） 》 的任務書，CCID 隨后組織了起草小組開展工作。目前 《 中華人民共和國電子簽章條例（草案） 》 已完成草案，正在報送審議過程中，預計 2022 年年底頒布。 ? 在國家推行電子政務和電子商務過程中，電子簽章是被呼吁最多也是必不可少的環(huán)節(jié)。 《 條例 》 主旨是將 “ 電子簽章 ” 的有效性以法律形式確定下來。 《 條例 》的主要內容包括立法目的與適用范圍，電子文件和電子簽章的法律效力及有效要件，有關認證機構的市場準入、管理、證書的內容、申請、頒發(fā)、認證各方的權利與義務等，認證機構、用戶、相對人、管理部門等主體的責任，等等。采取的原則包括功能等同原則，即規(guī)定在符合一定技術規(guī)范及法定要件前提下，賦予電子文件、電子簽章與傳統(tǒng)書面文件、手寫簽名和印章同等的法律效力；技術中立原則，既在電子簽章中，使用不同的技術，可以為交易與信息的安全提供不同的保障。 ? PKI地方法規(guī)建設也取得了一定的成績。上海市信息化辦公室、上海市國家密碼管理委員會辦公室、上海市國家保密局于 2022 年 11 月 18 日發(fā)布了 《 上海市數(shù)位認證管理辦法 》 。 《 辦法 》 共分六章二十七條，明確了數(shù)位認證活動的管理主體和管理體制，指出數(shù)字認證服務的運營必須經過政府授權才能進行。為了保障證書用戶的利益，辦法明確規(guī)定，認證機構必須在其業(yè)務聲明中設置賠償機制，并規(guī)定其公布的賠償限額不得低于所收取證書費用的 100 倍。 小結 ? 本章主要介紹了 3個方面的內容，首先介紹了 PKI/CA的模型，然后介紹了 PKI的一些策略，最后介紹了國內外 PKI的規(guī)劃與建設情況。重點掌握PKI/CA模型的組成，以及認證中心的具體組成以及密鑰管理算法。掌握證書的格式，尤其是 V1的比選項。了解國內外 PKI的規(guī)范與建設情況。