文｜北京世紀速碼信息科技有限公司 曹煬

隨著我國建設行業(yè)各項事務的快速發(fā)展，建設行業(yè)信息化也取得了巨大的成就，有力促進了各項網(wǎng)絡業(yè)務以及電子政務、電子商務工作的發(fā)展。信息化建設離不開網(wǎng)絡安全的保障，在網(wǎng)絡安全中，基于電子認證的PKI安全體系是目前各行各業(yè)所尤為關注的重點。但是，從總體上看，建設行業(yè)PKI安全體系仍存在一定問題。表現(xiàn)在：很多業(yè)務單位對PKI安全不了解，無從下手；部分省市建設單位自行設計，沒有形成一個總體；建設標準不統(tǒng)一，共享程度較低。這種現(xiàn)狀已開始被廣大業(yè)務用戶所熱議。

基于此，在建設行業(yè)內(nèi)建立一個統(tǒng)一的電子認證體系，構建一個在業(yè)務和地域上都可互聯(lián)互通的認證環(huán)境已是民心所向。

一、建設行業(yè)電子認證業(yè)務互通的必要性

建設行業(yè)業(yè)務系統(tǒng)分工精細，業(yè)務流程較為復雜多樣。很多流程，同一用戶在不同流程中開展工作，要經(jīng)過多次身份認證。如獲得資質(zhì)的企業(yè)參加招投標，中標企業(yè)進行協(xié)同設計等。同樣，用戶的業(yè)務工作在不同區(qū)域開展時，也被要求重新審核，從一個地區(qū)購買的數(shù)字證書在另一個地區(qū)不能投標等等。這不僅加大了用戶的成本，也為業(yè)務主管部門綜合獲取用戶大數(shù)據(jù)增加了難度。歸其原因，在于各地獨立建造的電子認證信用體系，成為了一個個的信息孤島。另外，由于建設目標、建設方式的不同，各地建立的認證系統(tǒng)安全性強度也有所差異，存在一定的安全漏洞，更缺乏持續(xù)的服務和互助。因此，無論是業(yè)務管理部門，還是廣大使用者，都在對一個統(tǒng)一的行業(yè)電子認證體系翹楚以待。

二、建設行業(yè)電子認證現(xiàn)狀

我國建設行業(yè)電子認證發(fā)展起步較晚，2010年起各地建設部門開始逐步關注這項技術手段并在業(yè)務領域使用，沈陽市城鄉(xiāng)建設委員會《沈陽市建設工程電子文件與電子檔案管理暫行辦法》（2011.07.26）、《沈陽市建設工程電子文件與電子檔案管理辦法》（2014.10.1），吉林省住房和城鄉(xiāng)建設廳《吉林省建設工程電子招標投數(shù)字證書和電子印章管理暫行辦法》（2014.7.15）等地方管理辦法相繼出臺。這個階段，由于并沒有一家專門服務于建設行業(yè)的CA公司。因此各地一般選擇了本省的電子認證服務企業(yè)進行數(shù)字證書發(fā)放工作。

2013年建設行業(yè)電子認證中心（CSCA）成立，即時向國家信息安全管理部門提交了建設行業(yè)電子認證業(yè)務發(fā)展報告，并在國家密碼管理局進行密鑰入根，接入了國家大信任體系。國家工信部經(jīng)過專家論證，于2015年3月為CSCA頒發(fā)了《電子認證服務許可證》，批準作為服務于建設行業(yè)的CA中心開展運營。

CSCA目前已建立完整的電子認證服務體系，包括認證中心（CA中心）、密鑰管理系統(tǒng)（KM）、注冊審核服務系統(tǒng)（RA）、證書狀態(tài)在線查詢系統(tǒng)（OCSP）等。2015年9月，四川省住房和城鄉(xiāng)建設管理部門率先與CSCA展開合作，將省內(nèi)多條業(yè)務線的數(shù)字證書進行重新規(guī)劃，逐步換發(fā)。

三、建設行業(yè)電子認證開展的工作范圍

目前在建設行業(yè)電子認證應用點非常廣泛，凡是需要對法人主體的識別，需要對網(wǎng)絡交易進行保護、需要對雙方行為進行法律有效性保護的行為均可以采用電子認證技術進行，在建設行業(yè)主要應用包括：規(guī)劃、勘察、設計、施工、監(jiān)理、檔案備案過程中的設立登記、變更登記、經(jīng)營許可、項目申報、項目審批、工程建設、年審年檢、繳費、招投標、注銷撤銷等。在針個人的業(yè)務中，注冊師資質(zhì)審批和登記、社會保障、住房服務、中介服務、一卡通認證服務、公積金管理等均產(chǎn)生了試點應用?？梢灶A料，隨著各業(yè)務條線對網(wǎng)絡安全要求的提升，電子認證很快將應用到建設行業(yè)的方方面面。

四、建設行業(yè)統(tǒng)一電子認證體系模式設計概覽

設計中的統(tǒng)一電子認證體系采用運營級認證方式。業(yè)務以國家根證書為依托，建設行業(yè)認證中心作為行業(yè)服務總結點，為下級認證中心（二級CA）進行電子認證服務。設置統(tǒng)一的證書項、設計統(tǒng)一的證書認證規(guī)則。規(guī)劃中的二級認證中心將包括地區(qū)認證中心、大業(yè)務條線認證中心、業(yè)務云認證中心、關鍵設備認證中心四個維度的節(jié)點。各級認證中心部署簽名驗簽服務器（SVS），為日后的驗證簽名工作做好準備。同時，二級認證中心還可以根據(jù)需要，建立下級業(yè)務系統(tǒng)的認證節(jié)點。建設行業(yè)電子認證中心同時設立托管RA，為一些零散的系統(tǒng)進行接入服務。

這種體系最大優(yōu)勢就是采用統(tǒng)一的根證書，為日后業(yè)務的互聯(lián)互通創(chuàng)建了基礎。建設行業(yè)CA中心為每一個接入的業(yè)務進行登記，形成白名單。將信任的證書鏈傳遞給二級認證中心，各二級中心可根據(jù)需要將允許互信的認證中心白名單導入到SVS中，形成互信體系。

五、業(yè)務場景案例探討

在一個典型應用場景中，我們設想一個參加招投標的企業(yè)，從認證中心（可以是建設行業(yè)內(nèi)任意認證中心）領取了數(shù)字證書。

該企業(yè)使用數(shù)字證書參與了招投標公司的投標活動，并中標。

該企業(yè)期望使用同一個數(shù)字證書開展協(xié)同設計平臺的工作。

該需求為典型的跨業(yè)務使用統(tǒng)一數(shù)字證書的場景。為實現(xiàn)以上需求，只需要完成以下幾步：

協(xié)同設計平臺認可企業(yè)在投標階段所使用的數(shù)字證書的有效性。

招投標平臺將證書鏈授權給協(xié)同設計平臺并導入到設計平臺的簽名驗簽設備中。

招投標平臺將用戶信息以標準格式進行導出，并發(fā)送給設計平臺進行接入。（這一步根據(jù)需要進行，很多情況下是由設計平臺自行創(chuàng)建用戶信息）。

用戶登錄設計平臺，設計平臺通過簽名驗簽設備中的導入的證書鏈進行合法性驗證。并連入認證中心進行狀態(tài)查詢。

在設計平臺開展工作。

六、統(tǒng)一互通電子認證體系的價值

統(tǒng)一的電子認證體系有效降低了建設行業(yè)從業(yè)人員的認證的復雜度，做到一點認證、全行業(yè)使用的應用模式。并且無需任何一方增加投入。

統(tǒng)一的電子認證使各業(yè)務平臺互通共享成為可能，減輕了在不同業(yè)務業(yè)務間數(shù)據(jù)轉(zhuǎn)換傳遞的困擾。

統(tǒng)一的電子認證體系可以在法律層面責任界定更加清晰，為建設工程實行“終身責任制”、提升“合約有效性”提供基礎，并可以提供貫穿始終無死角的證據(jù)佐證鏈。

統(tǒng)一的電子認證體系，可以為誠信體系建設、行業(yè)管理大數(shù)據(jù)分析、企業(yè)人員動態(tài)軌跡跟蹤等業(yè)務，提供堅實的數(shù)據(jù)基礎。