《數(shù)字經(jīng)濟》創(chuàng)刊于2014年，是中華人民共和國工業(yè)和信息化部主管的國家重點學術(shù)期刊之一，由中國電子信息產(chǎn)業(yè)發(fā)展研究院、賽迪工業(yè)和信息化研究院（集團）有限公司主辦，主要刊載數(shù)字經(jīng)濟領(lǐng)域內(nèi)的原創(chuàng)性研究論文、綜述和評論等。

《數(shù)字經(jīng)濟》在學術(shù)界享有很高的聲譽和影響力，該期刊發(fā)表的文章具有較高的學術(shù)水平和實踐價值，為讀者提供更多的實踐案例和行業(yè)信息，得到了廣大讀者的廣泛關(guān)注和引用。

數(shù)字經(jīng)濟的發(fā)展離不開數(shù)據(jù)安全的保護，加快推動數(shù)字經(jīng)濟可持續(xù)發(fā)展，必須維護和保障好數(shù)據(jù)安全和網(wǎng)絡(luò)安全，加快提升數(shù)字技術(shù)核心技術(shù)的研發(fā)和網(wǎng)絡(luò)監(jiān)管能力，共建數(shù)據(jù)安全和網(wǎng)絡(luò)安全新態(tài)勢，為數(shù)字經(jīng)濟的發(fā)展保駕護航。

有基于此，《數(shù)字經(jīng)濟》雜志第三期（3 月刊，總第 39 期）特別策劃了“安如磐石”專題，深度探討網(wǎng)絡(luò)安全對數(shù)字經(jīng)濟的保障作用，以及在數(shù)據(jù)保護、網(wǎng)絡(luò)攻擊等領(lǐng)域的應用。

天威誠信作為數(shù)字信任云服務商，在網(wǎng)絡(luò)安全和數(shù)字信任服務體系建設(shè)領(lǐng)域擁有核心技術(shù)實力和實踐經(jīng)驗積累，天威誠信首席安全官李延昭受邀在《數(shù)字經(jīng)濟》雜志“安如磐石”專題發(fā)表題為《數(shù)字信任體系：數(shù)字經(jīng)濟穩(wěn)健發(fā)展的基礎(chǔ)》的署名文章。

以下為全文內(nèi)容：

數(shù)字信任體系：數(shù)字經(jīng)濟穩(wěn)健發(fā)展的基礎(chǔ)

文/李延昭  天威誠信首席安全官

在人際關(guān)系中，信任是某人相信對方的行為符合自己的愿望。在社會關(guān)系中，信任是一個實體相信另一個實體會按照預期的方式運行，并且能夠采取適當?shù)拇胧﹣肀Ｗo自己的利益。映射到信息技術(shù)領(lǐng)域，這個實體是指網(wǎng)絡(luò)設(shè)備、計算機系統(tǒng)或操作計算機的人。

在計算機網(wǎng)絡(luò)中，信任是建立在各種安全機制、協(xié)議和技術(shù)之上的，其作用是確保數(shù)據(jù)的完整性、保密性和可用性。

當前，數(shù)字經(jīng)濟的良性發(fā)展離不開網(wǎng)絡(luò)信任體系的支撐，在網(wǎng)絡(luò)空間建立和傳遞“數(shù)字信任”，是繁榮數(shù)字經(jīng)濟和推動網(wǎng)絡(luò)強國建設(shè)的關(guān)鍵環(huán)節(jié)，也是全行業(yè)進行數(shù)字化轉(zhuǎn)型、實現(xiàn)自身業(yè)務價值創(chuàng)新的驅(qū)動力。

數(shù)字信任體系包括可信基礎(chǔ)設(shè)施、可信身份、可信數(shù)據(jù)、可信行為等要素，其作用是解決網(wǎng)絡(luò)應用中身份認證、授權(quán)管理和責任認定等問題，并確保數(shù)據(jù)的完整性、保密性和可用性，從而保障數(shù)字經(jīng)濟的安全有序運行與高質(zhì)量發(fā)展。

PKI信任模型：數(shù)字世界健康穩(wěn)定發(fā)展的基石

放眼全球，網(wǎng)絡(luò)信任主要構(gòu)建在PKI信任模型（Public Key Infrastructure公鑰基礎(chǔ)設(shè)施，是現(xiàn)今被電子認證服務機構(gòu)普遍采用的技術(shù)設(shè)施）的基礎(chǔ)之上，大致可以分成三個信任生態(tài)：設(shè)備內(nèi)信任生態(tài)、基于設(shè)備間信息交換的網(wǎng)絡(luò)信任生態(tài)和數(shù)據(jù)信任生態(tài)。

1）設(shè)備內(nèi)信任生態(tài)

設(shè)備內(nèi)信任生態(tài)中的設(shè)備是指服務器、網(wǎng)絡(luò)設(shè)備、個人電腦、手機、智能汽車、各種智能儀器儀表等等，這些設(shè)備基本都是由各種芯片、主板、各類驅(qū)動軟件、操作系統(tǒng)、中間件軟件、應用軟件構(gòu)成的。設(shè)備的正常運行，需要從底層硬件到上層應用軟件，構(gòu)成一個可信任的生態(tài)系統(tǒng)。

經(jīng)政府授權(quán)的基于PKI信任模型運行的電子認證機構(gòu)，通過對硬件生產(chǎn)商和軟件開發(fā)商的企業(yè)的身份認證與鑒別為其發(fā)放含有真實身份的代碼簽名證書，其通過證書對自己開發(fā)的硬件驅(qū)動程序或者軟件代碼進行電子簽名，確保硬件或軟件在發(fā)行直至安裝的過程中與出廠時完全一致。當設(shè)備運行時，通過驗證電子簽名的正確性，證明設(shè)備上加載的硬件和軟件都是經(jīng)過授權(quán)的，從而建立設(shè)備內(nèi)信任生態(tài)。

2）基于設(shè)備間信息交換的網(wǎng)絡(luò)信任生態(tài)

當設(shè)備與設(shè)備之間通過網(wǎng)絡(luò)交換數(shù)據(jù)時，首先需要確認設(shè)備的身份。設(shè)備的身份通常具備三重屬性：設(shè)備本身的身份，一般是由構(gòu)成此設(shè)備的關(guān)鍵部件（比如 CPU 或者主板）的唯一編碼信息構(gòu)成；設(shè)備生產(chǎn)者的信息，包括生產(chǎn)者的唯一標識（比如企業(yè)的組織機構(gòu)代碼）、生產(chǎn)時間、產(chǎn)地、生產(chǎn)線、批次等；設(shè)備的使用者信息，包括使用者的唯一標識（比如自然人的身份證號碼、企業(yè)組織機構(gòu)代碼）、常用聯(lián)系方式等。

電子認證機構(gòu)對身份信息進行嚴格的鑒別與驗證，為設(shè)備簽發(fā)包含身份信息的數(shù)字證書，當多個設(shè)備在網(wǎng)絡(luò)中傳遞信息時，需要先驗證證書的有效性，然后在設(shè)備間建立加密的信息交互通道，確保信息在已知身份并具有合法授權(quán)的設(shè)備之間安全地傳輸，從而建立基于設(shè)備間信息交換的網(wǎng)絡(luò)信任生態(tài)圈。

3）數(shù)據(jù)信任生態(tài)

基于前兩個生態(tài)圈，由電子認證機構(gòu)對數(shù)據(jù)的生產(chǎn)者（自然人、法人或者由其授權(quán)的代碼）進行身份鑒別與驗證，并發(fā)放數(shù)字證書以防止冒充身份和篡改數(shù)據(jù)，保證通信雙方的安全可信。數(shù)據(jù)生產(chǎn)者經(jīng)過身份認證后登錄應用軟件，并通過數(shù)字證書對產(chǎn)生的數(shù)據(jù)進行電子簽名，保證數(shù)據(jù)符合生產(chǎn)者的意愿，并保證該數(shù)據(jù)自產(chǎn)生之日起不可篡改，確保了數(shù)據(jù)的原發(fā)性和抗抵賴性。

同時，數(shù)字證書中包含公鑰和私鑰，公鑰用于加密數(shù)據(jù)，私鑰用于解密數(shù)據(jù)。這種加密的方式可保證數(shù)據(jù)傳輸?shù)臋C密性，即只有證書持有者可以解密數(shù)據(jù)。

目前，數(shù)據(jù)在產(chǎn)生、存儲、備份、遷移、使用等過程中都離不開電子認證機構(gòu)的技術(shù)支撐，通過電子認證機構(gòu)提供的產(chǎn)品和服務，可保證整個數(shù)據(jù)從產(chǎn)生到流轉(zhuǎn)到最后使用過程中的真實性、完整性以及不可否認性，從而構(gòu)建可信數(shù)據(jù)生態(tài)圈。

 PKI 信任模型是構(gòu)建數(shù)字世界健康穩(wěn)定發(fā)展的基石

上述三個生態(tài)圈中，PKI/CA 信任模型中的代碼簽名證書是構(gòu)建設(shè)備內(nèi)信任生態(tài)的基礎(chǔ)，設(shè)備證書和SSL服務器證書是構(gòu)建網(wǎng)絡(luò)信任生態(tài)圈的基礎(chǔ)，電子簽名認證證書是構(gòu)建可信數(shù)據(jù)生態(tài)圈的基礎(chǔ)。

三個生態(tài)圈相互協(xié)作，構(gòu)成千姿百態(tài)的數(shù)字世界，從而將現(xiàn)實世界中的政治、經(jīng)濟、文化、司法等映射到數(shù)字世界中，形成了平行于現(xiàn)實社會的數(shù)字社會。因此，PKI信任模型是構(gòu)建數(shù)字世界健康穩(wěn)定發(fā)展的基石。

數(shù)字信任體系將成為萬物互聯(lián)時代發(fā)展基礎(chǔ)

隨著數(shù)字技術(shù)萬物互聯(lián)時代的來臨，物聯(lián)網(wǎng)的安全可信逐漸成為業(yè)界關(guān)注的核心問題。目前，IoT物聯(lián)網(wǎng)領(lǐng)域廣泛采用了PKI技術(shù)強化設(shè)備的安全、證明設(shè)備的身份，并建立加密信息傳輸通道，安全地交互信息。

現(xiàn)階段，物聯(lián)網(wǎng)應用大多采用了自建PKI/CA的模式，由各個物聯(lián)網(wǎng)廠商自行運營。不能通過一個統(tǒng)一的APP或管理程序來管理不同物聯(lián)網(wǎng)廠商的設(shè)備，不同廠商之間的設(shè)備也不能夠互信互認。

國際CAB組織曾討論過建設(shè)IoT數(shù)字證書的相關(guān)規(guī)范，但由于IoT證書完全是私有化的證書（自建 CA 簽發(fā)的證書），證書的參數(shù)等都有可能由物聯(lián)網(wǎng)制造商自行定義，所以目前CA/B組織沒有計劃進行IoT數(shù)字證書規(guī)范的建設(shè)。

2022 年，國際550家企業(yè)聯(lián)合成立了物聯(lián)網(wǎng)技術(shù)領(lǐng)域的相關(guān)組織，共同創(chuàng)建、維護和發(fā)布物聯(lián)網(wǎng)（IoT）全球開放標準。同年10月，該組織主導制定了物聯(lián)網(wǎng)信任服務的技術(shù)協(xié)議，致力于解決物聯(lián)網(wǎng)設(shè)備互信互認問題。

該協(xié)議對于設(shè)備的認證同樣采用了PKI方式，定義了PAA（信任根）和PAI（中間根）以及DAC（設(shè)備認證證書），目前DigiCert和StrongKey被授權(quán)充當該協(xié)議的可信根。

物聯(lián)網(wǎng)信任體系雛形

目前，基于該協(xié)議的證書服務還屬于一種面向私域的PKI密碼安全服務，如何向國際相關(guān)組織申請成為該協(xié)議的可信根的標準也不清晰。未來該協(xié)議如果能擴展到所有的物聯(lián)網(wǎng)領(lǐng)域，成為全球物聯(lián)網(wǎng)行業(yè)的統(tǒng)一標準，則基于該標準的PKI服務需要建立相應的技術(shù)和運營規(guī)范，類似于由 CA/B組織制定的SSL證書的基線要求規(guī)范。

隨著信任體系不斷向物聯(lián)網(wǎng)領(lǐng)域延伸，將會催生出更加豐富的應用場景，讓網(wǎng)絡(luò)空間變成超大規(guī)模的虛擬社會，并逐漸從無序變?yōu)橛行?。無論在現(xiàn)實空間還是虛擬空間，數(shù)字信任體系都是讓這一切井然有序的基礎(chǔ)。

信任是人類社會不斷演進過程中，面對復雜事物時所采取的一種簡化方式，從而保障人類能夠順利開展各項社會行為，是一種基本求存反應。當人類進入信息技術(shù)革命的時代，虛擬世界成為平行于現(xiàn)實的另一個全新的世界，“構(gòu)建信任·傳遞信任”，是時代賦予我們的巨大機遇，是數(shù)字經(jīng)濟穩(wěn)健發(fā)展的動力。

作為天威誠信的立業(yè)之根本，我們將攜手廣大同仁為構(gòu)建安全、誠信、法制的數(shù)字世界而努力。