全國CA互認(rèn)路線的分析與實(shí)踐
引言
近年來�,國家連續(xù)出臺政策,旨在優(yōu)化營商環(huán)境��,推動全國統(tǒng)一大市場的加速建設(shè)���,降低經(jīng)營主體的交易成本���,并促進(jìn)招標(biāo)采購行業(yè)實(shí)現(xiàn)全流程電子化。其中�,實(shí)現(xiàn)跨區(qū)域、跨平臺的CA互認(rèn)被視為關(guān)鍵的支撐措施��。本文圍繞CA互認(rèn)研究����,分析技術(shù)路線�����、移動CA互認(rèn)框架�、技術(shù)關(guān)鍵要點(diǎn)�����,并總結(jié)實(shí)踐驗(yàn)證情況�����。通過對這些問題的深入研究���,希望能夠幫助讀者加深對CA互認(rèn)技術(shù)方案的了解,同時為解決全國統(tǒng)一大市場建設(shè)中面臨的技術(shù)問題�,提供可借鑒的工作方法。
一�、CA互認(rèn)的技術(shù)路線分析與選擇過程
從實(shí)踐來看,實(shí)現(xiàn)網(wǎng)絡(luò)共享CA數(shù)字證書的技術(shù)路線主要分為基于硬件CA和移動CA兩種����。
(一)硬件CA互認(rèn)
基于硬件CA的互認(rèn)主要有兩種技術(shù)實(shí)現(xiàn)方法:一是對各CA機(jī)構(gòu)和印章機(jī)構(gòu)的現(xiàn)有驅(qū)動程序集中打包;二是國家開發(fā)統(tǒng)一驅(qū)動接口包�。
2014年至2017年,國家層面和地方層面均在開展全國硬件CA互認(rèn)共享的探索���。同時����,部分省份的公共資源交易平臺也開展了本省內(nèi)的硬件CA互認(rèn)。從實(shí)踐應(yīng)用來看�����,硬件CA互認(rèn)存在四個不易解決的問題:
一是對現(xiàn)有技術(shù)依存度大��,對CA機(jī)構(gòu)的底層驅(qū)動技術(shù)和交易平臺的對接開發(fā)改造依賴度很大�;
二是對接工作量大 ,每實(shí)現(xiàn)一家CA機(jī)構(gòu)互認(rèn)���,都需完成從底層驅(qū)動到交易平臺的技術(shù)對接��,對接難度大����、對接工作量繁重����;
三是硬件介質(zhì)鎖的痛點(diǎn)仍在����,包括CA辦理效率低、攜帶和使用不方便���、驅(qū)動包升級困難�、CA機(jī)構(gòu)擴(kuò)容難度大等;
四是相關(guān)各方的權(quán)責(zé)利關(guān)系錯位�,發(fā)鎖的收費(fèi)方和提供用鎖的服務(wù)方之間責(zé)權(quán)利錯配。
(二)移動CA互認(rèn)
2020年2月����,國家發(fā)改委在170號文中首次提出加快推進(jìn)移動CA應(yīng)用。移動CA技術(shù)方案是通過開發(fā)公共資源交易領(lǐng)域全國統(tǒng)一的CA互認(rèn)共享組件和全國統(tǒng)一的互認(rèn)標(biāo)準(zhǔn)二維碼來實(shí)現(xiàn)全國CA互認(rèn)����。
移動CA互認(rèn)相對于硬件CA互認(rèn)具有顯著優(yōu)勢,主要體現(xiàn)在五個方面:一是去除物理介質(zhì)�,無驅(qū)動,CA機(jī)構(gòu)可“秒”擴(kuò)容�����;二是和交易平臺的技術(shù)對接簡單����,時間短;三是通過手機(jī)在線辦理����,使用便捷成本低�,體驗(yàn)好����;四是有效兼容現(xiàn)有存量硬件CA鎖;五是在線授權(quán)與記錄��,主體行為可追溯��,便于監(jiān)管�����。
為落實(shí)國務(wù)院24號文����,根據(jù)857號文、54號文要求����,國家發(fā)展改革委指導(dǎo)中國招標(biāo)投標(biāo)協(xié)會建立雙周協(xié)調(diào)調(diào)度會議機(jī)制,先后召開 5 次調(diào)度會�,及時調(diào)度各地方和企業(yè)工作進(jìn)展情況,中國招標(biāo)投標(biāo)公共服務(wù)平臺分別對試運(yùn)行網(wǎng)絡(luò)共享 CA 數(shù)字證書的13家試點(diǎn)單位提出的具體問題和建議做進(jìn)一步解答回復(fù)����,大力推進(jìn)技術(shù)標(biāo)準(zhǔn)驗(yàn)證,確保驗(yàn)證工作如期完成�。
目前,移動CA互認(rèn)技術(shù)標(biāo)準(zhǔn)驗(yàn)證已經(jīng)取得一定成果�,下一步將擴(kuò)大驗(yàn)證范圍。
二�、移動CA互認(rèn)框架研究
(一)CA互認(rèn)原則
移動CA互認(rèn)遵循四大原則:一是支持經(jīng)營主體自主選擇APP、CA證書�����,切實(shí)減輕經(jīng)營主體負(fù)擔(dān)���;二是充分兼容各類交易平臺技術(shù)路線和CA應(yīng)用現(xiàn)狀����,開放接入所有符合標(biāo)準(zhǔn)的CA機(jī)構(gòu)和印章機(jī)構(gòu)��;三是嚴(yán)格執(zhí)行數(shù)據(jù)安全法律法規(guī)����,確保“依法依規(guī)����,安全可靠”�����;四是根據(jù)24號文��,以“只用一套證書”為目標(biāo)��,實(shí)現(xiàn)全國范圍內(nèi)跨行業(yè)���、跨區(qū)域、跨平臺一碼通行�����。
(二)移動CA互認(rèn)思路
為提升電子交易平臺的便捷性�、安全性和跨平臺互操作性,采取以下設(shè)計思路:一是基于移動CA并兼容硬件CA鎖����;二是目錄共享和“點(diǎn)對點(diǎn)”互聯(lián);三是使用入口上增設(shè)“互認(rèn)入口” �;四是付費(fèi)模式上增加按時按量付費(fèi)。
(三)移動CA互認(rèn)總體結(jié)構(gòu)
移動CA互認(rèn)技術(shù)方案通過統(tǒng)一標(biāo)準(zhǔn)�,開放接入符合國家和行業(yè)標(biāo)準(zhǔn)的各類APP���、所有CA機(jī)構(gòu)和所有印章機(jī)構(gòu);各交易平臺側(cè)前置安裝部署CA互認(rèn)共享組件和展示全國互認(rèn)標(biāo)準(zhǔn)二維碼�,經(jīng)營主體在交易平臺上通過該CA互認(rèn)共享組件實(shí)現(xiàn)各個平臺與平臺之間“點(diǎn)對點(diǎn)”數(shù)據(jù)授權(quán)直聯(lián)互認(rèn)共享�。
另外,各交易平臺上是增加全國互認(rèn)入口��,依然保留?����。ㄆ脚_)本地入口��,兼容平臺現(xiàn)有硬件CA鎖,存量用戶使用不受影響���。
(四)移動CA互認(rèn)路徑
交易平臺加入CA互認(rèn)網(wǎng)絡(luò)后,經(jīng)營主體漫游使用移動互認(rèn)CA進(jìn)行交易的路徑分為四步:
第一步��,自主選擇APP���。經(jīng)營主體可在交易平臺所支持的互認(rèn)共享APP目錄中自主選擇APP進(jìn)行下載;
第二步��,申請平臺證書���。經(jīng)營主體在交易平臺上自助選擇辦理CA證書;
第三步�,開通漫游���。經(jīng)營主體可在任一支持全國移動CA互認(rèn)的APP上�����,開通漫游服務(wù)���。
第四步��,掃碼使用。經(jīng)營主體在任一參與全國互認(rèn)的交易平臺上掃描全國共享CA互認(rèn)入口二維碼�����,進(jìn)行注冊或登錄完成身份認(rèn)證��、電子簽章簽名和加密解密等操作。
三��、移動CA互認(rèn)技術(shù)關(guān)鍵點(diǎn)
當(dāng)前,招標(biāo)采購行業(yè)CA應(yīng)用現(xiàn)狀呈現(xiàn)出經(jīng)營主體數(shù)量龐大�、交易時效性要求嚴(yán)苛以及區(qū)域內(nèi)互認(rèn)的特點(diǎn)���。由于CA本身的這些發(fā)展特點(diǎn)����,讓移動CA互認(rèn)方案面臨眾多技術(shù)難點(diǎn)��,如兼容性、技術(shù)對接����、網(wǎng)絡(luò)結(jié)構(gòu)���、數(shù)據(jù)共享路徑����、解密失敗應(yīng)對等等。
(一)關(guān)鍵點(diǎn)一:與平臺現(xiàn)有硬件CA鎖的兼容
移動CA互認(rèn)技術(shù)方案保留?����。ㄆ脚_)本地入口,增加全國互認(rèn)入口,兼容平臺現(xiàn)有硬件CA鎖�,存量用戶使用不受影響。并滿足本平臺以外跨區(qū)域投標(biāo)企業(yè)需求�,實(shí)現(xiàn)異地平臺共享登錄,簽名蓋章和加密解密���。
(二)關(guān)鍵點(diǎn)二:移動CA互認(rèn)網(wǎng)絡(luò)結(jié)構(gòu)問題
互認(rèn)網(wǎng)絡(luò)有級聯(lián)和互聯(lián)兩種方式,級聯(lián)結(jié)構(gòu)依賴單點(diǎn)����,存在卡頓風(fēng)險,互聯(lián)結(jié)構(gòu)不受中心化節(jié)點(diǎn)影響����,更穩(wěn)定���,更開放����。移動CA互認(rèn)技術(shù)方案采用互聯(lián)結(jié)構(gòu)�����,即分布式部署網(wǎng)絡(luò)結(jié)構(gòu)。經(jīng)營主體可通過CA互認(rèn)共享組件實(shí)現(xiàn)各個平臺之間“點(diǎn)對點(diǎn)”數(shù)據(jù)授權(quán)直聯(lián)互認(rèn)共享��,從而避免因單一中心化節(jié)點(diǎn)負(fù)載過高導(dǎo)致全國范圍內(nèi)市場主體無法完成投標(biāo)和開標(biāo)的故障����。
(三)關(guān)鍵點(diǎn)三:移動CA互認(rèn)數(shù)據(jù)共享路徑
數(shù)據(jù)共享有國家統(tǒng)一集中的中心化和交易平臺多中心化兩種方式�,中心化方式存在數(shù)據(jù)安全隱患高����、成本高的問題��,多中心化方式則更穩(wěn)定�、性能更好����。移動CA互認(rèn)技術(shù)方案采用多中心化數(shù)據(jù)共享。
(四)關(guān)鍵點(diǎn)四:移動CA互認(rèn)與各省及央企平臺主體庫的共享
移動CA互認(rèn)技術(shù)方案的省內(nèi)分布式共享與集中式共享兩種模式兼容各省及央企主體庫�����,不影響目前管理模式����。
省內(nèi)分布式共享是指經(jīng)營主體通過掃碼登錄交易平臺時,數(shù)據(jù)信息先授權(quán)推送到交易平臺��,再同步給各省及央企平臺統(tǒng)一主體庫�����。
省內(nèi)集中式共享是指經(jīng)營主體通過掃碼登錄交易平臺時�����,數(shù)據(jù)信息先推送到各省及央企平臺統(tǒng)一主體庫,再將經(jīng)營主體的數(shù)據(jù)信息推送給交易平臺��。
(五)關(guān)鍵點(diǎn)五:移動CA互認(rèn)后解密失敗應(yīng)對機(jī)制
從以往的案例來看��,由于CA證書問題導(dǎo)致投標(biāo)文件解密失敗取消投標(biāo)資格的現(xiàn)象屢見不鮮。
移動CA互認(rèn)技術(shù)方案通過預(yù)解密控件、備份信封��、鏈上保障等交易保障措施應(yīng)對移動CA互認(rèn)解密失敗�����,確保投標(biāo)解密萬無一失���。
(六)關(guān)鍵點(diǎn)六:兼容電子營業(yè)執(zhí)照
2023年4月��,國辦電子政務(wù)辦組織編制了《電子證照擴(kuò)大應(yīng)用領(lǐng)域和全國互通互認(rèn) 2023 年重點(diǎn)任務(wù)分工方案(征求意見稿)》,提出在公共資源交易領(lǐng)域推廣和擴(kuò)大電子營業(yè)執(zhí)照�、電子簽章電子合同聯(lián)合應(yīng)用,實(shí)現(xiàn)招投標(biāo)領(lǐng)域全流程數(shù)字證書跨地區(qū)����、跨平臺互認(rèn)��,支持地方探索電子營業(yè)執(zhí)照在交易平臺的應(yīng)用,基本實(shí)現(xiàn)“一照通行”“一照通投”���。
移動CA互認(rèn)技術(shù)方案預(yù)留電子營業(yè)執(zhí)照集成接口����,支持通過APP使用電子營業(yè)執(zhí)照實(shí)現(xiàn)“一照通投”�����。
(七)關(guān)鍵點(diǎn)七:遠(yuǎn)程異地評標(biāo)專家移動CA互認(rèn)
在遠(yuǎn)程異地評標(biāo)中�,專家數(shù)字證書可以采用移動CA,通過密鑰分割技術(shù)將證書保管在手機(jī)等智能終端上���,使用時通過掃描二維碼進(jìn)行簽字�����;針對交易中心�����、部分央企評標(biāo)室不能攜帶手機(jī)的情況�����,也可以將數(shù)字證書保管在服務(wù)端���,通過專家刷臉等授權(quán)管理方式,保證密鑰的調(diào)用經(jīng)密鑰所有權(quán)人的合法授權(quán)��。
(八)關(guān)鍵點(diǎn)八:移動CA互認(rèn)與交易平臺內(nèi)簽章互認(rèn)
移動CA互認(rèn)技術(shù)方案先采取“誰簽誰驗(yàn)”方式�,通過統(tǒng)一的CA互認(rèn)簽章工具集成各平臺簽章控件,投標(biāo)人在某個平臺上參與交易時自動切換至該平臺使用的簽章控件����,從而實(shí)現(xiàn)一個平臺僅使用同一簽章控件。
目前���,國家層面已經(jīng)建設(shè)統(tǒng)一的電子印章管理平臺��,在中國招標(biāo)投標(biāo)協(xié)會指導(dǎo)下�,中國招標(biāo)投標(biāo)公共服務(wù)平臺正在與公安部電子印章開展技術(shù)驗(yàn)證���。隨著國家級統(tǒng)一電子印章管理平臺的建設(shè)應(yīng)用���,移動CA互認(rèn)技術(shù)方案最終能實(shí)現(xiàn)“互簽互驗(yàn)”。
(九)關(guān)鍵點(diǎn)九:省內(nèi)��、跨省區(qū)域與全國互認(rèn)的關(guān)系
目前��,部分地方實(shí)現(xiàn)省內(nèi)和區(qū)域內(nèi)的CA互認(rèn)��,但由于各省、各區(qū)域內(nèi)的二維碼格式不一致�����,所以不支持跨省CA互認(rèn)�。移動CA互認(rèn)技術(shù)方案通過全國統(tǒng)一共享互認(rèn)二維碼����,同時兼容省內(nèi)CA互認(rèn)和區(qū)域互認(rèn),實(shí)現(xiàn)全國范圍內(nèi)的CA互認(rèn)���。
(十)關(guān)鍵點(diǎn)十:兼容支持多APP接入
移動CA互認(rèn)技術(shù)方案本著共性�����、中立的原則�,兼容開放多APP接入�����,實(shí)現(xiàn)經(jīng)營主體可自主選擇任一APP����。目前��,已有7家APP接入驗(yàn)證����,其中中招互連APP率先完成對接和測試����,證明了技術(shù)方案的可行性�。
四����、移動CA互認(rèn)實(shí)踐驗(yàn)證
截止2024年3月3日����,移動CA互認(rèn)在13家驗(yàn)證平臺上線試運(yùn)行�����,掃碼注冊登錄、掃碼簽名簽章����、掃碼加解密人次共計85萬次,開通移動證書3500多張�。移動CA互認(rèn)技術(shù)方案驗(yàn)證效果總結(jié)主要體現(xiàn)在五個方面:
首次實(shí)現(xiàn)跨區(qū)域全國互認(rèn)����,包括省市兩級公共資源交易系統(tǒng)��、央國企和第三方各類交易平臺���。涉及多個開發(fā)單位異構(gòu)系統(tǒng)��。
第二,實(shí)現(xiàn)公共資源交易全領(lǐng)域覆蓋��,本次驗(yàn)證的交易平臺涵蓋了市政、房建�、水利等公共資源交易全部領(lǐng)域��。
第三�,交易平臺對接便捷快速,僅1個半月的時間����,驗(yàn)證交易平臺都完成全部功能改造并正式部署上線��。CA互認(rèn)共享組件還同步接入了數(shù)十家CA機(jī)構(gòu)���。
第四�,有效降低經(jīng)營主體成本,驗(yàn)證的13家平臺�����,平均每個投標(biāo)人漫游3個交易平臺��,證書費(fèi)用大概降低30%。辦理時間大幅縮短����。
第五,確保CA互認(rèn)“零失敗”����,通過結(jié)合聯(lián)盟區(qū)塊鏈提供交易保障服務(wù)��,避免物理CA鎖涉及驅(qū)動環(huán)境兼容和設(shè)備故障等問題導(dǎo)致CA無法正常使用的問題�����。
結(jié)語
全國CA互認(rèn)路線的研究與實(shí)踐,應(yīng)致力于探究和實(shí)現(xiàn)一種高效����、安全的CA互認(rèn)技術(shù)路線。通過深入研究CA互認(rèn)的技術(shù)路線、移動CA互認(rèn)框架的構(gòu)建�����、技術(shù)關(guān)鍵點(diǎn)的攻克以及實(shí)踐驗(yàn)證過程�,CA互認(rèn)技術(shù)方案已經(jīng)取得了一系列積極的成果�。下一步�����,在國家政策指導(dǎo)下���,中招互連將遵循該技術(shù)方案����,積極實(shí)踐推廣����,不斷優(yōu)化和完善CA互認(rèn)技術(shù)���,為推進(jìn)全國統(tǒng)一大市場貢獻(xiàn)力量。
北京中招互連應(yīng)用科技有限公司 胡志高 楊傳平 毛瑩
