面对新形式，传统的电子认证服务的命运将何去何从？

—背景—

随着《电子签名法》的颁布执行，很多区域和行业先后成立了电子认证服务机构，这些机构通过建设CA系统颁发和管理数字证书的方式为信息化提供安全服务，在一定程度上为信息化提供了安全保障，也获取了一定的经济效益。但是，随着国家政策的变化、新应用场景的出现、密码技术的丰富，传统电子认证服务机构的政策和技术红利有所减弱，各个机构都面临了新的发展问题（一些发展不好的服务机构或被收编或倒闭，这都是很可惜的事情），也都在寻找转变机遇，希望能在新形式下继续为信息化提供安全支撑。本文旨在为电子认证服务机构提供几种转变思路供参考。

—情况分析—

不利方面：

随着密码技术的发展，过去以数字证书为核心的安全建设发展到现在以密码技术为核心的安全应用发展阶段，在进行安全应用设计和建设过程中，数字证书仅是其中的一种选择，客户还有更多其他的选择。具体论述请参见《必须从发展的角度认识密码技术和数字证书，才能给出客观的评价》，这样的变化势必给以数字证书为核心业务的电子认证服务机构带来一些挑战。

有利方面：

1、电子认证服务（数字证书认证）发展多年来，一直是密码技术的最佳实践，积累了大量的密码技术人才和实践经验，也聚集了大量忠实用户。

2、电子认证服务机构是需要资质（电子认证服务许可证）支持的，而电子认证服务机构的核心系统是CA（ Certification Authority）系统，其中“Authority”就是“权威”的意思。资质和权威（A）恰恰是电子认证服务机构最大的有利条件。

如何利用有利条件，弥补不利条件，在短时间内跟上密码行业的转变，是摆在所有电子认证服务机构面前的重大课题。

作者建议电子认证服务机构做到如下两点：

1、设计和放大“A”范围来扩大业务服务领域，进一步扩大价值和夺回地位

2、通过自身人才队伍快速形成密码咨询服务体系，成为密码应用主力军

注：上述关于利用人才队伍形成密码咨询服务体系，作者在以往的文章中多次提到，本文就不过多论述，感兴趣的可以向作者索要此方面的材料。

—做足“A”的文章—

在这个诚信至上的社会，“权威”往往代表诚信、代表着权力、代表着可信，请参见《信息化中【判断是否可信】，不是件容易的事情，要擦亮眼睛》。作为我国信息化层面唯一的一个有牌照、有法律保护的"A"，其本身的价值是不可限量的，当下众多“A”的拥有者所面临的困局主要是因为没有脱离CA的限制，没有在“A”上做充足的扩展。就此作者给出如下几个建议，供参考（详细说明可向作者索要）：

1、密码技术的核心是密码资源和密钥，为此可扩展为MCA（密码计算权威）和MMA（密钥管理权威），至于MMA的应用范围可以根据实际情况限定，不至于违背国家规定；

2、数据确权和行为确权是数字经济的基础，而密码和时间是确权的两大基础，为此可在原有A的基础上扩展为DTSA（数据时间戳权威）和ATSA（行为时间戳权威）；

3、作者在以往的文章中提及过，数据共享交换是数据开发利用的三大基础设施之一《数据开发利用，从设计“三大基础”开始》，而数据共享交换在按照作者的设计理念必须基于密码技术构建的一个交互索引中枢，所以可以在原有A的基础上扩展为DEA（数据交换权威）；

4、安全的很多问题，往往是权力和职责的问题，单一的权力服务和鉴定不如引入三方的相互佐证更为有效，在这个层面可以考虑在原有A的基础上扩展为PWA（权力见证权威）；

。。。。。。

—总结—

电子认证服务之于密码行业很重要，这种存在独立第三方的体系设计，是一个非常实用和成功的密码场景体系设计，以往的辉煌足以证明这一点。当下电子认证服务所面临的困局并不代表这种体系有了问题，而是在当前的形式下，从业者坚守以数字证书为核心的老模式终究日子不好过，务必开动脑筋寻求创新之道，方法一定有很多。