中國電子商務需要電子認證

《電子簽名法》的頒布，推動了中國電子認證產業的發展，并取得了明顯的效果，中國電子商務的交易安全得到了有力保障。但是較之于飛速發展的電子商務，電子認證仍然面臨嚴峻挑戰。

在中國，政府部門的推動是推進電子認證發展的主要動力，但除網絡銀行外，其他電子商務對電子認證的使用仍舊較少。電子商務認證市場沒有被完全帶動起來。

為了確保網上銀行、電子商務和電子證書的發展，國際上多數服務器都提供了SSL服務來確保信息傳輸的保密性、完整性。但是中國各類SSL安全站點證書的部署卻仍然比較薄弱，附表是中國SSL站點證書部署的統計數據。可見，中國電子認證行業的發證規模，同國際CA公司相比存在一定差距; 而且電子認證的主要應用領域比較單一，電子證書的使用仍舊有待推進。有資料顯示，大部分的網銀用戶仍然使用口令的方式進行電子交易，數字證書的使用比較有限。

此外，很多人都有過這樣的經歷，當登錄某個網站時，微軟瀏覽器常常顯示“證書錯誤，導航已阻止”字樣。這是因為，為了保證用戶輸入信息傳輸和存儲的安全，許多網站都采用了服務器證書。但由于發放服務器證書的CA機構，并非都已經通過微軟瀏覽器的認證，因此，微軟瀏覽器將這些證書都當成是非法證書。

目前，微軟所認可的CA公司數目雖然逐年增長，但其中包含的中國公司卻很有限，截至2009年11月份，只有互聯網信息中心(CNNIC)、上海CA和深圳沃通公司的根證書申請并進入微軟的“Microsoft Root Certificate Program”。

電子商務采用的軟件和系統等都是國際化的，電子商務網絡邊界也是模糊的，為了提高電子證書在商務應用領域的作用，因此很有必要提高中國各CA機構在國際/國內的認可度。

證書策略滿足

多樣化需求

電子商務吸引了傳統企業及各類互聯網企業加入其中，日漸形成全網銷售態勢。同時終端多樣化使得越來越多的用戶能夠接入網絡購物，網購的用戶滲透率也不斷提高，網購逐漸成為消費者生活中的重要組成部分。隨著網絡銷售的企業以及網絡購物用戶數量的大量增長，電子商務的多樣化安全需求越來越突出。

比如網上銀行系統，除了對網銀用戶進行基本的身份鑒別之外，它還希望能對用戶有一個區分。例如，出于安全的考慮，網銀允許某些特定的用戶網上交易額度最高為50萬元，而限制另外一些用戶交易不得超過1萬元。

又如，綜合的網上辦公系統，除了在辦公人員登錄時進行身份鑒別之外，還希望能對他們作出區分。符合某些條件的人可以查看全部的項目情況，符合另外一些條件的人僅可以查看本組的項目情況，而有些人只能查看自己的項目情況。這也體現了應用系統在安全需求方面的多樣性。

對調研數據進行分析處理后，我們發現各種應用的安全需求或者安全等級呈現出一些可進行劃分的輪廓(同一輪廓中聚集著擁有類似需求或相似條件的個體)，且一般會呈現出兩種情況: 第一種情況，劃分以高低層次為主要特征，如網上銀行的安全需求一般是依照用戶對金額的可支配上限; 第二種情況，劃分以不同關注方面為特征，如發郵件、登錄管理網站、登錄查看個人信息以及小額支付。

針對這樣的問題，PKI系統引入了證書策略以及認證業務聲明。簡單地說，證書策略和認證業務聲明可認為是CA公司對數字證書(實質是該證書的持有者)的安全等級的一個說明。應用系統在閱讀證書策略和認證業務聲明后，便可得到該證書(實質是該證書的持有者)在安全等級方面的信息。應用系統通過這種具有指導意義的信息可以判斷出證書(實質是該證書的持有者)是否擁有系統所要求的安全等級。

證書策略太“樸素”

面對電子商務的多樣化需求，PKI系統中通過引入CP和CPS來實現證書“分級”，不同“等級”的證書簽發質量各不相同，安全強度也不一樣，比如，按照測試流程發放的證書應該不能用于正式的電子交易。而中國目前由于缺乏對數字證書的分級，人們無法從證書中獲知證書的安全等級。中國獲得電子認證服務許可證的CA公司，幾乎都沒有進行證書策略的體系劃分，一般是根據證書使用對象的不同，進行證書類型劃分，也稱為“樸素的證書策略”。

個人證書

個人證書是為個人提供的數字證書，用戶使用此證書來向對方表明個人的身份。證書可用于安全Web站點訪問、安全電子郵件、網上銀行等電子商務系統、網上報稅等電子政務系統。個人證書根據用途的不同分為“個人身份證書、個人Email證書、個人代碼簽名證書”。

個人身份證書:包含個人身份信息的證書，它用于標志自然人在進行信息交換、電子簽名、電子政務、電子商務等網絡活動中的身份，并且保障信息在傳輸中的安全性和完整性，可以存儲在硬盤、USB Key 、IC卡等介質中。

個人Email證書: 用于標志自然人申請者電子郵件(E-mail)的身份。證書持有人可以在電子郵件中對信件內容進行加密和簽名操作。

個人代碼簽名證書: 以個人身份申請，用于對軟件代碼進行簽名，以有效防止其軟件代碼被篡改，擁有者身份被冒用等。下載經過代碼簽名的軟件時，可以確保軟件的來源和完整性。

單位證書

單位證書是頒發給獨立的單位、組織的數字證書，用于在網絡上對政府機關、企事業和各類組織機構進行身份認證、發送安全電子郵件或網上信息交換的身份認證，可用于企業間電子商務及網上年檢、網上稅務等電子政務。同樣，單位證書也按用途分為單位身份證書、單位Email證書、單位代碼簽名證書。

服務器身份證書

服務器身份證書是符合x.509標準的數字安全證書，證書中包含服務器信息和服務器的公鑰，用于標識證書持有服務器的身份。數字安全證書和對應的私鑰存儲于Ekey或IC卡中，用于表征該服務器的身份。它主要用于網站交易服務器，用于在服務器端表明服務器身份，用戶可以通過對服務器證書的驗證來確定所訪問的應用服務器是否真實可靠。

雖然國內的CA機構，根據證書的使用者不同，證書的用途不同，對證書進行了劃分，但是劃分比較簡單，不能滿足電子商務的多樣化需求。比如，對于個人用于參加網上交易的證書，多數CA機構只提供“個人身份證書”這一類，并沒有對持有證書的個體可以進行網上交易的數額進行劃分。因此，需要在數字證書中引入證書策略，說明擁有證書的個體或單位可以進行電子交易的能力或使用各種資源的能力。(本文作者來自中國科學院研究生院信息安全國家重點實驗室)