證書策略路在何方?

電子認(rèn)證產(chǎn)業(yè)

需要新動(dòng)力

自2005年《電子簽名法》發(fā)布之后，經(jīng)過(guò)5年的時(shí)間，我國(guó)電子認(rèn)證產(chǎn)業(yè)逐步從初期階段進(jìn)入技術(shù)成熟期。但是，電子認(rèn)證產(chǎn)業(yè)作為信息領(lǐng)域重要的基礎(chǔ)設(shè)施，其發(fā)展規(guī)模、用戶規(guī)模、市場(chǎng)規(guī)模、應(yīng)用規(guī)模等方面尚未形成集團(tuán)優(yōu)勢(shì)，區(qū)域化、行業(yè)化、政府化造成了電子認(rèn)證產(chǎn)業(yè)的服務(wù)職能未能充分體現(xiàn)和被廣大用戶普遍接受，使得我國(guó)電子認(rèn)證產(chǎn)業(yè)的發(fā)展進(jìn)入平臺(tái)期，即用戶數(shù)量和應(yīng)用模式不能持續(xù)快速增長(zhǎng)和擴(kuò)展，市場(chǎng)沒(méi)有得到充分挖掘。

究其原因，我國(guó)電子認(rèn)證產(chǎn)業(yè)發(fā)展在服務(wù)職能上還僅僅局限于提供身份認(rèn)證的電子認(rèn)證初級(jí)階段。作為一個(gè)電子認(rèn)證的用戶，僅知道某人的公鑰是什么還很不夠，因?yàn)樵摴€可能是僅用于測(cè)試的，也可能僅用于訪問(wèn)網(wǎng)絡(luò)，也可能用于電子交易并有10萬(wàn)元擔(dān)保。一個(gè)完整的電子認(rèn)證基礎(chǔ)設(shè)施是網(wǎng)絡(luò)信任體系的重要組成部分，它不僅應(yīng)該證明公鑰是什么，還應(yīng)該將該公鑰的安全屬性告訴用戶（包括法律擔(dān)保等信用信息），指導(dǎo)應(yīng)用程序的開發(fā)商和證書用戶正確地使用證書。

目前，我國(guó)的電子認(rèn)證企業(yè)都沒(méi)有在證書中提供證書策略的說(shuō)明，即在證書中不說(shuō)明該公鑰可以在什么場(chǎng)景下、適用于什么樣的安全需求。同時(shí)，各電子認(rèn)證企業(yè)發(fā)放證書的安全措施，包括系統(tǒng)、管理、發(fā)放流程等也存在一定差距。缺乏統(tǒng)一策略、安全程度的不一致，導(dǎo)致了證書應(yīng)用單位的許多困惑，也阻擾了電子證書的跨區(qū)域、跨行業(yè)應(yīng)用。由于電子認(rèn)證企業(yè)（CA）所證明的密鑰安全等級(jí)不一致，用戶在使用證書的時(shí)候就很難規(guī)范化，應(yīng)用程序也沒(méi)有辦法獲得相關(guān)安全信息，無(wú)法自動(dòng)地進(jìn)行證書選擇。

缺少證書策略的指導(dǎo)，不僅給用戶使用證書帶來(lái)了諸多困難，也成為證書推廣和跨行業(yè)應(yīng)用的障礙，已經(jīng)成為依賴電子認(rèn)證的電子商務(wù)系統(tǒng)、電子政務(wù)系統(tǒng)的互聯(lián)互通進(jìn)程中必須解決的一個(gè)問(wèn)題。

證書策略推動(dòng)技術(shù)進(jìn)步

建設(shè)PKI的意義在于把PKI的服務(wù)推廣到各種應(yīng)用系統(tǒng)中，從而成為一種基礎(chǔ)設(shè)施。應(yīng)用系統(tǒng)的多樣性以及應(yīng)用系統(tǒng)對(duì)安全需求的多樣性，要求PKI提供安全服務(wù)也滿足這樣的多樣性。因此，PKI技術(shù)和證書應(yīng)用要想普及，就應(yīng)該有一個(gè)針對(duì)多樣性的解決方案，以滿足各種應(yīng)用系統(tǒng)的安全需求。證書策略和證書策略體系正是解決上述問(wèn)題的關(guān)鍵技術(shù)。

證書策略就是這樣一個(gè)數(shù)據(jù)，它是數(shù)字證書中的一個(gè)標(biāo)志，是用戶安全等級(jí)和應(yīng)用范圍的一個(gè)說(shuō)明，它表明了公鑰所對(duì)應(yīng)用戶的安全屬性，可以指導(dǎo)應(yīng)用程序的開發(fā)商或證書的依賴方識(shí)別證書的安全級(jí)別，以便正確使用該證書。

通過(guò)制定不同的證書策略，可以規(guī)范證書質(zhì)量，其基礎(chǔ)是對(duì)CA機(jī)構(gòu)進(jìn)行的評(píng)估和認(rèn)定。采用科學(xué)而規(guī)范的方法，依照不同層次的證書策略要求，對(duì)認(rèn)證機(jī)構(gòu)進(jìn)行不同安全要求的評(píng)估和認(rèn)定，才能保證不同證書策略的有效實(shí)施，確保數(shù)字證書的質(zhì)量，才能使證書策略能夠行之有效，促進(jìn)我國(guó)電子認(rèn)證業(yè)發(fā)展，使我國(guó)的認(rèn)證機(jī)構(gòu)達(dá)到國(guó)際認(rèn)可的標(biāo)準(zhǔn)。

證書策略體系設(shè)計(jì)

在考慮我國(guó)的證書策略體系設(shè)計(jì)之前，首先必須有一個(gè)適當(dāng)?shù)囊?guī)劃方法。應(yīng)該按照如下步驟來(lái)設(shè)計(jì)我國(guó)的證書策略體系：首先，探索證書策略體系構(gòu)建的科學(xué)方法；其次，明確我國(guó)證書策略體系的適用范圍；之后，提出適合現(xiàn)階段我國(guó)國(guó)情的證書策略體系設(shè)計(jì)。

證書策略體系設(shè)計(jì)不可能面面俱到，只能做到盡量合理，只要保證設(shè)計(jì)的CP（證書策略）能夠適用于盡可能多的用戶，同時(shí)又能控制實(shí)施CP的成本，即可以認(rèn)為該設(shè)計(jì)是合理和可操作的。

1. 證書策略空間的概念

構(gòu)成證書策略的內(nèi)容要素是制定證書策略分類分級(jí)的主要依據(jù)，但是由于要素內(nèi)容多而且復(fù)雜，需要特定的方法提取出主要的要素，以及這些要素可能的取值。由此，我們提出證書策略空間定義和剪裁的概念和方法，并依據(jù)該方法來(lái)設(shè)計(jì)我國(guó)的證書策略體系。

首先，證書策略是一個(gè)多維空間，每個(gè)維度代表一個(gè)證書策略要素，而每個(gè)維度上的坐標(biāo)值代表了這個(gè)要素的一個(gè)具體取值。由于影響證書策略劃分的因素很多，證書策略空間就會(huì)變成一個(gè)超級(jí)復(fù)雜的多維空間。維度的劃分是證書策略空間的核心問(wèn)題。而且，在這個(gè)多維證書策略空間中選擇合適的證書策略也是十分困難的，因此必須根據(jù)應(yīng)用需要做出剪裁。（見圖1）

CP設(shè)計(jì)中需要注意和考慮的方面如圖2所示。

可以通過(guò)以下四個(gè)獨(dú)立維度來(lái)劃分CP：

#8226;證書持有人的自身屬性（Property，P）；

#8226;證書申請(qǐng)和審核過(guò)程中的嚴(yán)格程度（Certification，C）；

#8226;證書持有人的私鑰安全保護(hù)程度（Security Environment，S）；

#8226;應(yīng)用場(chǎng)景對(duì)證書信息的需求（Information，I）。

每個(gè)維度又可以劃分為不同的級(jí)別（或者類別），見圖3。

2.證書策略體系

目前，證書主要應(yīng)用在電子政務(wù)和電子商務(wù)領(lǐng)域，鑒于電子政務(wù)領(lǐng)域的復(fù)雜性和一些管理上的原因，建議首先針對(duì)商業(yè)交易和公眾服務(wù)設(shè)計(jì)證書策略體系。商業(yè)交易主要是指電子商務(wù)中的交易；公眾服務(wù)是指面向公民的社會(huì)服務(wù)，暫不涉及電子政務(wù)和政府內(nèi)部。由此，我國(guó)證書策略體系的適用范圍可以如圖4所示。

我國(guó)現(xiàn)階段的證書策略體系設(shè)計(jì)分為基線證書策略和三個(gè)具體的適用范圍的證書策略（見圖5）?；€證書策略和每個(gè)適用范圍內(nèi)證書策略的要點(diǎn)如下：

a.基線證書策略

該證書策略將囊括對(duì)現(xiàn)有CA的基本要求，使得現(xiàn)有的CA仍舊能夠提供認(rèn)證服務(wù)。這個(gè)策略也是最基本的證書策略。該類型的證書可以用于網(wǎng)絡(luò)身份認(rèn)證、網(wǎng)絡(luò)安全登錄、通信密鑰協(xié)商等，可以不標(biāo)注在證書中，而僅僅作為開展認(rèn)證業(yè)務(wù)的基本要求。

b.設(shè)備證書策略

設(shè)備是一類比較簡(jiǎn)單的對(duì)象，因此對(duì)應(yīng)的證書策略設(shè)計(jì)主要根據(jù)審核的嚴(yán)格程度劃分，最終形成“普通級(jí)”和“可信級(jí)”兩個(gè)證書策略，在滿足基線要求的前提下，還應(yīng)該滿足如下要求：

#8226;普通級(jí)證書：應(yīng)該是實(shí)名登記，能夠滿足一般安全服務(wù)器的應(yīng)用，安裝的服務(wù)器應(yīng)達(dá)到現(xiàn)有的普通服務(wù)器的安全水平?？捎糜谝话愕腟SL服務(wù)器連接、會(huì)員制的網(wǎng)絡(luò)通信等。具有該策略的設(shè)備證書，將可以被微軟等主流瀏覽器接受。

#8226;可信級(jí)證書：在以上要求基礎(chǔ)上，增加其他安全要求，如私鑰的存儲(chǔ)要求采用特別制作的專門的硬件模塊。該策略的證書可用于更加核心和敏感的服務(wù)，如金融交易和關(guān)鍵的公眾服務(wù)。

c.公眾服務(wù)證書策略

公眾服務(wù)證書是公民獲得公眾服務(wù)的證書，每個(gè)公民在獲得公眾服務(wù)時(shí)應(yīng)該是平等的，不應(yīng)該進(jìn)行等級(jí)的劃分。但是，出于對(duì)用戶隱私的保護(hù)，劃分為實(shí)名和非實(shí)名兩類策略。非實(shí)名對(duì)應(yīng)于那些需要保護(hù)隱私的服務(wù)，比如投票、民意調(diào)查等；實(shí)名則適用于網(wǎng)上報(bào)稅等應(yīng)用。證書策略要點(diǎn)如下：

#8226;非實(shí)名級(jí)證書：用于網(wǎng)絡(luò)身份認(rèn)證。證書在登記時(shí)是實(shí)名登記的，CA需要檢查用戶的身份。但證書中僅給出用戶的號(hào)碼，不給出詳細(xì)的身份信息。這種證書可以用于網(wǎng)絡(luò)登錄、密鑰協(xié)商等。

#8226;實(shí)名級(jí)證書：該策略證書除以上功能外，還可以用于進(jìn)行數(shù)字簽名，且產(chǎn)生的數(shù)字簽名應(yīng)符合《電子簽名法》可靠的電子簽名的要求。證書中載明了用戶的姓名等必要的身份信息。在用戶授權(quán)的情況下，依賴方或驗(yàn)證機(jī)構(gòu)可以在CA中心的目錄中也可以查詢到更為詳細(xì)的身份信息。

d.商業(yè)交易證書策略

商業(yè)交易所用證書均應(yīng)符合《電子簽名法》可靠的電子簽名的要求，能夠產(chǎn)生可靠的電子簽名。為確保證書持有人的利益（被盜用后有損失），同時(shí)確保依賴方的利益（簽名人可能賠不起），同時(shí)也保護(hù)認(rèn)證機(jī)構(gòu)的利益（有一個(gè)賠付額度的問(wèn)題），我們將商業(yè)交易證書進(jìn)行分類，以確?？刂粕虡I(yè)交易的風(fēng)險(xiǎn)。針對(duì)商業(yè)交易制定三個(gè)級(jí)別的證書策略：商業(yè)交易-普通級(jí)、商業(yè)交易-中級(jí)和商業(yè)交易-高級(jí)。

商業(yè)交易證書都是可靠的電子簽名證書，但僅僅針對(duì)所對(duì)應(yīng)的金額是有效的，超過(guò)范圍的簽名仍舊是無(wú)效的。劃分的主要依據(jù)是客戶端的安全性以及對(duì)證書持有人的資信檢查程度。在信用級(jí)別的確立上，可以參考銀行信用體系中常用的信用分級(jí)標(biāo)準(zhǔn)。具有商業(yè)交易-普通級(jí)策略證書所簽合同應(yīng)在普通級(jí)信用范圍內(nèi)方有效，否則為無(wú)效合同。

3. 基線證書策略要點(diǎn)

基線證書作為證書策略體系中的基礎(chǔ)，其作用主要是明確證書策略的基本內(nèi)容，并提出普適的最低要求?；€證書策略的內(nèi)容要點(diǎn)如圖6所示。

目前我國(guó)已經(jīng)發(fā)布了《電子簽名法》、《電子認(rèn)證服務(wù)管理辦法》和《電子認(rèn)證業(yè)務(wù)聲明框架》等法律法規(guī)，沒(méi)有針對(duì)CA運(yùn)營(yíng)的具體安全要求給出明確細(xì)致的規(guī)定。為了提高電子認(rèn)證服務(wù)機(jī)構(gòu)的服務(wù)質(zhì)量，規(guī)范電子認(rèn)證行業(yè)，基線證書策略提出了電子認(rèn)證服務(wù)機(jī)構(gòu)在提供電子認(rèn)證服務(wù)過(guò)程中必須遵照的基本要求。

基線證書策略的制定考慮到未來(lái)與國(guó)際接軌。目前，亞洲國(guó)家/地區(qū)（包括韓國(guó)、印度、中國(guó)臺(tái)北等）根CA都已進(jìn)入了微軟IE的根證書列表。很多國(guó)家政府在設(shè)計(jì)和構(gòu)建PKI體系時(shí)，都考慮和設(shè)計(jì)了與國(guó)外電子認(rèn)證體系銜接。例如，美國(guó)聯(lián)邦PKI、加拿大GOC PKI的橋CA、印度為根CA體系等與與外國(guó)電子認(rèn)證體系進(jìn)行交叉認(rèn)證。我國(guó)目前還沒(méi)有建立一個(gè)統(tǒng)一的與境外電子認(rèn)證體系進(jìn)行銜接的體系。希望基線證書策略是我國(guó)加入微軟IE瀏覽器和與國(guó)際PKI體系接軌的一個(gè)準(zhǔn)備。

電子認(rèn)證服務(wù)機(jī)構(gòu)可以根據(jù)基線證書策略制定自己的《電子認(rèn)證業(yè)務(wù)規(guī)則》。電子認(rèn)證服務(wù)機(jī)構(gòu)可以根據(jù)業(yè)務(wù)發(fā)展的需要，在滿足基線證書策略的基礎(chǔ)上，制定其他證書策略和相應(yīng)的《電子認(rèn)證業(yè)務(wù)規(guī)則》?；€證書策略既對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)的規(guī)范服務(wù)和安全運(yùn)營(yíng)提出要求，同時(shí)明確了各參與方基本的權(quán)利和義務(wù)。

證書策略的標(biāo)準(zhǔn)化是規(guī)范電子認(rèn)證服務(wù)行業(yè)的切入點(diǎn)之一，可以有效地促進(jìn)全行業(yè)的良性競(jìng)爭(zhēng)和有序發(fā)展。然而，證書策略體系的規(guī)劃和實(shí)現(xiàn)，還僅僅是電子認(rèn)證產(chǎn)業(yè)進(jìn)行階段性技術(shù)革新的開始，還需要系統(tǒng)化地規(guī)劃證書策略體系的設(shè)計(jì)、建設(shè)、實(shí)施、應(yīng)用、監(jiān)管工作。

國(guó)外證書策略發(fā)展情況

PKI是保障電子商務(wù)、電子政務(wù)安全的基礎(chǔ)性設(shè)施，因此各國(guó)都十分重視國(guó)家級(jí)PKI體系的建設(shè)。在建設(shè)過(guò)程中，對(duì)證書策略的規(guī)劃是PKI體系建設(shè)中最重要的環(huán)節(jié)。從上世紀(jì)90年代初期以來(lái)，美國(guó)（FPKI）、加拿大（GOC PKI）相繼開展了PKI體系的研究和建設(shè)工作，并成為目前國(guó)際上最為成熟的國(guó)家級(jí)PKI體系。這兩個(gè)PKI體系都是政府行為的PKI體系，是在政府的倡導(dǎo)和主持下研究開發(fā)的，其目的都是為了本國(guó)的各級(jí)政府部門和政府機(jī)構(gòu)高效、低成本、安全地從事電子政務(wù)活動(dòng)。

以美國(guó)為例，其PKI框架稱之為聯(lián)邦PKI，目標(biāo)是支持在開放的網(wǎng)絡(luò)、如Internet上安全交易，用于保障電子政務(wù)、電子采購(gòu)的信息安全和實(shí)現(xiàn)對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備的保護(hù)。在建設(shè)過(guò)程中，F(xiàn)PKI在針對(duì)不同應(yīng)用場(chǎng)景劃分策略方面進(jìn)行了細(xì)致而全面的考慮，并且尤其注重證書策略的管理，是十分值得借鑒的。整個(gè)FPKI的證書策略體系共有四套證書策略，分別針對(duì)不同的應(yīng)用范圍，每套證書策略的細(xì)分都遵循一個(gè)主要?jiǎng)澐忠罁?jù)。

國(guó)際上較為成熟的商業(yè)CA公司以VeriSign公司最為典型。VeriSign公司建設(shè)了一個(gè)全球性的公鑰基礎(chǔ)設(shè)施——VeriSign Trust Network (VTN)，能夠滿足各種不同的通信和信息安全需求，擁有極廣泛的用戶群體。VeriSign公司根據(jù)對(duì)證書申請(qǐng)人的資質(zhì)以及證書簽發(fā)過(guò)程的審核嚴(yán)格程度，制定了四類證書策略，用于管理VTN范圍內(nèi)的證書發(fā)放。這四類證書將為用戶和依賴方提供不同程度的安全保障。

此外， GeoTrust、Thawte（上述兩個(gè)公司均被VeriSign公司收購(gòu)）、Comodo、Go daddy和Starfield Technologies等商業(yè)CA公司也都進(jìn)行了證書策略劃分，能夠?yàn)橛脩艉鸵蕾嚪教峁┎煌潭鹊陌踩Ｕ?。與美國(guó)政府和較為成熟的商業(yè)CA公司相比，歐洲的證書服務(wù)提供商幾乎都采用了單一的證書策略，缺乏整體的規(guī)劃和部署。（文/荊繼武）