WAPI-SOM解决方案可以为运营商解决“安全、可运营、可管理”的无线局域网中的统一认证、通道计费与应用计费分离、多种业务融合的问题。而实现上述功能的基础是使用WAPI的证书:在WLAN网络中,仅靠用户名密码的形式是无法有效管理用户身份信息的,通过证书的形式可以很好地解决这个问题。证书颁发中心为用户颁发合法证书,用户通过合法证书接入网络,而网络通过证书识别合法用户的身份,以此完成对用户的有效管理。
本期,让我们系统了解一下电子认证中证书策略国内外发展应用。
自2005年《电子签名法》发布之后,经过5年的时间,我国电子认证产业逐步从初期阶段进入技术成熟期。但是,电子认证产业作为信息领域重要的基础设施,其发展规模、用户规模、市场规模、应用规模等方面尚未形成集团优势,区域化、行业化、政府化造成了电子认证产业的服务职能未能充分体现和被广大用户普遍接受,使得我国电子认证产业的发展进入平台期,即用户数量和应用模式不能持续快速增长和扩展,市场没有得到充分挖掘。
究其原因,我国电子认证产业发展在服务职能上,还仅仅局限于提供身份认证的电子认证初级阶段。作为一个电子认证的用户,仅知道某人的公钥是什么还很不够,因为该公钥可能是仅用于测试的,也可能仅用于访问网络,也可能用于电子交易并有10万元担保。一个完整的电子认证基础设施是网络信任体系的重要组成部分,它不仅应该证明公钥是什么,还应该将该公钥的安全属性告诉用户(包括法律担保等信用信息),指导应用程序的开发商和证书用户正确地使用证书。
目前,我国的电子认证企业都没有在证书中提供证书策略的说明,即在证书中不说明该公钥可以在什么场景下、适用于什么样的安全需求。同时,各电子认证企业发放证书的安全措施,包括系统、管理、发放流程等也存在一定差距。缺乏统一策略、安全程度的不一致,导致了证书应用单位的许多困惑,也阻扰了电子证书的跨区域、跨行业应用。由于电子认证企业(CA)所证明的密钥安全等级不一致,用户在使用证书的时候就很难规范化,应用程序也没有办法获得相关安全信息,无法自动地进行证书选择。
缺少证书策略的指导,不仅给用户使用证书带来了诸多困难,也成为证书推广和跨行业应用的障碍,已经成为依赖电子认证的电子商务系统、电子政务系统的互联互通进程中必须解决的一个问题。
证书策略推动技术进步
建设PKI的意义在于把PKI的服务推广到各种应用系统中,从而成为一种基础设施。应用系统的多样性以及应用系统对安全需求的多样性,要求PKI提供安全服务也满足这样的多样性。因此,PKI技术和证书应用要想普及,就应该有一个针对多样性的解决方案,以满足各种应用系统的安全需求。证书策略和证书策略体系正是解决上述问题的关键技术。
证书策略就是这样一个数据,它是数字证书中的一个标志,是用户安全等级和应用范围的一个说明,它表明了公钥所对应用户的安全属性,可以指导应用程序的开发商或证书的依赖方识别证书的安全级别,以便正确使用该证书。
通过制定不同的证书策略,可以规范证书质量,其基础是对CA机构进行的评估和认定。采用科学而规范的方法,依照不同层次的证书策略要求,对认证机构进行不同安全要求的评估和认定,才能保证不同证书策略的有效实施,确保数字证书的质量,才能使证书策略能够行之有效,促进我国电子认证业发展,使我国的认证机构达到国际认可的标准。
证书策略体系设计
在考虑我国的证书策略体系设计之前,首先必须有一个适当的规划方法。应该按照如下步骤来设计我国的证书策略体系:首先,探索证书策略体系构建的科学方法;其次,明确我国证书策略体系的适用范围;之后,提出适合现阶段我国国情的证书策略体系设计。
证书策略体系设计不可能面面俱到,只能做到尽量合理,只要保证设计的CP(证书策略)能够适用于尽可能多的用户,同时又能控制实施CP的成本,即可以认为该设计是合理和可操作的。
1. 证书策略空间的概念
构成证书策略的内容要素是制定证书策略分类分级的主要依据,但是由于要素内容多而且复杂,需要特定的方法提取出主要的要素,以及这些要素可能的取值。由此,我们提出证书策略空间定义和剪裁的概念和方法,并依据该方法来设计我国的证书策略体系。
首先,证书策略是一个多维空间,每个维度代表一个证书策略要素,而每个维度上的坐标值代表了这个要素的一个具体取值。由于影响证书策略划分的因素很多,证书策略空间就会变成一个超级复杂的多维空间。维度的划分是证书策略空间的核心问题。而且,在这个多维证书策略空间中选择合适的证书策略也是十分困难的,因此必须根据应用需要做出剪裁。(见图1)
图1 证书策略空间示意图
CP设计中需要注意和考虑的方面如图2所示。
图2 证书策略的设计要点
可以通过以下四个独立维度来划分CP:
- 证书持有人的自身属性(Property,P);
- 证书申请和审核过程中的严格程度(Certification,C);
- 证书持有人的私钥安全保护程度(Security Environment,S);
- 应用场景对证书信息的需求(Information,I)。
每个维度又可以划分为不同的级别(或者类别),见图3。
图 3 证书策略的四维空间
2. 证书策略体系
目前,证书主要应用在电子政务和电子商务领域,鉴于电子政务领域的复杂性和一些管理上的原因,建议首先针对商业交易和公众服务设计证书策略体系。商业交易主要是指电子商务中的交易;公众服务是指面向公民的社会服务,暂不涉及电子政务和政府内部。由此,我国证书策略体系的适用范围可以如图4所示。
图 4 我国证书策略体系的适用范围
我国现阶段的证书策略体系设计分为基线证书策略和三个具体的适用范围的证书策略(见图5)。基线证书策略和每个适用范围内证书策略的要点如下:
图 5 我国现阶段证书策略体系设计
a.基线证书策略
该证书策略将囊括对现有CA的基本要求,使得现有的CA仍旧能够提供认证服务。这个策略也是最基本的证书策略。该类型的证书可以用于网络身份认证、网络安全登录、通信密钥协商等,可以不标注在证书中,而仅仅作为开展认证业务的基本要求。
b.设备证书策略
设备是一类比较简单的对象,因此对应的证书策略设计主要根据审核的严格程度划分,最终形成“普通级”和“可信级”两个证书策略,在满足基线要求的前提下,还应该满足如下要求:
•普通级证书:应该是实名登记,能够满足一般安全服务器的应用,安装的服务器应达到现有的普通服务器的安全水平;可用于一般的SSL服务器连接、会员制的网络通信等;具有该策略的设备证书,将可以被微软等主流浏览器接受。
•可信级证书:在以上要求基础上,增加其他安全要求,如私钥的存储要求采用特别制作的专门的硬件模块。该策略的证书可用于更加核心和敏感的服务,如金融交易和关键的公众服务。
c.公众服务证书策略
公众服务证书是公民获得公众服务的证书,每个公民在获得公众服务时应该是平等的,不应该进行等级的划分。但是,出于对用户隐私的保护,划分为实名和非实名两类策略。非实名对应于那些需要保护隐私的服务,比如投票、民意调查等;实名则适用于网上报税等应用。证书策略要点如下:
•非实名级证书:用于网络身份认证。证书在登记时是实名登记的,CA需要检查用户的身份。但证书中仅给出用户的号码,不给出详细的身份信息。这种证书可以用于网络登录、密钥协商等。
•实名级证书:该策略证书除以上功能外,还可以用于进行数字签名,且产生的数字签名应符合《电子签名法》可靠的电子签名的要求。证书中载明了用户的姓名等必要的身份信息。在用户授权的情况下,依赖方或验证机构可以在CA中心的目录中查询到更为详细的身份信息。
d.商业交易证书策略
商业交易所用证书均应符合《电子签名法》可靠的电子签名的要求,能够产生可靠的电子签名。为确保证书持有人的利益(被盗用后有损失),同时确保依赖方的利益(签名人可能赔不起),同时也保护认证机构的利益(有一个赔付额度的问题),我们将商业交易证书进行分类,以确保控制商业交易的风险。针对商业交易制定三个级别的证书策略:商业交易-普通级、商业交易-中级和商业交易-高级。
商业交易证书都是可靠的电子签名证书,但仅仅针对所对应的金额是有效的,超过范围的签名仍旧是无效的。划分的主要依据是客户端的安全性以及对证书持有人的资信检查程度。在信用级别的确立上,可以参考银行信用体系中常用的信用分级标准。具有商业交易-普通级策略证书所签合同应在普通级信用范围内方有效,否则为无效合同。
3. 基线证书策略要点
基线证书作为证书策略体系中的基础,其作用主要是明确证书策略的基本内容,并提出普适的最低要求。基线证书策略的内容要点如图6所示。
目前我国已经发布了《电子签名法》、《电子认证服务管理办法》和《电子认证业务声明框架》等法律法规,没有针对CA运营的具体安全要求给出明确细致的规定。为了提高电子认证服务机构的服务质量,规范电子认证行业,基线证书策略提出了电子认证服务机构在提供电子认证服务过程中,必须遵照的基本要求。
基线证书策略的制定考虑到未来与国际接轨。目前,亚洲国家/地区(包括韩国、印度、中国台北等)根CA都已进入了微软IE的根证书列表。很多国家政府在设计和构建PKI体系时,都考虑和设计了与国外电子认证体系衔接。例如,美国联邦PKI、加拿大GOC PKI的桥CA、印度为根CA体系等与与外国电子认证体系进行交叉认证。我国目前还没有建立一个统一的与境外电子认证体系进行衔接的体系。希望基线证书策略是我国加入微软IE浏览器和与国际PKI体系接轨的一个准备。
电子认证服务机构可以根据基线证书策略制定自己的《电子认证业务规则》。电子认证服务机构可以根据业务发展的需要,在满足基线证书策略的基础上,制定其他证书策略和相应的《电子认证业务规则》。基线证书策略既对电子认证服务机构的规范服务和安全运营提出要求,同时明确了各参与方基本的权利和义务。
证书策略的标准化是规范电子认证服务行业的切入点之一,可以有效地促进全行业的良性竞争和有序发展。然而,证书策略体系的规划和实现,还仅仅是电子认证产业进行阶段性技术革新的开始,还需要系统化地规划证书策略体系的设计、建设、实施、应用、监管工作。
图 6 基线证书策略要点
PKI是保障电子商务、电子政务安全的基础性设施,因此各国都十分重视国家级PKI体系的建设。在建设过程中,对证书策略的规划是PKI体系建设中最重要的环节。从上世纪90年代初期以来,美国(FPKI)、加拿大(GOC PKI)相继开展了PKI体系的研究和建设工作,并成为目前国际上最为成熟的国家级PKI体系。这两个PKI体系都是政府行为的PKI体系,是在政府的倡导和主持下研究开发的,其目的都是为了本国的各级政府部门和政府机构高效、低成本、安全地从事电子政务活动。
以美国为例,其PKI框架称之为联邦PKI,目标是支持在开放的网络——如Internet上安全交易,用于保障电子政务、电子采购的信息安全和实现对关键网络设备的保护。在建设过程中,FPKI在针对不同应用场景划分策略方面进行了细致而全面的考虑,并且尤其注重证书策略的管理,是十分值得借鉴的。整个FPKI的证书策略体系共有四套证书策略,分别针对不同的应用范围,每套证书策略的细分都遵循一个主要划分依据。
国际上较为成熟的商业CA公司以VeriSign公司最为典型。VeriSign公司建设了一个全球性的公钥基础设施——VeriSign Trust Network (VTN),能够满足各种不同的通信和信息安全需求,拥有极广泛的用户群体。VeriSign公司根据对证书申请人的资质以及证书签发过程的审核严格程度,制定了四类证书策略,用于管理VTN范围内的证书发放。这四类证书将为用户和依赖方提供不同程度的安全保障。
此外, GeoTrust、Thawte(上述两个公司均被VeriSign公司收购)、Comodo、Go daddy和Starfield Technologies等商业CA公司也都进行了证书策略划分,能够为用户和依赖方提供不同程度的安全保障。与美国政府和较为成熟的商业CA公司相比,欧洲的证书服务提供商几乎都采用了单一的证书策略,缺乏整体的规划和部署。
| 
