顏海龍，閆 巧，馮紀(jì)強(qiáng)，程小茁

1)深圳大學(xué)ATR國防科技重點實驗室，深圳518060;2)深圳大學(xué)計算機(jī)與軟件學(xué)院，深圳518060;3)北京數(shù)字證書認(rèn)證中心有限公司，北京100029

公鑰基礎(chǔ)設(shè)施(public key infrastructure，PKI)作為網(wǎng)絡(luò)信任體系的基礎(chǔ)和核心，受到公眾及學(xué)者們關(guān)注［1］.迄今已有60多個國家和地區(qū)進(jìn)行了電子簽名立法［2-9］.近年來，我國基于政務(wù)外網(wǎng)的業(yè)務(wù)應(yīng)用不斷增加，對CA認(rèn)證服務(wù)的需求也越來越多.由于缺乏完善的集管理、法規(guī)、標(biāo)準(zhǔn)、技術(shù)、應(yīng)用為一體的PKI體系，使得面向公眾服務(wù)的PKI信任體系建設(shè)條塊分割問題突出，已建PKI信任體系基本處于互相分割，互不關(guān)聯(lián)的信任孤島，因而無法在同一業(yè)務(wù)系統(tǒng)中兼容多家CA數(shù)字證書，造成資源利用率低，嚴(yán)重影響我國電子認(rèn)證服務(wù)業(yè)的快速發(fā)展和網(wǎng)絡(luò)信任環(huán)境的普及.構(gòu)建電子政務(wù)中多CA互信互認(rèn)標(biāo)準(zhǔn)體系，解決多家CA數(shù)字證書的兼容應(yīng)用，保證通信雙方身份的真實性和數(shù)據(jù)的安全性已迫在眉睫.為此，本研究提出支撐多CA互信互認(rèn)的標(biāo)準(zhǔn)體系框架.建立面向多CA兼容應(yīng)用的標(biāo)準(zhǔn)化體系.

1 標(biāo)準(zhǔn)體系構(gòu)建原則

標(biāo)準(zhǔn)體系是指一定范圍內(nèi)的標(biāo)準(zhǔn)按其內(nèi)在聯(lián)系形成的科學(xué)有機(jī)整體，是標(biāo)準(zhǔn)化系統(tǒng)內(nèi)最佳秩序的體現(xiàn)［10］.為使構(gòu)建的多CA互信互認(rèn)標(biāo)準(zhǔn)體系具有可操作性，本研究在構(gòu)建多CA互信互認(rèn)標(biāo)準(zhǔn)體系框架過程中，遵循以下原則

②需求主導(dǎo)，突出重點.我國電子政務(wù)外網(wǎng)信任體系的建設(shè)，尤其是多CA互信互認(rèn)標(biāo)準(zhǔn)體系的制定，要緊密結(jié)合政府職能轉(zhuǎn)變和管理體制改革，根據(jù)政務(wù)需要，結(jié)合服務(wù)對象需求，講求實效，穩(wěn)步推進(jìn)，堅持經(jīng)濟(jì)效益和社會效益相統(tǒng)一.在制定電子認(rèn)證標(biāo)準(zhǔn)時著重考慮企業(yè)和公眾對“一證通用”的實際需求，建立健全多CA互操作運(yùn)行機(jī)制.

③現(xiàn)實性和可操作性.電子政務(wù)中多CA互信互認(rèn)標(biāo)準(zhǔn)體系的構(gòu)建要充分考慮其現(xiàn)實性和可操作性，即必須與我國現(xiàn)階段的經(jīng)濟(jì)發(fā)展水平和電子認(rèn)證技術(shù)水平以及政府管理體制相適應(yīng).這就要求標(biāo)準(zhǔn)體系中的相關(guān)標(biāo)準(zhǔn)制定要充分做好前期調(diào)研工作，充分利用現(xiàn)有標(biāo)準(zhǔn)和基礎(chǔ)設(shè)施，減少重復(fù)投資，確保標(biāo)準(zhǔn)實施時在經(jīng)濟(jì)、技術(shù)和管理上可行.

2 多CA互信互認(rèn)標(biāo)準(zhǔn)體系

2.1 標(biāo)準(zhǔn)體系框架

多CA互信互認(rèn)需要重點解決技術(shù)和管理兩大類問題，其標(biāo)準(zhǔn)體系建設(shè)應(yīng)滿足不同CA發(fā)放的數(shù)字證書能夠在業(yè)務(wù)系統(tǒng)中同時應(yīng)用的需求，并可實現(xiàn)業(yè)務(wù)系統(tǒng)的一次性改造，以及確保電子認(rèn)證服務(wù)質(zhì)量.因此，結(jié)合我國電子政務(wù)行業(yè)特點，在現(xiàn)有PKI/PMI系列標(biāo)準(zhǔn)研究的基礎(chǔ)上，在相關(guān)政策法規(guī)和管理機(jī)制的支撐下，本文著重開展面向電子政務(wù)領(lǐng)域的多CA互信互認(rèn)關(guān)鍵技術(shù)標(biāo)準(zhǔn)和評估標(biāo)準(zhǔn)的研究，構(gòu)建基于PKI/CA的互信互認(rèn)標(biāo)準(zhǔn)體系框架，如圖1.

圖1 基于PKI/CA的互信互認(rèn)標(biāo)準(zhǔn)體系框架Fig.1 The frame of standard system for mutual trust and mutual recognition based on PKI/CA

2.2 框架分析

本文構(gòu)建的基于PKI/CA的互信互認(rèn)標(biāo)準(zhǔn)體系，采用“三橫兩縱”.其中，“三橫”分別為技術(shù)標(biāo)準(zhǔn)、評估標(biāo)準(zhǔn)和基礎(chǔ)標(biāo)準(zhǔn);“兩縱”指管理機(jī)制和政策法規(guī).

基礎(chǔ)標(biāo)準(zhǔn)和評估標(biāo)準(zhǔn)位于整個標(biāo)準(zhǔn)體系框架的最底層.其中，基礎(chǔ)標(biāo)準(zhǔn)主要闡述單一信任體系下CA系統(tǒng)建設(shè)的總體安全需求和數(shù)字證書的統(tǒng)一框架以及相關(guān)協(xié)議規(guī)范等，如證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范、公鑰和屬性證書框架、PKI證書管理協(xié)議規(guī)范等，這類標(biāo)準(zhǔn)屬于電子認(rèn)證的底層基礎(chǔ)性規(guī)范，若存在修訂，則不會影響框架本身及其內(nèi)容;評估標(biāo)準(zhǔn)重點是制定接入測評規(guī)范，明確測評流程、測評方式和測評內(nèi)容，以有效檢驗CA接入和應(yīng)用集成的合規(guī)性，從而確保多CA互信互認(rèn)目標(biāo)的實現(xiàn).

核心標(biāo)準(zhǔn)和輔助標(biāo)準(zhǔn)是構(gòu)成該標(biāo)準(zhǔn)體系框架的關(guān)鍵技術(shù)標(biāo)準(zhǔn)，在支撐多CA環(huán)境下數(shù)字證書兼容應(yīng)用活動中起至關(guān)重要的作用，包括證書格式規(guī)范、證書應(yīng)用接口規(guī)范、證書注銷列表應(yīng)用規(guī)范、電子認(rèn)證服務(wù)機(jī)構(gòu)系統(tǒng)接入規(guī)范和業(yè)務(wù)系統(tǒng)數(shù)字證書集成規(guī)范.這兩類標(biāo)準(zhǔn)可結(jié)合相關(guān)行業(yè)或領(lǐng)域的實際特點定制，從而使框架應(yīng)用范圍廣泛靈活.

政策法規(guī)和管理機(jī)制作為框架中的“兩縱”，其重點是側(cè)重法律與管理上的基礎(chǔ)支撐作用.政策法規(guī)的修改將不會影響到整個框架的核心，管理機(jī)制亦可根據(jù)行業(yè)或領(lǐng)域的實際特點加以制定.

（意大利詩人）阿里奧斯托（Ariosto）也說過：Non conosce la pace,e non la stima Chi provato non ha la guerra prima.（未經(jīng)歷戰(zhàn)爭者，不懂和平）?。

該標(biāo)準(zhǔn)體系框架突出了當(dāng)前技術(shù)與管理上的可行性，總體設(shè)計靈活，既符合國際有關(guān)CA認(rèn)證的標(biāo)準(zhǔn)化要求，也是目前我國電子認(rèn)證與授權(quán)管理標(biāo)準(zhǔn)體系框架針對具體領(lǐng)域或行業(yè)的有效延伸和擴(kuò)展，完全適合“集中管理，分散應(yīng)用”的電子政務(wù)網(wǎng)絡(luò)信任體系建設(shè)模式.

2.3 關(guān)鍵技術(shù)標(biāo)準(zhǔn)

在電子政務(wù)網(wǎng)絡(luò)信任服務(wù)體系建設(shè)工程中，首先要遵循市場競爭原則，從擇優(yōu)選擇多家CA機(jī)構(gòu)，借鑒已有標(biāo)準(zhǔn)規(guī)范入手，制定滿足多CA互信互認(rèn)要求的電子政務(wù)數(shù)字證書格式規(guī)范、電子政務(wù)數(shù)字證書應(yīng)用接口規(guī)范、電子政務(wù)數(shù)字證書注銷列表應(yīng)用規(guī)范等若干重要標(biāo)準(zhǔn)，逐步完善多CA互信互認(rèn)標(biāo)準(zhǔn)體系，為電子政務(wù)領(lǐng)域的電子認(rèn)證工程的實施，提供最基本的技術(shù)保證.

2.3.1 電子政務(wù)數(shù)字證書格式規(guī)范

證書格式是實現(xiàn)多CA互信互認(rèn)的前提，是電子認(rèn)證標(biāo)準(zhǔn)化的一項最為重要的工作.為滿足多家CA機(jī)構(gòu)所頒發(fā)數(shù)字證書能夠同時應(yīng)用和區(qū)分目標(biāo)要求，我們在遵循國家相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，對證書信息進(jìn)行擴(kuò)展，增加一個非關(guān)鍵擴(kuò)展項，即實體唯一標(biāo)識.該擴(kuò)展項代表一個證書持有者身份的唯一編碼，可與應(yīng)用系統(tǒng)中用戶賬號一一關(guān)聯(lián)，以實現(xiàn)證書用戶與系統(tǒng)用戶的綁定.實體唯一標(biāo)識的具體編碼結(jié)構(gòu)，如圖2.其中，證書用戶申請數(shù)字證書使用的關(guān)鍵證件編碼、證書類型和證件代碼之間的對應(yīng)關(guān)系如表1;安全標(biāo)識和證件號碼的對應(yīng)關(guān)系如表2.

例如，單位證書或企業(yè)證書辦理數(shù)字證書時，若提供組織機(jī)構(gòu)代碼證件號碼為123456789，CA機(jī)構(gòu)編號為1001，該CA中心為用戶簽發(fā)的第一張數(shù)字證書的實體唯一標(biāo)識應(yīng)為 ①安全標(biāo)識為0時的值應(yīng)為1@1001ZZ 0123456789;②安全標(biāo)識為1時的值應(yīng)為1@1001ZZ1+Base64(123456789);③安全標(biāo)識為2時的值應(yīng)為1@1001ZZ2+Encrypt(342222197205053618)，Encrypt為指定加密算法函數(shù).

圖2 實體唯一標(biāo)識的編碼結(jié)構(gòu)Fig.2 The coding structure of unique identifier for entity

表1 證書類型與證件代碼的對應(yīng)關(guān)系Table1 The corresponding relation of certificate type and identification code

表2 安全標(biāo)識與證件號碼的對應(yīng)關(guān)系Table2 The corresponding relation of security identifier and identification number

2.3.2 電子政務(wù)數(shù)字證書應(yīng)用接口規(guī)范

針對公鑰密碼基礎(chǔ)設(shè)施底層標(biāo)準(zhǔn)規(guī)范的具體配置參數(shù)差異性和復(fù)雜性問題，基于國際現(xiàn)行相關(guān)標(biāo)準(zhǔn)，通過對應(yīng)用層的客戶端和服務(wù)端進(jìn)行證書應(yīng)用接口的標(biāo)準(zhǔn)定義，設(shè)計統(tǒng)一的證書應(yīng)用接口技術(shù)體系框架(圖3)，增加信任列表管理的相關(guān)接口(表3)，以確保政府各部門應(yīng)用系統(tǒng)能夠采用相同的方式，實現(xiàn)對不同電子認(rèn)證服務(wù)機(jī)構(gòu)證書的調(diào)用和操作，從而達(dá)到一次性、便捷化的應(yīng)用改造目標(biāo).

圖3 證書應(yīng)用接口技術(shù)體系框架示意圖Fig.3 The certificate application interface technique system frame diagram

此外，為確保多CA所構(gòu)成的網(wǎng)絡(luò)信任體系處于安全可控狀態(tài)，本研究制定的電子政務(wù)數(shù)字證書應(yīng)用接口規(guī)范還對影響體系安全性的關(guān)鍵環(huán)節(jié)提出相關(guān)技術(shù)要求，如電子認(rèn)證服務(wù)機(jī)構(gòu)根證書的獲取、檢索、同步與檢測等.

表3 獲得證書列表(SZG_GetUserList)Table3 Getting certificate list(SZG_GetUserList)

2.3.3 電子政務(wù)數(shù)字證書注銷列表應(yīng)用規(guī)范

數(shù)字證書注銷列表(certificate revocation list，CRL)是驗證證書是否可信的關(guān)鍵信息，其難點在于CRL處理方式，包括黑名單更新機(jī)制、驗證方式和處理流程等.現(xiàn)有規(guī)范僅對CRL進(jìn)行約束，但對于其如何發(fā)布和應(yīng)用，尚未進(jìn)行體系化說明.本研究制定的電子政務(wù)數(shù)字證書注銷列表應(yīng)用規(guī)范描述了CRL的應(yīng)用模式、應(yīng)用流程和應(yīng)用策略及CRL文件的發(fā)布和同步流程，并定義了CRL基本結(jié)構(gòu)(圖4)和數(shù)據(jù)同步接口.

圖4 CRL基本結(jié)構(gòu)Fig.4 The basic structure of certificate revocation list

2.3.4 電子認(rèn)證服務(wù)機(jī)構(gòu)系統(tǒng)接入規(guī)范

針對電子政務(wù)領(lǐng)域的多CA互信互認(rèn)需求，并在“集中管理、分散應(yīng)用”的建設(shè)模式下，為加強(qiáng)對各CA機(jī)構(gòu)開展電子認(rèn)證服務(wù)質(zhì)量的監(jiān)督與管理，本文提出的電子認(rèn)證服務(wù)機(jī)構(gòu)系統(tǒng)接入規(guī)范旨在對各CA機(jī)構(gòu)提出相關(guān)系統(tǒng)改造的技術(shù)要求，確保電子認(rèn)證行業(yè)主管部門能夠及時獲取各家CA機(jī)構(gòu)數(shù)字證書的發(fā)放與應(yīng)用情況，也便于從全局角度進(jìn)行數(shù)據(jù)的匯總、加工、統(tǒng)計和分析，從而有效提高整個網(wǎng)絡(luò)信任體系的管理水平.

2.3.5 業(yè)務(wù)系統(tǒng)數(shù)字證書集成規(guī)范

用于指導(dǎo)各應(yīng)用單位業(yè)務(wù)系統(tǒng)集成數(shù)字證書的各項安全功能.在符合證書格式和接口規(guī)范基礎(chǔ)上，該規(guī)范給出了不同架構(gòu)系統(tǒng)中的集成框架和調(diào)用方式，說明了身份認(rèn)證、數(shù)字簽名、數(shù)據(jù)加密等具體的實現(xiàn)流程和技術(shù)要求;同時，還對最終證書用戶與業(yè)務(wù)系統(tǒng)之間實現(xiàn)用戶關(guān)聯(lián)、開通應(yīng)用訪問提出了規(guī)范的處理流程和數(shù)據(jù)對接方式.

3 應(yīng) 用

本文框架中的標(biāo)準(zhǔn)規(guī)范均已應(yīng)用于深圳市電子政務(wù)系統(tǒng)工程中，對實現(xiàn)多CA互信互認(rèn)起到了良好的支撐作用.截止2011年底，深圳市電子政務(wù)領(lǐng)域數(shù)字證書應(yīng)用互聯(lián)互通平臺共引入了3家CA機(jī)構(gòu)，覆蓋9家試點單位，涉及30個業(yè)務(wù)系統(tǒng)，數(shù)字證書應(yīng)用情況見表4.

表4 深圳市電子政務(wù)領(lǐng)域數(shù)字證書使用情況統(tǒng)計Table4 Digital certificate usage statistics for e-government in Shenzhen 單位:張

結(jié) 語

開展電子政務(wù)領(lǐng)域的多CA互信互認(rèn)試點研究是促進(jìn)我國電子認(rèn)證服務(wù)業(yè)健康有序發(fā)展的途徑之一，為加強(qiáng)網(wǎng)絡(luò)信任體系建設(shè)起到重要推動作用，而相關(guān)的電子認(rèn)證應(yīng)用類技術(shù)標(biāo)準(zhǔn)是實現(xiàn)多CA互信互認(rèn)的基礎(chǔ).基于PKI/CA技術(shù)的電子認(rèn)證標(biāo)準(zhǔn)化是推行我國電子認(rèn)證服務(wù)行業(yè)全面質(zhì)量管理的基礎(chǔ)，建立一套既符合中國電子政務(wù)實際要求，又符合國際規(guī)則的多CA互信互認(rèn)標(biāo)準(zhǔn)體系，對推廣數(shù)字證書的應(yīng)用，提高行業(yè)的標(biāo)準(zhǔn)化水平具有重要意義.通過深圳市電子政務(wù)外網(wǎng)信任體系建設(shè)工程的實施，本文初步構(gòu)建了一套較為完善的多CA互信互認(rèn)標(biāo)準(zhǔn)體系框架，對框架的科學(xué)性、完備性和兼容性進(jìn)行了分析探討，將國家現(xiàn)有數(shù)字證書格式規(guī)范、應(yīng)用接口規(guī)范和注銷列表應(yīng)用規(guī)范行業(yè)化，有效地應(yīng)用于電子政務(wù)中多CA互信互認(rèn)標(biāo)準(zhǔn)體系，同時提出了電子認(rèn)證服務(wù)機(jī)構(gòu)系統(tǒng)接入規(guī)范和業(yè)務(wù)系統(tǒng)數(shù)字證書集成規(guī)范.

致謝:感謝喻建平教授對本文的悉心指導(dǎo)!

/References:

［1］Terence Spies.Public Key Infrastructure［M］//Vacca J R.Computer and Information Security Handbook.San Francisco:Morgan Kaufmann，2009:433-451.

［2］Hartini Saripan，Zaiton Hamin.The application of the digital signature law in securing internet banking:Some preliminary evidence from Malaysia［J］.Procedia Computer Science，2011，3:248-253.

［3］ITU-T X.509.Information Technology-Open Systems Interconnection-The Directory:Public-Key and Attribute Certificate Frameworks［M］. ［s.l.］:ITU-T Recommendation X.509，2000.

［4］BarbaraMiller.Electronicgovernment，concepts，methodologies，tools，and applications ［J］.Government Information Quarterly，2010，27(1):109-110.

［5］Taekyoung Kwon.Privacy preservation with X.509 standard certificates ［J］.Information Sciences，2011，181(13):2906-2921.

［6］“Chinese commercial password authentication architecture research”task group.Digital Certificate Application Guide［M］.Beijing:Publishing House of Electronics Industry，2008.(in Chinese)《中國商用密碼認(rèn)證體系結(jié)構(gòu)研究》課題組.數(shù)字證書應(yīng)用技術(shù)指南 ［M］.北京:電子工業(yè)出版社，2008.

［7］GB/T 20518-2006.Information security technology-public key infrastructure PKI digital certificate format［S］.(in Chinese)GB/T 20518-2006.信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式 ［S］.

［8］YANG Yi-xian， NIU Xin-xin. Applied Cryptography［M］.Beijing:Publishing House of Beijing University of Post＆ Telecommunication，2005.(in Chinese)楊義先，鈕心忻.應(yīng)用密碼學(xué)［M］.北京:北京郵電大學(xué)出版社，2005.

［9］LD/T 30-2009.Human resources and social security of electronic authentication system ［S］.(in Chinese)LD/T 30-2009.人力資源和社會保障電子認(rèn)證體系［S］.

［10］BAO Zhong-ping.Standard System:Principles and Practice［M］.Beijing:Standards Press of China，1998.(in Chinese)鮑仲平.標(biāo)準(zhǔn)體系的原理和實踐［M］.北京:中國標(biāo)準(zhǔn)出版社，1998.