新知

作者：荊繼武 高能 王展

電子認證產業

需要新動力

自2005年《電子簽名法》發布之後，經過5年的時間，我國電子認證產業逐步從初期階段進入技術成熟期。但是，電子認證產業作為信息領域重要的基礎設施，其發展規模、用戶規模、市場規模、應用規模等方麵尚未形成集團優勢，區域化、行業化、政府化造成了電子認證產業的服務職能未能充分體現和被廣大用戶普遍接受，使得我國電子認證產業的發展進入平台期，即用戶數量和應用模式不能持續快速增長和擴展，市場沒有得到充分挖掘。

究其原因，我國電子認證產業發展在服務職能上還僅僅局限於提供身份認證的電子認證初級階段。作為一個電子認證的用戶，僅知道某人的公鑰是什麼還很不夠，因為該公鑰可能是僅用於測試的，也可能僅用於訪問網絡，也可能用於電子交易並有10萬元擔保。一個完整的電子認證基礎設施是網絡信任體係的重要組成部分，它不僅應該證明公鑰是什麼，還應該將該公鑰的安全屬性告訴用戶（包括法律擔保等信用信息），指導應用程序的開發商和證書用戶正確地使用證書。

目前，我國的電子認證企業都沒有在證書中提供證書策略的說明，即在證書中不說明該公鑰可以在什麼場景下、適用於什麼樣的安全需求。同時，各電子認證企業發放證書的安全措施，包括係統、管理、發放流程等也存在一定差距。缺乏統一策略、安全程度的不一致，導致了證書應用單位的許多困惑，也阻擾了電子證書的跨區域、跨行業應用。由於電子認證企業（CA）所證明的密鑰安全等級不一致，用戶在使用證書的時候就很難規範化，應用程序也沒有辦法獲得相關安全信息，無法自動地進行證書選擇。

缺少證書策略的指導，不僅給用戶使用證書帶來了諸多困難，也成為證書推廣和跨行業應用的障礙，已經成為依賴電子認證的電子商務係統、電子政務係統的互聯互通進程中必須解決的一個問題。

證書策略推動技術進步

建設PKI的意義在於把PKI的服務推廣到各種應用係統中，從而成為一種基礎設施。應用係統的多樣性以及應用係統對安全需求的多樣性，要求PKI提供安全服務也滿足這樣的多樣性。因此，PKI技術和證書應用要想普及，就應該有一個針對多樣性的解決方案，以滿足各種應用係統的安全需求。證書策略和證書策略體係正是解決上述問題的關鍵技術。

證書策略就是這樣一個數據，它是數字證書中的一個標誌，是用戶安全等級和應用範圍的一個說明，它表明了公鑰所對應用戶的安全屬性，可以指導應用程序的開發商或證書的依賴方識別證書的安全級別，以便正確使用該證書。

通過製定不同的證書策略，可以規範證書質量，其基礎是對CA機構進行的評估和認定。采用科學而規範的方法，依照不同層次的證書策略要求，對認證機構進行不同安全要求的評估和認定，才能保證不同證書策略的有效實施，確保數字證書的質量，才能使證書策略能夠行之有效，促進我國電子認證業發展，使我國的認證機構達到國際認可的標準。

證書策略體係設計

在考慮我國的證書策略體係設計之前，首先必須有一個適當的規劃方法。應該按照如下步驟來設計我國的證書策略體係：首先，探索證書策略體係構建的科學方法；其次，明確我國證書策略體係的適用範圍；之後，提出適合現階段我國國情的證書策略體係設計。

證書策略體係設計不可能麵麵俱到，隻能做到盡量合理，隻要保證設計的CP（證書策略）能夠適用於盡可能多的用戶，同時又能控製實施CP的成本，即可以認為該設計是合理和可操作的。

1. 證書策略空間的概念

構成證書策略的內容要素是製定證書策略分類分級的主要依據，但是由於要素內容多而且複雜，需要特定的方法提取出主要的要素，以及這些要素可能的取值。由此，我們提出證書策略空間定義和剪裁的概念和方法，並依據該方法來設計我國的證書策略體係。

首先，證書策略是一個多維空間，每個維度代表一個證書策略要素，而每個維度上的坐標值代表了這個要素的一個具體取值。由於影響證書策略劃分的因素很多，證書策略空間就會變成一個超級複雜的多維空間。維度的劃分是證書策略空間的核心問題。而且，在這個多維證書策略空間中選擇合適的證書策略也是十分困難的，因此必須根據應用需要做出剪裁。（見圖1）