顏海龍，閆 巧，馮紀強，程小茁

1)深圳大學ATR國防科技重點實驗室，深圳518060;2)深圳大學計算機與軟件學院，深圳518060;3)北京數字證書認證中心有限公司，北京100029

公鑰基礎設施(public key infrastructure，PKI)作為網絡信任體系的基礎和核心，受到公眾及學者們關注［1］.迄今已有60多個國家和地區(qū)進行了電子簽名立法［2-9］.近年來，我國基于政務外網的業(yè)務應用不斷增加，對CA認證服務的需求也越來越多.由于缺乏完善的集管理、法規(guī)、標準、技術、應用為一體的PKI體系，使得面向公眾服務的PKI信任體系建設條塊分割問題突出，已建PKI信任體系基本處于互相分割，互不關聯的信任孤島，因而無法在同一業(yè)務系統(tǒng)中兼容多家CA數字證書，造成資源利用率低，嚴重影響我國電子認證服務業(yè)的快速發(fā)展和網絡信任環(huán)境的普及.構建電子政務中多CA互信互認標準體系，解決多家CA數字證書的兼容應用，保證通信雙方身份的真實性和數據的安全性已迫在眉睫.為此，本研究提出支撐多CA互信互認的標準體系框架.建立面向多CA兼容應用的標準化體系.

1 標準體系構建原則

標準體系是指一定范圍內的標準按其內在聯系形成的科學有機整體，是標準化系統(tǒng)內最佳秩序的體現［10］.為使構建的多CA互信互認標準體系具有可操作性，本研究在構建多CA互信互認標準體系框架過程中，遵循以下原則

②需求主導，突出重點.我國電子政務外網信任體系的建設，尤其是多CA互信互認標準體系的制定，要緊密結合政府職能轉變和管理體制改革，根據政務需要，結合服務對象需求，講求實效，穩(wěn)步推進，堅持經濟效益和社會效益相統(tǒng)一.在制定電子認證標準時著重考慮企業(yè)和公眾對“一證通用”的實際需求，建立健全多CA互操作運行機制.

③現實性和可操作性.電子政務中多CA互信互認標準體系的構建要充分考慮其現實性和可操作性，即必須與我國現階段的經濟發(fā)展水平和電子認證技術水平以及政府管理體制相適應.這就要求標準體系中的相關標準制定要充分做好前期調研工作，充分利用現有標準和基礎設施，減少重復投資，確保標準實施時在經濟、技術和管理上可行.

2 多CA互信互認標準體系

2.1 標準體系框架

多CA互信互認需要重點解決技術和管理兩大類問題，其標準體系建設應滿足不同CA發(fā)放的數字證書能夠在業(yè)務系統(tǒng)中同時應用的需求，并可實現業(yè)務系統(tǒng)的一次性改造，以及確保電子認證服務質量.因此，結合我國電子政務行業(yè)特點，在現有PKI/PMI系列標準研究的基礎上，在相關政策法規(guī)和管理機制的支撐下，本文著重開展面向電子政務領域的多CA互信互認關鍵技術標準和評估標準的研究，構建基于PKI/CA的互信互認標準體系框架，如圖1.

圖1 基于PKI/CA的互信互認標準體系框架Fig.1 The frame of standard system for mutual trust and mutual recognition based on PKI/CA

2.2 框架分析

本文構建的基于PKI/CA的互信互認標準體系，采用“三橫兩縱”.其中，“三橫”分別為技術標準、評估標準和基礎標準;“兩縱”指管理機制和政策法規(guī).

基礎標準和評估標準位于整個標準體系框架的最底層.其中，基礎標準主要闡述單一信任體系下CA系統(tǒng)建設的總體安全需求和數字證書的統(tǒng)一框架以及相關協議規(guī)范等，如證書認證系統(tǒng)密碼及其相關安全技術規(guī)范、公鑰和屬性證書框架、PKI證書管理協議規(guī)范等，這類標準屬于電子認證的底層基礎性規(guī)范，若存在修訂，則不會影響框架本身及其內容;評估標準重點是制定接入測評規(guī)范，明確測評流程、測評方式和測評內容，以有效檢驗CA接入和應用集成的合規(guī)性，從而確保多CA互信互認目標的實現.

核心標準和輔助標準是構成該標準體系框架的關鍵技術標準，在支撐多CA環(huán)境下數字證書兼容應用活動中起至關重要的作用，包括證書格式規(guī)范、證書應用接口規(guī)范、證書注銷列表應用規(guī)范、電子認證服務機構系統(tǒng)接入規(guī)范和業(yè)務系統(tǒng)數字證書集成規(guī)范.這兩類標準可結合相關行業(yè)或領域的實際特點定制，從而使框架應用范圍廣泛靈活.

政策法規(guī)和管理機制作為框架中的“兩縱”，其重點是側重法律與管理上的基礎支撐作用.政策法規(guī)的修改將不會影響到整個框架的核心，管理機制亦可根據行業(yè)或領域的實際特點加以制定.

（意大利詩人）阿里奧斯托（Ariosto）也說過：Non conosce la pace,e non la stima Chi provato non ha la guerra prima.（未經歷戰(zhàn)爭者，不懂和平）?。

該標準體系框架突出了當前技術與管理上的可行性，總體設計靈活，既符合國際有關CA認證的標準化要求，也是目前我國電子認證與授權管理標準體系框架針對具體領域或行業(yè)的有效延伸和擴展，完全適合“集中管理，分散應用”的電子政務網絡信任體系建設模式.

2.3 關鍵技術標準

在電子政務網絡信任服務體系建設工程中，首先要遵循市場競爭原則，從擇優(yōu)選擇多家CA機構，借鑒已有標準規(guī)范入手，制定滿足多CA互信互認要求的電子政務數字證書格式規(guī)范、電子政務數字證書應用接口規(guī)范、電子政務數字證書注銷列表應用規(guī)范等若干重要標準，逐步完善多CA互信互認標準體系，為電子政務領域的電子認證工程的實施，提供最基本的技術保證.

2.3.1 電子政務數字證書格式規(guī)范

證書格式是實現多CA互信互認的前提，是電子認證標準化的一項最為重要的工作.為滿足多家CA機構所頒發(fā)數字證書能夠同時應用和區(qū)分目標要求，我們在遵循國家相關標準的基礎上，對證書信息進行擴展，增加一個非關鍵擴展項，即實體唯一標識.該擴展項代表一個證書持有者身份的唯一編碼，可與應用系統(tǒng)中用戶賬號一一關聯，以實現證書用戶與系統(tǒng)用戶的綁定.實體唯一標識的具體編碼結構，如圖2.其中，證書用戶申請數字證書使用的關鍵證件編碼、證書類型和證件代碼之間的對應關系如表1;安全標識和證件號碼的對應關系如表2.

例如，單位證書或企業(yè)證書辦理數字證書時，若提供組織機構代碼證件號碼為123456789，CA機構編號為1001，該CA中心為用戶簽發(fā)的第一張數字證書的實體唯一標識應為 ①安全標識為0時的值應為1@1001ZZ 0123456789;②安全標識為1時的值應為1@1001ZZ1+Base64(123456789);③安全標識為2時的值應為1@1001ZZ2+Encrypt(342222197205053618)，Encrypt為指定加密算法函數.

圖2 實體唯一標識的編碼結構Fig.2 The coding structure of unique identifier for entity

表1 證書類型與證件代碼的對應關系Table1 The corresponding relation of certificate type and identification code

表2 安全標識與證件號碼的對應關系Table2 The corresponding relation of security identifier and identification number

2.3.2 電子政務數字證書應用接口規(guī)范

針對公鑰密碼基礎設施底層標準規(guī)范的具體配置參數差異性和復雜性問題，基于國際現行相關標準，通過對應用層的客戶端和服務端進行證書應用接口的標準定義，設計統(tǒng)一的證書應用接口技術體系框架(圖3)，增加信任列表管理的相關接口(表3)，以確保政府各部門應用系統(tǒng)能夠采用相同的方式，實現對不同電子認證服務機構證書的調用和操作，從而達到一次性、便捷化的應用改造目標.

圖3 證書應用接口技術體系框架示意圖Fig.3 The certificate application interface technique system frame diagram

此外，為確保多CA所構成的網絡信任體系處于安全可控狀態(tài)，本研究制定的電子政務數字證書應用接口規(guī)范還對影響體系安全性的關鍵環(huán)節(jié)提出相關技術要求，如電子認證服務機構根證書的獲取、檢索、同步與檢測等.

表3 獲得證書列表(SZG_GetUserList)Table3 Getting certificate list(SZG_GetUserList)

2.3.3 電子政務數字證書注銷列表應用規(guī)范

數字證書注銷列表(certificate revocation list，CRL)是驗證證書是否可信的關鍵信息，其難點在于CRL處理方式，包括黑名單更新機制、驗證方式和處理流程等.現有規(guī)范僅對CRL進行約束，但對于其如何發(fā)布和應用，尚未進行體系化說明.本研究制定的電子政務數字證書注銷列表應用規(guī)范描述了CRL的應用模式、應用流程和應用策略及CRL文件的發(fā)布和同步流程，并定義了CRL基本結構(圖4)和數據同步接口.

圖4 CRL基本結構Fig.4 The basic structure of certificate revocation list

2.3.4 電子認證服務機構系統(tǒng)接入規(guī)范

針對電子政務領域的多CA互信互認需求，并在“集中管理、分散應用”的建設模式下，為加強對各CA機構開展電子認證服務質量的監(jiān)督與管理，本文提出的電子認證服務機構系統(tǒng)接入規(guī)范旨在對各CA機構提出相關系統(tǒng)改造的技術要求，確保電子認證行業(yè)主管部門能夠及時獲取各家CA機構數字證書的發(fā)放與應用情況，也便于從全局角度進行數據的匯總、加工、統(tǒng)計和分析，從而有效提高整個網絡信任體系的管理水平.

2.3.5 業(yè)務系統(tǒng)數字證書集成規(guī)范

用于指導各應用單位業(yè)務系統(tǒng)集成數字證書的各項安全功能.在符合證書格式和接口規(guī)范基礎上，該規(guī)范給出了不同架構系統(tǒng)中的集成框架和調用方式，說明了身份認證、數字簽名、數據加密等具體的實現流程和技術要求;同時，還對最終證書用戶與業(yè)務系統(tǒng)之間實現用戶關聯、開通應用訪問提出了規(guī)范的處理流程和數據對接方式.

3 應 用

本文框架中的標準規(guī)范均已應用于深圳市電子政務系統(tǒng)工程中，對實現多CA互信互認起到了良好的支撐作用.截止2011年底，深圳市電子政務領域數字證書應用互聯互通平臺共引入了3家CA機構，覆蓋9家試點單位，涉及30個業(yè)務系統(tǒng)，數字證書應用情況見表4.

表4 深圳市電子政務領域數字證書使用情況統(tǒng)計Table4 Digital certificate usage statistics for e-government in Shenzhen 單位:張

結 語

開展電子政務領域的多CA互信互認試點研究是促進我國電子認證服務業(yè)健康有序發(fā)展的途徑之一，為加強網絡信任體系建設起到重要推動作用，而相關的電子認證應用類技術標準是實現多CA互信互認的基礎.基于PKI/CA技術的電子認證標準化是推行我國電子認證服務行業(yè)全面質量管理的基礎，建立一套既符合中國電子政務實際要求，又符合國際規(guī)則的多CA互信互認標準體系，對推廣數字證書的應用，提高行業(yè)的標準化水平具有重要意義.通過深圳市電子政務外網信任體系建設工程的實施，本文初步構建了一套較為完善的多CA互信互認標準體系框架，對框架的科學性、完備性和兼容性進行了分析探討，將國家現有數字證書格式規(guī)范、應用接口規(guī)范和注銷列表應用規(guī)范行業(yè)化，有效地應用于電子政務中多CA互信互認標準體系，同時提出了電子認證服務機構系統(tǒng)接入規(guī)范和業(yè)務系統(tǒng)數字證書集成規(guī)范.

致謝:感謝喻建平教授對本文的悉心指導!

/References:

［1］Terence Spies.Public Key Infrastructure［M］//Vacca J R.Computer and Information Security Handbook.San Francisco:Morgan Kaufmann，2009:433-451.

［2］Hartini Saripan，Zaiton Hamin.The application of the digital signature law in securing internet banking:Some preliminary evidence from Malaysia［J］.Procedia Computer Science，2011，3:248-253.

［3］ITU-T X.509.Information Technology-Open Systems Interconnection-The Directory:Public-Key and Attribute Certificate Frameworks［M］. ［s.l.］:ITU-T Recommendation X.509，2000.

［4］BarbaraMiller.Electronicgovernment，concepts，methodologies，tools，and applications ［J］.Government Information Quarterly，2010，27(1):109-110.

［5］Taekyoung Kwon.Privacy preservation with X.509 standard certificates ［J］.Information Sciences，2011，181(13):2906-2921.

［6］“Chinese commercial password authentication architecture research”task group.Digital Certificate Application Guide［M］.Beijing:Publishing House of Electronics Industry，2008.(in Chinese)《中國商用密碼認證體系結構研究》課題組.數字證書應用技術指南 ［M］.北京:電子工業(yè)出版社，2008.

［7］GB/T 20518-2006.Information security technology-public key infrastructure PKI digital certificate format［S］.(in Chinese)GB/T 20518-2006.信息安全技術 公鑰基礎設施 數字證書格式 ［S］.

［8］YANG Yi-xian， NIU Xin-xin. Applied Cryptography［M］.Beijing:Publishing House of Beijing University of Post＆ Telecommunication，2005.(in Chinese)楊義先，鈕心忻.應用密碼學［M］.北京:北京郵電大學出版社，2005.

［9］LD/T 30-2009.Human resources and social security of electronic authentication system ［S］.(in Chinese)LD/T 30-2009.人力資源和社會保障電子認證體系［S］.

［10］BAO Zhong-ping.Standard System:Principles and Practice［M］.Beijing:Standards Press of China，1998.(in Chinese)鮑仲平.標準體系的原理和實踐［M］.北京:中國標準出版社，1998.