孫 鑫，李躍武

（新疆量子通信技術(shù)有限公司 新疆 烏魯木齊 830000）

1 引言

本文以我國(guó)國(guó)產(chǎn)密碼的具體應(yīng)用情況作為基礎(chǔ)，綜合考慮國(guó)產(chǎn)密碼在網(wǎng)絡(luò)安全方面的實(shí)際應(yīng)用需求，全面分析國(guó)產(chǎn)密碼證書的全生態(tài)應(yīng)用。在此方案中，主要以國(guó)產(chǎn)密碼算法及其證書作為核心，將其在電子郵件加密以及HTTPS網(wǎng)站加密中的應(yīng)用進(jìn)行重點(diǎn)研究。

2 國(guó)產(chǎn)密碼應(yīng)用現(xiàn)狀及其需求

2.1 應(yīng)用現(xiàn)狀

在當(dāng)今，隨著我國(guó)商用密碼算法技術(shù)的發(fā)展，國(guó)家已經(jīng)出臺(tái)了很多相關(guān)的政策與規(guī)定，要求通過(guò)國(guó)產(chǎn)的密碼算法來(lái)進(jìn)行電子政務(wù)以及金融等方面的網(wǎng)絡(luò)安全保障。但是就目前的操作系統(tǒng)以及相關(guān)應(yīng)用軟件而言，大多數(shù)都能為國(guó)產(chǎn)密碼算法的應(yīng)用提供支持[1]。這樣的情況對(duì)于國(guó)產(chǎn)密碼算法的應(yīng)用造成了很大程度的制約作用，同時(shí)也對(duì)我國(guó)的重要領(lǐng)域網(wǎng)絡(luò)安全帶來(lái)了更大威脅。

2.2 應(yīng)用需求

就目前的現(xiàn)狀來(lái)看，國(guó)產(chǎn)密碼的應(yīng)用需求主要體現(xiàn)在兩個(gè)方面，第一是研究出相應(yīng)的瀏覽器，使其能夠?yàn)閲?guó)產(chǎn)密碼算法及其證書的應(yīng)用提供支持。第二是解決國(guó)產(chǎn)密碼及其證書和用戶軟件不匹配的問(wèn)題。只有讓這兩個(gè)方面的需求得以滿足，國(guó)產(chǎn)密碼證書的全生態(tài)應(yīng)用才可以實(shí)現(xiàn)。

3 國(guó)產(chǎn)密碼證書全生態(tài)應(yīng)用方案分析

該方案主要是以新疆CA為基礎(chǔ)來(lái)實(shí)現(xiàn)，新疆CA已經(jīng)在PKI領(lǐng)域中實(shí)現(xiàn)了十余年的技術(shù)積累，對(duì)于國(guó)產(chǎn)密碼算法也進(jìn)行了相應(yīng)的研究與創(chuàng)新，進(jìn)而推出一套完整的國(guó)產(chǎn)密碼證書全生態(tài)應(yīng)用體系。在這套體系的具體應(yīng)用中，可以讓國(guó)產(chǎn)密碼中的證書簽名、加密、身份認(rèn)證、時(shí)間戳等的密碼應(yīng)用得以全部實(shí)現(xiàn)。借助于自主研發(fā)的瀏覽器、閱讀器以及客戶端等產(chǎn)品，為國(guó)產(chǎn)密碼算法建立起了一個(gè)良好的應(yīng)用生態(tài)環(huán)境，使其在電子郵件加密以及HTTPS加密等場(chǎng)景中得以全面應(yīng)用，讓我國(guó)網(wǎng)絡(luò)空間的自主控制性得到保障，進(jìn)一步提升網(wǎng)絡(luò)空間安全。同時(shí)，為了有效適應(yīng)用戶的實(shí)際應(yīng)用需求，新疆CA也對(duì)SM2/RSA雙證書模式以及自適應(yīng)形式的加密算法進(jìn)行了成功研制，保障了國(guó)產(chǎn)密碼及其證書的易用性和通用性。

3.1 國(guó)產(chǎn)密碼簽名加密技術(shù)在電子郵件中的應(yīng)用方案分析

具體應(yīng)用中，如果用戶要通過(guò)郵件的形式進(jìn)行重要文件發(fā)送，客戶端可以在遵照S/MIME這一國(guó)際標(biāo)準(zhǔn)的基礎(chǔ)上通過(guò)國(guó)產(chǎn)密碼標(biāo)準(zhǔn)來(lái)進(jìn)行簽名加密處理，通過(guò)數(shù)字化證書簽名形式的加密方式來(lái)保障郵件完整性和機(jī)密性。在用戶端，系統(tǒng)不僅支持RSA證書，同時(shí)也支持SM2證書，對(duì)于郵件的簽名加密密碼算法會(huì)進(jìn)行自適應(yīng)選擇，如果通信對(duì)方應(yīng)用的是國(guó)產(chǎn)加密算法，則系統(tǒng)會(huì)優(yōu)先對(duì)國(guó)產(chǎn)算法進(jìn)行選擇，如果對(duì)方僅僅應(yīng)用國(guó)際加密算法，則系統(tǒng)也會(huì)通過(guò)國(guó)際加密算法來(lái)實(shí)現(xiàn)郵件的簽名加密。

通過(guò)這樣的方式，就讓各個(gè)郵件的加密處理實(shí)現(xiàn)了全自動(dòng)化操作，同時(shí)也為各個(gè)郵件都蓋上了一個(gè)時(shí)間戳，這樣就有效解決了以往郵件客戶端證書配置申請(qǐng)流程的復(fù)雜性以及公鑰交換難度大等的諸多問(wèn)題，讓郵件加密處理的實(shí)施和部署更加靈活，滿足不同用戶對(duì)于場(chǎng)景方面的不同應(yīng)用需求，并為企業(yè)客戶、金融機(jī)構(gòu)、公共服務(wù)機(jī)構(gòu)以及政府機(jī)構(gòu)等的重要郵件加密處理提供出更具安全性的全自動(dòng)解決方案，以此來(lái)有效保障其機(jī)密信息的安全性[2]。

3.2 國(guó)產(chǎn)密碼技術(shù)在HTTPS網(wǎng)站加密中的具體應(yīng)用方案分析

因?yàn)樾陆瓹A主要將國(guó)際標(biāo)準(zhǔn)的簽發(fā)作為參考，對(duì)國(guó)產(chǎn)密碼算法及其SSL證書加以應(yīng)用，并對(duì)能夠?yàn)槠鋺?yīng)用提供支持的瀏覽器以及Web服務(wù)器軟件進(jìn)行研究，通過(guò)這樣的方式，就可以實(shí)現(xiàn)國(guó)產(chǎn)密碼證書全生態(tài)應(yīng)用體系的科學(xué)建立，讓國(guó)產(chǎn)密碼在HTTPS網(wǎng)站加密中得以良好應(yīng)用。同時(shí)，新疆CA也對(duì)SM2/RSA雙加密算法證書形式自適應(yīng)系統(tǒng)進(jìn)行了創(chuàng)新研發(fā)，同時(shí)將SM2/RSA形式的雙SSL證書在國(guó)際密碼SSL網(wǎng)關(guān)以及國(guó)產(chǎn)密碼SSL網(wǎng)關(guān)上進(jìn)行部署，通過(guò)對(duì)國(guó)產(chǎn)密碼提供支持的模塊，可以對(duì)瀏覽器能否為國(guó)產(chǎn)密碼算法提供支持加以自動(dòng)識(shí)別。就目前來(lái)看，360瀏覽器、國(guó)產(chǎn)密信瀏覽器、谷歌瀏覽器等都可以為國(guó)產(chǎn)密碼算法及其證書的應(yīng)用提供支持。

在網(wǎng)絡(luò)系統(tǒng)中，SM2/RSA形式雙證書方案的應(yīng)用不僅可以讓國(guó)產(chǎn)密碼及其證書具備足夠的合規(guī)性，同時(shí)也可以將其應(yīng)用范圍擴(kuò)展到全球。在通過(guò)國(guó)際密碼算法進(jìn)行HTTPS網(wǎng)站加密方案及其證書體系發(fā)生問(wèn)題的情況下，服務(wù)器不需要修改任何的配置，用戶只需要借助于360瀏覽器、國(guó)產(chǎn)密信瀏覽器等的這些國(guó)產(chǎn)瀏覽器，便可將原本的國(guó)際密碼算法無(wú)縫切換到國(guó)產(chǎn)的HTTPS密碼算法。這樣就可以為用戶的網(wǎng)絡(luò)信息安全提供雙保險(xiǎn)，避免由于國(guó)際密碼算法問(wèn)題所帶來(lái)的網(wǎng)絡(luò)數(shù)據(jù)信息安全隱患[3]。

3.3 PDF/OFD文檔形式的國(guó)產(chǎn)密碼簽名加密應(yīng)用方案分析

在電子化的合同、營(yíng)業(yè)執(zhí)照以及發(fā)票等電子簽名場(chǎng)景應(yīng)用過(guò)程中，我國(guó)大部分應(yīng)用的是Adobe信任度非常低的PDF簽名證書形式以及安全等級(jí)非常低的RSA SHA-1 1024位算法數(shù)字簽名形式。這些簽名形式的文件不僅僅在Adobe閱讀器內(nèi)顯示出“簽名有問(wèn)題”，同時(shí)也由于其加密法十分脆弱而增加簽名被破解的風(fēng)險(xiǎn)。所以這樣的簽名形式不僅受到Adobe瀏覽器的信任，也與國(guó)產(chǎn)密碼算法簽名的實(shí)際應(yīng)用需求不符[4]。

基于此，將新疆CA所推出的SM2/RSA形式雙協(xié)議證書、雙簽名證書以及雙時(shí)間戳形式的PDF/OFD文檔簽名加密方案予以科學(xué)應(yīng)用，借助于Adobe信任度足夠高的RSA證書保障Adobe閱讀器職工的簽名文件可以自動(dòng)對(duì)顯示出的簽名者進(jìn)行身份信息驗(yàn)證，讓Adobe閱讀器內(nèi)的“簽名有問(wèn)題”這一問(wèn)題得到合理解決。借助于國(guó)產(chǎn)密碼SM2證書來(lái)進(jìn)行簽名，則可以有效保障已經(jīng)被簽名的文件在支持這種算法的閱讀器內(nèi)自動(dòng)進(jìn)行簽名檢驗(yàn)，保障簽名文件和國(guó)產(chǎn)密碼證書的規(guī)定相符。另外，這種簽名加密應(yīng)用方案也可以對(duì)長(zhǎng)效驗(yàn)證有效技術(shù)（Adobe LTV）提供相應(yīng)的支持，支持對(duì)有待進(jìn)行原文摘要的簽名進(jìn)行提交，而并不需要用戶直接進(jìn)行原文提交。通過(guò)這樣的方式，就可以讓用戶的隱私信息得到更好的安全保障，并為用戶提供出云端簽名、本地簽名、API簽名以及客戶端簽名等的諸多簽名形式，讓部署模式更加靈活。

在此過(guò)程中，新疆CA主要可以對(duì)國(guó)家密碼管理局以及工業(yè)與信息化部門的電子認(rèn)證服務(wù)許可證進(jìn)行獲取，然后借助于國(guó)際Web Trust所認(rèn)證的全球Adobe信任認(rèn)證權(quán)威電子認(rèn)證服務(wù)機(jī)構(gòu)對(duì)符合《密碼法》以及《電子簽名法》等相關(guān)法律要求的數(shù)字簽名進(jìn)行提供，這里的電子簽名和傳統(tǒng)的手寫簽名或者是蓋章之間有著同樣的法律作用[5]。因此，將該方案應(yīng)用到電子形式的證照、營(yíng)業(yè)執(zhí)照、發(fā)票以及合同等的各種數(shù)字化簽名場(chǎng)景中，將會(huì)進(jìn)一步保障其合規(guī)性及其在全球范圍內(nèi)的信譽(yù)度。所以為進(jìn)一步保障數(shù)字化電子簽名的適用性與安全性，在當(dāng)今的電子簽名領(lǐng)域中，相關(guān)企業(yè)可以將該方案加以合理應(yīng)用。

4 結(jié)語(yǔ)

綜上所述，在當(dāng)今的網(wǎng)絡(luò)信息技術(shù)發(fā)展中，網(wǎng)絡(luò)信息安全保障也開始備受關(guān)注。相比較傳統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)中典型的國(guó)際加密算法RSA而言，國(guó)產(chǎn)加密算法SM有著更高的安全性。因此，在具體的網(wǎng)絡(luò)信息安全防護(hù)技術(shù)研究中，我們有必要對(duì)國(guó)產(chǎn)密碼算法證書全生態(tài)應(yīng)用進(jìn)行深入研究，通過(guò)其應(yīng)用現(xiàn)狀與實(shí)際應(yīng)用需求的分析來(lái)進(jìn)行應(yīng)用方案的合理制定。這樣才可以充分發(fā)揮出國(guó)產(chǎn)密碼算法技術(shù)優(yōu)勢(shì)，進(jìn)一步保障網(wǎng)絡(luò)信息的安全性。在此過(guò)程中，主要應(yīng)該將國(guó)產(chǎn)加密算法及其證書與國(guó)際加密算法及其證書加以聯(lián)合應(yīng)用，通過(guò)雙證書形式的防護(hù)方案來(lái)做好網(wǎng)絡(luò)信息的安全防護(hù)工作。