基于PKI/CA互信互认体系的电子政务

颜海龙，闫 巧，冯纪强，程小茁

1)深圳大学ATR国防科技重点实验室，深圳518060;2)深圳大学计算机与软件学院，深圳518060;3)北京数字证书认证中心有限公司，北京100029

公钥基础设施(public key infrastructure，PKI)作为网络信任体系的基础和核心，受到公众及学者们关注［1］.迄今已有60多个国家和地区进行了电子签名立法［2-9］.近年来，我国基于政务外网的业务应用不断增加，对CA认证服务的需求也越来越多.由于缺乏完善的集管理、法规、标准、技术、应用为一体的PKI体系，使得面向公众服务的PKI信任体系建设条块分割问题突出，已建PKI信任体系基本处于互相分割，互不关联的信任孤岛，因而无法在同一业务系统中兼容多家CA数字证书，造成资源利用率低，严重影响我国电子认证服务业的快速发展和网络信任环境的普及.构建电子政务中多CA互信互认标准体系，解决多家CA数字证书的兼容应用，保证通信双方身份的真实性和数据的安全性已迫在眉睫.为此，本研究提出支撑多CA互信互认的标准体系框架.建立面向多CA兼容应用的标准化体系.

1 标准体系构建原则

标准体系是指一定范围内的标准按其内在联系形成的科学有机整体，是标准化系统内最佳秩序的体现［10］.为使构建的多CA互信互认标准体系具有可操作性，本研究在构建多CA互信互认标准体系框架过程中，遵循以下原则

②需求主导，突出重点.我国电子政务外网信任体系的建设，尤其是多CA互信互认标准体系的制定，要紧密结合政府职能转变和管理体制改革，根据政务需要，结合服务对象需求，讲求实效，稳步推进，坚持经济效益和社会效益相统一.在制定电子认证标准时着重考虑企业和公众对“一证通用”的实际需求，建立健全多CA互操作运行机制.

③现实性和可操作性.电子政务中多CA互信互认标准体系的构建要充分考虑其现实性和可操作性，即必须与我国现阶段的经济发展水平和电子认证技术水平以及政府管理体制相适应.这就要求标准体系中的相关标准制定要充分做好前期调研工作，充分利用现有标准和基础设施，减少重复投资，确保标准实施时在经济、技术和管理上可行.

2 多CA互信互认标准体系

2.1 标准体系框架

多CA互信互认需要重点解决技术和管理两大类问题，其标准体系建设应满足不同CA发放的数字证书能够在业务系统中同时应用的需求，并可实现业务系统的一次性改造，以及确保电子认证服务质量.因此，结合我国电子政务行业特点，在现有PKI/PMI系列标准研究的基础上，在相关政策法规和管理机制的支撑下，本文着重开展面向电子政务领域的多CA互信互认关键技术标准和评估标准的研究，构建基于PKI/CA的互信互认标准体系框架，如图1.

图1 基于PKI/CA的互信互认标准体系框架Fig.1 The frame of standard system for mutual trust and mutual recognition based on PKI/CA

2.2 框架分析

本文构建的基于PKI/CA的互信互认标准体系，采用“三横两纵”.其中，“三横”分别为技术标准、评估标准和基础标准;“两纵”指管理机制和政策法规.

基础标准和评估标准位于整个标准体系框架的最底层.其中，基础标准主要阐述单一信任体系下CA系统建设的总体安全需求和数字证书的统一框架以及相关协议规范等，如证书认证系统密码及其相关安全技术规范、公钥和属性证书框架、PKI证书管理协议规范等，这类标准属于电子认证的底层基础性规范，若存在修订，则不会影响框架本身及其内容;评估标准重点是制定接入测评规范，明确测评流程、测评方式和测评内容，以有效检验CA接入和应用集成的合规性，从而确保多CA互信互认目标的实现.

核心标准和辅助标准是构成该标准体系框架的关键技术标准，在支撑多CA环境下数字证书兼容应用活动中起至关重要的作用，包括证书格式规范、证书应用接口规范、证书注销列表应用规范、电子认证服务机构系统接入规范和业务系统数字证书集成规范.这两类标准可结合相关行业或领域的实际特点定制，从而使框架应用范围广泛灵活.

政策法规和管理机制作为框架中的“两纵”，其重点是侧重法律与管理上的基础支撑作用.政策法规的修改将不会影响到整个框架的核心，管理机制亦可根据行业或领域的实际特点加以制定.

（意大利诗人）阿里奥斯托（Ariosto）也说过：Non conosce la pace,e non la stima Chi provato non ha la guerra prima.（未经历战争者，不懂和平）⑫。

该标准体系框架突出了当前技术与管理上的可行性，总体设计灵活，既符合国际有关CA认证的标准化要求，也是目前我国电子认证与授权管理标准体系框架针对具体领域或行业的有效延伸和扩展，完全适合“集中管理，分散应用”的电子政务网络信任体系建设模式.

2.3 关键技术标准

在电子政务网络信任服务体系建设工程中，首先要遵循市场竞争原则，从择优选择多家CA机构，借鉴已有标准规范入手，制定满足多CA互信互认要求的电子政务数字证书格式规范、电子政务数字证书应用接口规范、电子政务数字证书注销列表应用规范等若干重要标准，逐步完善多CA互信互认标准体系，为电子政务领域的电子认证工程的实施，提供最基本的技术保证.

2.3.1 电子政务数字证书格式规范

证书格式是实现多CA互信互认的前提，是电子认证标准化的一项最为重要的工作.为满足多家CA机构所颁发数字证书能够同时应用和区分目标要求，我们在遵循国家相关标准的基础上，对证书信息进行扩展，增加一个非关键扩展项，即实体唯一标识.该扩展项代表一个证书持有者身份的唯一编码，可与应用系统中用户账号一一关联，以实现证书用户与系统用户的绑定.实体唯一标识的具体编码结构，如图2.其中，证书用户申请数字证书使用的关键证件编码、证书类型和证件代码之间的对应关系如表1;安全标识和证件号码的对应关系如表2.

例如，单位证书或企业证书办理数字证书时，若提供组织机构代码证件号码为123456789，CA机构编号为1001，该CA中心为用户签发的第一张数字证书的实体唯一标识应为 ①安全标识为0时的值应为1@1001ZZ 0123456789;②安全标识为1时的值应为1@1001ZZ1+Base64(123456789);③安全标识为2时的值应为1@1001ZZ2+Encrypt(342222197205053618)，Encrypt为指定加密算法函数.

图2 实体唯一标识的编码结构Fig.2 The coding structure of unique identifier for entity

表1 证书类型与证件代码的对应关系Table1 The corresponding relation of certificate type and identification code

表2 安全标识与证件号码的对应关系Table2 The corresponding relation of security identifier and identification number

2.3.2 电子政务数字证书应用接口规范

针对公钥密码基础设施底层标准规范的具体配置参数差异性和复杂性问题，基于国际现行相关标准，通过对应用层的客户端和服务端进行证书应用接口的标准定义，设计统一的证书应用接口技术体系框架(图3)，增加信任列表管理的相关接口(表3)，以确保政府各部门应用系统能够采用相同的方式，实现对不同电子认证服务机构证书的调用和操作，从而达到一次性、便捷化的应用改造目标.

图3 证书应用接口技术体系框架示意图Fig.3 The certificate application interface technique system frame diagram

此外，为确保多CA所构成的网络信任体系处于安全可控状态，本研究制定的电子政务数字证书应用接口规范还对影响体系安全性的关键环节提出相关技术要求，如电子认证服务机构根证书的获取、检索、同步与检测等.

表3 获得证书列表(SZG_GetUserList)Table3 Getting certificate list(SZG_GetUserList)

2.3.3 电子政务数字证书注销列表应用规范

数字证书注销列表(certificate revocation list，CRL)是验证证书是否可信的关键信息，其难点在于CRL处理方式，包括黑名单更新机制、验证方式和处理流程等.现有规范仅对CRL进行约束，但对于其如何发布和应用，尚未进行体系化说明.本研究制定的电子政务数字证书注销列表应用规范描述了CRL的应用模式、应用流程和应用策略及CRL文件的发布和同步流程，并定义了CRL基本结构(图4)和数据同步接口.

图4 CRL基本结构Fig.4 The basic structure of certificate revocation list

2.3.4 电子认证服务机构系统接入规范

针对电子政务领域的多CA互信互认需求，并在“集中管理、分散应用”的建设模式下，为加强对各CA机构开展电子认证服务质量的监督与管理，本文提出的电子认证服务机构系统接入规范旨在对各CA机构提出相关系统改造的技术要求，确保电子认证行业主管部门能够及时获取各家CA机构数字证书的发放与应用情况，也便于从全局角度进行数据的汇总、加工、统计和分析，从而有效提高整个网络信任体系的管理水平.

2.3.5 业务系统数字证书集成规范

用于指导各应用单位业务系统集成数字证书的各项安全功能.在符合证书格式和接口规范基础上，该规范给出了不同架构系统中的集成框架和调用方式，说明了身份认证、数字签名、数据加密等具体的实现流程和技术要求;同时，还对最终证书用户与业务系统之间实现用户关联、开通应用访问提出了规范的处理流程和数据对接方式.

3 应 用

本文框架中的标准规范均已应用于深圳市电子政务系统工程中，对实现多CA互信互认起到了良好的支撑作用.截止2011年底，深圳市电子政务领域数字证书应用互联互通平台共引入了3家CA机构，覆盖9家试点单位，涉及30个业务系统，数字证书应用情况见表4.

表4 深圳市电子政务领域数字证书使用情况统计Table4 Digital certificate usage statistics for e-government in Shenzhen 单位:张

结 语

开展电子政务领域的多CA互信互认试点研究是促进我国电子认证服务业健康有序发展的途径之一，为加强网络信任体系建设起到重要推动作用，而相关的电子认证应用类技术标准是实现多CA互信互认的基础.基于PKI/CA技术的电子认证标准化是推行我国电子认证服务行业全面质量管理的基础，建立一套既符合中国电子政务实际要求，又符合国际规则的多CA互信互认标准体系，对推广数字证书的应用，提高行业的标准化水平具有重要意义.通过深圳市电子政务外网信任体系建设工程的实施，本文初步构建了一套较为完善的多CA互信互认标准体系框架，对框架的科学性、完备性和兼容性进行了分析探讨，将国家现有数字证书格式规范、应用接口规范和注销列表应用规范行业化，有效地应用于电子政务中多CA互信互认标准体系，同时提出了电子认证服务机构系统接入规范和业务系统数字证书集成规范.

致谢:感谢喻建平教授对本文的悉心指导!

/References:

［1］Terence Spies.Public Key Infrastructure［M］//Vacca J R.Computer and Information Security Handbook.San Francisco:Morgan Kaufmann，2009:433-451.

［2］Hartini Saripan，Zaiton Hamin.The application of the digital signature law in securing internet banking:Some preliminary evidence from Malaysia［J］.Procedia Computer Science，2011，3:248-253.

［3］ITU-T X.509.Information Technology-Open Systems Interconnection-The Directory:Public-Key and Attribute Certificate Frameworks［M］. ［s.l.］:ITU-T Recommendation X.509，2000.

［4］BarbaraMiller.Electronicgovernment，concepts，methodologies，tools，and applications ［J］.Government Information Quarterly，2010，27(1):109-110.

［5］Taekyoung Kwon.Privacy preservation with X.509 standard certificates ［J］.Information Sciences，2011，181(13):2906-2921.

［6］“Chinese commercial password authentication architecture research”task group.Digital Certificate Application Guide［M］.Beijing:Publishing House of Electronics Industry，2008.(in Chinese)《中国商用密码认证体系结构研究》课题组.数字证书应用技术指南 ［M］.北京:电子工业出版社，2008.

［7］GB/T 20518-2006.Information security technology-public key infrastructure PKI digital certificate format［S］.(in Chinese)GB/T 20518-2006.信息安全技术 公钥基础设施 数字证书格式 ［S］.

［8］YANG Yi-xian， NIU Xin-xin. Applied Cryptography［M］.Beijing:Publishing House of Beijing University of Post＆ Telecommunication，2005.(in Chinese)杨义先，钮心忻.应用密码学［M］.北京:北京邮电大学出版社，2005.

［9］LD/T 30-2009.Human resources and social security of electronic authentication system ［S］.(in Chinese)LD/T 30-2009.人力资源和社会保障电子认证体系［S］.

［10］BAO Zhong-ping.Standard System:Principles and Practice［M］.Beijing:Standards Press of China，1998.(in Chinese)鲍仲平.标准体系的原理和实践［M］.北京:中国标准出版社，1998.