论文部分内容阅读
《电子签名法》的颁布,推动了中国电子认证产业的发展,并取得了明显的效果,中国电子商务的交易安全得到了有力保障。但是较之于飞速发展的电子商务,电子认证仍然面临严峻挑战。
在中国,政府部门的推动是推进电子认证发展的主要动力,但除网络银行外,其他电子商务对电子认证的使用仍旧较少。电子商务认证市场没有被完全带动起来。
为了确保网上银行、电子商务和电子证书的发展,国际上多数服务器都提供了SSL服务来确保信息传输的保密性、完整性。但是中国各类SSL安全站点证书的部署却仍然比较薄弱,附表是中国SSL站点证书部署的统计数据。可见,中国电子认证行业的发证规模,同国际CA公司相比存在一定差距; 而且电子认证的主要应用领域比较单一,电子证书的使用仍旧有待推进。有资料显示,大部分的网银用户仍然使用口令的方式进行电子交易,数字证书的使用比较有限。
此外,很多人都有过这样的经历,当登录某个网站时,微软浏览器常常显示“证书错误,导航已阻止”字样。这是因为,为了保证用户输入信息传输和存储的安全,许多网站都采用了服务器证书。但由于发放服务器证书的CA机构,并非都已经通过微软浏览器的认证,因此,微软浏览器将这些证书都当成是非法证书。
目前,微软所认可的CA公司数目虽然逐年增长,但其中包含的中国公司却很有限,截至2009年11月份,只有互联网信息中心(CNNIC)、上海CA和深圳沃通公司的根证书申请并进入微软的“Microsoft Root Certificate Program”。
电子商务采用的软件和系统等都是国际化的,电子商务网络边界也是模糊的,为了提高电子证书在商务应用领域的作用,因此很有必要提高中国各CA机构在国际/国内的认可度。
证书策略满足
多样化需求
电子商务吸引了传统企业及各类互联网企业加入其中,日渐形成全网销售态势。同时终端多样化使得越来越多的用户能够接入网络购物,网购的用户渗透率也不断提高,网购逐渐成为消费者生活中的重要组成部分。随着网络销售的企业以及网络购物用户数量的大量增长,电子商务的多样化安全需求越来越突出。
比如网上银行系统,除了对网银用户进行基本的身份鉴别之外,它还希望能对用户有一个区分。例如,出于安全的考虑,网银允许某些特定的用户网上交易额度最高为50万元,而限制另外一些用户交易不得超过1万元。
又如,综合的网上办公系统,除了在办公人员登录时进行身份鉴别之外,还希望能对他们作出区分。符合某些条件的人可以查看全部的项目情况,符合另外一些条件的人仅可以查看本组的项目情况,而有些人只能查看自己的项目情况。这也体现了应用系统在安全需求方面的多样性。
对调研数据进行分析处理后,我们发现各种应用的安全需求或者安全等级呈现出一些可进行划分的轮廓(同一轮廓中聚集着拥有类似需求或相似条件的个体),且一般会呈现出两种情况: 第一种情况,划分以高低层次为主要特征,如网上银行的安全需求一般是依照用户对金额的可支配上限; 第二种情况,划分以不同关注方面为特征,如发邮件、登录管理网站、登录查看个人信息以及小额支付。
针对这样的问题,PKI系统引入了证书策略以及认证业务声明。简单地说,证书策略和认证业务声明可认为是CA公司对数字证书(实质是该证书的持有者)的安全等级的一个说明。应用系统在阅读证书策略和认证业务声明后,便可得到该证书(实质是该证书的持有者)在安全等级方面的信息。应用系统通过这种具有指导意义的信息可以判断出证书(实质是该证书的持有者)是否拥有系统所要求的安全等级。
证书策略太“朴素”
面对电子商务的多样化需求,PKI系统中通过引入CP和CPS来实现证书“分级”,不同“等级”的证书签发质量各不相同,安全强度也不一样,比如,按照测试流程发放的证书应该不能用于正式的电子交易。而中国目前由于缺乏对数字证书的分级,人们无法从证书中获知证书的安全等级。中国获得电子认证服务许可证的CA公司,几乎都没有进行证书策略的体系划分,一般是根据证书使用对象的不同,进行证书类型划分,也称为“朴素的证书策略”。
个人证书
个人证书是为个人提供的数字证书,用户使用此证书来向对方表明个人的身份。证书可用于安全Web站点访问、安全电子邮件、网上银行等电子商务系统、网上报税等电子政务系统。个人证书根据用途的不同分为“个人身份证书、个人Email证书、个人代码签名证书”。
个人身份证书:包含个人身份信息的证书,它用于标志自然人在进行信息交换、电子签名、电子政务、电子商务等网络活动中的身份,并且保障信息在传输中的安全性和完整性,可以存储在硬盘、USB Key 、IC卡等介质中。
个人Email证书: 用于标志自然人申请者电子邮件(E-mail)的身份。证书持有人可以在电子邮件中对信件内容进行加密和签名操作。
个人代码签名证书: 以个人身份申请,用于对软件代码进行签名,以有效防止其软件代码被篡改,拥有者身份被冒用等。下载经过代码签名的软件时,可以确保软件的来源和完整性。
单位证书
单位证书是颁发给独立的单位、组织的数字证书,用于在网络上对政府机关、企事业和各类组织机构进行身份认证、发送安全电子邮件或网上信息交换的身份认证,可用于企业间电子商务及网上年检、网上税务等电子政务。同样,单位证书也按用途分为单位身份证书、单位Email证书、单位代码签名证书。
服务器身份证书
服务器身份证书是符合x.509标准的数字安全证书,证书中包含服务器信息和服务器的公钥,用于标识证书持有服务器的身份。数字安全证书和对应的私钥存储于Ekey或IC卡中,用于表征该服务器的身份。它主要用于网站交易服务器,用于在服务器端表明服务器身份,用户可以通过对服务器证书的验证来确定所访问的应用服务器是否真实可靠。
虽然国内的CA机构,根据证书的使用者不同,证书的用途不同,对证书进行了划分,但是划分比较简单,不能满足电子商务的多样化需求。比如,对于个人用于参加网上交易的证书,多数CA机构只提供“个人身份证书”这一类,并没有对持有证书的个体可以进行网上交易的数额进行划分。因此,需要在数字证书中引入证书策略,说明拥有证书的个体或单位可以进行电子交易的能力或使用各种资源的能力。(本文作者来自中国科学院研究生院信息安全国家重点实验室)
在中国,政府部门的推动是推进电子认证发展的主要动力,但除网络银行外,其他电子商务对电子认证的使用仍旧较少。电子商务认证市场没有被完全带动起来。
为了确保网上银行、电子商务和电子证书的发展,国际上多数服务器都提供了SSL服务来确保信息传输的保密性、完整性。但是中国各类SSL安全站点证书的部署却仍然比较薄弱,附表是中国SSL站点证书部署的统计数据。可见,中国电子认证行业的发证规模,同国际CA公司相比存在一定差距; 而且电子认证的主要应用领域比较单一,电子证书的使用仍旧有待推进。有资料显示,大部分的网银用户仍然使用口令的方式进行电子交易,数字证书的使用比较有限。
此外,很多人都有过这样的经历,当登录某个网站时,微软浏览器常常显示“证书错误,导航已阻止”字样。这是因为,为了保证用户输入信息传输和存储的安全,许多网站都采用了服务器证书。但由于发放服务器证书的CA机构,并非都已经通过微软浏览器的认证,因此,微软浏览器将这些证书都当成是非法证书。
目前,微软所认可的CA公司数目虽然逐年增长,但其中包含的中国公司却很有限,截至2009年11月份,只有互联网信息中心(CNNIC)、上海CA和深圳沃通公司的根证书申请并进入微软的“Microsoft Root Certificate Program”。
电子商务采用的软件和系统等都是国际化的,电子商务网络边界也是模糊的,为了提高电子证书在商务应用领域的作用,因此很有必要提高中国各CA机构在国际/国内的认可度。
证书策略满足
多样化需求
电子商务吸引了传统企业及各类互联网企业加入其中,日渐形成全网销售态势。同时终端多样化使得越来越多的用户能够接入网络购物,网购的用户渗透率也不断提高,网购逐渐成为消费者生活中的重要组成部分。随着网络销售的企业以及网络购物用户数量的大量增长,电子商务的多样化安全需求越来越突出。
比如网上银行系统,除了对网银用户进行基本的身份鉴别之外,它还希望能对用户有一个区分。例如,出于安全的考虑,网银允许某些特定的用户网上交易额度最高为50万元,而限制另外一些用户交易不得超过1万元。
又如,综合的网上办公系统,除了在办公人员登录时进行身份鉴别之外,还希望能对他们作出区分。符合某些条件的人可以查看全部的项目情况,符合另外一些条件的人仅可以查看本组的项目情况,而有些人只能查看自己的项目情况。这也体现了应用系统在安全需求方面的多样性。
对调研数据进行分析处理后,我们发现各种应用的安全需求或者安全等级呈现出一些可进行划分的轮廓(同一轮廓中聚集着拥有类似需求或相似条件的个体),且一般会呈现出两种情况: 第一种情况,划分以高低层次为主要特征,如网上银行的安全需求一般是依照用户对金额的可支配上限; 第二种情况,划分以不同关注方面为特征,如发邮件、登录管理网站、登录查看个人信息以及小额支付。
针对这样的问题,PKI系统引入了证书策略以及认证业务声明。简单地说,证书策略和认证业务声明可认为是CA公司对数字证书(实质是该证书的持有者)的安全等级的一个说明。应用系统在阅读证书策略和认证业务声明后,便可得到该证书(实质是该证书的持有者)在安全等级方面的信息。应用系统通过这种具有指导意义的信息可以判断出证书(实质是该证书的持有者)是否拥有系统所要求的安全等级。
证书策略太“朴素”
面对电子商务的多样化需求,PKI系统中通过引入CP和CPS来实现证书“分级”,不同“等级”的证书签发质量各不相同,安全强度也不一样,比如,按照测试流程发放的证书应该不能用于正式的电子交易。而中国目前由于缺乏对数字证书的分级,人们无法从证书中获知证书的安全等级。中国获得电子认证服务许可证的CA公司,几乎都没有进行证书策略的体系划分,一般是根据证书使用对象的不同,进行证书类型划分,也称为“朴素的证书策略”。
个人证书
个人证书是为个人提供的数字证书,用户使用此证书来向对方表明个人的身份。证书可用于安全Web站点访问、安全电子邮件、网上银行等电子商务系统、网上报税等电子政务系统。个人证书根据用途的不同分为“个人身份证书、个人Email证书、个人代码签名证书”。
个人身份证书:包含个人身份信息的证书,它用于标志自然人在进行信息交换、电子签名、电子政务、电子商务等网络活动中的身份,并且保障信息在传输中的安全性和完整性,可以存储在硬盘、USB Key 、IC卡等介质中。
个人Email证书: 用于标志自然人申请者电子邮件(E-mail)的身份。证书持有人可以在电子邮件中对信件内容进行加密和签名操作。
个人代码签名证书: 以个人身份申请,用于对软件代码进行签名,以有效防止其软件代码被篡改,拥有者身份被冒用等。下载经过代码签名的软件时,可以确保软件的来源和完整性。
单位证书
单位证书是颁发给独立的单位、组织的数字证书,用于在网络上对政府机关、企事业和各类组织机构进行身份认证、发送安全电子邮件或网上信息交换的身份认证,可用于企业间电子商务及网上年检、网上税务等电子政务。同样,单位证书也按用途分为单位身份证书、单位Email证书、单位代码签名证书。
服务器身份证书
服务器身份证书是符合x.509标准的数字安全证书,证书中包含服务器信息和服务器的公钥,用于标识证书持有服务器的身份。数字安全证书和对应的私钥存储于Ekey或IC卡中,用于表征该服务器的身份。它主要用于网站交易服务器,用于在服务器端表明服务器身份,用户可以通过对服务器证书的验证来确定所访问的应用服务器是否真实可靠。
虽然国内的CA机构,根据证书的使用者不同,证书的用途不同,对证书进行了划分,但是划分比较简单,不能满足电子商务的多样化需求。比如,对于个人用于参加网上交易的证书,多数CA机构只提供“个人身份证书”这一类,并没有对持有证书的个体可以进行网上交易的数额进行划分。因此,需要在数字证书中引入证书策略,说明拥有证书的个体或单位可以进行电子交易的能力或使用各种资源的能力。(本文作者来自中国科学院研究生院信息安全国家重点实验室)