國產密碼證書全生態應用

孫 鑫，李躍武

（新疆量子通信技術有限公司 新疆 烏魯木齊 830000）

1 引言

本文以我國國產密碼的具體應用情況作為基礎，綜合考慮國產密碼在網絡安全方面的實際應用需求，全面分析國產密碼證書的全生態應用。在此方案中，主要以國產密碼算法及其證書作為核心，將其在電子郵件加密以及HTTPS網站加密中的應用進行重點研究。

2 國產密碼應用現狀及其需求

2.1 應用現狀

在當今，隨著我國商用密碼算法技術的發展，國家已經出臺了很多相關的政策與規定，要求通過國產的密碼算法來進行電子政務以及金融等方面的網絡安全保障。但是就目前的操作系統以及相關應用軟件而言，大多數都能為國產密碼算法的應用提供支持[1]。這樣的情況對于國產密碼算法的應用造成了很大程度的制約作用，同時也對我國的重要領域網絡安全帶來了更大威脅。

2.2 應用需求

就目前的現狀來看，國產密碼的應用需求主要體現在兩個方面，第一是研究出相應的瀏覽器，使其能夠為國產密碼算法及其證書的應用提供支持。第二是解決國產密碼及其證書和用戶軟件不匹配的問題。只有讓這兩個方面的需求得以滿足，國產密碼證書的全生態應用才可以實現。

3 國產密碼證書全生態應用方案分析

該方案主要是以新疆CA為基礎來實現，新疆CA已經在PKI領域中實現了十余年的技術積累，對于國產密碼算法也進行了相應的研究與創新，進而推出一套完整的國產密碼證書全生態應用體系。在這套體系的具體應用中，可以讓國產密碼中的證書簽名、加密、身份認證、時間戳等的密碼應用得以全部實現。借助于自主研發的瀏覽器、閱讀器以及客戶端等產品，為國產密碼算法建立起了一個良好的應用生態環境，使其在電子郵件加密以及HTTPS加密等場景中得以全面應用，讓我國網絡空間的自主控制性得到保障，進一步提升網絡空間安全。同時，為了有效適應用戶的實際應用需求，新疆CA也對SM2/RSA雙證書模式以及自適應形式的加密算法進行了成功研制，保障了國產密碼及其證書的易用性和通用性。

3.1 國產密碼簽名加密技術在電子郵件中的應用方案分析

具體應用中，如果用戶要通過郵件的形式進行重要文件發送，客戶端可以在遵照S/MIME這一國際標準的基礎上通過國產密碼標準來進行簽名加密處理，通過數字化證書簽名形式的加密方式來保障郵件完整性和機密性。在用戶端，系統不僅支持RSA證書，同時也支持SM2證書，對于郵件的簽名加密密碼算法會進行自適應選擇，如果通信對方應用的是國產加密算法，則系統會優先對國產算法進行選擇，如果對方僅僅應用國際加密算法，則系統也會通過國際加密算法來實現郵件的簽名加密。

通過這樣的方式，就讓各個郵件的加密處理實現了全自動化操作，同時也為各個郵件都蓋上了一個時間戳，這樣就有效解決了以往郵件客戶端證書配置申請流程的復雜性以及公鑰交換難度大等的諸多問題，讓郵件加密處理的實施和部署更加靈活，滿足不同用戶對于場景方面的不同應用需求，并為企業客戶、金融機構、公共服務機構以及政府機構等的重要郵件加密處理提供出更具安全性的全自動解決方案，以此來有效保障其機密信息的安全性[2]。

3.2 國產密碼技術在HTTPS網站加密中的具體應用方案分析

因為新疆CA主要將國際標準的簽發作為參考，對國產密碼算法及其SSL證書加以應用，并對能夠為其應用提供支持的瀏覽器以及Web服務器軟件進行研究，通過這樣的方式，就可以實現國產密碼證書全生態應用體系的科學建立，讓國產密碼在HTTPS網站加密中得以良好應用。同時，新疆CA也對SM2/RSA雙加密算法證書形式自適應系統進行了創新研發，同時將SM2/RSA形式的雙SSL證書在國際密碼SSL網關以及國產密碼SSL網關上進行部署，通過對國產密碼提供支持的模塊，可以對瀏覽器能否為國產密碼算法提供支持加以自動識別。就目前來看，360瀏覽器、國產密信瀏覽器、谷歌瀏覽器等都可以為國產密碼算法及其證書的應用提供支持。

在網絡系統中，SM2/RSA形式雙證書方案的應用不僅可以讓國產密碼及其證書具備足夠的合規性，同時也可以將其應用范圍擴展到全球。在通過國際密碼算法進行HTTPS網站加密方案及其證書體系發生問題的情況下，服務器不需要修改任何的配置，用戶只需要借助于360瀏覽器、國產密信瀏覽器等的這些國產瀏覽器，便可將原本的國際密碼算法無縫切換到國產的HTTPS密碼算法。這樣就可以為用戶的網絡信息安全提供雙保險，避免由于國際密碼算法問題所帶來的網絡數據信息安全隱患[3]。

3.3 PDF/OFD文檔形式的國產密碼簽名加密應用方案分析

在電子化的合同、營業執照以及發票等電子簽名場景應用過程中，我國大部分應用的是Adobe信任度非常低的PDF簽名證書形式以及安全等級非常低的RSA SHA-1 1024位算法數字簽名形式。這些簽名形式的文件不僅僅在Adobe閱讀器內顯示出“簽名有問題”，同時也由于其加密法十分脆弱而增加簽名被破解的風險。所以這樣的簽名形式不僅受到Adobe瀏覽器的信任，也與國產密碼算法簽名的實際應用需求不符[4]。

基于此，將新疆CA所推出的SM2/RSA形式雙協議證書、雙簽名證書以及雙時間戳形式的PDF/OFD文檔簽名加密方案予以科學應用，借助于Adobe信任度足夠高的RSA證書保障Adobe閱讀器職工的簽名文件可以自動對顯示出的簽名者進行身份信息驗證，讓Adobe閱讀器內的“簽名有問題”這一問題得到合理解決。借助于國產密碼SM2證書來進行簽名，則可以有效保障已經被簽名的文件在支持這種算法的閱讀器內自動進行簽名檢驗，保障簽名文件和國產密碼證書的規定相符。另外，這種簽名加密應用方案也可以對長效驗證有效技術（Adobe LTV）提供相應的支持，支持對有待進行原文摘要的簽名進行提交，而并不需要用戶直接進行原文提交。通過這樣的方式，就可以讓用戶的隱私信息得到更好的安全保障，并為用戶提供出云端簽名、本地簽名、API簽名以及客戶端簽名等的諸多簽名形式，讓部署模式更加靈活。

在此過程中，新疆CA主要可以對國家密碼管理局以及工業與信息化部門的電子認證服務許可證進行獲取，然后借助于國際Web Trust所認證的全球Adobe信任認證權威電子認證服務機構對符合《密碼法》以及《電子簽名法》等相關法律要求的數字簽名進行提供，這里的電子簽名和傳統的手寫簽名或者是蓋章之間有著同樣的法律作用[5]。因此，將該方案應用到電子形式的證照、營業執照、發票以及合同等的各種數字化簽名場景中，將會進一步保障其合規性及其在全球范圍內的信譽度。所以為進一步保障數字化電子簽名的適用性與安全性，在當今的電子簽名領域中，相關企業可以將該方案加以合理應用。

4 結語

綜上所述，在當今的網絡信息技術發展中，網絡信息安全保障也開始備受關注。相比較傳統網絡信息安全防護中典型的國際加密算法RSA而言，國產加密算法SM有著更高的安全性。因此，在具體的網絡信息安全防護技術研究中，我們有必要對國產密碼算法證書全生態應用進行深入研究，通過其應用現狀與實際應用需求的分析來進行應用方案的合理制定。這樣才可以充分發揮出國產密碼算法技術優勢，進一步保障網絡信息的安全性。在此過程中，主要應該將國產加密算法及其證書與國際加密算法及其證書加以聯合應用，通過雙證書形式的防護方案來做好網絡信息的安全防護工作。