孫 鑫，李躍武

（新疆量子通信技術(shù)有限公司 新疆 烏魯木齊 830000）

1 引言

本文以我國國產(chǎn)密碼的具體應(yīng)用情況作為基礎(chǔ)，綜合考慮國產(chǎn)密碼在網(wǎng)絡(luò)安全方面的實(shí)際應(yīng)用需求，全面分析國產(chǎn)密碼證書的全生態(tài)應(yīng)用。在此方案中，主要以國產(chǎn)密碼算法及其證書作為核心，將其在電子郵件加密以及HTTPS網(wǎng)站加密中的應(yīng)用進(jìn)行重點(diǎn)研究。

2 國產(chǎn)密碼應(yīng)用現(xiàn)狀及其需求

2.1 應(yīng)用現(xiàn)狀

在當(dāng)今，隨著我國商用密碼算法技術(shù)的發(fā)展，國家已經(jīng)出臺了很多相關(guān)的政策與規(guī)定，要求通過國產(chǎn)的密碼算法來進(jìn)行電子政務(wù)以及金融等方面的網(wǎng)絡(luò)安全保障。但是就目前的操作系統(tǒng)以及相關(guān)應(yīng)用軟件而言，大多數(shù)都能為國產(chǎn)密碼算法的應(yīng)用提供支持[1]。這樣的情況對于國產(chǎn)密碼算法的應(yīng)用造成了很大程度的制約作用，同時也對我國的重要領(lǐng)域網(wǎng)絡(luò)安全帶來了更大威脅。

2.2 應(yīng)用需求

就目前的現(xiàn)狀來看，國產(chǎn)密碼的應(yīng)用需求主要體現(xiàn)在兩個方面，第一是研究出相應(yīng)的瀏覽器，使其能夠?yàn)閲a(chǎn)密碼算法及其證書的應(yīng)用提供支持。第二是解決國產(chǎn)密碼及其證書和用戶軟件不匹配的問題。只有讓這兩個方面的需求得以滿足，國產(chǎn)密碼證書的全生態(tài)應(yīng)用才可以實(shí)現(xiàn)。

3 國產(chǎn)密碼證書全生態(tài)應(yīng)用方案分析

該方案主要是以新疆CA為基礎(chǔ)來實(shí)現(xiàn)，新疆CA已經(jīng)在PKI領(lǐng)域中實(shí)現(xiàn)了十余年的技術(shù)積累，對于國產(chǎn)密碼算法也進(jìn)行了相應(yīng)的研究與創(chuàng)新，進(jìn)而推出一套完整的國產(chǎn)密碼證書全生態(tài)應(yīng)用體系。在這套體系的具體應(yīng)用中，可以讓國產(chǎn)密碼中的證書簽名、加密、身份認(rèn)證、時間戳等的密碼應(yīng)用得以全部實(shí)現(xiàn)。借助于自主研發(fā)的瀏覽器、閱讀器以及客戶端等產(chǎn)品，為國產(chǎn)密碼算法建立起了一個良好的應(yīng)用生態(tài)環(huán)境，使其在電子郵件加密以及HTTPS加密等場景中得以全面應(yīng)用，讓我國網(wǎng)絡(luò)空間的自主控制性得到保障，進(jìn)一步提升網(wǎng)絡(luò)空間安全。同時，為了有效適應(yīng)用戶的實(shí)際應(yīng)用需求，新疆CA也對SM2/RSA雙證書模式以及自適應(yīng)形式的加密算法進(jìn)行了成功研制，保障了國產(chǎn)密碼及其證書的易用性和通用性。

3.1 國產(chǎn)密碼簽名加密技術(shù)在電子郵件中的應(yīng)用方案分析

具體應(yīng)用中，如果用戶要通過郵件的形式進(jìn)行重要文件發(fā)送，客戶端可以在遵照S/MIME這一國際標(biāo)準(zhǔn)的基礎(chǔ)上通過國產(chǎn)密碼標(biāo)準(zhǔn)來進(jìn)行簽名加密處理，通過數(shù)字化證書簽名形式的加密方式來保障郵件完整性和機(jī)密性。在用戶端，系統(tǒng)不僅支持RSA證書，同時也支持SM2證書，對于郵件的簽名加密密碼算法會進(jìn)行自適應(yīng)選擇，如果通信對方應(yīng)用的是國產(chǎn)加密算法，則系統(tǒng)會優(yōu)先對國產(chǎn)算法進(jìn)行選擇，如果對方僅僅應(yīng)用國際加密算法，則系統(tǒng)也會通過國際加密算法來實(shí)現(xiàn)郵件的簽名加密。

通過這樣的方式，就讓各個郵件的加密處理實(shí)現(xiàn)了全自動化操作，同時也為各個郵件都蓋上了一個時間戳，這樣就有效解決了以往郵件客戶端證書配置申請流程的復(fù)雜性以及公鑰交換難度大等的諸多問題，讓郵件加密處理的實(shí)施和部署更加靈活，滿足不同用戶對于場景方面的不同應(yīng)用需求，并為企業(yè)客戶、金融機(jī)構(gòu)、公共服務(wù)機(jī)構(gòu)以及政府機(jī)構(gòu)等的重要郵件加密處理提供出更具安全性的全自動解決方案，以此來有效保障其機(jī)密信息的安全性[2]。

3.2 國產(chǎn)密碼技術(shù)在HTTPS網(wǎng)站加密中的具體應(yīng)用方案分析

因?yàn)樾陆瓹A主要將國際標(biāo)準(zhǔn)的簽發(fā)作為參考，對國產(chǎn)密碼算法及其SSL證書加以應(yīng)用，并對能夠?yàn)槠鋺?yīng)用提供支持的瀏覽器以及Web服務(wù)器軟件進(jìn)行研究，通過這樣的方式，就可以實(shí)現(xiàn)國產(chǎn)密碼證書全生態(tài)應(yīng)用體系的科學(xué)建立，讓國產(chǎn)密碼在HTTPS網(wǎng)站加密中得以良好應(yīng)用。同時，新疆CA也對SM2/RSA雙加密算法證書形式自適應(yīng)系統(tǒng)進(jìn)行了創(chuàng)新研發(fā)，同時將SM2/RSA形式的雙SSL證書在國際密碼SSL網(wǎng)關(guān)以及國產(chǎn)密碼SSL網(wǎng)關(guān)上進(jìn)行部署，通過對國產(chǎn)密碼提供支持的模塊，可以對瀏覽器能否為國產(chǎn)密碼算法提供支持加以自動識別。就目前來看，360瀏覽器、國產(chǎn)密信瀏覽器、谷歌瀏覽器等都可以為國產(chǎn)密碼算法及其證書的應(yīng)用提供支持。

在網(wǎng)絡(luò)系統(tǒng)中，SM2/RSA形式雙證書方案的應(yīng)用不僅可以讓國產(chǎn)密碼及其證書具備足夠的合規(guī)性，同時也可以將其應(yīng)用范圍擴(kuò)展到全球。在通過國際密碼算法進(jìn)行HTTPS網(wǎng)站加密方案及其證書體系發(fā)生問題的情況下，服務(wù)器不需要修改任何的配置，用戶只需要借助于360瀏覽器、國產(chǎn)密信瀏覽器等的這些國產(chǎn)瀏覽器，便可將原本的國際密碼算法無縫切換到國產(chǎn)的HTTPS密碼算法。這樣就可以為用戶的網(wǎng)絡(luò)信息安全提供雙保險，避免由于國際密碼算法問題所帶來的網(wǎng)絡(luò)數(shù)據(jù)信息安全隱患[3]。

3.3 PDF/OFD文檔形式的國產(chǎn)密碼簽名加密應(yīng)用方案分析

在電子化的合同、營業(yè)執(zhí)照以及發(fā)票等電子簽名場景應(yīng)用過程中，我國大部分應(yīng)用的是Adobe信任度非常低的PDF簽名證書形式以及安全等級非常低的RSA SHA-1 1024位算法數(shù)字簽名形式。這些簽名形式的文件不僅僅在Adobe閱讀器內(nèi)顯示出“簽名有問題”，同時也由于其加密法十分脆弱而增加簽名被破解的風(fēng)險。所以這樣的簽名形式不僅受到Adobe瀏覽器的信任，也與國產(chǎn)密碼算法簽名的實(shí)際應(yīng)用需求不符[4]。

基于此，將新疆CA所推出的SM2/RSA形式雙協(xié)議證書、雙簽名證書以及雙時間戳形式的PDF/OFD文檔簽名加密方案予以科學(xué)應(yīng)用，借助于Adobe信任度足夠高的RSA證書保障Adobe閱讀器職工的簽名文件可以自動對顯示出的簽名者進(jìn)行身份信息驗(yàn)證，讓Adobe閱讀器內(nèi)的“簽名有問題”這一問題得到合理解決。借助于國產(chǎn)密碼SM2證書來進(jìn)行簽名，則可以有效保障已經(jīng)被簽名的文件在支持這種算法的閱讀器內(nèi)自動進(jìn)行簽名檢驗(yàn)，保障簽名文件和國產(chǎn)密碼證書的規(guī)定相符。另外，這種簽名加密應(yīng)用方案也可以對長效驗(yàn)證有效技術(shù)（Adobe LTV）提供相應(yīng)的支持，支持對有待進(jìn)行原文摘要的簽名進(jìn)行提交，而并不需要用戶直接進(jìn)行原文提交。通過這樣的方式，就可以讓用戶的隱私信息得到更好的安全保障，并為用戶提供出云端簽名、本地簽名、API簽名以及客戶端簽名等的諸多簽名形式，讓部署模式更加靈活。

在此過程中，新疆CA主要可以對國家密碼管理局以及工業(yè)與信息化部門的電子認(rèn)證服務(wù)許可證進(jìn)行獲取，然后借助于國際Web Trust所認(rèn)證的全球Adobe信任認(rèn)證權(quán)威電子認(rèn)證服務(wù)機(jī)構(gòu)對符合《密碼法》以及《電子簽名法》等相關(guān)法律要求的數(shù)字簽名進(jìn)行提供，這里的電子簽名和傳統(tǒng)的手寫簽名或者是蓋章之間有著同樣的法律作用[5]。因此，將該方案應(yīng)用到電子形式的證照、營業(yè)執(zhí)照、發(fā)票以及合同等的各種數(shù)字化簽名場景中，將會進(jìn)一步保障其合規(guī)性及其在全球范圍內(nèi)的信譽(yù)度。所以為進(jìn)一步保障數(shù)字化電子簽名的適用性與安全性，在當(dāng)今的電子簽名領(lǐng)域中，相關(guān)企業(yè)可以將該方案加以合理應(yīng)用。

4 結(jié)語

綜上所述，在當(dāng)今的網(wǎng)絡(luò)信息技術(shù)發(fā)展中，網(wǎng)絡(luò)信息安全保障也開始備受關(guān)注。相比較傳統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)中典型的國際加密算法RSA而言，國產(chǎn)加密算法SM有著更高的安全性。因此，在具體的網(wǎng)絡(luò)信息安全防護(hù)技術(shù)研究中，我們有必要對國產(chǎn)密碼算法證書全生態(tài)應(yīng)用進(jìn)行深入研究，通過其應(yīng)用現(xiàn)狀與實(shí)際應(yīng)用需求的分析來進(jìn)行應(yīng)用方案的合理制定。這樣才可以充分發(fā)揮出國產(chǎn)密碼算法技術(shù)優(yōu)勢，進(jìn)一步保障網(wǎng)絡(luò)信息的安全性。在此過程中，主要應(yīng)該將國產(chǎn)加密算法及其證書與國際加密算法及其證書加以聯(lián)合應(yīng)用，通過雙證書形式的防護(hù)方案來做好網(wǎng)絡(luò)信息的安全防護(hù)工作。