证书策略的分类分级研究

【 摘 要 】 分类分级的证书策略体系建设是电子认证服务发展的必然要求。然而，证书策略空间的复杂性和国内电子认证服务的多样性给证书策略体系的建设和推广带来困难。本文在总结国内外证书策略体系研究成果的基础上，提出了渐进的分类分级证书策略体系建设方法，设计了配套的对象标识符结构，并以自然人证书策略的制定为案例来说明该方法的实用性和有效性。

【 关键词 】 证书策略；电子认证服务；公钥基础设施；对象标识符

The Classification and Grading of Certificate Policies

Chen Jian-hui Lü Yao

（ China Center for Information Industry Development Beijing 100048)

【 Abstract 】 A classified and graded system of certificate policies is necessary for the development of electronic authentication services. However, owing to the complexity of certificate policy space and the diversity of domestic electronic authentication services, it is difficult to develop and popularize such a system. Based on previous researches on the certificate policy system, this paper proposes a progressive approach to develop the classified and graded system of certificate policies. The corresponding object identifier system is also designed. Finally, a case study on personal digital certificates is provided to demonstrate the usefulness of the proposed approach.

【 Keywords 】 certificate policy； electronic authentication service；public key infrastructure；object identifier

1 引言

X.509标准将证书策略（Certificate Policy，CP）定义为“表明一个证书对于具有相同安全需求的某类应用的能力的一组指定规则”，即适合于某类应用的一组共同的安全规则要求。它体现了电子认证服务机构针对特定数字证书所提供的安全保障情况，表明公钥所对应的用户的安全属性，指导应用程序的开发商或证书的依赖方识别证书的安全级别，以便正确信赖、使用该证书。

伴随着互联网、移动互联网、物联网的飞速发展，网络空间的安全性正得到越来越多的关注。在电子商务、电子政务、行业信息化等领域，电子认证的应用范围正不断扩大，服务模式、内容也不断创新。然而，与此不相适应的是，各合法电子认证服务机构（CA）大都围绕业务开展，根据证书使用对象的不同对证书类型进行简单划分，制定相应的证书策略，并未形成国家层面的、全局的证书策略体系，难以充分发挥证书策略在交叉认证、规范服务、引导市场、方便监管等方面的重要作用，严重阻碍了电子认证服务的进一步推广。

本文针对证书策略体系建设的迫切需要，在分析总结国内外相关研究的基础上，立足国内合法CA机构的现有情况，从订户类型、安全等级、服务能力三个维度对证书进行划分，提出了渐进的分类分级证书策略体系建设方法，设计了配套的对象标识符(Object Identifier，OID)结构。

2 国内外证书策略发展概况

证书策略的发展伴随着各国公钥基础设施(Public Key Infrastructure，PKI)的建设。从上世纪90年代初期以来，世界各主要国家相继开展了PKI体系的研究和建设工作，逐渐形成了各具特色的部级PKI体系和相应的证书策略体系。

2.1 美国联邦PKI的证书策略

美国联邦PKI（FPKI）体系始建于1996年，致力于支持在开放的网络如 Internet上的安全交易，用于保障电子政务、电子采购的信息安全和实现对关键网络设备的保护。整个FPKI的证书策略体系共有四类证书策略，分别针对不同的应用范围，并根据一定的划分依据细分为多个证书策略。具体情况如表1所示。

FPKI证书策略体系是目前国际上最为完善的证书策略体系。它支撑了整个FPKI体系的有效运作，对我国证书策略体系的建设有很高的参考价值。

2.2 欧洲的证书策略

欧洲也是PKI体系较为成熟的地区，许多机构和组织也围绕其PKI体系制定了相应的证书策略，具体情况如表2所示。

可以看到，由于未能清晰地认识证书策略的含义和作用，欧洲在证书策略的制定、实施和应用上与美国差距较大，并未形成完整的证书策略体系，这在一定程度上制约着欧洲电子认证应用的进一步推广。

2.3 国内的证书策略

从我国《电子签名法》 颁布以来，经过几年时间，我国电子认证服务业取得了长足发展。依法取得电子认证服务许可资质的机构已达32家，截至2012年3月底，经许可的32家CA签发的有效电子证书持有量超过4100万张。与电子认证服务迅猛发展形成鲜明对比的是国内证书策略体系建设严重滞后。目前，我国32家合法CA机构中，仅中国金融认证中心、陕西省数字证书认证中心等少数几家机构在其网站上公布了通用或针对特定应用的证书策略文档。各策略文档相互孤立且内容雷同严重，无法起到规范电子认证服务、引导用户合理选择数字证书的目的。