国产密码证书全生态应用

孙 鑫，李跃武

（新疆量子通信技术有限公司 新疆 乌鲁木齐 830000）

1 引言

本文以我国国产密码的具体应用情况作为基础，综合考虑国产密码在网络安全方面的实际应用需求，全面分析国产密码证书的全生态应用。在此方案中，主要以国产密码算法及其证书作为核心，将其在电子邮件加密以及HTTPS网站加密中的应用进行重点研究。

2 国产密码应用现状及其需求

2.1 应用现状

在当今，随着我国商用密码算法技术的发展，国家已经出台了很多相关的政策与规定，要求通过国产的密码算法来进行电子政务以及金融等方面的网络安全保障。但是就目前的操作系统以及相关应用软件而言，大多数都能为国产密码算法的应用提供支持[1]。这样的情况对于国产密码算法的应用造成了很大程度的制约作用，同时也对我国的重要领域网络安全带来了更大威胁。

2.2 应用需求

就目前的现状来看，国产密码的应用需求主要体现在两个方面，第一是研究出相应的浏览器，使其能够为国产密码算法及其证书的应用提供支持。第二是解决国产密码及其证书和用户软件不匹配的问题。只有让这两个方面的需求得以满足，国产密码证书的全生态应用才可以实现。

3 国产密码证书全生态应用方案分析

该方案主要是以新疆CA为基础来实现，新疆CA已经在PKI领域中实现了十余年的技术积累，对于国产密码算法也进行了相应的研究与创新，进而推出一套完整的国产密码证书全生态应用体系。在这套体系的具体应用中，可以让国产密码中的证书签名、加密、身份认证、时间戳等的密码应用得以全部实现。借助于自主研发的浏览器、阅读器以及客户端等产品，为国产密码算法建立起了一个良好的应用生态环境，使其在电子邮件加密以及HTTPS加密等场景中得以全面应用，让我国网络空间的自主控制性得到保障，进一步提升网络空间安全。同时，为了有效适应用户的实际应用需求，新疆CA也对SM2/RSA双证书模式以及自适应形式的加密算法进行了成功研制，保障了国产密码及其证书的易用性和通用性。

3.1 国产密码签名加密技术在电子邮件中的应用方案分析

具体应用中，如果用户要通过邮件的形式进行重要文件发送，客户端可以在遵照S/MIME这一国际标准的基础上通过国产密码标准来进行签名加密处理，通过数字化证书签名形式的加密方式来保障邮件完整性和机密性。在用户端，系统不仅支持RSA证书，同时也支持SM2证书，对于邮件的签名加密密码算法会进行自适应选择，如果通信对方应用的是国产加密算法，则系统会优先对国产算法进行选择，如果对方仅仅应用国际加密算法，则系统也会通过国际加密算法来实现邮件的签名加密。

通过这样的方式，就让各个邮件的加密处理实现了全自动化操作，同时也为各个邮件都盖上了一个时间戳，这样就有效解决了以往邮件客户端证书配置申请流程的复杂性以及公钥交换难度大等的诸多问题，让邮件加密处理的实施和部署更加灵活，满足不同用户对于场景方面的不同应用需求，并为企业客户、金融机构、公共服务机构以及政府机构等的重要邮件加密处理提供出更具安全性的全自动解决方案，以此来有效保障其机密信息的安全性[2]。

3.2 国产密码技术在HTTPS网站加密中的具体应用方案分析

因为新疆CA主要将国际标准的签发作为参考，对国产密码算法及其SSL证书加以应用，并对能够为其应用提供支持的浏览器以及Web服务器软件进行研究，通过这样的方式，就可以实现国产密码证书全生态应用体系的科学建立，让国产密码在HTTPS网站加密中得以良好应用。同时，新疆CA也对SM2/RSA双加密算法证书形式自适应系统进行了创新研发，同时将SM2/RSA形式的双SSL证书在国际密码SSL网关以及国产密码SSL网关上进行部署，通过对国产密码提供支持的模块，可以对浏览器能否为国产密码算法提供支持加以自动识别。就目前来看，360浏览器、国产密信浏览器、谷歌浏览器等都可以为国产密码算法及其证书的应用提供支持。

在网络系统中，SM2/RSA形式双证书方案的应用不仅可以让国产密码及其证书具备足够的合规性，同时也可以将其应用范围扩展到全球。在通过国际密码算法进行HTTPS网站加密方案及其证书体系发生问题的情况下，服务器不需要修改任何的配置，用户只需要借助于360浏览器、国产密信浏览器等的这些国产浏览器，便可将原本的国际密码算法无缝切换到国产的HTTPS密码算法。这样就可以为用户的网络信息安全提供双保险，避免由于国际密码算法问题所带来的网络数据信息安全隐患[3]。

3.3 PDF/OFD文档形式的国产密码签名加密应用方案分析

在电子化的合同、营业执照以及发票等电子签名场景应用过程中，我国大部分应用的是Adobe信任度非常低的PDF签名证书形式以及安全等级非常低的RSA SHA-1 1024位算法数字签名形式。这些签名形式的文件不仅仅在Adobe阅读器内显示出“签名有问题”，同时也由于其加密法十分脆弱而增加签名被破解的风险。所以这样的签名形式不仅受到Adobe浏览器的信任，也与国产密码算法签名的实际应用需求不符[4]。

基于此，将新疆CA所推出的SM2/RSA形式双协议证书、双签名证书以及双时间戳形式的PDF/OFD文档签名加密方案予以科学应用，借助于Adobe信任度足够高的RSA证书保障Adobe阅读器职工的签名文件可以自动对显示出的签名者进行身份信息验证，让Adobe阅读器内的“签名有问题”这一问题得到合理解决。借助于国产密码SM2证书来进行签名，则可以有效保障已经被签名的文件在支持这种算法的阅读器内自动进行签名检验，保障签名文件和国产密码证书的规定相符。另外，这种签名加密应用方案也可以对长效验证有效技术（Adobe LTV）提供相应的支持，支持对有待进行原文摘要的签名进行提交，而并不需要用户直接进行原文提交。通过这样的方式，就可以让用户的隐私信息得到更好的安全保障，并为用户提供出云端签名、本地签名、API签名以及客户端签名等的诸多签名形式，让部署模式更加灵活。

在此过程中，新疆CA主要可以对国家密码管理局以及工业与信息化部门的电子认证服务许可证进行获取，然后借助于国际Web Trust所认证的全球Adobe信任认证权威电子认证服务机构对符合《密码法》以及《电子签名法》等相关法律要求的数字签名进行提供，这里的电子签名和传统的手写签名或者是盖章之间有着同样的法律作用[5]。因此，将该方案应用到电子形式的证照、营业执照、发票以及合同等的各种数字化签名场景中，将会进一步保障其合规性及其在全球范围内的信誉度。所以为进一步保障数字化电子签名的适用性与安全性，在当今的电子签名领域中，相关企业可以将该方案加以合理应用。

4 结语

综上所述，在当今的网络信息技术发展中，网络信息安全保障也开始备受关注。相比较传统网络信息安全防护中典型的国际加密算法RSA而言，国产加密算法SM有着更高的安全性。因此，在具体的网络信息安全防护技术研究中，我们有必要对国产密码算法证书全生态应用进行深入研究，通过其应用现状与实际应用需求的分析来进行应用方案的合理制定。这样才可以充分发挥出国产密码算法技术优势，进一步保障网络信息的安全性。在此过程中，主要应该将国产加密算法及其证书与国际加密算法及其证书加以联合应用，通过双证书形式的防护方案来做好网络信息的安全防护工作。