来源:卓望杂志 更新时间:2011-05-18
作者:谢权
一、CMCA成长历程和现状
1.1CMCA的建设历程
按照《中华人民共和国电子签名法》、《电子认证服务管理办法》的要求,在工业和信息化部(以下简称工信部)等行业主管部门的指导下,在中国移动通信集团公司的大力支持下,卓望数码技术(深圳)有限公司(以下简称卓望公司)独立承担的中国移动CMCA电子认证服务系统(以下简称CMCA)的建设工作。
2008年9月,卓望公司成立了移动安全认证中心,着手中国移动CMCA技术体系、运营体系的搭建。2009年3月,中国移动CMCA完成机房建设、系统部署与验收。作为重要的安全保障,中国移动CMCA与中国移动手机支付业务共同正式上线试运行。
国家密码管理局给予了中国移动CMCA充分肯定与高度期望,分别组织了预审会议和业务研讨会议。2010年2月,中国移动CMCA电子认证服务系统与密钥管理系统通过了国家密码管理局组织的现场测试。2010年3月,中国移动CMCA通过了国家密码管理局的互联互通测试。2010年5月,中国移动CMCA通过了国家密码管理局组织的安全性审查。
截止2010年第一季度,卓望公司良好完成了CMCA整体系统的工程建设工作,初步形成了以湖南为核心辐射全国的CMCA系统架构。2010年5月30日,CMCA系统通过了国家密码管理局的安全性审查, 2010年7月10日,卓望公司正式获得国家密码管理局颁发的《电子认证服务使用密码许可证》。目前,为紧密配合中国移动移动互联网3G特色业务发展的整体需要,卓望公司正积极申请工信部电子认证服务运营资质即《电子认证服务许可证》,并有望在2011年年中取得该资质。
1.2CMCA技术体系
中国移动CMCA电子认证服务系统建设采用的是通过国家密码局鉴定的SRQ21数字证书认证系统[国家密码管理局鉴字第2004029号],系统建设采用双中心备份的模式,在广东南方基地和湖南电子商务基地均建有了CA认证机房。系统模块包括离线根CA系统、证书签发管理系统(运营CA)、用户注册管理系统(RA中心)和密钥管理系统(KM中心)。
CMCA技术体系除了CA生产管理系统外,还包括了系统监控、统计分析、授权管理等运营管理部分、应用平台业务服务支撑部分以及用户访问与自服务渠道,在证书载体方面,CMCA可以支持传统Usbkey和RF-SIM卡、PKI-SIM卡等手机终端证书载体。
图1 CMCA技术体系
1.3CMCA运营体系
中国移动CMCA作为中国移动电子商务发展的重要组成部分,全力配合中国移动电子商务产品创新基地(长沙)和其他省业务的安全运营支撑。中国移动CMCA成立了安全认证策略管理委员会,建立了电子认证服务相关业务规则、运营规范与管理制度一系列文档,建立了安全管理机制、应急响应计划、审计与风险评估机制,以确保业务连续性,组建了一支近40人的专业技术、运营、服务团队,将有利保障日常运营维护与客户服务工作。
1.4CMCA证书应用现状
目前,中国移动CMCA重点支撑的业务方向为移动应用商场终端应用认证、手机支付、手机通宝一卡通等移动电子商务业务。
CMCA已探索出面向手机终端应用开发者认证服务的终端应用认证解决方案,将向开发者颁发数字证书并提供对终端应用的可靠电子签名服务,通过电子签名的抗抵赖、防篡改功能实现对终端应用安全和业务能力的控制,实现终端应用的版权保护和纠纷追溯及仲裁,保护开发者和消费者的权益,避免重蹈PC应用软件安全缺乏控制导致混乱的覆辙,支撑移动应用商场的良性发展。
CMCA创新性的将手机作为数字证书载体,将中国移动手机号码和数字证书结合,打造手机用户唯一的移动数字身份标识,提供身份认证、可靠电子签名和鉴权服务,让手机用户更加放心的使用的移动电子商务服务。手机证书可以支持积分兑换、积分消费、会员服务、电子票务、手机钱包、手机支付等多方位便民服务,手机可成为公交一卡通、校园一卡通、会员一卡通、消费一卡通等一卡通的集合体,真正实现“”一卡通行。
同时CMCA也将目标瞄准了广阔的传统互联网电子商务、电子政务、企业应用市场,通过自身业务开拓及与外部合作伙伴的业务合作,CMCA证书应用业务将全面铺开,相信在不久的将来,CMCA证书应用推广将会出现“量”的飞跃和“质”的提升。
二、CMCA为中国移动和社会带来的价值
2.1符合移动电子商务的安全需求
随着移动通信3G时代的到来,为方便社会各界手机用户便捷、安全的享受移动电子商务服务,中国移动作为国际级电信运营商,正在利用自身优势,实施从“移动通信专家”向“移动信息专家”转型的战略,大力发展移动互联网与移动电子商务。手机支付、移动应用商场等应用,得到社会广大用户的好评,为确保用户的信息安全,迫切需要信息安全基础设施保障,作为用户与用户之间的信任媒介,CMCA认证中心的电子认证服务支撑是中国移动整体信息安全战略的必要环节。
2.2填补了移动安全认证业务市场的空白
据调查,目前国内依法设立的30家CA中心提供的电子认证服务几乎全部集中在传统互联网业务领域,且绝大部分以电子政务对公服务为主,如网上报税、网上社保等,电子商务市场的电子认证业务开展缓慢,移动电子商务领域更是少有公司涉及,移动行业电子认证业务的特殊要求制约了传统电子认证服务在移动行业的发展。
(1)移动业务电子认证与移动相关业务系统、平台、技术、产品要无缝对接,提供定制化的解决方案与运营服务,现有电子认证服务机构的业务以单一发放证书为主,开发能力普遍不足,难以完全适应移动业务的可靠性、可用性、易用性要求;
(2)为了满足移动业务的可扩展性,考虑到中国移动超过5亿的手机用户资源,移动业务的电子认证的运营服务水平要和中国移动上亿用户的电信级运营服务水平相适应,现有的电子认证服务机构的系统承载能力有限,尚难满足中国移动在用户承载能力上的要求;
(3)移动业务电子认证并非仅考虑用户的身份属性,认证用户的身份必须和移动手机用户的号码及实名相对应,以配合国家手机实名制的推广,进行可靠的移动数字身份认证。中国移动用户的手机号码和实名信息资源属于核心资源,按国家有关规定且考虑到用户隐私保护问题,一般的电子认证服务机构无法获得;
基于卓望公司对中国移动业务的深入研究,CMCA认证系统的建设围绕移动电子认证需求在系统架构、系统功能、系统接口等方面做了很多的定制化设计,CMCA认证系统符合以手机为载体、以电信网为传输通道、以移动电子商务为主要业务领域的移动安全认证需求,为中国移动相关业务的顺利开展提供了安全保障,同时为社会公众的移动互联网安全应用起到了保驾护航的作用。
2.3保障移动应用环境安全
随着移动互联网的兴起与智能终端迅速普及,手机已经成为人们商务、生活、娱乐活动中不可或缺的工具,各类手机应用软件如雨后春笋般不断涌现,但其中也不乏 “网秦”、“飞流”等恶意手机软件,他们劫持用户、恶意吸费,手机软件的安全性、软件欺诈行为等问题再次成为业界及广大用户的关注焦点。
面对这类手机应用软件问题,需要建设手机软件可靠性的保护机制,实现开发者身份认证、软件代码可靠签名以及版权保护等完整的安全认证保护,采用一系列技术保障手段保护广大用户的利益,并为管理部门提供深度监管的技术手段支撑。
2009年初,CMCA已开始为中国移动应用商场Mobile Market提供终端应用(即手机软件)认证整体解决方案,终端应用认证已经成为中国移动CMCA最具行业特色、最具市场前景、最具公众影响的应用之一。
图2 终端应用认证解决方案
终端应用认证服务包括开发者身份认证、应用内容签名、版权保护以及开发者电子签约、消费者身份认证等,覆盖了应用从开发、提交、版权声明、发布、上架销售到消费者下载的各个环节。技术上CMCA参照国内、国际手机软件认证机制,形成了自主技术标准,支持手机软件主流开发平台(symbian、android等),具有多项技术创新性(已申请专利【sq201010260112】)。终端应用认证平台以基于数字证书的数字认证技术、可靠签名为基础,为中国移动MM应用商场提供应用安全认证服务,并且可以推广至各类网络应用商场等商家或机构,为手机终端应用环境安全建立安全基础。
2.4为网络活动建立信任基础
现阶段网络存在着大量的信息滥用、网络欺诈、身份盗用等问题,并且随着个体在网络活动中的参与程度的不断深入,及个体在网络活动中的现实需求,这些问题将促进网络活动中技术手段和管理模式的变革与发展。
目前网络信息服务的身份验证集中在以虚拟身份为基础的匿名身份验证,网络对用户的身份认证依赖于虚拟的服务账号,服务账号通常并未与用户的现实身份建立联系,系统和设备的认证依赖于割裂的服务账号。随着网络信息系统的逐步发展,网络活动中日益需要个人以现实生活的可信身份参与。要达到个体身份的可信,个体身份必须是经过认证的可信现实身份,即网络中的验证方式是基于可信现实身份的标识以及标识在网络实现的技术手段。目前基于技术手段可以实现对个体的身份、行为的识别和认证,对信息系统而言它识别和认证的是权威机构宣称的个体。
可信网络依赖的基础是可信身份基础设施,CMCA认证中心作为公钥基础设施(PKI)和第三方的数字认证中心(CA),CMCA认证中心发放可以在信息系统中代表个人真实身份的标识即数字证书,信息系统依赖于CMCA的数字证书实现现实身份关联和行为认证。在《电子签名法》等相关法律的保护下,可以解决信息滥用、网络欺诈、身份盗用等相关问题,以CMCA数字认证服务建立用户可信身份为基础的可信网络环境。
三、CMCA发展前景展望
根据中国移动电子商务发展的战略规划,随着移动电子商务的市场培育不断成熟,CMCA预计将在2012年率先突破千万级证书量大关(未来三年的用户规模预期如下图),未来的证书用户量更有望达到上亿规模,将形成世界上规模最大的数字证书用户群体,中国移动CMCA有望发展成为世界上最大的CA认证中心。
图3 CMCA证书用户规模预期