计量电子证书与纸质证书具有同等法律效力,相比传统的纸质证书具有经济、高效、规范等优势,但是也存在易伪造、易复制、易修改、易泄密等不足,若不重视、不完善计量电子证书的管理策略,将大大增加使用过程中的安全风险。为规范计量电子证书的使用和管理,按照“文件安全性、信息防泄露、证书防伪造、使用便捷性、格式规范性”的基本管理原则,根据计量电子证书的使用场景,需要在计量电子证书文件基本属性、电子证书系统技术架构、证书应用等方面提出管理要求。
一、电子证书文件基本属性
1.文件格式
为使计量电子证书在使用过程中呈现出的效果(如数据列表、文字排版、图片格式)不因软硬件环境、操作者的变化而变化,要求计量电子证书文件应是版式文件,并须满足GB/T33190-2016《电子文件存储与交换格式版式文档》的要求;同时,一个计量电子证书文件内只能包含一份计量电子证书;电子证书的相关附件格式与证书格式一致并采用外部附件方式处理;电子证书文件中不使用动态元素,以保证电子证书的稳定性和完整性;建议使用OFD版式文档格式。
2.命名规则
为使使用者一眼就明白计量电子证书文件的主题、快速检索到所需的电子证书文件,计量电子证书的文件名应规范命名。计量电子证书的命名首先应满足计算机中文件名的长度要求,在麒麟系统、Linux系统、Windows系统里文件名长度均不能超过255个英文字符或127个中文字符;另外计量电子证书的文件名应有统一格式,并明确表明本文件为计量电子证书文件。建议可以包含单位名称缩写、仪器名称、证书类别、电子证书、证书编号五部分内容,可以为“仪器名称计量电子证书-证书号”,例如“砝码检定电子证书-质字20211203-2377”“天平校准电子证书-1022CN0200036”,也可为“证书类别-电子证书-单位-仪器名称-证书号”,如“校准电子证书-河南省计量科学研究院-天平-1022CN0200036”。
3.证书标识
计量电子证书是具有法律效力的电子文件,作为有效的证据被广泛采用。为了防范假证书,需要明确标识该证书为电子证书,并明确电子证书真伪验证的方法和途径。首先计量电子证书应有唯一性标识,建议采用组合编码方式生成,各部分由数字、英文字母以及点分隔符“.”组成,每份证书的唯一性标识都应是唯一的,确保能准确识别每一份证书;同时电子证书每一页可明确标识“本证书为电子证书,请到证书出具机构官网查询”;若证书上有二维码,可明确提示“本证书为电子证书,请扫描二维码核查”;另外计量电子证书的电子印章图片应明确标识为电子证书,以和纸质证书的扫描件区分,如:“××单位检定电子证书专用章”“××单位校准电子证书专用章”。
二、电子证书系统技术架构
1.系统框架
为保证电子证书业务的稳定性,将电子证书系统分为基础设施层、数据资源层、应用支撑层、业务应用层、用户及服务层五个层次,电子证书应用技术框架如图1所示。
(1)基础设施层提供计算及存储、网络、信息安全和其他软硬件基础设施,为电子证书系统和业务系统运行提供基础条件。
(2)数据资源层为电子证书服务提供电子证书信息资源支撑。
(3)应用支撑层为形成和使用电子证书提供电子证书加密签章、版式文档处理等支撑。
(4)业务应用层主要是电子证书服务,包括电子证书发放和电子证书真伪验证。
(5)用户及服务层主要是生成电子证书的业务系统及应用电子证书的用户。
上述各层均依赖安全与运维保障体系提供支撑,同时依赖标准规范与管理制度保证各层级、各系统之间的协作。
2.系统安全
电子证书系统安全是保证电子证书安全的基础。电子证书系统包含电子证书的加密签章、真伪验证等功能,并与业务系统进行交互,所以电子证书系统应按照国家网络安全等级保护相关要求确定保护等级,并按照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》采取保护措施。通常电子证书系统安全应有如下要求:
(1)采取措施保证时间的准确性。
(2)对电子证书加密签章的操作记录日志,支持追溯、审计。
(3)确保与业务系统通信的安全性,如进行数据加密、建立VPN通道等。
(4)与业务系统之间数据的交互及响应情况记录日志,支持追溯、审计。
三、证书应用
1.加密签章
在计量器具实施检定/校准活动后,检定员将计量检定/校准的结果录入业务系统的证书模板中,并得出相应的检定结论,生成电子证书文件,证书文件由检定员、核验人、批准人三级审核并签署电子签名。然后,电子证书系统根据证书类型对电子证书文件进行相应的加密签章后,方生成有效的计量电子证书。为保证电子证书的安全性,电子签名应采用符合国际和国密标准定义的加密算法(如RSA和SM2算法);CA电子认证服务机构提供的电子签名文件格式标准遵循x.509标准。
2.真伪验证
在使用计量电子证书的过程中,除了要对计量检定证书进行加密签章防篡改,同时还要提供计量检定证书的真伪验证方式,可随时随地查验、鉴别证书真伪,减少假证书的传播。目前常见的计量电子证书的真伪验证方式有三种:一是使用第三方阅读器验证电子签章的有效性。电子证书在未被篡改、保存完整的情况下,当用第三方阅读器打开时,电子印章显示正常,否则电子印章显示异常;二是计量技术机构自建证书真伪验证平台,进行电子证书文件与电子证书检测数据比对,判断电子证书数据的真实有效性;三是扫描电子证书上的二维码进行电子证书的验证。
3.证书修改
在计量电子证书被加密签章后,有时会因输入错误、格式修改或技术问题等需要对电子证书的内容信息修正,上述操作被称为计量电子证书的修改。对计量电子证书的修改建议做如下操作:首先对加密签章前的证书电子文件进行相应修改,同时在证书电子文件中清晰标出修改信息,除适当位置标注修改的原因外,还应注明所替代的原证书/报告编号,即在新的证书电子文件结束线上两行的位置加注信息——“注:该证书/报告仅对原证书/报告做了……的修改;原证书/报告作废,原证书编号为*****”。修改完成后,在计量业务系统中应重新生成一个新的电子证书标识,即在原电子证书标识的流水号后增加一个修改码Gn,n代表修改次数,以自然数序增加。修改前后发出的电子证书一并保存。被修改的证书电子文件重新加密签章后,已作废的电子证书再次被访问、下载时,应出现“该证书作废,按照证书修改处置要求,修改后的证书号为××××”的提示;在扫描已发放的电子证书封面二维码后应出现“该证书已作废,按照证书修改处置要求,修改后的证书号为××××”的提示;当在线对已发放的电子证书进行真伪验证时,应能提示“证书已作废”的标识。
4.存储及处置
在确保计量电子证书文件真实、完整、可用和安全的基础上,电子证书发布机构对电子证书资源的安全长期保存及存储期限期满时的规范处置也至关重要,可防电子证书丢失、失窃或被病毒感染。为了保证电子证书的数据不丢失、业务不中断,电子证书发放机构一般对电子证书系统和数据库均采用热备份的方式,并参照GB/T20988-2007《信息系统灾难恢复规范》进行电子证书系统的灾难恢复。
为了电子证书能长期有效保存,根据GB/T18894-2016《电子备份归档与电子档案管理规范》中的要求,建议对计量电子证书采用“321”存储策略,即同一份电子证书至少保留三份,包括原数据;保存到两种以上存储介质上,如光盘和硬盘,以防在线存储的电子证书资源遭遇病毒或非法入侵时被破坏;至少有一份异地备份,本地灾难后还可恢复。
此外,用于电子证书的服务器及存储设备,应与电子证书系统相适应,每次进行系统和数据访问时要有审计日志,便于技术人员的维护和查询;同时要做好安全防护策略,定期扫描、诊断硬/磁盘,发现问题应及时处置,以防电子证书丢失、失窃、被病毒感染等;在电子证书的服务器及存储中逐级建立文件夹,分门别类、集中有序地存储电子证书,并在元数据中自动记录在线存储路径;电子证书需要被销毁时应进行格式化处理,防止数据泄露,证书文件存储的介质应防止恢复。当计量电子证书/报告的存储期限期满时,电子证书发布机构应提出对计量电子证书的续存或销毁等处置意见,处置意见经审核、批准后方可实施,必要时应告知用户单位。
5.传输与下载
计量电子证书在互联网传输时,宜对电子文件进行加密和身份验证,以确保网上传递电子证书信息的加密性和完整性、实体身份的真实性,从而保障电子证书应用的安全。电子证书在被用户下载时,应有身份识别方式,确定下载人的身份。身份认证方式通常有使用送检人的手机短信获取验证码验证,使用送检人的邮箱邮件验证码验证,使用送检人的微信信息验证码验证,使用送检人的QQ信息验证码验证,使用送检人的人脸识别验证等。文件加密采用的密钥可以使用身份验证时的验证码,也可用下载时页面直接弹出的密钥,或使用下载人的手机号、下载人的微信号、下载人制定的密钥等。
四、结束语
河南省计量科学研究院按照上述管理策略,对计量电子证书文件的基本属性、系统技术架构、应用等9个相关环节进行了明确规范。经过18个月的运行实践,不仅保证了计量电子证书的安全,方便用户对计量电子证书文件进行管理,同时明确计量电子证书的电子属性,充分展示电子证书的真伪验证途径和方法,有效遏制了假证书的传播。希望上述管理策略能为今后计量电子证书系统建设提供有益的经验,为计量电子证书的规范、管理、使用、推广及促进计量检测行业市场的发展做出有益的探索。