西电捷通：一文读懂数字证书通用管理技术基础常识

如何在Internet上从技术上解决"我是谁"的问题，答案是“数字证书”。数字证书即“网络身份证”，用来在网络通信中识别通信各方的身份，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。有了这张“网络身份证”，通过认证活动，就可以解决网上交易和结算中的安全问题，所以数字证书认证被普遍作为网络安全机制所采纳。由西电捷通公司研发的“数字证书通用管理技术”则在定义一个可通用的下发协议的框架下，让各种用户设备形成统一的应用接口，进而为数字证书认证提供了更多的便利性和易用性。

　　1、什么是数字证书？

　　数字证书就是因特网通信中标志通信各方身份信息的一串数字，这相当于提供了一种在Internet上验证通信实体身份的方式。从技术上讲，数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，作为建立连接、获取网络服务的重要凭证，数字证书的应用极为广泛。与此同时，作为一种凭证，数字证书的管理技术或方案涉及的内容也非常广泛，并且实现的技术路径也非常多元。

　　2、数字证书如何产生？

　　当前，市场上各厂商都有自己的证书下发技术，且不尽相同。比如有的厂商使用安全套接层协议层SSL（Secure Socket layer，简称SSL）建立通道下发证书，SSL证书是数字证书的一种，但是技术上SSL自身存在一定的安全隐患。

　　还有的厂商使用Wi-Fi安全防护设定WPS（Wi-Fi Protected Setup，简称WPS）实现证书的颁发、下载，但是其过程十分复杂，且仅限于WLAN领域。

　　有的厂商使用传统方法即手动申请证书，通常是拷贝后再手动安装，显然这种方式会给网络终端设备带来极大的不便。

　　在这种情况下，各厂商希望能够通过定义通用的证书下发协议，让各种用户设备得以有统一的应用接口。当用户设备非常简便地实现证书自动下载、安装等功能时，不仅用户体验大大提升，而且可以满足产业和行业对产品易用性的需求。

　　3、什么是证书通用管理技术？

　　由工业和信息化部宽带无线IP标准工作组和WAPI产业联盟、西电捷通等机构联合起草，共同提出的“证书通用管理技术”提供了一种证书管理解决方案，旨在定义一个通用的下发协议，使各种用户设备能够有一个统一的应用接口。

　　该证书通用管理技术支持如下服务：

　　（1）网络实体能安全、可靠地在线下载数字证书；

　　（2）证书更新；

　　（3）证书查询；

　　（4）证书撤销列表查询等。

　　在证书通用管理方案中有两种实体：终端证书申请实体和证书颁发实体。终端证书申请实体产生公私钥对，发起证书申请请求。证书颁发实体是证书的颁发机构，主要负责接收终端实体的证书申请，决定是否颁发或更新证书，以及处理证书查询及证书撤销列表查询等。

　　4、证书通用管理技术的应用过程是怎样的？

　　那么，采用上述的证书通用管理方案，是怎样进行证书管理和发放的呢？见图1，以证书通用管理技术在无线局域网鉴别与保密基础结构WAPI（WLAN Authentication and Privacy Infrastructure，简称 WAPI）中的应用为例，直观呈现用户对于通用证书管理的感知情况，通过对话框的形式介绍了使用证书通用管理技术，下载新证书并在WLAN领域应用的过程。



图1 证书通用管理技术在WAPI中的应用

　　在上面典型应用场景里，用户设备（证书申请实体）从无证书到使用证书经历了三个过程：

　　（1）获取验证码：用户设备可以到运营商的营业厅进行申请，也可以通过网上在线申请等；

　　（2）用户设备与证书颁发机构建立链接；

　　（3）用户设备下载证书。

　　5、采用证书通用管理有什么好处？

　　采纳证书通用管理技术，能使证书的管理更加安全和便利，具体说来，主要有以下几方面的优点：

　　（1）因为市场上证书在线下载方式多样，使得用户在接入不同网络时使用的证书不同，导致需要支持多种下载证书的方式，间接地影响了用户体验，所以统一证书的下载管理，能给用户端带来更多的便利性和易用性；

　　（2）对网络构建来说，证书颁发机构统一证书管理，就是统一了各厂家设备的证书在线申请时所使用的协议，实现互联互通，从而简化部署；

　　（3）证书通用管理技术里使用的安全通道和其它方式来比较，能够对证书的下载过程有更安全的保护；

　　（4）证书通用管理技术可以实现对证书进行批量处理。如下载证书的同时还可以对已有证书进行查询、吊销等。