移动数字证书：演化中的安全保障

　　数字证书的定义

　　在正式讨论移动数字证书之前，我们先来确定一下数字证书的定义：

1. 数字证书是PKI的核心元素；
2. 是权威的电子文档；
3. 是网上身份的证明；
4. 是PKI公钥的载体；
5. 是符合标准的电子证书。
   阅读下文之前，我们要知道的是，移动数字证书依然是标准的数字证书，变化的只是应用形态而已。

　　数字证书1.0时代

　　数字证书的发展和互联网的迭代紧密相连，亦步亦趋，我们首先走进的是传统互联网阶段：
　　万维网的崛起：在上个世纪90年代，万维网（WWW）应运而生，它使用户能够通过一系列相互联系的超文本文档访问和共享信息。WWW的发展标志着今天我们所知道的现代互联网的开始。

　　在这个时代背景下，以政府机关、企事业单位为主，各行各业都陆续进入信息化。最初的互联网是简单而纯粹的，当然也伴随着很多不安全的因素。迫于信息安全的需求，PKI体系应运而生。作为PKI的核心元素---数字证书，也就顺理成章在互联网大环境下的各个信息化系统中逐步发展起来。

　　在互联网初期，数字证书的应用基本上以USB-key的模式为主。其实，当时数字证书的载体不止USB-key一种，我们可以来梳理一下在这个阶段出现的几种主要的数字证书载体：

　　1 磁盘方式
　　该种存放方式成本低，但安全性不高。因为存放在硬盘中的数字证书为“文件证书”，极易被非法程序窃取；

　　2 IC卡方式
　　此方式只有在正确输入存储IC卡的口令后才能使用私钥和证书，为卡中的私钥提供了一层保护；

　　3 CPU-IC
　　卡内带有非对称算法和对称算法，密钥在卡内永不出卡，所有的运算都在卡内完成，从根本上杜绝了私钥被窃取的危害；

　　4 USB-key（安全电子钥匙）
　　在工作机制上和CPU-IC卡类似，但不需要专门的读卡器，只要设备有USB接口就可以方便使用。

　　在使用过程中，USB-key具有安全可靠，便于携带，使用方便，成本低廉的优点，还具有PKI体系完善的数据保护机制，因此使用USB-key存储数字证书的认证方式成为当时（也是目前）主要的认证模式。

　　数字证书是如何发放的呢？首先会由权威的第三方CA机构通过专门的制证系统，将证书预制到USB-key中。而后通过现场、快递等形式发到证书依赖方手中。在用户使用某些业务系统，比如互联网报税、社会保险网报、网上银行登录时，插入对应的USB-key，以此证明依赖方身份，验证通过后进入系统办理对应的业务。

　　上文中提及的数字证书的应用模式，其实自从PKI体系建立以来，在我国成规模的应用数字证书的项目中，并未有太大的改变。比如目前仍在运转的传统的PC端网上银行应用、全国范围内的招投标领域应用、互联网报税应用……都可以归纳为数字证书的传统应用模式，简单称之为“数字证书1.0”时代。

　　数字证书2.0时代

　　由于智能手机和高速无线网络的普及，互联网参与人数指数级上升，与之相伴的互联网形态发生了变化，全民进入了移动互联网时代：

　　移动互联网：在21世纪初，智能手机和其他移动设备的普及促进了移动互联网的发展，使用户能够随时随地从任何地方访问互联网。如今，互联网是全球数十亿人日常生活中不可或缺的一部分。

　　在这个时代背景下，各行各业纷纷从传统的信息化逐步向数字化演变，与之对应的应用侧也迅速向移动端迁移。比如移动网上银行、移动报税、移动政务等。当然，为了跟随时代，配合数字化系统的安全需求升级，数字证书的形态也悄然发生了改变。

　　终于，移动协同签名技术出现了。这种技术采用密钥分割技术和协同数字签名技术,实现了密钥分量在移动签名组件和服务器端的独立生成和独立存储。签名过程中,移动端和服务端协作,共同完成完整签名。完整的签名密钥在密钥周期任何时刻都不会出现,这杜绝了用户签名私钥暴露的风险,因此系统中无需额外的硬件介质进行密钥的存储。

　　移动协同签名技术的出现，真正的实现了数字证书从传统USB-key应用向移动应用这两种模式间质的跨越。因为这个技术不需要专门的硬件介质进行密钥存储，彻底解决了移动设备存储密钥的痛点。我们可以称这一阶段为“数字证书2.0”时代。

　　未来已来

　　我们再系统的梳理一下移动数字证书的优点：

　　● 便捷性
　　申请和安装移动数字证书都可以通过移动设备和无线网络完成，不需要依赖PC。这简化了数字证书的申请流程。

　　● 节省成本
　　移动数字证书可以减少对硬件的依赖，如USB-key，从而降低成本。

　　● 灵活的应用
　　证书存储在移动设备中，可以更加灵活地应用，而不受电脑环境的限制。

　　● 轻量化
　　无需安装额外的驱动，减少了潜在故障点，使用更加流畅。

　　至此，数字证书完成了1.0到2.0的转变，彻底摆脱了USB-key的限制。数字证书终于可以灵活应用在目前主流的移动应用场景中，诸如移动OA协同、电子政务、移动办公、金融支付、健康医疗、移动端身份认证等。

　　可见，数字证书的转变过程，是跟随互联网的迭代过程的。在其发展过程中，又深深的依托于各类移动业务应用场景，比如招投标行业的不见面开标、互联网金融、电子合同等。

　　最后，移动数字证书这种新的应用形态，契合了当今移动互联网为王的市场需求。更为关键的是其在PKI的体系框架内，完美的解决了互联网必须解决的四个终极问题：身份认证、数据保密性、数据完整性和不可否认性，为当今移动互联网时代提供了安全保障。