网域前沿nfosecSpotlightsI70/2022.12场景证书合规性及法律效力探析文│中国金融认证中心李达赵改侠谢宗晓传统的数字证书存储在智能密码钥匙中,也称UKey。用户需先要有UKey,然后申请、下载和使用证书,用于网络交易签名等业务场景。自2000年至今,数字证书存储介质及应用环境发生了巨大变化,UKey从1代(无屏无按钮)发展至2代(有屏有按钮)、3代(有屏有键盘+动态口令等);业务终端环境从传统PC终端转移至移动端,以及其他专用终端,例如收单机构的POS终端。但数字证书的获取流程及应用功能本质上并未改变。一、场景证书的产生2015年,网络交易业务场景的无纸化发展趋势带来了一个新的业务流程,从“获客后使用数字证书”变成了“获客时使用数字证书”,带来了完全不同的应用逻辑。应用场景的主要变化有以下两点。第一是组织在获客的过程中,需要签署协议。由于现在都是无纸化操作,需要做电子签名,而传统基于UKey的数字证书应用需要先成为客户之后才能签名,这就面临“先有鸡,还是先有蛋”的问题。第二,绝大部分的互联网贷款都是一次性买卖,需要签署一系列协议,为一次小额贷款需求申请UKey既不经济也不便捷。场景证书就是在以上的场景应用中产生的。场景型数字证书,是针对个人和机构签发的、标识了个人或机构身份,同时记录了当前业务办理场景信息的数字证书,与场景强关联。场景证书具有时效性短、一次一签、与业务场景强关联的特性。它的作用范围仅限于包含本次业务办理场景和过程,例如开户签约及协议签约,投保及投保单签署等场景。二、场景证书的技术原理场景证书应用的目标是场景证据固化。场景证书对具体的业务办理场景具有强针对性,其作用范围仅包含本次业务办理场景和过程。例如,保险业务中投保现场办理和投保单的签署,银行开户业务中签约场景,互联网贷款业务中的贷款申请和借贷合同签署场景等。在这些业务中,应用场景证书的目的是证明交易关系的真实存在。场景证书基于主体或者场景。场景证书的格式与个人、机构证书一样遵守RFC5280公钥证书标准,包含主体信息和对应的公钥信息,同时增加了场景证据扩展域及相关数据。场景证书的主体信息如包含个人或者机构,则场景证书属于特殊的个人、机构类证书;如场景证书主体信息仅包含一个场景名称,则场景证书不属于个人、机构证书,例如交通摄像头需要对道路交通情况信息进行签名,则证书主体可以包含取景摄像头编号。场景证书属性决定了使用主体的不确定性。场景证书的应用重...
