基于云服務(wù)的數(shù)字證書(shū)交叉認(rèn)證平臺(tái)建設(shè)淺析

張鳳臣

摘 要：隨著電子政務(wù)的發(fā)展，它在給工作提供便利服務(wù)的同時(shí)，也帶來(lái)了“信任孤島”和資源浪費(fèi)等問(wèn)題。目前，隨著電子政務(wù)向著互聯(lián)互通的方向發(fā)展以及云計(jì)算這一新的服務(wù)模式的推廣，基于云服務(wù)的數(shù)字證書(shū)交叉認(rèn)證成為了電子政務(wù)發(fā)展過(guò)程中的新問(wèn)題。針對(duì)某省電子政務(wù)中存在的問(wèn)題，提出了數(shù)字證書(shū)交叉認(rèn)證平臺(tái)的建設(shè)方案、設(shè)計(jì)架構(gòu)和關(guān)鍵技術(shù)，以期提升政務(wù)辦公的安全性、便捷性和經(jīng)濟(jì)性。

關(guān)鍵詞：云服務(wù)；數(shù)字證書(shū)；交叉認(rèn)證；建設(shè)方案

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.15913/j.cnki.kjycx.2017.03.126

電子簽名作為一種新興技術(shù)，有利于政府和企業(yè)提高辦事效率，是政府辦公自動(dòng)化和無(wú)紙化辦公發(fā)展進(jìn)程中的主要步驟。近年來(lái)，工信部及各省市相繼出臺(tái)各類政策、規(guī)章，以鼓勵(lì)和規(guī)范電子簽名技術(shù)的發(fā)展。許多省市已經(jīng)率先建立了交叉認(rèn)證平臺(tái)，取得了較好的效益。

隨著社會(huì)信息化水平的提高和網(wǎng)上辦事業(yè)務(wù)系統(tǒng)的成熟，政府部門(mén)也進(jìn)行了信息化改革，人們對(duì)電子認(rèn)證的需求越來(lái)越大。現(xiàn)有的政府應(yīng)用系統(tǒng)都對(duì)應(yīng)了不同的用戶群體，每個(gè)用戶的身份信息無(wú)法再利用系統(tǒng)互認(rèn)，導(dǎo)致用戶賬戶過(guò)多，出現(xiàn)了管理混亂的情況，且各個(gè)應(yīng)用系統(tǒng)需要分別維護(hù)一套身份信息，造成“身份孤島效應(yīng)”越來(lái)越嚴(yán)重。自《電子簽名法》試行以來(lái)，政府部門(mén)采用了基于數(shù)字證書(shū)的身份認(rèn)證和電子簽章功能，但大部分?jǐn)?shù)字證書(shū)只能在對(duì)應(yīng)的應(yīng)用中使用，導(dǎo)致用戶需要多張數(shù)字證書(shū)，進(jìn)而增加了成本。同時(shí)，政府部門(mén)也因大量的重復(fù)建設(shè)而造成了嚴(yán)重的浪費(fèi)。公眾在辦理相關(guān)業(yè)務(wù)時(shí)也因?yàn)殡娮雍灻麛?shù)據(jù)沒(méi)有實(shí)現(xiàn)互聯(lián)互通而無(wú)法全程網(wǎng)上辦理各類事務(wù)。

這些問(wèn)題的存在使數(shù)字證書(shū)交叉認(rèn)證平臺(tái)的建設(shè)越來(lái)越重要。交叉認(rèn)證平臺(tái)通過(guò)部署公開(kāi)秘鑰體系（PKI）公共安全服務(wù)系統(tǒng)，實(shí)現(xiàn)了對(duì)多家數(shù)字認(rèn)證機(jī)構(gòu)、密碼設(shè)備以及政府部門(mén)的協(xié)調(diào)與管理，促進(jìn)了學(xué)習(xí)資源的共享，消除了信息孤島，保障了電子檔案的安全性。通過(guò)采用虛擬化和面向服務(wù)的云計(jì)算服務(wù)模式，實(shí)現(xiàn)了一個(gè)可互操作的電子認(rèn)證服務(wù)基礎(chǔ)設(shè)施，降低了建設(shè)成本，縮短了建設(shè)周期，使系統(tǒng)管理的運(yùn)維成本下降，從而建立了一個(gè)可靠、開(kāi)放、共贏的電子認(rèn)證服務(wù)聯(lián)盟體系，促進(jìn)了電子認(rèn)證行業(yè)的可持續(xù)發(fā)展。

1 平臺(tái)總體架構(gòu)

以某省為例，交叉認(rèn)證平臺(tái)將為省、市、縣統(tǒng)一提供數(shù)字證書(shū)服務(wù)，實(shí)現(xiàn)多家電子認(rèn)證機(jī)構(gòu)的互聯(lián)互通，通過(guò)整合全省已有的數(shù)字證書(shū)資源，建設(shè)全省統(tǒng)一的數(shù)字證書(shū)庫(kù)，實(shí)現(xiàn)全省統(tǒng)一的可信認(rèn)證、一證通行。

平臺(tái)總體框架如圖1所示，將至少實(shí)現(xiàn)某省CA、行業(yè)CA、其他地方CA的互聯(lián)互通。

其他各體系所提供的服務(wù)包括以下3個(gè)：①交叉認(rèn)證支撐體系為已有證書(shū)的用戶在應(yīng)用系統(tǒng)中使用證書(shū)，提供快速、便捷的接入服務(wù)，主要包括全省統(tǒng)一數(shù)字證書(shū)用戶庫(kù)、身份資源管理系統(tǒng)、交叉認(rèn)證中間件、身份信息交換系統(tǒng)；②統(tǒng)一認(rèn)證服務(wù)體系向證書(shū)用戶提供身份認(rèn)證服務(wù)，包含交叉認(rèn)證注冊(cè)網(wǎng)關(guān)和統(tǒng)一身份認(rèn)證云服務(wù)系統(tǒng)；③電子簽章應(yīng)用支撐體系通過(guò)搭建電子印章管理服務(wù)系統(tǒng)、電子簽章云服務(wù)系統(tǒng)和電子紙張轉(zhuǎn)換系統(tǒng)，可以為各應(yīng)用系統(tǒng)提供基于數(shù)字證書(shū)的數(shù)字簽名、電子印章、電子紙張等電子簽名應(yīng)用支撐服務(wù)，并以此為基礎(chǔ)，對(duì)全省互聯(lián)互通的電子簽名、規(guī)范進(jìn)行定義。

交叉認(rèn)證平臺(tái)在上述技術(shù)的基礎(chǔ)上，增加了對(duì)全平臺(tái)的管理功能，管理體系通過(guò)分析平臺(tái)運(yùn)營(yíng)中的各種數(shù)據(jù)、維護(hù)系統(tǒng)軟件，使平臺(tái)始終處于良好狀態(tài)，確保為用戶服務(wù)的持續(xù)性，包括數(shù)字證書(shū)客戶端維護(hù)系統(tǒng)、數(shù)字證書(shū)應(yīng)用管理系統(tǒng)、用戶數(shù)據(jù)統(tǒng)計(jì)查詢系統(tǒng)和密碼服務(wù)系統(tǒng)。

為了使平臺(tái)的服務(wù)不只覆蓋省直機(jī)關(guān)單位及其應(yīng)用，且要為全省各地市提供基于數(shù)字證書(shū)的電子認(rèn)證、電子簽名/電子簽章統(tǒng)一基礎(chǔ)服務(wù)，平臺(tái)建設(shè)應(yīng)采用分布式部署技術(shù)路線，分布式部署體系由交叉認(rèn)證接入網(wǎng)關(guān)、統(tǒng)一身份認(rèn)證服務(wù)系統(tǒng)、電子簽名應(yīng)用接口開(kāi)發(fā)包組成。這有利于提升省交叉認(rèn)證平臺(tái)的可靠性、可用性和擴(kuò)展性。

2 平臺(tái)關(guān)鍵技術(shù)

交叉認(rèn)證平臺(tái)基于SAAS服務(wù)，面向服務(wù)體系結(jié)構(gòu)（SOA）。軟件即服務(wù)（SAAS）是一種通過(guò)業(yè)務(wù)提供軟件的服務(wù)模式，廠商將應(yīng)用軟件統(tǒng)一部署在自己的服務(wù)器上，客戶可以根據(jù)自己的實(shí)際需求，通過(guò)互聯(lián)網(wǎng)向廠商定購(gòu)所需的應(yīng)用軟件服務(wù)。消費(fèi)者使用云計(jì)算平臺(tái)上的應(yīng)用時(shí)，不需要考慮網(wǎng)絡(luò)底層的通信問(wèn)題，只需要通過(guò)一個(gè)接口就可以控制云端的基礎(chǔ)設(shè)施。

面向服務(wù)體系結(jié)構(gòu)（SOA）是組件大型云端的重要組成部分之一，它包含服務(wù)提供者、代理者和應(yīng)用程序，以下將分別介紹此三者及其關(guān)鍵技術(shù)。

2.1 服務(wù)提供者

服務(wù)提供者創(chuàng)建Web服務(wù)，并將其接口和訪問(wèn)信息發(fā)布到服務(wù)注冊(cè)表，這些服務(wù)由云端提供。在云計(jì)算框架中，虛擬化技術(shù)是基礎(chǔ)，虛擬化技術(shù)解決了資源的統(tǒng)一調(diào)配、統(tǒng)一API問(wèn)題，將各類計(jì)算資源、存儲(chǔ)資源等消息資源虛擬化為計(jì)算資源池。因此，可以按照用戶的需求分配底層資源，采用軟件定義網(wǎng)絡(luò)（SDN）實(shí)現(xiàn)網(wǎng)絡(luò)的虛擬化。這些措施能夠根據(jù)服務(wù)來(lái)定制服務(wù)器硬件，不同的服務(wù)對(duì)機(jī)器配置的側(cè)重點(diǎn)不同，從而節(jié)約資源、提高生產(chǎn)效率。

2.2 服務(wù)代理者

服務(wù)代理負(fù)責(zé)使Web服務(wù)接口和訪問(wèn)信息可用于任何潛在的服務(wù)請(qǐng)求程序。代理的實(shí)現(xiàn)者必須確定關(guān)于代理的范圍的信息。公用代理在整個(gè)因特網(wǎng)上都可用，而專用代理僅可被受限人群（單位內(nèi)部網(wǎng)的用戶）訪問(wèn)。

服務(wù)代理涉及用戶信息的授權(quán)問(wèn)題，本交叉認(rèn)證平臺(tái)采用oAuth協(xié)議，與以往授權(quán)方式的不同點(diǎn)在于oAuth協(xié)議的授權(quán)不會(huì)使第三方觸及到用戶的賬號(hào)信息，其邏輯結(jié)構(gòu)如圖2所示。

oAuth協(xié)議是在Web2.0蓬勃發(fā)展勢(shì)頭下產(chǎn)生的一種新的認(rèn)證授權(quán)協(xié)議，它易于理解且沒(méi)有涉及到用戶秘鑰等信息，受到了互聯(lián)網(wǎng)應(yīng)用的歡迎。oAuth協(xié)議為用戶信息的授權(quán)提供了安全、開(kāi)放的標(biāo)準(zhǔn)，任何服務(wù)提供商都可以實(shí)現(xiàn)oAuth，任何軟

件開(kāi)發(fā)商都可以使用oAuth。

2.3 服務(wù)請(qǐng)求程序

服務(wù)請(qǐng)求程序通過(guò)定位注冊(cè)表中的條目，綁定服務(wù)器提供者以調(diào)用其Web服務(wù)。為了保證用戶在調(diào)用服務(wù)的安全性，采用基于公開(kāi)密鑰體系（PKI）的技術(shù)來(lái)保證電子認(rèn)證應(yīng)用中的安全性。PKI技術(shù)作為建立網(wǎng)絡(luò)信任環(huán)境的基礎(chǔ)設(shè)施，是國(guó)內(nèi)外應(yīng)用最成熟最廣泛的信息安全綜合解決方案之一。它通過(guò)可信第三方CA機(jī)構(gòu)，將用戶公鑰和用戶身份信息綁定在一起，實(shí)現(xiàn)用戶在Internet上的強(qiáng)身份認(rèn)證和數(shù)字簽名等應(yīng)用，從而提供安全、可靠的安全服務(wù)。

PKI利用現(xiàn)代密碼學(xué)中的公鑰密碼技術(shù)，在開(kāi)放的網(wǎng)絡(luò)環(huán)境中提供數(shù)字認(rèn)證服務(wù)的密碼應(yīng)用框架。主要包含公鑰加密技術(shù)和數(shù)字簽名技術(shù)兩大安全技術(shù)。公鑰加密技術(shù)保障了信息的保密性，數(shù)字簽名技術(shù)通過(guò)保障網(wǎng)絡(luò)通信前的相互認(rèn)證、通信中的信息完整，通信之后可保證服務(wù)的安全性。

3 結(jié)論

本文介紹了基于云服務(wù)的數(shù)字證書(shū)交叉認(rèn)證平臺(tái)的建設(shè)需求、建設(shè)方案、平臺(tái)架構(gòu)和關(guān)鍵技術(shù)。結(jié)合某省的實(shí)際環(huán)境和具體需求，實(shí)現(xiàn)了對(duì)多家CA、多家密碼設(shè)備及協(xié)調(diào)管理，促進(jìn)了信息資源的共享，消除了“信息孤島”，健全了某省政務(wù)外網(wǎng)信息安全體系，為信息安全應(yīng)急處理工作提供了有效的保障，進(jìn)而為全社會(huì)提供了信息安全保障服務(wù)，從而很好地發(fā)揮了電子政務(wù)對(duì)信息化建設(shè)和社會(huì)發(fā)展的穩(wěn)定推動(dòng)作用，提高了社會(huì)保障能力、綜合管理能力和服務(wù)水平，推動(dòng)了全省經(jīng)濟(jì)社會(huì)的協(xié)調(diào)發(fā)展和全面進(jìn)步。

參考文獻(xiàn)

[1]曹永鋒，梁遠(yuǎn)新，楊成兵，等.基于 SOA 云服務(wù)的濟(jì)寧市電子政務(wù)服務(wù)平臺(tái)研究[J].山東國(guó)土資源，2014，30（10）.

[2]文靜，李森.廣西電子政務(wù)外網(wǎng)政務(wù)部門(mén)數(shù)字認(rèn)證服務(wù)體系設(shè)計(jì)[J].廣西科學(xué)院學(xué)報(bào)，2014（01）.

[3]盛宇偉.云計(jì)算環(huán)境下CA認(rèn)證中心的研究與設(shè)計(jì)[J].北京：北京郵電大學(xué)，2013.

[4]周曉斌.電子政務(wù)電子認(rèn)證關(guān)鍵技術(shù)研究[D].廣州：華南理工大學(xué)，2012.

[5]林英.電子政務(wù)電子認(rèn)證公共服務(wù)平臺(tái)的研究與設(shè)計(jì)[D].濟(jì)南：山東大學(xué)，2015.

〔編輯：張思楠〕