數(shù)字證書在信息化項目中一證多用的研究與實現(xiàn)

程國青

[摘 要]數(shù)字證書是互聯(lián)網(wǎng)應(yīng)用中身份安全的重要技術(shù)保障。證書機構(gòu)大量簽發(fā)的數(shù)字證書往往都是綁定單一應(yīng)用系統(tǒng)，在給用戶帶來不便的同時，也增加了社會成本。本文深入研究了數(shù)字證書的結(jié)構(gòu)和安全機制，并提出了一證多用技術(shù)，以通過證書服務(wù)器解決一證多用中數(shù)字證書的多樣性和復雜性。

[關(guān)鍵詞]數(shù)字證書；一證多用；身份安全

doi：10.3969/j.issn.1673 - 0194.2017.06.093

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2017）06-0-03

0 引 言

隨著Internet的普及和發(fā)展，電子商務(wù)活動和電子政務(wù)活動已成為大眾日常生活的一部分。互聯(lián)網(wǎng)環(huán)境下存在著大量的應(yīng)用服務(wù)和互不相識的眾多用戶，這些互聯(lián)網(wǎng)上的“實體”如何識別彼此和保障通訊安全，一直伴隨著互聯(lián)網(wǎng)的發(fā)展而存在。

數(shù)字證書（CA）是互聯(lián)網(wǎng)中標志通訊各方身份信息的一串字符，它提供一種在互聯(lián)網(wǎng)上驗證通信實體身份的方式。它是由權(quán)威機構(gòu)證書授權(quán)中心簽發(fā)的，可以用來在互聯(lián)網(wǎng)上識別通訊對方的身份。數(shù)字證書的應(yīng)用已經(jīng)十分普遍和廣泛，如發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上招標投標、網(wǎng)上簽約、網(wǎng)上購物、公文安全傳送、網(wǎng)上繳費、網(wǎng)上繳稅和網(wǎng)上報關(guān)等。

隨著網(wǎng)絡(luò)安全意識的加強和各類應(yīng)用的推廣，在數(shù)字證書授權(quán)機構(gòu)的推動下，數(shù)字證書的發(fā)行數(shù)量越來越多。很多時候一個應(yīng)用系統(tǒng)就要有一張相應(yīng)的數(shù)字證書，且各個應(yīng)用的數(shù)字證書互不通用。如網(wǎng)銀用戶使用農(nóng)業(yè)銀行網(wǎng)銀時，要用農(nóng)業(yè)銀行的數(shù)字證書，工商銀行的網(wǎng)銀要使用工商銀行的數(shù)字證書；在不同城市的公共資源交易服務(wù)中心投標時，要辦理不同的數(shù)字證書進行投標。

1 數(shù)字證書相關(guān)技術(shù)分析

1.1 數(shù)字證書的格式

數(shù)字證書的格式普遍采用的是國際標準X.509格式，一個標準的X.509數(shù)字證書一般包含以下信息：①證書的版本信息-Version；②證書的序列號，每張證書有唯一的證書序列號-Serial Number；③證書所使用的簽名算法- Algorithm Identifier；④證書的發(fā)行機構(gòu)名稱- Issuer，命名規(guī)則一般采用X.500格式；⑤證書的有效期- Period of Validity，一般采用UTC時間格式；⑥證書所有人的名稱- Subject，命名規(guī)則一般采用X.500格式；⑦證書所有人的公開密鑰- Subject's Public Key；⑧證書發(fā)行者對證書的簽名- Signature。

數(shù)字證書存儲文件的格式通常有.cer格式文件和.pfx格式文件。PKCS#12標準定義，帶有私鑰的證書文件一般以.pfx為文件后綴名，以.cer為文件后綴名的是不包含私鑰的證書文件，p7b格式文件是證書鏈存儲文件，包含一張或多張數(shù)字證書，不包含私鑰。證書文件編碼可以是DER二進制編碼格式或者是BASE64編碼格式。

1.2 數(shù)字證書的工作原理

數(shù)字證書采用PKI（Public Key Infrastructure）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，即利用一對相互匹配的公、私密鑰進行加密和解密。證書用戶設(shè)定僅為本人所知的私有密鑰（以下簡稱私鑰），并用它進行解密和簽名。同時對應(yīng)匹配的這個私鑰有一個公開密鑰（以下簡稱公鑰），公鑰可以發(fā)布給通訊相關(guān)方，用于對端的加密和驗證簽名。當需要傳遞保密信息時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，接收方收到加密數(shù)據(jù)后，使用私鑰進行解密。PKI技術(shù)保證加、解密過程是一個不可逆的過程，即只能用私鑰解密公鑰加密的數(shù)據(jù)。用戶也可以用私鑰簽名要發(fā)送的數(shù)據(jù)，形成數(shù)字簽名，這個數(shù)字簽名只能用對應(yīng)的公鑰解密，以驗證簽名，數(shù)字簽名有防抵賴性和防篡改性。簽名與驗證簽名流程示意圖，如圖1所示。

在公開密碼基礎(chǔ)架構(gòu)技術(shù)中，最常用的非對稱算法是RSA算法，其數(shù)學原理是將一個超大數(shù)分解質(zhì)因數(shù)，私鑰和公鑰是2個匹配的質(zhì)因數(shù)，從數(shù)學邏輯上講，在已知明文、密文和公鑰的情況下，很難推導出私鑰。在這樣的數(shù)學原理上數(shù)字簽名可以保障以下2點：①簽名者不能否認自己所發(fā)的信息；②信息自簽發(fā)后到接收方收文的過程中未被修改過，簽名的文件是真實文件。數(shù)字證書是綁定了公鑰和其私鑰持有者真實身份的文件，并經(jīng)過認證中心審核簽發(fā)的電子數(shù)據(jù)?？梢苑奖憧旖莸卦诨ヂ?lián)上做身份識別和傳遞加密數(shù)據(jù)。

1.3 數(shù)字證書的簽發(fā)過程

數(shù)字證書通常是由CA證書中心（通稱CA機構(gòu)）創(chuàng)建和簽發(fā)，CA機構(gòu)為一個稱為安全域（security domain）的有限群體發(fā)放證書。創(chuàng)建證書時，CA機構(gòu)首先要獲取用戶的證書請求信息，其中包括用戶公鑰（公鑰一般由用戶端產(chǎn)生，如電子郵件程序、瀏覽器、U-KEY等），CA機構(gòu)根據(jù)用戶的請求信息產(chǎn)生證書，并用CA機構(gòu)的私鑰對證書進行簽名。其他用戶、應(yīng)用程序或?qū)嶓w將使用CA機構(gòu)的公鑰對證書進行驗證。如果CA機構(gòu)是可信的機構(gòu)，則驗證證書的用戶可以確信，其所驗證的證書是代表著一個可信的實體。

國家授權(quán)的CA機構(gòu)同時要負責維護和發(fā)布證書廢除列表CRL（即證書黑名單）。當一個證書的公鑰因故無效時或證書需要注銷時，CRL提供了一種通知用戶和其他應(yīng)用的管理方式。CA系統(tǒng)生成CRL以后，通常會放到LDAP服務(wù)器或Web服務(wù)器中，供用戶直接查詢或下載。

一個典型的CA機構(gòu)的證書簽發(fā)系統(tǒng)會包括安全加密服務(wù)器、注冊RA服務(wù)器、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫服務(wù)器等。如圖2所示。

1.4 數(shù)字證書的應(yīng)用

CA機構(gòu)簽發(fā)的數(shù)據(jù)證書大體有個人數(shù)字證書、企業(yè)數(shù)字證書、服務(wù)器數(shù)字證書、代碼簽名數(shù)字證書等幾種類型。數(shù)字證書廣泛應(yīng)用在電子政務(wù)、電子商務(wù)、內(nèi)部信息化管理等領(lǐng)域。其應(yīng)用范圍涉及需要身份認證及數(shù)據(jù)安全的各個行業(yè)，包括傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易以及行政公共事業(yè)、金融服務(wù)業(yè)、工商稅務(wù)海關(guān)、政府行政辦公、教育科研單位、保險和醫(yī)療等網(wǎng)上業(yè)務(wù)系統(tǒng)。典型的應(yīng)用場景有網(wǎng)上購物、企業(yè)與企業(yè)的電子貿(mào)易、安全電子郵件、網(wǎng)上證券交易、網(wǎng)上銀行、網(wǎng)上招投標、網(wǎng)上報稅和行政申報等方面。

2 一證多用的技術(shù)實現(xiàn)

2.1 需求分析

由于數(shù)字證書自身的安全特點，如信息保密、不可篡改、抗抵賴等。這些特性可以較好地滿足互聯(lián)網(wǎng)交易中的安全需求。隨著互聯(lián)網(wǎng)和信息化應(yīng)用的發(fā)展，數(shù)字證書的應(yīng)用領(lǐng)域在不斷拓寬，應(yīng)用深度也在不斷加深。如國內(nèi)各大銀行的網(wǎng)銀系統(tǒng)都需要數(shù)字證書登錄使用。

隨著數(shù)字證書的應(yīng)用推廣，隨之而來的一個普遍問題是，用戶發(fā)現(xiàn)自己具有為使用不同應(yīng)用系統(tǒng)所發(fā)放的不同數(shù)字證書。如各家銀行的網(wǎng)銀證書（每家網(wǎng)銀都對應(yīng)有自己的數(shù)字證書）、單位報稅的稅務(wù)證書、公司辦公業(yè)務(wù)系統(tǒng)的身份證書等。這些數(shù)字證書對應(yīng)不同的應(yīng)用系統(tǒng)，分別由不同的CA機構(gòu)簽發(fā)。

對普通用戶來說，保管好這些證書（U-KEY）并記住這些數(shù)字證書的對應(yīng)密碼就是一件不簡單的任務(wù)，同時用戶還要在自己的電腦設(shè)備上安裝不同證書對應(yīng)的證書驅(qū)動管理程序。對國家社會來講，大量反復發(fā)放的數(shù)字證書，大大增加了社會成本，而這些數(shù)字證書幾乎都在解決一個相似的安全問題，造成了不必要的社會浪費。

鑒于此，數(shù)字證書的一證多用問題逐漸被社會所關(guān)注。即用戶能否通過一家合法機構(gòu)簽發(fā)的一張數(shù)字證書即可登錄多個不同的應(yīng)用系統(tǒng)，并完成自己網(wǎng)絡(luò)、工作、生活的需要。

2.2 設(shè)計與實現(xiàn)

根據(jù)文中的需求分析，筆者對方案的總體設(shè)計思想如下。

（1）依托電子簽名法，采用擁有《電子認證服務(wù)許可證》的合法第三方認證服務(wù)機構(gòu)簽發(fā)的證書。

（2）通過認證服務(wù)的“中間件”，實現(xiàn)數(shù)字證書與應(yīng)用的無縫集成，從而實現(xiàn)應(yīng)用的身份認證、信息保密性和完整性。并可在關(guān)鍵業(yè)務(wù)環(huán)節(jié)使用數(shù)字簽名和防抵賴，建立安全可靠的認定機制。

（3）最大程度上減少客戶端安裝使用的復雜性，本方案將客戶端證書生命周期管理、注銷管理移動到認證服務(wù)“中間件”中完成，方便用戶獲取和使用數(shù)字證書服務(wù)。

（4）認證服務(wù)“中間件”可以支持多種形態(tài)和不同認證機構(gòu)簽發(fā)的符合X.509標準格式的數(shù)字證書，也包括文件證書和硬件介質(zhì)證書等。

（5）本方案要最大程序減少對業(yè)務(wù)系統(tǒng)的影響，本方案技術(shù)實現(xiàn)要對業(yè)務(wù)系統(tǒng)的透明化，以方便現(xiàn)有的業(yè)務(wù)系統(tǒng)升級改造，實現(xiàn)系統(tǒng)的最小改造代價。

（6）本方案技術(shù)的實現(xiàn)要最大利用用戶手上現(xiàn)有的數(shù)字證書和設(shè)備，最大化地節(jié)約用戶使用成本和社會運行成本。

考慮到用戶端設(shè)備環(huán)境的復雜性和證書的多樣性，要實現(xiàn)一證多用，其難度很大。本方案是通過在應(yīng)用系統(tǒng)與用戶端證書之間增加一臺或多臺證書服務(wù)器（包含有認證服務(wù)“中間件”），通過證書服務(wù)器解決一證多用的困難。證書服務(wù)器要實現(xiàn)：①支持對不同證書機構(gòu)所簽發(fā)證書的證書鏈驗證；②完成對數(shù)字證書所代表的用戶身份與后端業(yè)務(wù)系統(tǒng)中的用戶身份綁定；③完成對數(shù)字證書有效期及CRL黑名單的驗證；④對通過身份驗證的用戶建立SSL安全通道，確保用戶的安全鏈接。證書服務(wù)器介于數(shù)字證書用戶與業(yè)務(wù)系統(tǒng)之間，為不同數(shù)字證書用戶與業(yè)務(wù)系統(tǒng)之間構(gòu)建一條安全可靠的通訊鏈路，其總體應(yīng)用架構(gòu)設(shè)計如圖3所示。

本方案的一證多用系統(tǒng)是對現(xiàn)有業(yè)務(wù)系統(tǒng)的升級部署，其主要工作集中在服務(wù)端完成，對系統(tǒng)的普通用戶來說是基本透明，對用戶的正常使用系統(tǒng)影響很小。其部署周期和升級成本都相對較小，一般完成升級部署需要經(jīng)過以下幾個部署過程。

（1）安裝配置數(shù)字證書服務(wù)器設(shè)備。

（2）根據(jù)業(yè)務(wù)系統(tǒng)支持的證書情況，向數(shù)字證書服務(wù)器導入對應(yīng)的證書鏈文件，可以一次性導入，也可以后期逐步導入。

（3）完成用戶證書與業(yè)務(wù)系統(tǒng)賬號的身份影射和綁定，可以在數(shù)字證書上批量綁定，也可以讓用戶自己使用原賬號登錄系統(tǒng)后自助綁定。

（4）完成身份綁定后，業(yè)務(wù)系統(tǒng)關(guān)閉原來的身份驗證方式，如口令、密碼驗證。

3 結(jié) 語

身份認證是互聯(lián)網(wǎng)應(yīng)用安全的第一道關(guān)卡，是確保合法用戶安全使用系統(tǒng)的基礎(chǔ)。數(shù)字證書是目前被普遍認可的身份安全認證技術(shù)，但數(shù)字證書一方面使用和維護成本高，另一方面大量數(shù)字證書閑置率高，利用率低。一證多用技術(shù)可以最大化節(jié)約社會成本，提高互聯(lián)網(wǎng)應(yīng)用的安全性。本文設(shè)計和實現(xiàn)的一證多用系統(tǒng)，采用了成熟軟件架構(gòu)和安全技術(shù)實現(xiàn)各模塊的功能，系統(tǒng)具有良好的擴展性和易維護性，業(yè)務(wù)系統(tǒng)升級成本低，系統(tǒng)采用的技術(shù)路線和設(shè)計方法是有效和可行的，且方案對安全性要求較高的信息化項目可提供基礎(chǔ)的安全支撐。

主要參考文獻

[1]李星宜，李陶深，葛志輝，等.基于數(shù)字證書的身份認證系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機技術(shù)與發(fā)展，2011（12）.

[2]管軍.基于數(shù)字證書認證機制的應(yīng)用研究[J].信息化研究，2010（3）.

[3]彭英慧，劉海豐.基于數(shù)字證書X.509的身份認證系統(tǒng)的研究[J].計算機安全，2008（11）.

[4]水仲飛，李承浩.一種基于X.509的USB Key政務(wù)環(huán)境身份認證方案[J].電子技術(shù)設(shè)計與運用，2010（1）.