基于云平臺的數(shù)字證書互認互通

田勇　張吉權　吳子清

摘? ?要：文章主要介紹貴州省公共資源交易領域中數(shù)字證書交叉互認，實行一地注冊、多地共享的數(shù)字證書“一證通”模式，探索建立數(shù)字證書的跨區(qū)域互認機制，推動建設區(qū)域一體化的網(wǎng)絡信任體系。

關鍵詞：公共資源交易;招投標;云平臺;數(shù)字證書互認;

中圖分類號：TP309.2? ? ? ? ? 文獻標識碼：B

Digital certificate mutual recognition and interoperability based on cloud platform

Abstract： This paper mainly introduces the cross-recognition of digital certificates in the field of public resources transaction in Guizhou Province， implementation of "one certificate pass" mode of digital certificates registered in one place and shared by many places， explores the establishment of cross-regional mutual recognition mechanism of digital certificates， and promotes the construction of regional integration network trust system.

Key words： transaction of public resources; bidding; cloud platform; digital certificate mutual recognition

1 引言

數(shù)字證書在電子政務、電子商務中的使用，可實現(xiàn)業(yè)務管理電子化和無紙化，實現(xiàn)誠信檔案電子化。在公共資源交易領域中，廣泛地使用了數(shù)字證書對業(yè)務系統(tǒng)進行保護。各個不同的公共資源交易系統(tǒng)由公共資源交易平臺軟件、數(shù)字證書及簽章軟件組成。

2? 需求及難點

由于不同的CA機構頒發(fā)數(shù)字證書及簽章互不通用，一個企業(yè)到其他平臺投標都需要再次申辦數(shù)字證書（辦理簽章），造成資源、人力、財力方面的浪費。因此，在公共資源行業(yè)中實現(xiàn)數(shù)字證書“一證通”是行業(yè)當前最主要的需求。通過對現(xiàn)有資源的全面升級、整合、利用，大幅提高已投入資源的利用率，減少重復建設和運行成本，實現(xiàn)數(shù)字證書“一證在手，全省通用”;并在實現(xiàn)“高效統(tǒng)一、系統(tǒng)整合、信息共享、惠及民生”的同時， 推進公共服務信息化建設便捷、高效、可持續(xù)化發(fā)展。

多個公共資源交易平臺開發(fā)商的數(shù)字證書應用深度不一，各CA采用的技術手段也不同，實現(xiàn)數(shù)字證書“一證通”的主要困難在于解決在不同應用系統(tǒng)中、不同應用場景下、不同電子印章技術下的證書互用互認。導致數(shù)字證書不能互認互通使用的原因主要在幾點。

1）數(shù)字證書認證方式不同，沒有統(tǒng)一標準。數(shù)字證書認證時需要驗證證書的有效期、證書鏈、黑名單、OCSP等，由于各CA機構提供的驗證方式不盡相同，不能很好支持其他CA機構。

2）客戶端控件接口及服務端驗簽接口不同，缺乏統(tǒng)一要求。在進行數(shù)字簽名、加密解密等PKI運算時，由于各CA機構簽名客戶端控件不同，無法做到使用同樣的代碼調用各家CA機構提供的簽名客戶端控件。同樣，由于各CA機構服務端驗簽接口的不同，導致一家CA簽名控件的簽名數(shù)據(jù)無法通過其他CA服務端驗簽接口的驗證。

3）標書的文件格式多樣化。有的標書是PDF格式，采用CA機構提供的簽章工具簽章打包;有的標書是自定義格式，通過開發(fā)商提供的標書打包工具完成簽章打包。即使是PDF格式的標書，也有標準PDF簽章格式和自定義PDF簽章格式的區(qū)別。

3? 解決思路

針對公共資源交易系統(tǒng)的現(xiàn)狀，以及對數(shù)字證書不能互認互通使用的原因的分析，在應用中采用統(tǒng)一接口標準（客戶端控件接口及服務端驗簽接口）、規(guī)范化標書簽章標準、集中統(tǒng)一認證數(shù)字證書的方式來實現(xiàn)數(shù)字證書的互認互通。

1） 通過統(tǒng)一的數(shù)字證書控件（RSA證書以CSP為接口標準，SM2證書以SKF為接口標準）實現(xiàn)證書的基本簽名、加密等功能。

2） 基于云平臺建設統(tǒng)一的認證平臺，用戶的登錄被引導到互認互通平臺進行認證，減少交易平臺開發(fā)商在登錄界面的代碼改造工作量。

3） 統(tǒng)一簽章標準，要求各廠家按照固定的接口來提供控件，可以平滑兼容原有的用戶。

4? 技術原理

數(shù)字證書互認互通平臺技術框架如圖1所示。

數(shù)據(jù)存儲基于云平臺RDS服務，可根據(jù)用戶數(shù)量進行彈性擴容，密鑰及運算模塊采用云平臺提供的加密服務（VSM）。Web應用中間件可部署于ECS云服務器中。平臺包含統(tǒng)一認證、用戶中心、應用管理、平臺管理等模塊，最后以統(tǒng)一的接口對外提供服務。

OpenAPI是認證平臺對第三方應用系統(tǒng)開放的后臺接口的統(tǒng)稱，平臺提供OpenAPI SDK，SDK支持Java、C#、Php等應用系統(tǒng)主流開發(fā)語言，OpenAPI以HTTPS協(xié)議提供服務。認證平臺提供給其它云平臺OpenAPI接口，第三方應用可以使用OpenAPI快速地接入到平臺中，OpenAPI提供的接口包括獲取用戶信息、解析數(shù)字證書、驗證數(shù)字簽名等，使用OpenAPI可以讓應用系統(tǒng)不需要了解過多的PKI技術層面的問題，減少應用系統(tǒng)的開發(fā)和改造難度。

認證平臺提供統(tǒng)一認證模塊，應用接入平臺后，所有的數(shù)字證書認證都可以引導到電子認證應用服務平臺統(tǒng)一認證。通過對白名單的配置，平臺可以實現(xiàn)對不同CA頒發(fā)的數(shù)字證書應用進行統(tǒng)一認證管理;支持各電子認證服務機構的接入和管理，實現(xiàn)互認互通。

認證平臺的統(tǒng)一認證支持多瀏覽器，同時兼容RSA與SM2兩種算法，使得第三方應用可以使用兩種證書。而在電子印章的應用中，由于沒有相關國家標準作為參考，可采用以下方式來實現(xiàn)應用層的互認互通。

1） 定義電子印章OCX控件的判斷類型接口，應用平臺開發(fā)商根據(jù)印章類型初始化不同的控件。

2） 通過整合第三方應用的電子印章需求，制定統(tǒng)一的印章接口標準，各電子印章廠家對軟件產品進行修改，向上層提供統(tǒng)一的應用接口。第三方應用可以通過使用一套代碼來實現(xiàn)各家CA的電子印章功能。

3） 以AdobePDF文件的三種驗章格式為準，來實現(xiàn)PDF電子印章的互認。

5? 結束語

利用云環(huán)境、統(tǒng)一應用層接口的方式解決了跨應用系統(tǒng)、跨產品、多CA機構、多應用場景下的數(shù)字證書互認互通問題，該技術路線可推廣至其他的區(qū)域性證書應用中，實現(xiàn)證書的高效復用，從而解決在電子政務系統(tǒng)中數(shù)字證書難以跨應用使用的問題，降低社會成本。

參考文獻

[1] R. Housley， SPYRUS， W. Ford，et al.RFC 2459[J].Internet X.509 Public Key Infrastructure Certificate and CRL Profile.IETF， January 1999.

[2] ISO 32000-1：2008： Document management - Portable document format - Part1：PDF 1.7[S]. International Organization for Standardization，2008.

[3] GM/T 0016-2012， 智能密碼鑰匙密碼應用接口規(guī)范[S].