基于云平臺的數字證書互認互通

田勇　張吉權　吳子清

摘? ?要：文章主要介紹貴州省公共資源交易領域中數字證書交叉互認，實行一地注冊、多地共享的數字證書“一證通”模式，探索建立數字證書的跨區域互認機制，推動建設區域一體化的網絡信任體系。

關鍵詞：公共資源交易;招投標;云平臺;數字證書互認;

中圖分類號：TP309.2? ? ? ? ? 文獻標識碼：B

Digital certificate mutual recognition and interoperability based on cloud platform

Abstract： This paper mainly introduces the cross-recognition of digital certificates in the field of public resources transaction in Guizhou Province， implementation of "one certificate pass" mode of digital certificates registered in one place and shared by many places， explores the establishment of cross-regional mutual recognition mechanism of digital certificates， and promotes the construction of regional integration network trust system.

Key words： transaction of public resources; bidding; cloud platform; digital certificate mutual recognition

1 引言

數字證書在電子政務、電子商務中的使用，可實現業務管理電子化和無紙化，實現誠信檔案電子化。在公共資源交易領域中，廣泛地使用了數字證書對業務系統進行保護。各個不同的公共資源交易系統由公共資源交易平臺軟件、數字證書及簽章軟件組成。

2? 需求及難點

由于不同的CA機構頒發數字證書及簽章互不通用，一個企業到其他平臺投標都需要再次申辦數字證書（辦理簽章），造成資源、人力、財力方面的浪費。因此，在公共資源行業中實現數字證書“一證通”是行業當前最主要的需求。通過對現有資源的全面升級、整合、利用，大幅提高已投入資源的利用率，減少重復建設和運行成本，實現數字證書“一證在手，全省通用”;并在實現“高效統一、系統整合、信息共享、惠及民生”的同時， 推進公共服務信息化建設便捷、高效、可持續化發展。

多個公共資源交易平臺開發商的數字證書應用深度不一，各CA采用的技術手段也不同，實現數字證書“一證通”的主要困難在于解決在不同應用系統中、不同應用場景下、不同電子印章技術下的證書互用互認。導致數字證書不能互認互通使用的原因主要在幾點。

1）數字證書認證方式不同，沒有統一標準。數字證書認證時需要驗證證書的有效期、證書鏈、黑名單、OCSP等，由于各CA機構提供的驗證方式不盡相同，不能很好支持其他CA機構。

2）客戶端控件接口及服務端驗簽接口不同，缺乏統一要求。在進行數字簽名、加密解密等PKI運算時，由于各CA機構簽名客戶端控件不同，無法做到使用同樣的代碼調用各家CA機構提供的簽名客戶端控件。同樣，由于各CA機構服務端驗簽接口的不同，導致一家CA簽名控件的簽名數據無法通過其他CA服務端驗簽接口的驗證。

3）標書的文件格式多樣化。有的標書是PDF格式，采用CA機構提供的簽章工具簽章打包;有的標書是自定義格式，通過開發商提供的標書打包工具完成簽章打包。即使是PDF格式的標書，也有標準PDF簽章格式和自定義PDF簽章格式的區別。

3? 解決思路

針對公共資源交易系統的現狀，以及對數字證書不能互認互通使用的原因的分析，在應用中采用統一接口標準（客戶端控件接口及服務端驗簽接口）、規范化標書簽章標準、集中統一認證數字證書的方式來實現數字證書的互認互通。

1） 通過統一的數字證書控件（RSA證書以CSP為接口標準，SM2證書以SKF為接口標準）實現證書的基本簽名、加密等功能。

2） 基于云平臺建設統一的認證平臺，用戶的登錄被引導到互認互通平臺進行認證，減少交易平臺開發商在登錄界面的代碼改造工作量。

3） 統一簽章標準，要求各廠家按照固定的接口來提供控件，可以平滑兼容原有的用戶。

4? 技術原理

數字證書互認互通平臺技術框架如圖1所示。

數據存儲基于云平臺RDS服務，可根據用戶數量進行彈性擴容，密鑰及運算模塊采用云平臺提供的加密服務（VSM）。Web應用中間件可部署于ECS云服務器中。平臺包含統一認證、用戶中心、應用管理、平臺管理等模塊，最后以統一的接口對外提供服務。

OpenAPI是認證平臺對第三方應用系統開放的后臺接口的統稱，平臺提供OpenAPI SDK，SDK支持Java、C#、Php等應用系統主流開發語言，OpenAPI以HTTPS協議提供服務。認證平臺提供給其它云平臺OpenAPI接口，第三方應用可以使用OpenAPI快速地接入到平臺中，OpenAPI提供的接口包括獲取用戶信息、解析數字證書、驗證數字簽名等，使用OpenAPI可以讓應用系統不需要了解過多的PKI技術層面的問題，減少應用系統的開發和改造難度。

認證平臺提供統一認證模塊，應用接入平臺后，所有的數字證書認證都可以引導到電子認證應用服務平臺統一認證。通過對白名單的配置，平臺可以實現對不同CA頒發的數字證書應用進行統一認證管理;支持各電子認證服務機構的接入和管理，實現互認互通。

認證平臺的統一認證支持多瀏覽器，同時兼容RSA與SM2兩種算法，使得第三方應用可以使用兩種證書。而在電子印章的應用中，由于沒有相關國家標準作為參考，可采用以下方式來實現應用層的互認互通。

1） 定義電子印章OCX控件的判斷類型接口，應用平臺開發商根據印章類型初始化不同的控件。

2） 通過整合第三方應用的電子印章需求，制定統一的印章接口標準，各電子印章廠家對軟件產品進行修改，向上層提供統一的應用接口。第三方應用可以通過使用一套代碼來實現各家CA的電子印章功能。

3） 以AdobePDF文件的三種驗章格式為準，來實現PDF電子印章的互認。

5? 結束語

利用云環境、統一應用層接口的方式解決了跨應用系統、跨產品、多CA機構、多應用場景下的數字證書互認互通問題，該技術路線可推廣至其他的區域性證書應用中，實現證書的高效復用，從而解決在電子政務系統中數字證書難以跨應用使用的問題，降低社會成本。

參考文獻

[1] R. Housley， SPYRUS， W. Ford，et al.RFC 2459[J].Internet X.509 Public Key Infrastructure Certificate and CRL Profile.IETF， January 1999.

[2] ISO 32000-1：2008： Document management - Portable document format - Part1：PDF 1.7[S]. International Organization for Standardization，2008.

[3] GM/T 0016-2012， 智能密碼鑰匙密碼應用接口規范[S].