基于云服務的數字證書交叉認證平臺建設淺析

張鳳臣

摘 要：隨著電子政務的發(fā)展，它在給工作提供便利服務的同時，也帶來了“信任孤島”和資源浪費等問題。目前，隨著電子政務向著互聯(lián)互通的方向發(fā)展以及云計算這一新的服務模式的推廣，基于云服務的數字證書交叉認證成為了電子政務發(fā)展過程中的新問題。針對某省電子政務中存在的問題，提出了數字證書交叉認證平臺的建設方案、設計架構和關鍵技術，以期提升政務辦公的安全性、便捷性和經濟性。

關鍵詞：云服務；數字證書；交叉認證；建設方案

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.03.126

電子簽名作為一種新興技術，有利于政府和企業(yè)提高辦事效率，是政府辦公自動化和無紙化辦公發(fā)展進程中的主要步驟。近年來，工信部及各省市相繼出臺各類政策、規(guī)章，以鼓勵和規(guī)范電子簽名技術的發(fā)展。許多省市已經率先建立了交叉認證平臺，取得了較好的效益。

隨著社會信息化水平的提高和網上辦事業(yè)務系統(tǒng)的成熟，政府部門也進行了信息化改革，人們對電子認證的需求越來越大。現(xiàn)有的政府應用系統(tǒng)都對應了不同的用戶群體，每個用戶的身份信息無法再利用系統(tǒng)互認，導致用戶賬戶過多，出現(xiàn)了管理混亂的情況，且各個應用系統(tǒng)需要分別維護一套身份信息，造成“身份孤島效應”越來越嚴重。自《電子簽名法》試行以來，政府部門采用了基于數字證書的身份認證和電子簽章功能，但大部分數字證書只能在對應的應用中使用，導致用戶需要多張數字證書，進而增加了成本。同時，政府部門也因大量的重復建設而造成了嚴重的浪費。公眾在辦理相關業(yè)務時也因為電子簽名數據沒有實現(xiàn)互聯(lián)互通而無法全程網上辦理各類事務。

這些問題的存在使數字證書交叉認證平臺的建設越來越重要。交叉認證平臺通過部署公開秘鑰體系（PKI）公共安全服務系統(tǒng)，實現(xiàn)了對多家數字認證機構、密碼設備以及政府部門的協(xié)調與管理，促進了學習資源的共享，消除了信息孤島，保障了電子檔案的安全性。通過采用虛擬化和面向服務的云計算服務模式，實現(xiàn)了一個可互操作的電子認證服務基礎設施，降低了建設成本，縮短了建設周期，使系統(tǒng)管理的運維成本下降，從而建立了一個可靠、開放、共贏的電子認證服務聯(lián)盟體系，促進了電子認證行業(yè)的可持續(xù)發(fā)展。

1 平臺總體架構

以某省為例，交叉認證平臺將為省、市、縣統(tǒng)一提供數字證書服務，實現(xiàn)多家電子認證機構的互聯(lián)互通，通過整合全省已有的數字證書資源，建設全省統(tǒng)一的數字證書庫，實現(xiàn)全省統(tǒng)一的可信認證、一證通行。

平臺總體框架如圖1所示，將至少實現(xiàn)某省CA、行業(yè)CA、其他地方CA的互聯(lián)互通。

其他各體系所提供的服務包括以下3個：①交叉認證支撐體系為已有證書的用戶在應用系統(tǒng)中使用證書，提供快速、便捷的接入服務，主要包括全省統(tǒng)一數字證書用戶庫、身份資源管理系統(tǒng)、交叉認證中間件、身份信息交換系統(tǒng)；②統(tǒng)一認證服務體系向證書用戶提供身份認證服務，包含交叉認證注冊網關和統(tǒng)一身份認證云服務系統(tǒng)；③電子簽章應用支撐體系通過搭建電子印章管理服務系統(tǒng)、電子簽章云服務系統(tǒng)和電子紙張轉換系統(tǒng)，可以為各應用系統(tǒng)提供基于數字證書的數字簽名、電子印章、電子紙張等電子簽名應用支撐服務，并以此為基礎，對全省互聯(lián)互通的電子簽名、規(guī)范進行定義。

交叉認證平臺在上述技術的基礎上，增加了對全平臺的管理功能，管理體系通過分析平臺運營中的各種數據、維護系統(tǒng)軟件，使平臺始終處于良好狀態(tài)，確保為用戶服務的持續(xù)性，包括數字證書客戶端維護系統(tǒng)、數字證書應用管理系統(tǒng)、用戶數據統(tǒng)計查詢系統(tǒng)和密碼服務系統(tǒng)。

為了使平臺的服務不只覆蓋省直機關單位及其應用，且要為全省各地市提供基于數字證書的電子認證、電子簽名/電子簽章統(tǒng)一基礎服務，平臺建設應采用分布式部署技術路線，分布式部署體系由交叉認證接入網關、統(tǒng)一身份認證服務系統(tǒng)、電子簽名應用接口開發(fā)包組成。這有利于提升省交叉認證平臺的可靠性、可用性和擴展性。

2 平臺關鍵技術

交叉認證平臺基于SAAS服務，面向服務體系結構（SOA）。軟件即服務（SAAS）是一種通過業(yè)務提供軟件的服務模式，廠商將應用軟件統(tǒng)一部署在自己的服務器上，客戶可以根據自己的實際需求，通過互聯(lián)網向廠商定購所需的應用軟件服務。消費者使用云計算平臺上的應用時，不需要考慮網絡底層的通信問題，只需要通過一個接口就可以控制云端的基礎設施。

面向服務體系結構（SOA）是組件大型云端的重要組成部分之一，它包含服務提供者、代理者和應用程序，以下將分別介紹此三者及其關鍵技術。

2.1 服務提供者

服務提供者創(chuàng)建Web服務，并將其接口和訪問信息發(fā)布到服務注冊表，這些服務由云端提供。在云計算框架中，虛擬化技術是基礎，虛擬化技術解決了資源的統(tǒng)一調配、統(tǒng)一API問題，將各類計算資源、存儲資源等消息資源虛擬化為計算資源池。因此，可以按照用戶的需求分配底層資源，采用軟件定義網絡（SDN）實現(xiàn)網絡的虛擬化。這些措施能夠根據服務來定制服務器硬件，不同的服務對機器配置的側重點不同，從而節(jié)約資源、提高生產效率。

2.2 服務代理者

服務代理負責使Web服務接口和訪問信息可用于任何潛在的服務請求程序。代理的實現(xiàn)者必須確定關于代理的范圍的信息。公用代理在整個因特網上都可用，而專用代理僅可被受限人群（單位內部網的用戶）訪問。

服務代理涉及用戶信息的授權問題，本交叉認證平臺采用oAuth協(xié)議，與以往授權方式的不同點在于oAuth協(xié)議的授權不會使第三方觸及到用戶的賬號信息，其邏輯結構如圖2所示。

oAuth協(xié)議是在Web2.0蓬勃發(fā)展勢頭下產生的一種新的認證授權協(xié)議，它易于理解且沒有涉及到用戶秘鑰等信息，受到了互聯(lián)網應用的歡迎。oAuth協(xié)議為用戶信息的授權提供了安全、開放的標準，任何服務提供商都可以實現(xiàn)oAuth，任何軟

件開發(fā)商都可以使用oAuth。

2.3 服務請求程序

服務請求程序通過定位注冊表中的條目，綁定服務器提供者以調用其Web服務。為了保證用戶在調用服務的安全性，采用基于公開密鑰體系（PKI）的技術來保證電子認證應用中的安全性。PKI技術作為建立網絡信任環(huán)境的基礎設施，是國內外應用最成熟最廣泛的信息安全綜合解決方案之一。它通過可信第三方CA機構，將用戶公鑰和用戶身份信息綁定在一起，實現(xiàn)用戶在Internet上的強身份認證和數字簽名等應用，從而提供安全、可靠的安全服務。

PKI利用現(xiàn)代密碼學中的公鑰密碼技術，在開放的網絡環(huán)境中提供數字認證服務的密碼應用框架。主要包含公鑰加密技術和數字簽名技術兩大安全技術。公鑰加密技術保障了信息的保密性，數字簽名技術通過保障網絡通信前的相互認證、通信中的信息完整，通信之后可保證服務的安全性。

3 結論

本文介紹了基于云服務的數字證書交叉認證平臺的建設需求、建設方案、平臺架構和關鍵技術。結合某省的實際環(huán)境和具體需求，實現(xiàn)了對多家CA、多家密碼設備及協(xié)調管理，促進了信息資源的共享，消除了“信息孤島”，健全了某省政務外網信息安全體系，為信息安全應急處理工作提供了有效的保障，進而為全社會提供了信息安全保障服務，從而很好地發(fā)揮了電子政務對信息化建設和社會發(fā)展的穩(wěn)定推動作用，提高了社會保障能力、綜合管理能力和服務水平，推動了全省經濟社會的協(xié)調發(fā)展和全面進步。

參考文獻

[1]曹永鋒，梁遠新，楊成兵，等.基于 SOA 云服務的濟寧市電子政務服務平臺研究[J].山東國土資源，2014，30（10）.

[2]文靜，李森.廣西電子政務外網政務部門數字認證服務體系設計[J].廣西科學院學報，2014（01）.

[3]盛宇偉.云計算環(huán)境下CA認證中心的研究與設計[J].北京：北京郵電大學，2013.

[4]周曉斌.電子政務電子認證關鍵技術研究[D].廣州：華南理工大學，2012.

[5]林英.電子政務電子認證公共服務平臺的研究與設計[D].濟南：山東大學，2015.

〔編輯：張思楠〕