數字證書在信息化項目中一證多用的研究與實現

程國青

[摘 要]數字證書是互聯網應用中身份安全的重要技術保障。證書機構大量簽發的數字證書往往都是綁定單一應用系統，在給用戶帶來不便的同時，也增加了社會成本。本文深入研究了數字證書的結構和安全機制，并提出了一證多用技術，以通過證書服務器解決一證多用中數字證書的多樣性和復雜性。

[關鍵詞]數字證書；一證多用；身份安全

doi：10.3969/j.issn.1673 - 0194.2017.06.093

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2017）06-0-03

0 引 言

隨著Internet的普及和發展，電子商務活動和電子政務活動已成為大眾日常生活的一部分。互聯網環境下存在著大量的應用服務和互不相識的眾多用戶，這些互聯網上的“實體”如何識別彼此和保障通訊安全，一直伴隨著互聯網的發展而存在。

數字證書（CA）是互聯網中標志通訊各方身份信息的一串字符，它提供一種在互聯網上驗證通信實體身份的方式。它是由權威機構證書授權中心簽發的，可以用來在互聯網上識別通訊對方的身份。數字證書的應用已經十分普遍和廣泛，如發送安全電子郵件、訪問安全站點、網上招標投標、網上簽約、網上購物、公文安全傳送、網上繳費、網上繳稅和網上報關等。

隨著網絡安全意識的加強和各類應用的推廣，在數字證書授權機構的推動下，數字證書的發行數量越來越多。很多時候一個應用系統就要有一張相應的數字證書，且各個應用的數字證書互不通用。如網銀用戶使用農業銀行網銀時，要用農業銀行的數字證書，工商銀行的網銀要使用工商銀行的數字證書；在不同城市的公共資源交易服務中心投標時，要辦理不同的數字證書進行投標。

1 數字證書相關技術分析

1.1 數字證書的格式

數字證書的格式普遍采用的是國際標準X.509格式，一個標準的X.509數字證書一般包含以下信息：①證書的版本信息-Version；②證書的序列號，每張證書有唯一的證書序列號-Serial Number；③證書所使用的簽名算法- Algorithm Identifier；④證書的發行機構名稱- Issuer，命名規則一般采用X.500格式；⑤證書的有效期- Period of Validity，一般采用UTC時間格式；⑥證書所有人的名稱- Subject，命名規則一般采用X.500格式；⑦證書所有人的公開密鑰- Subject's Public Key；⑧證書發行者對證書的簽名- Signature。

數字證書存儲文件的格式通常有.cer格式文件和.pfx格式文件。PKCS#12標準定義，帶有私鑰的證書文件一般以.pfx為文件后綴名，以.cer為文件后綴名的是不包含私鑰的證書文件，p7b格式文件是證書鏈存儲文件，包含一張或多張數字證書，不包含私鑰。證書文件編碼可以是DER二進制編碼格式或者是BASE64編碼格式。

1.2 數字證書的工作原理

數字證書采用PKI（Public Key Infrastructure）公開密鑰基礎架構技術，即利用一對相互匹配的公、私密鑰進行加密和解密。證書用戶設定僅為本人所知的私有密鑰（以下簡稱私鑰），并用它進行解密和簽名。同時對應匹配的這個私鑰有一個公開密鑰（以下簡稱公鑰），公鑰可以發布給通訊相關方，用于對端的加密和驗證簽名。當需要傳遞保密信息時，發送方使用接收方的公鑰對數據加密，接收方收到加密數據后，使用私鑰進行解密。PKI技術保證加、解密過程是一個不可逆的過程，即只能用私鑰解密公鑰加密的數據。用戶也可以用私鑰簽名要發送的數據，形成數字簽名，這個數字簽名只能用對應的公鑰解密，以驗證簽名，數字簽名有防抵賴性和防篡改性。簽名與驗證簽名流程示意圖，如圖1所示。

在公開密碼基礎架構技術中，最常用的非對稱算法是RSA算法，其數學原理是將一個超大數分解質因數，私鑰和公鑰是2個匹配的質因數，從數學邏輯上講，在已知明文、密文和公鑰的情況下，很難推導出私鑰。在這樣的數學原理上數字簽名可以保障以下2點：①簽名者不能否認自己所發的信息；②信息自簽發后到接收方收文的過程中未被修改過，簽名的文件是真實文件。數字證書是綁定了公鑰和其私鑰持有者真實身份的文件，并經過認證中心審核簽發的電子數據。可以方便快捷地在互聯上做身份識別和傳遞加密數據。

1.3 數字證書的簽發過程

數字證書通常是由CA證書中心（通稱CA機構）創建和簽發，CA機構為一個稱為安全域（security domain）的有限群體發放證書。創建證書時，CA機構首先要獲取用戶的證書請求信息，其中包括用戶公鑰（公鑰一般由用戶端產生，如電子郵件程序、瀏覽器、U-KEY等），CA機構根據用戶的請求信息產生證書，并用CA機構的私鑰對證書進行簽名。其他用戶、應用程序或實體將使用CA機構的公鑰對證書進行驗證。如果CA機構是可信的機構，則驗證證書的用戶可以確信，其所驗證的證書是代表著一個可信的實體。

國家授權的CA機構同時要負責維護和發布證書廢除列表CRL（即證書黑名單）。當一個證書的公鑰因故無效時或證書需要注銷時，CRL提供了一種通知用戶和其他應用的管理方式。CA系統生成CRL以后，通常會放到LDAP服務器或Web服務器中，供用戶直接查詢或下載。

一個典型的CA機構的證書簽發系統會包括安全加密服務器、注冊RA服務器、CA服務器、LDAP目錄服務器和數據庫服務器等。如圖2所示。

1.4 數字證書的應用

CA機構簽發的數據證書大體有個人數字證書、企業數字證書、服務器數字證書、代碼簽名數字證書等幾種類型。數字證書廣泛應用在電子政務、電子商務、內部信息化管理等領域。其應用范圍涉及需要身份認證及數據安全的各個行業，包括傳統的商業、制造業、流通業的網上交易以及行政公共事業、金融服務業、工商稅務海關、政府行政辦公、教育科研單位、保險和醫療等網上業務系統。典型的應用場景有網上購物、企業與企業的電子貿易、安全電子郵件、網上證券交易、網上銀行、網上招投標、網上報稅和行政申報等方面。

2 一證多用的技術實現

2.1 需求分析

由于數字證書自身的安全特點，如信息保密、不可篡改、抗抵賴等。這些特性可以較好地滿足互聯網交易中的安全需求。隨著互聯網和信息化應用的發展，數字證書的應用領域在不斷拓寬，應用深度也在不斷加深。如國內各大銀行的網銀系統都需要數字證書登錄使用。

隨著數字證書的應用推廣，隨之而來的一個普遍問題是，用戶發現自己具有為使用不同應用系統所發放的不同數字證書。如各家銀行的網銀證書（每家網銀都對應有自己的數字證書）、單位報稅的稅務證書、公司辦公業務系統的身份證書等。這些數字證書對應不同的應用系統，分別由不同的CA機構簽發。

對普通用戶來說，保管好這些證書（U-KEY）并記住這些數字證書的對應密碼就是一件不簡單的任務，同時用戶還要在自己的電腦設備上安裝不同證書對應的證書驅動管理程序。對國家社會來講，大量反復發放的數字證書，大大增加了社會成本，而這些數字證書幾乎都在解決一個相似的安全問題，造成了不必要的社會浪費。

鑒于此，數字證書的一證多用問題逐漸被社會所關注。即用戶能否通過一家合法機構簽發的一張數字證書即可登錄多個不同的應用系統，并完成自己網絡、工作、生活的需要。

2.2 設計與實現

根據文中的需求分析，筆者對方案的總體設計思想如下。

（1）依托電子簽名法，采用擁有《電子認證服務許可證》的合法第三方認證服務機構簽發的證書。

（2）通過認證服務的“中間件”，實現數字證書與應用的無縫集成，從而實現應用的身份認證、信息保密性和完整性。并可在關鍵業務環節使用數字簽名和防抵賴，建立安全可靠的認定機制。

（3）最大程度上減少客戶端安裝使用的復雜性，本方案將客戶端證書生命周期管理、注銷管理移動到認證服務“中間件”中完成，方便用戶獲取和使用數字證書服務。

（4）認證服務“中間件”可以支持多種形態和不同認證機構簽發的符合X.509標準格式的數字證書，也包括文件證書和硬件介質證書等。

（5）本方案要最大程序減少對業務系統的影響，本方案技術實現要對業務系統的透明化，以方便現有的業務系統升級改造，實現系統的最小改造代價。

（6）本方案技術的實現要最大利用用戶手上現有的數字證書和設備，最大化地節約用戶使用成本和社會運行成本。

考慮到用戶端設備環境的復雜性和證書的多樣性，要實現一證多用，其難度很大。本方案是通過在應用系統與用戶端證書之間增加一臺或多臺證書服務器（包含有認證服務“中間件”），通過證書服務器解決一證多用的困難。證書服務器要實現：①支持對不同證書機構所簽發證書的證書鏈驗證；②完成對數字證書所代表的用戶身份與后端業務系統中的用戶身份綁定；③完成對數字證書有效期及CRL黑名單的驗證；④對通過身份驗證的用戶建立SSL安全通道，確保用戶的安全鏈接。證書服務器介于數字證書用戶與業務系統之間，為不同數字證書用戶與業務系統之間構建一條安全可靠的通訊鏈路，其總體應用架構設計如圖3所示。

本方案的一證多用系統是對現有業務系統的升級部署，其主要工作集中在服務端完成，對系統的普通用戶來說是基本透明，對用戶的正常使用系統影響很小。其部署周期和升級成本都相對較小，一般完成升級部署需要經過以下幾個部署過程。

（1）安裝配置數字證書服務器設備。

（2）根據業務系統支持的證書情況，向數字證書服務器導入對應的證書鏈文件，可以一次性導入，也可以后期逐步導入。

（3）完成用戶證書與業務系統賬號的身份影射和綁定，可以在數字證書上批量綁定，也可以讓用戶自己使用原賬號登錄系統后自助綁定。

（4）完成身份綁定后，業務系統關閉原來的身份驗證方式，如口令、密碼驗證。

3 結 語

身份認證是互聯網應用安全的第一道關卡，是確保合法用戶安全使用系統的基礎。數字證書是目前被普遍認可的身份安全認證技術，但數字證書一方面使用和維護成本高，另一方面大量數字證書閑置率高，利用率低。一證多用技術可以最大化節約社會成本，提高互聯網應用的安全性。本文設計和實現的一證多用系統，采用了成熟軟件架構和安全技術實現各模塊的功能，系統具有良好的擴展性和易維護性，業務系統升級成本低，系統采用的技術路線和設計方法是有效和可行的，且方案對安全性要求較高的信息化項目可提供基礎的安全支撐。

主要參考文獻

[1]李星宜，李陶深，葛志輝，等.基于數字證書的身份認證系統的設計與實現[J].計算機技術與發展，2011（12）.

[2]管軍.基于數字證書認證機制的應用研究[J].信息化研究，2010（3）.

[3]彭英慧，劉海豐.基于數字證書X.509的身份認證系統的研究[J].計算機安全，2008（11）.

[4]水仲飛，李承浩.一種基于X.509的USB Key政務環境身份認證方案[J].電子技術設計與運用，2010（1）.