基于數字證書的網絡可信身份服務體系研究

馬圣東

摘 要：網絡可信身份戰略的提出，為解決當前互聯網存在的身份冒用、信息泄露等問題提供了方向指引。為落實網絡可信身份戰略，加強互聯網用戶網絡身份管理，基于數字證書、身份證、生物識別技術、賬號口令等多屬性認證方式，論文提出了一種基于數字證書的網絡可信身份服務平臺建設方案，該平臺可以作為網絡可信身份建設的探索，為今后建設全國性網絡可信身份服務平臺積累了經驗。

關鍵詞：數字證書；可信身份；網絡安全

中圖分類號：D923；TP393.08 文獻標識碼：B

Abstract： The proposal of the network trusted identity strategy provides a direction for solving the problems of identity fraud， information leakage and other issues existing in the Internet. It is of vital importance to implement the network trusted identity strategy and strengthen the network user network identity management. Based on multi-attribute authentication methods such as digital certificate， ID card， biometric technology and account password， this paper proposes a digital certificate-based network trusted identity service platform. The platform can be used as an exploration of network trusted identity construction， and has accumulated experience for building a national network trusted identity service platform in the future.

Key words： digital certificate； trusted identity； cybersecurity

1 引言

隨著我國互聯網的快速發展，網絡成為人們生活的重要場所，影響著經濟社會的運行效率。當前，我國互聯網已經延伸到電子政務、電子商務、互聯網金融、工業生產等各個領域，在促進經濟發展的同時，也激發了更深層次的需求。例如，在政務領域，全國都在推進在網上政務辦理，原有孤立的系統已經影響到辦公效率，且變得難以維護，整合現有應用系統，在提高認證、訪問控制安全的前提下，提供統一服務是大勢所趨；在商務領域，在涉及需要身份認證及數據安全的各個行業，數字身份缺失及認證方式依舊混亂。此外，個人用戶大量的用戶名和密碼也增加了信息泄露、身份冒用等安全問題發生的概率。如何解決用戶網絡身份可信，保障用戶信息安全，提高網上辦事效率，成為迫在眉睫需要解決的問題。

2 基于數字證書的網絡可信身份服務平臺設計

平臺設計總分獨立運行結構，平臺建設完成后，各省、地、市可以直接使用全國平臺資源，也可以在各地部署單獨的PKI設備建設分平臺，使用本地資源。

2.1 平臺總體架構

PCS私鑰運算服務：主要用于為服務器端應用提供服務器端PKCS#1和PKCS#7格式數據簽名運算以及數字信封的私鑰加、解密運算。數字簽名運算服務為系統開發需要數字簽名、數字信封技術提供便捷的運算接口。

SVS簽名驗證服務：主要用于在服務器端接收數據后，對數據簽名、簽名證書的有效性進行合法性驗證。支持PKCS#1、PKCS#7格式的數字簽名。簽名驗證服務應用于驗證網上用戶身份、檢驗交易憑證和防止抵賴等方面。

TSA時間戳服務：主要用于對外提供精確可信的時間戳服務，以確認系統處理數據在某一時間（之前）的存在性和相關操作的相對時間順序，為實現系統數據處理的抗抵賴性提供基礎。TSA時間戳服務器對目標數據加上可信時間源提供的時間標記，并用數字簽名來保證時間標記的完整性與真實性。

CRL管理和自動更新服務：CRL管理主要用于管理證書撤銷列表，驗證證書有效性時需要首先在該列表查詢，若證書存在于該列表中，表示該證書已被廢除、失效。

平臺支持SM2、SM3、SM4等國產密碼算法，同時支持各種符合國家密碼管理局標準的加密卡/加密機。

2.2 應用架構

平臺采用模塊化松耦合設計，提供基于OAuth2.0協議的統一認證模塊支持多屬性認證；根據不同的業務抽象出不同的應用接口供應用在PC端、移動端使用；提供NetONEX控件滿足用戶多瀏覽器支持；基于NetONE安全網關貫通PC和移動端數字證書生命周期管理；多CA融合技術支持不同CA不同算法數字證書互通互認。

2.3 業務流程

應用接入平臺后，所有的數字證書認證都可以引導到平臺由平臺統一認證。平臺的統一認證的多瀏覽器支持，可以讓數字證書用戶使用IE、IE內核的瀏覽器以及Firefox、Chrome等非IE內核的瀏覽器。數字證書用戶登錄應用系統可以采用兩種方式，分別是統一認證方式和應用直達方式（單點登錄）。用戶采用統一認證方式登錄到應用系統時，會由應用系統引導至平臺進行統一認證。統一認證時序圖如圖3所示。

用戶采用應用直達登錄應用系統時，必須首先登錄到數字證書互認互通平臺，在用戶中心，點擊應用直達即可直接登錄應用系統，并且不再需要再次提交數字證書認證。應用直達時序圖如圖4所示。

3 網絡可信身份服務平臺功能

3.1 統一認證功能

所有接入到平臺的應用，都可以引導用戶到平臺進行統一認證，這樣做可以只在平臺管理用戶信息，第三方應用無需維護用戶信息，只需要接入到平臺中，即可使用平臺的數據信息。第三方應用在集成平臺提供的SDK并接入平臺后，可以添加“使用數字證書互認互通平臺賬號登錄”鏈接。用戶點擊“使用數字證書互認互通平臺賬號登錄”鏈接后，可以到平臺統一認證模塊進行身份認證。

3.1.1 用戶數字證書登錄多瀏覽器支持

平臺提供NetONEX/npNetONE控件，支持IE（包括IE內核瀏覽器），也支持Firefox、Chrome等非IE內核瀏覽器。配合平臺提供的netonex.base.js，應用系統只需要簡單幾行代碼就能同時支持數字證書在IE、IE內核的瀏覽器、Firefox以及Chrome下使用。

3.1.2 二維碼快速掃描登錄

平臺提供二維碼快速掃描登錄功能，使用平臺移動客戶端（Android/IOS）可以直接掃描登錄，解決了用戶在潛在的不安全的網絡環境下，安全的登錄平臺的問題。

3.2 應用管理模塊

應用管理模塊由通知中心、應用管理、用戶開通應用審核、應用統計、審計、應用分組管理、用戶證書管理、日子管理等功能。

（1）通知中心是指登錄后通知中心瀏覽系統通知、證書過期提醒、各個應用各自新增用戶數及各應用需要人工審核的信息內容。

（2）應用管理是指應用管理員或者具有應用管理權限的開發商可以使用應用管理功能，完成應用的創建、修改、申請上線流程，申請上線的應用待通過平臺管理員審核后，正式上線運行提供服務。

（3）用戶開通應用審核是指在創建應用和編輯應用中應用審核模式，設置為人工審核，則需要應用管理員審核應用的用戶申請信息。

（4）應用統計是指顯示用戶量居前的5個應用柱狀圖，統計各個應用最近新增用戶數，待審核用戶數，統計各個應用總用戶數以及個應用的用戶訪問數量。

（5）審計包括應用開通審計和證書操作審計。應用開通審計是指查詢用戶開通應用的操作記錄信息、用戶證書信息、應用名稱、操作員信息、時間；證書操作審計是指查詢用戶證書的停用、啟用、更新等操作記錄。

（6）應用分組管理是指可以通過分組管理的方式，把同類的應用加入一個自定義的組中，用戶申請開通這個應用分組，即可同時開通，應用分組下的所有應用。

（7）用戶證書管理是指應用管理員在權限范圍內，可以更新用書的證書狀態，即可以啟用證書、停用證書，并可以更新用戶的證書。

（8）日子管理包括接口日志管理和登錄日志管理。接口日志查詢是指查詢通過接口調用開通應用分組的用戶信息；登錄日志查詢是指平臺提供接口日志查詢功能、查詢用戶登錄應用的證書信息、登錄時間。

3.3 平臺管理模塊

平臺管理模塊由信息服務設置、角色權限管理、CA接入管理、應用設置管理、統計報表等子模塊組成。

3.3.1 信息服務設置

信息服務設置主要包括標題內容設置、公告信息管理、推送信息管理、短信接入管理、RA服務設置、用戶注冊管理、證書過期提示、安全服務設置等功能。

（1）標題內容設置是指動態設置平臺的名稱、標題、子標題、LOGO、Copyright、聯系我們、關于我們等信息。

（2）公告信息管理是指平臺可以根據需要發布公告信息，所有的用戶、應用管理員都在登錄后，都可以看到平臺統一發布的公告。

（3）推送信息管理是指平臺配套提供一網通移動客戶端應用（Android/iOS），用戶安裝一網通移動客戶端后，所有的移動終端設備都將接入到平臺中。平臺可以根據需要向用戶的移動終端發送推送消息，并可以查看歷史推送消息。

（4）短信接入管理是指平臺支持短信服務商接入，接入后將可以使用短信發送激活碼、驗證碼，目前支持時代互聯、億美軟通等短信服務商。

（5）RA服務設置是指平臺支持RA服務接入，接入后，用戶可以在一網通移動客戶端（Android/iOS）直接申請并下載數字證書，數字證書下載成功后，用戶在移動終端可以像在PC上一樣方便的使用數字證書的數字簽名、加密解密等功能。

（6）用戶注冊管理是指平臺可以設置用戶注冊的限制條件，例如可以允許數字證書自動注冊，可以允許用戶自主綁定數字證書。

（7）證書過期提示是指平臺可以根據用戶數字證書的有效期，設置到期提醒功能，比如可以設置提醒時間在證書即將過期的一個月前，這樣，用戶登錄之后，就可以收到平臺的證書過期提醒，以防止忘記對證書延期而導致證書失效不能正常使用。

（8）安全服務設置平臺為保證數字證書的使用安全，采用三項安全服務策略，分別是SVS驗簽服務、TSA驗簽服務和SSL認證設置。SVS驗簽服務主要是驗證證書所做的PKCS1/PKCS7簽名驗證，驗證內容包括證書鏈、有效期、CRL；TSA驗簽服務主要是驗證時間戳，以確保時間戳的合法性；SSL認證設置主要是根據需要設置平臺支持的模式，目前支持雙向SSL認證模式和控件簽名模式。

3.3.2 角色權限管理

角色權限管理主要包括權限組管理、操作員管理、用戶管理等功能。

（1）權限組管理是指平臺提供權限組列表、詳情查看、編輯、刪除等功能。權限組是被賦予一定權限集合的組，一個管理員被分配到某一個權限組中后，將自動獲得該權限組中的所有權限。

（2）操作員管理是指可以向平臺添加操作員，為其分配權限。在操作員查詢列表中，可以點擊查看某一操作員的詳細信息。

（3）用戶管理是指平臺可以根據條件查詢處用戶，查詢出來之后，可以對用戶進行操作。

3.3.3 CA接入管理

平臺支持多CA接入，CA接入到平臺后，其業務根CA下所簽發的數字證書將可被允許到平臺登錄、認證。一個CA可添加多個業務根證書，支持RSA和SM2算法。

3.3.4 應用設置管理

應用設置管理主要包括應用分類管理、應用審核管理、應用推薦管理、應用查看等功能。

（1）應用分類管理是指平臺可以設置應用分類，以讓用戶通過分類瀏覽應用。根據業務需要，可以對應用分類進行編輯，并可刪除。

（2）應用審核管理是指平臺管理員對提交創建或者修改的應用可以進行審核，根據提交信息判定審核結果，只有審核通過的應用才能在平臺正常使用。

（3）應用推薦管理是指平臺管理員可以設置推薦應用，設置的推薦應用都會在平臺首頁優先顯示。應用的設置采用點擊的方式在首頁12個位置展示，并可撤銷應用推薦。

（4）應用查看是指平臺管理員可以查看已經在平臺上線的應用，同時可以查看已經在平臺下線的應用。對于已下線的應用，可以選擇刪除，即永久從平臺刪除，也可以選擇上線，讓其重新在平臺中出現并可使用。

3.3.5 統計報表

統計報表主要包括應用統計、用戶統計等功能。

（1）應用統計是指平臺提供應用統計功能，平臺管理員可以直觀的通過柱狀圖、折線圖等方式查看應用的統計信息。目前提供的應用統計包括用戶量前五位的應用統計，已上線、未上線及待審核應用統計，新增用戶統計、新開通用戶統計、關閉應用統計等。

（2）用戶統計是指平臺提供用戶統計功能，平臺管理員可以以CA機構為維度統計用戶的分布情況，可以以列表的方式查看所有用戶，可以查看用戶的詳細信息。

3.4 用戶中心模塊

用戶中心模塊包括通知中心、我的應用、授權管理、賬號管理、安全登錄、申請開發權限等功能。

（1）通知中心是指用戶登錄后顯示系統通知信息以及用戶的證書過期提醒、訪問應用、新上架應用信息。

（2）我的應用是指用戶可以管理已經開通的應用列表信息和已經提交申請正在等待審核的應用列表信息。

（3）授權管理是指對已經授權的應用會顯示在已授權應用列表中，在“已授權應用”欄目下，點擊圖標可直接單點登錄到該應用，點擊 “授權管理” 鏈接，可以解除對該應用的授權。

（4）賬號管理是指顯示當前賬號上綁定的所有證書信息，其他信息中可以維護用戶相關屬性信息，如名稱、郵箱、電話、地址等。

（5）安全登錄是指通過安全登錄設置，可以提高賬號的安全等級，啟用兩步驗證后，登錄必須使用手機短信驗證碼驗證。

（6）申請開發權限是指應用管理員需要通過申請成為開發者，才能擁有應用的創建、維護、查看等相關的管理權限。

3.5 移動端APP（Android/IOS）功能設計

平臺移動端為用戶提供在移動終端（Android/IOS），用戶可以使用移動端完成Web端用戶中心的所有操作，支持統一認證，支持掃描二維碼快速登錄應用。平臺移動端的功能分類方式與平臺服務端有所不同，主要有統一認證模塊、我的應用、證書管理器、公告消息、賬號設置等模塊功能。平臺移動端的證書管理器提供數字簽名、數據加解密等PKI服務功能。

（1）統一認證模塊包括數字證書認證和二維碼掃描登錄。平臺移動端（Android/IOS）支持移動端數字證書認證，用戶在移動端選擇數字證書輸入PIN碼后，移動端會將用戶數字證書及相關請求信息發送到平臺服務端的統一認證模塊請求驗證。用戶登錄成功后，進入到移動端主頁面，主頁面除了常用應用功能外，還提供“二維碼掃描登錄”功能。平臺移動客戶端（Android/IOS）可以直接掃描登錄，解決了用戶在潛在的不安全的網絡環境下，安全的登錄平臺或第三方應用的問題。

（2）我的應用是指用戶可以查看已經開通的應用和待開通應用，可以在應用中心中瀏覽所有已接入平臺的第三方應用。在用戶登錄移動端（Android/IOS）后，可以直接在移動端通過內置瀏覽器打開第三方應用（Web應用），而無需再次驗證數字證書。

（3）我的證書是指平臺移動端（Android/IOS）提供了證書管理器，與Windows系統下證書管理器的功能類似，平臺移動端證書管理器支持證書請求生成、數字證書導入、可信根CA導入等功能。我的證書模塊可以查看“我的證書”、可信根證書，可以申請證書、同步證書。

（4）移動端PKI服務是指平臺移動端基于證書管理器，提供了移動端PKI服務，包括數字簽名、數據加解密等功能供第三方移動應用接入調用。

（5）公告消息是指移動端公告信息與Web端通知中心一樣，可以查看平臺的公告信息。

（6）賬號設置是指在平臺移動端（Android/IOS），用戶可以查看賬號信息、分享、檢查更新、設置緩存、設置備份私鑰。

4 結束語

本文針對當前互聯網存在的網絡安全風險，為加強網絡可信身份體系建設，提出了一種采用模塊化松耦合設計，基于OAuth2.0協議的統一認證模塊支持多屬性認證的可信身份平臺方案。平臺能夠根據不同的業務抽象出不同的應用接口供應用在PC端、移動端使用，支持多種瀏覽器，采用多CA融合技術支持不同CA機構、不同算法數字證書互通互認。平臺作為網絡可信身份戰略建設的探索，為建設全國性網絡可信身份服務平臺提供了基礎和借鑒。

參考文獻

[1] 郭金生.CA數字證書安全平臺構建與研究[J].現代電子技術，2010，33（3）：49-51.

[2] 杜文杰，沙俐敏.電子支付平臺數字證書申請系統設計與實現[J].計算機工程，2004，30（b12）：599-601.

[3] 郭亓元，沈宇超，岑榮偉.電子政務數字證書互認平臺的研究與設計[J].信息安全研究，2017，3（6）：548-553.

[4] 宋憲榮，張猛.網絡可信身份認證技術問題研究[J].網絡空間安全，2018（3）.

[5] 徐祺.基于數字證書的云計算安全認證平臺的研究[J].計算機安全，2013（7）：67-70.

[6] 帥青紅.基于數字證書的電子商務支付平臺[J].網絡安全技術與應用，2007（2）：50-52.

[7] 劉紅光，唱宇，朱朝華.基于數字證書安全認證平臺的實現及應用[J].科技資訊，2008（9）：259.

[8] 朱玉濤，王雅哲，武傳坤.兩層架構的可信身份服務平臺研究與設計[J].計算機應用與軟件，2012，29（3）：1-4.

[9] 李以斌，牟大偉.基于數字證書的教育云可信實名身份認證和授權的研究[J].網絡空間安全，2016，7（9-10）：40-44.