關于電子商務平臺CA證書切換的設計與實現

劉龍 北京國電通網絡技術有限公司 供應鏈管理事業部

第一章 緒論

電子商務平臺前期已引入一家CA機構（天威誠信）面向國內外供應商提供數字證書簽發服務，為進一步提升面向終端用戶供應商的服務質量，現引進新的一家CA機構（深圳CA）作為供應商的證書簽發機構，將全面提升電子商務平臺電子認證的服務能力。

切換深圳CA將全面優化服務質量和服務效率，包括1.縮短數字證書辦理周期。由以前7個工作日縮小到3個工作日必須受理的服務；2.提供證書受理的專用通道服務。所有與數字證書相關的使用異常或咨詢問題，由深圳CA固定的售后服務團隊全權負責，減少中廣核業務人員壓力；3.后續將在交易大廳提供受理點服務。解決客戶現場快速、便捷辦理數字證書的服務通道。

電子商務平臺現已集成了CA數字簽名、加密、時間戳服務等的相關接口，但在運營過程中，發現如下的問題，急需引進一家第三方認證服務機構解決如下問題：

（一）合法合規的問題

現投標文件統一由服務端的加密機完成加解密功能，解密環節與供應商無關性，存在平臺公正性的挑戰；

（二）平臺CA接口穩定性問題

經常碰到加密解密失敗的問題，需在新上線的CA接入的版本中得到改善。

（三）證書發放效率的問題

目前，供應商的證書辦理效率，天威承諾在7天內才可以辦理數字證書，影響了面前全國的供應商的證書受理的便捷性，希望新的CA機構在效率上有所改善。

（四）加解密性能的問題

由于目前的加密措施，是統一由共同的加密機完成投標文件的非對稱算法的加解密，導致大文件的加密的效率低下，急需引進效率高效的加密手段，保障加解密的效率。

第二章 需求分析

（一）已發放證書免費更換的服務

前期，已經由天威誠信發放給供應商的數字證書，目前涉及證書量1000多家，需提供免費數字證書與證書介質的簽發服務。

已辦理了電子鑰匙的國內外供應商（已有客戶）：1、補發數字證書。引導與協調供應商免費辦理深圳CA的數字證書；2、補發數字證書的業務流程介紹。以電子商務平臺客服部電話外呼、郵件通知為溝通渠道、以深圳CA提供證書辦理服務為引導，組織已有證書的供應商補發深圳CA的數字證書。

還未辦理電子鑰匙的國內外供應商（新客戶）：新客戶群體的數字證書辦理的業務流程介紹。

（二）提供證書數字信封加解密的技術服務

提供目前業界數字信封的加解密技術，提升大文件的加密效率。

（三）提供證書簽名驗簽的技術服務

在投標文件上傳環節，提供證書簽名功能服務。在投標文件上傳后，提供驗簽服務。

（四）面向供應商簽發證書與管理的服務

前期提供線下的數字證書受理模式過渡，待深圳CA的在線認證平臺開發完畢，再接入在線認證平臺，由深圳CA提供認證、證書受理的服務。

（五）切換目標

提升標書加密環節的系統性能，改善電子標書的業務流程。現行的加密方式為供應商將投標文件上傳過程中，系統自動調用服務端的加密機證書公鑰，采用非對稱算法對電子標書進行加密，由于非對稱算法加密速度相對慢的特點，導致對大文件加密過程中造成長時間的等待，且加密過程耗損服務端的性能進程，影響了系統性能。本次方案將從改造加密流程、提升加密速度兩個方面結合，最大限度提升系統的服務性能。

第三章 技術方案

（一）總體架構

該總體架構是在保留現有的時間戳服務器設備、加密機設備的前提下，實現深圳CA的安全產品嵌入采購平臺，可完成深圳CA證書的簽發、證書加密解密等安全服務功能。主要建設內容包括：

PKI安全中間件：用于供應商在上傳標書時，提供生成對稱密鑰、對稱加密、非對稱數字信封加密、簽名等服務。

安全身份認證系統：提供驗證服務、按照平臺傳遞的投標書的指定路徑，可完成驗簽、解密的服務，驗簽、解密后生成的文件與制定路徑的目錄保持統一。

（二）CA業務流程整合

電子商務平臺提供投標上傳工具，由深圳CA提供證書簽名和加密的接口，完成投標書的加解密服務。

1.上傳工具對投標文件加密與簽名

投標文件上傳工具由中電普華提供并開發，深圳CA提供長傳工具涉及到“加密簽名按鈕”的接口服務，深圳CA提供的PKI中間件提供如下接口：

2.解密與驗簽接口

經過加密簽名后的文件傳遞給ECP服務平臺，ECP平臺將待驗簽、解密的文件統一轉移到指定的文件服務器進行管理，深圳CA提供的證書服務系統，需支持以文件路徑為形成，輸入為同一路徑下的驗簽或解密的文件進行存儲。