基于云平台的数字证书互认互通

田勇　张吉权　吴子清

摘   要：文章主要介绍贵州省公共资源交易领域中数字证书交叉互认，实行一地注册、多地共享的数字证书“一证通”模式，探索建立数字证书的跨区域互认机制，推动建设区域一体化的网络信任体系。

关键词：公共资源交易;招投标;云平台;数字证书互认;

中图分类号：TP309.2          文献标识码：B

Digital certificate mutual recognition and interoperability based on cloud platform

Abstract： This paper mainly introduces the cross-recognition of digital certificates in the field of public resources transaction in Guizhou Province， implementation of "one certificate pass" mode of digital certificates registered in one place and shared by many places， explores the establishment of cross-regional mutual recognition mechanism of digital certificates， and promotes the construction of regional integration network trust system.

Key words： transaction of public resources; bidding; cloud platform; digital certificate mutual recognition

1 引言

数字证书在电子政务、电子商务中的使用，可实现业务管理电子化和无纸化，实现诚信档案电子化。在公共资源交易领域中，广泛地使用了数字证书对业务系统进行保护。各个不同的公共资源交易系统由公共资源交易平台软件、数字证书及签章软件组成。

2  需求及难点

由于不同的CA机构颁发数字证书及签章互不通用，一个企业到其他平台投标都需要再次申办数字证书（办理签章），造成资源、人力、财力方面的浪费。因此，在公共资源行业中实现数字证书“一证通”是行业当前最主要的需求。通过对现有资源的全面升级、整合、利用，大幅提高已投入资源的利用率，减少重复建设和运行成本，实现数字证书“一证在手，全省通用”;并在实现“高效统一、系统整合、信息共享、惠及民生”的同时， 推进公共服务信息化建设便捷、高效、可持续化发展。

多个公共资源交易平台开发商的数字证书应用深度不一，各CA采用的技术手段也不同，实现数字证书“一证通”的主要困难在于解决在不同应用系统中、不同应用场景下、不同电子印章技术下的证书互用互认。导致数字证书不能互认互通使用的原因主要在几点。

1）数字证书认证方式不同，没有统一标准。数字证书认证时需要验证证书的有效期、证书链、黑名单、OCSP等，由于各CA机构提供的验证方式不尽相同，不能很好支持其他CA机构。

2）客户端控件接口及服务端验签接口不同，缺乏统一要求。在进行数字签名、加密解密等PKI运算时，由于各CA机构签名客户端控件不同，无法做到使用同样的代码调用各家CA机构提供的签名客户端控件。同样，由于各CA机构服务端验签接口的不同，导致一家CA签名控件的签名数据无法通过其他CA服务端验签接口的验证。

3）标书的文件格式多样化。有的标书是PDF格式，采用CA机构提供的签章工具签章打包;有的标书是自定义格式，通过开发商提供的标书打包工具完成签章打包。即使是PDF格式的标书，也有标准PDF签章格式和自定义PDF签章格式的区别。

3  解决思路

针对公共资源交易系统的现状，以及对数字证书不能互认互通使用的原因的分析，在应用中采用统一接口标准（客户端控件接口及服务端验签接口）、规范化标书签章标准、集中统一认证数字证书的方式来实现数字证书的互认互通。

1） 通过统一的数字证书控件（RSA证书以CSP为接口标准，SM2证书以SKF为接口标准）实现证书的基本签名、加密等功能。

2） 基于云平台建设统一的认证平台，用户的登录被引导到互认互通平台进行认证，减少交易平台开发商在登录界面的代码改造工作量。

3） 统一签章标准，要求各厂家按照固定的接口来提供控件，可以平滑兼容原有的用户。

4  技术原理

数字证书互认互通平台技术框架如图1所示。

数据存储基于云平台RDS服务，可根据用户数量进行弹性扩容，密钥及运算模块采用云平台提供的加密服务（VSM）。Web應用中间件可部署于ECS云服务器中。平台包含统一认证、用户中心、应用管理、平台管理等模块，最后以统一的接口对外提供服务。

OpenAPI是认证平台对第三方应用系统开放的后台接口的统称，平台提供OpenAPI SDK，SDK支持Java、C#、Php等应用系统主流开发语言，OpenAPI以HTTPS协议提供服务。认证平台提供给其它云平台OpenAPI接口，第三方应用可以使用OpenAPI快速地接入到平台中，OpenAPI提供的接口包括获取用户信息、解析数字证书、验证数字签名等，使用OpenAPI可以让应用系统不需要了解过多的PKI技术层面的问题，减少应用系统的开发和改造难度。

认证平台提供统一认证模块，应用接入平台后，所有的数字证书认证都可以引导到电子认证应用服务平台统一认证。通过对白名单的配置，平台可以实现对不同CA颁发的数字证书应用进行统一认证管理;支持各电子认证服务机构的接入和管理，实现互认互通。

认证平台的统一认证支持多浏览器，同时兼容RSA与SM2两种算法，使得第三方应用可以使用两种证书。而在电子印章的应用中，由于没有相关国家标准作为参考，可采用以下方式来实现应用层的互认互通。

1） 定义电子印章OCX控件的判断类型接口，应用平台开发商根据印章类型初始化不同的控件。

2） 通过整合第三方应用的电子印章需求，制定统一的印章接口标准，各电子印章厂家对软件产品进行修改，向上层提供统一的应用接口。第三方应用可以通过使用一套代码来实现各家CA的电子印章功能。

3） 以AdobePDF文件的三种验章格式为准，来实现PDF电子印章的互认。

5  结束语

利用云环境、统一应用层接口的方式解决了跨应用系统、跨产品、多CA机构、多应用场景下的数字证书互认互通问题，该技术路线可推广至其他的区域性证书应用中，实现证书的高效复用，从而解决在电子政务系统中数字证书难以跨应用使用的问题，降低社会成本。

参考文献

[1] R. Housley， SPYRUS， W. Ford，et al.RFC 2459[J].Internet X.509 Public Key Infrastructure Certificate and CRL Profile.IETF， January 1999.

[2] ISO 32000-1：2008： Document management - Portable document format - Part1：PDF 1.7[S]. International Organization for Standardization，2008.

[3] GM/T 0016-2012， 智能密码钥匙密码应用接口规范[S].