基于云服务的数字证书交叉认证平台建设浅析

张凤臣

摘 要：随着电子政务的发展，它在给工作提供便利服务的同时，也带来了“信任孤岛”和资源浪费等问题。目前，随着电子政务向着互联互通的方向发展以及云计算这一新的服务模式的推广，基于云服务的数字证书交叉认证成为了电子政务发展过程中的新问题。针对某省电子政务中存在的问题，提出了数字证书交叉认证平台的建设方案、设计架构和关键技术，以期提升政务办公的安全性、便捷性和经济性。

关键词：云服务；数字证书；交叉认证；建设方案

中图分类号：TP393.08 文献标识码：A DOI：10.15913/j.cnki.kjycx.2017.03.126

电子签名作为一种新兴技术，有利于政府和企业提高办事效率，是政府办公自动化和无纸化办公发展进程中的主要步骤。近年来，工信部及各省市相继出台各类政策、规章，以鼓励和规范电子签名技术的发展。许多省市已经率先建立了交叉认证平台，取得了较好的效益。

随着社会信息化水平的提高和网上办事业务系统的成熟，政府部门也进行了信息化改革，人们对电子认证的需求越来越大。现有的政府应用系统都对应了不同的用户群体，每个用户的身份信息无法再利用系统互认，导致用户账户过多，出现了管理混乱的情况，且各个应用系统需要分别维护一套身份信息，造成“身份孤岛效应”越来越严重。自《电子签名法》试行以来，政府部门采用了基于数字证书的身份认证和电子签章功能，但大部分数字证书只能在对应的应用中使用，导致用户需要多张数字证书，进而增加了成本。同时，政府部门也因大量的重复建设而造成了严重的浪费。公众在办理相关业务时也因为电子签名数据没有实现互联互通而无法全程网上办理各类事务。

这些问题的存在使数字证书交叉认证平台的建设越来越重要。交叉认证平台通过部署公开秘钥体系（PKI）公共安全服务系统，实现了对多家数字认证机构、密码设备以及政府部门的协调与管理，促进了学习资源的共享，消除了信息孤岛，保障了电子档案的安全性。通过采用虚拟化和面向服务的云计算服务模式，实现了一个可互操作的电子认证服务基础设施，降低了建设成本，缩短了建设周期，使系统管理的运维成本下降，从而建立了一个可靠、开放、共赢的电子认证服务联盟体系，促进了电子认证行业的可持续发展。

1 平台总体架构

以某省为例，交叉认证平台将为省、市、县统一提供数字证书服务，实现多家电子认证机构的互联互通，通过整合全省已有的数字证书资源，建设全省统一的数字证书库，实现全省统一的可信认证、一证通行。

平台总体框架如图1所示，将至少实现某省CA、行业CA、其他地方CA的互联互通。

其他各体系所提供的服务包括以下3个：①交叉认证支撑体系为已有证书的用户在应用系统中使用证书，提供快速、便捷的接入服务，主要包括全省统一数字证书用户库、身份资源管理系统、交叉认证中间件、身份信息交换系统；②统一认证服务体系向证书用户提供身份认证服务，包含交叉认证注册网关和统一身份认证云服务系统；③电子签章应用支撑体系通过搭建电子印章管理服务系统、电子签章云服务系统和电子纸张转换系统，可以为各应用系统提供基于数字证书的数字签名、电子印章、电子纸张等电子签名应用支撑服务，并以此为基础，对全省互联互通的电子签名、规范进行定义。

交叉认证平台在上述技术的基础上，增加了对全平台的管理功能，管理体系通过分析平台运营中的各种数据、维护系统软件，使平台始终处于良好状态，确保为用户服务的持续性，包括数字证书客户端维护系统、数字证书应用管理系统、用户数据统计查询系统和密码服务系统。

为了使平台的服务不只覆盖省直机关单位及其应用，且要为全省各地市提供基于数字证书的电子认证、电子签名/电子签章统一基础服务，平台建设应采用分布式部署技术路线，分布式部署体系由交叉认证接入网关、统一身份认证服务系统、电子签名应用接口开发包组成。这有利于提升省交叉认证平台的可靠性、可用性和扩展性。

2 平台关键技术

交叉认证平台基于SAAS服务，面向服务体系结构（SOA）。软件即服务（SAAS）是一种通过业务提供软件的服务模式，厂商将应用软件统一部署在自己的服务器上，客户可以根据自己的实际需求，通过互联网向厂商定购所需的应用软件服务。消费者使用云计算平台上的应用时，不需要考虑网络底层的通信问题，只需要通过一个接口就可以控制云端的基础设施。

面向服务体系结构（SOA）是组件大型云端的重要组成部分之一，它包含服务提供者、代理者和应用程序，以下将分别介绍此三者及其关键技术。

2.1 服务提供者

服务提供者创建Web服务，并将其接口和访问信息发布到服务注册表，这些服务由云端提供。在云计算框架中，虚拟化技术是基础，虚拟化技术解决了资源的统一调配、统一API问题，将各类计算资源、存储资源等消息资源虚拟化为计算资源池。因此，可以按照用户的需求分配底层资源，采用软件定义网络（SDN）实现网络的虚拟化。这些措施能够根据服务来定制服务器硬件，不同的服务对机器配置的侧重点不同，从而节约资源、提高生产效率。

2.2 服务代理者

服务代理负责使Web服务接口和访问信息可用于任何潜在的服务请求程序。代理的实现者必须确定关于代理的范围的信息。公用代理在整个因特网上都可用，而专用代理仅可被受限人群（单位内部网的用户）访问。

服务代理涉及用户信息的授权问题，本交叉认证平台采用oAuth协议，与以往授权方式的不同点在于oAuth协议的授权不会使第三方触及到用户的账号信息，其逻辑结构如图2所示。

oAuth协议是在Web2.0蓬勃发展势头下产生的一种新的认证授权协议，它易于理解且没有涉及到用户秘钥等信息，受到了互联网应用的欢迎。oAuth协议为用户信息的授权提供了安全、开放的标准，任何服务提供商都可以实现oAuth，任何软

件开发商都可以使用oAuth。

2.3 服务请求程序

服务请求程序通过定位注册表中的条目，绑定服务器提供者以调用其Web服务。为了保证用户在调用服务的安全性，采用基于公开密钥体系（PKI）的技术来保证电子认证应用中的安全性。PKI技术作为建立网络信任环境的基础设施，是国内外应用最成熟最广泛的信息安全综合解决方案之一。它通过可信第三方CA机构，将用户公钥和用户身份信息绑定在一起，实现用户在Internet上的强身份认证和数字签名等应用，从而提供安全、可靠的安全服务。

PKI利用现代密码学中的公钥密码技术，在开放的网络环境中提供数字认证服务的密码应用框架。主要包含公钥加密技术和数字签名技术两大安全技术。公钥加密技术保障了信息的保密性，数字签名技术通过保障网络通信前的相互认证、通信中的信息完整，通信之后可保证服务的安全性。

3 结论

本文介绍了基于云服务的数字证书交叉认证平台的建设需求、建设方案、平台架构和关键技术。结合某省的实际环境和具体需求，实现了对多家CA、多家密码设备及协调管理，促进了信息资源的共享，消除了“信息孤岛”，健全了某省政务外网信息安全体系，为信息安全应急处理工作提供了有效的保障，进而为全社会提供了信息安全保障服務，从而很好地发挥了电子政务对信息化建设和社会发展的稳定推动作用，提高了社会保障能力、综合管理能力和服务水平，推动了全省经济社会的协调发展和全面进步。

参考文献

[1]曹永锋，梁远新，杨成兵，等.基于 SOA 云服务的济宁市电子政务服务平台研究[J].山东国土资源，2014，30（10）.

[2]文静，李森.广西电子政务外网政务部门数字认证服务体系设计[J].广西科学院学报，2014（01）.

[3]盛宇伟.云计算环境下CA认证中心的研究与设计[J].北京：北京邮电大学，2013.

[4]周晓斌.电子政务电子认证关键技术研究[D].广州：华南理工大学，2012.

[5]林英.电子政务电子认证公共服务平台的研究与设计[D].济南：山东大学，2015.

〔编辑：张思楠〕