馬圣東

摘 要：網(wǎng)絡(luò)可信身份戰(zhàn)略的提出，為解決當(dāng)前互聯(lián)網(wǎng)存在的身份冒用、信息泄露等問題提供了方向指引。為落實網(wǎng)絡(luò)可信身份戰(zhàn)略，加強互聯(lián)網(wǎng)用戶網(wǎng)絡(luò)身份管理，基于數(shù)字證書、身份證、生物識別技術(shù)、賬號口令等多屬性認(rèn)證方式，論文提出了一種基于數(shù)字證書的網(wǎng)絡(luò)可信身份服務(wù)平臺建設(shè)方案，該平臺可以作為網(wǎng)絡(luò)可信身份建設(shè)的探索，為今后建設(shè)全國性網(wǎng)絡(luò)可信身份服務(wù)平臺積累了經(jīng)驗。

關(guān)鍵詞：數(shù)字證書；可信身份；網(wǎng)絡(luò)安全

中圖分類號：D923；TP393.08 文獻(xiàn)標(biāo)識碼：B

Abstract： The proposal of the network trusted identity strategy provides a direction for solving the problems of identity fraud， information leakage and other issues existing in the Internet. It is of vital importance to implement the network trusted identity strategy and strengthen the network user network identity management. Based on multi-attribute authentication methods such as digital certificate， ID card， biometric technology and account password， this paper proposes a digital certificate-based network trusted identity service platform. The platform can be used as an exploration of network trusted identity construction， and has accumulated experience for building a national network trusted identity service platform in the future.

Key words： digital certificate； trusted identity； cybersecurity

1 引言

隨著我國互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)成為人們生活的重要場所，影響著經(jīng)濟社會的運行效率。當(dāng)前，我國互聯(lián)網(wǎng)已經(jīng)延伸到電子政務(wù)、電子商務(wù)、互聯(lián)網(wǎng)金融、工業(yè)生產(chǎn)等各個領(lǐng)域，在促進(jìn)經(jīng)濟發(fā)展的同時，也激發(fā)了更深層次的需求。例如，在政務(wù)領(lǐng)域，全國都在推進(jìn)在網(wǎng)上政務(wù)辦理，原有孤立的系統(tǒng)已經(jīng)影響到辦公效率，且變得難以維護，整合現(xiàn)有應(yīng)用系統(tǒng)，在提高認(rèn)證、訪問控制安全的前提下，提供統(tǒng)一服務(wù)是大勢所趨；在商務(wù)領(lǐng)域，在涉及需要身份認(rèn)證及數(shù)據(jù)安全的各個行業(yè)，數(shù)字身份缺失及認(rèn)證方式依舊混亂。此外，個人用戶大量的用戶名和密碼也增加了信息泄露、身份冒用等安全問題發(fā)生的概率。如何解決用戶網(wǎng)絡(luò)身份可信，保障用戶信息安全，提高網(wǎng)上辦事效率，成為迫在眉睫需要解決的問題。

2 基于數(shù)字證書的網(wǎng)絡(luò)可信身份服務(wù)平臺設(shè)計

平臺設(shè)計總分獨立運行結(jié)構(gòu)，平臺建設(shè)完成后，各省、地、市可以直接使用全國平臺資源，也可以在各地部署單獨的PKI設(shè)備建設(shè)分平臺，使用本地資源。

2.1 平臺總體架構(gòu)

PCS私鑰運算服務(wù)：主要用于為服務(wù)器端應(yīng)用提供服務(wù)器端PKCS#1和PKCS#7格式數(shù)據(jù)簽名運算以及數(shù)字信封的私鑰加、解密運算。數(shù)字簽名運算服務(wù)為系統(tǒng)開發(fā)需要數(shù)字簽名、數(shù)字信封技術(shù)提供便捷的運算接口。

SVS簽名驗證服務(wù)：主要用于在服務(wù)器端接收數(shù)據(jù)后，對數(shù)據(jù)簽名、簽名證書的有效性進(jìn)行合法性驗證。支持PKCS#1、PKCS#7格式的數(shù)字簽名。簽名驗證服務(wù)應(yīng)用于驗證網(wǎng)上用戶身份、檢驗交易憑證和防止抵賴等方面。

TSA時間戳服務(wù)：主要用于對外提供精確可信的時間戳服務(wù)，以確認(rèn)系統(tǒng)處理數(shù)據(jù)在某一時間（之前）的存在性和相關(guān)操作的相對時間順序，為實現(xiàn)系統(tǒng)數(shù)據(jù)處理的抗抵賴性提供基礎(chǔ)。TSA時間戳服務(wù)器對目標(biāo)數(shù)據(jù)加上可信時間源提供的時間標(biāo)記，并用數(shù)字簽名來保證時間標(biāo)記的完整性與真實性。

CRL管理和自動更新服務(wù)：CRL管理主要用于管理證書撤銷列表，驗證證書有效性時需要首先在該列表查詢，若證書存在于該列表中，表示該證書已被廢除、失效。

平臺支持SM2、SM3、SM4等國產(chǎn)密碼算法，同時支持各種符合國家密碼管理局標(biāo)準(zhǔn)的加密卡/加密機。

2.2 應(yīng)用架構(gòu)

平臺采用模塊化松耦合設(shè)計，提供基于OAuth2.0協(xié)議的統(tǒng)一認(rèn)證模塊支持多屬性認(rèn)證；根據(jù)不同的業(yè)務(wù)抽象出不同的應(yīng)用接口供應(yīng)用在PC端、移動端使用；提供NetONEX控件滿足用戶多瀏覽器支持；基于NetONE安全網(wǎng)關(guān)貫通PC和移動端數(shù)字證書生命周期管理；多CA融合技術(shù)支持不同CA不同算法數(shù)字證書互通互認(rèn)。

2.3 業(yè)務(wù)流程

應(yīng)用接入平臺后，所有的數(shù)字證書認(rèn)證都可以引導(dǎo)到平臺由平臺統(tǒng)一認(rèn)證。平臺的統(tǒng)一認(rèn)證的多瀏覽器支持，可以讓數(shù)字證書用戶使用IE、IE內(nèi)核的瀏覽器以及Firefox、Chrome等非IE內(nèi)核的瀏覽器。數(shù)字證書用戶登錄應(yīng)用系統(tǒng)可以采用兩種方式，分別是統(tǒng)一認(rèn)證方式和應(yīng)用直達(dá)方式（單點登錄）。用戶采用統(tǒng)一認(rèn)證方式登錄到應(yīng)用系統(tǒng)時，會由應(yīng)用系統(tǒng)引導(dǎo)至平臺進(jìn)行統(tǒng)一認(rèn)證。統(tǒng)一認(rèn)證時序圖如圖3所示。

用戶采用應(yīng)用直達(dá)登錄應(yīng)用系統(tǒng)時，必須首先登錄到數(shù)字證書互認(rèn)互通平臺，在用戶中心，點擊應(yīng)用直達(dá)即可直接登錄應(yīng)用系統(tǒng)，并且不再需要再次提交數(shù)字證書認(rèn)證。應(yīng)用直達(dá)時序圖如圖4所示。

3 網(wǎng)絡(luò)可信身份服務(wù)平臺功能

3.1 統(tǒng)一認(rèn)證功能

所有接入到平臺的應(yīng)用，都可以引導(dǎo)用戶到平臺進(jìn)行統(tǒng)一認(rèn)證，這樣做可以只在平臺管理用戶信息，第三方應(yīng)用無需維護用戶信息，只需要接入到平臺中，即可使用平臺的數(shù)據(jù)信息。第三方應(yīng)用在集成平臺提供的SDK并接入平臺后，可以添加“使用數(shù)字證書互認(rèn)互通平臺賬號登錄”鏈接。用戶點擊“使用數(shù)字證書互認(rèn)互通平臺賬號登錄”鏈接后，可以到平臺統(tǒng)一認(rèn)證模塊進(jìn)行身份認(rèn)證。

3.1.1 用戶數(shù)字證書登錄多瀏覽器支持

平臺提供NetONEX/npNetONE控件，支持IE（包括IE內(nèi)核瀏覽器），也支持Firefox、Chrome等非IE內(nèi)核瀏覽器。配合平臺提供的netonex.base.js，應(yīng)用系統(tǒng)只需要簡單幾行代碼就能同時支持?jǐn)?shù)字證書在IE、IE內(nèi)核的瀏覽器、Firefox以及Chrome下使用。

3.1.2 二維碼快速掃描登錄

平臺提供二維碼快速掃描登錄功能，使用平臺移動客戶端（Android/IOS）可以直接掃描登錄，解決了用戶在潛在的不安全的網(wǎng)絡(luò)環(huán)境下，安全的登錄平臺的問題。

3.2 應(yīng)用管理模塊

應(yīng)用管理模塊由通知中心、應(yīng)用管理、用戶開通應(yīng)用審核、應(yīng)用統(tǒng)計、審計、應(yīng)用分組管理、用戶證書管理、日子管理等功能。

（1）通知中心是指登錄后通知中心瀏覽系統(tǒng)通知、證書過期提醒、各個應(yīng)用各自新增用戶數(shù)及各應(yīng)用需要人工審核的信息內(nèi)容。

（2）應(yīng)用管理是指應(yīng)用管理員或者具有應(yīng)用管理權(quán)限的開發(fā)商可以使用應(yīng)用管理功能，完成應(yīng)用的創(chuàng)建、修改、申請上線流程，申請上線的應(yīng)用待通過平臺管理員審核后，正式上線運行提供服務(wù)。

（3）用戶開通應(yīng)用審核是指在創(chuàng)建應(yīng)用和編輯應(yīng)用中應(yīng)用審核模式，設(shè)置為人工審核，則需要應(yīng)用管理員審核應(yīng)用的用戶申請信息。

（4）應(yīng)用統(tǒng)計是指顯示用戶量居前的5個應(yīng)用柱狀圖，統(tǒng)計各個應(yīng)用最近新增用戶數(shù)，待審核用戶數(shù)，統(tǒng)計各個應(yīng)用總用戶數(shù)以及個應(yīng)用的用戶訪問數(shù)量。

（5）審計包括應(yīng)用開通審計和證書操作審計。應(yīng)用開通審計是指查詢用戶開通應(yīng)用的操作記錄信息、用戶證書信息、應(yīng)用名稱、操作員信息、時間；證書操作審計是指查詢用戶證書的停用、啟用、更新等操作記錄。

（6）應(yīng)用分組管理是指可以通過分組管理的方式，把同類的應(yīng)用加入一個自定義的組中，用戶申請開通這個應(yīng)用分組，即可同時開通，應(yīng)用分組下的所有應(yīng)用。

（7）用戶證書管理是指應(yīng)用管理員在權(quán)限范圍內(nèi)，可以更新用書的證書狀態(tài)，即可以啟用證書、停用證書，并可以更新用戶的證書。

（8）日子管理包括接口日志管理和登錄日志管理。接口日志查詢是指查詢通過接口調(diào)用開通應(yīng)用分組的用戶信息；登錄日志查詢是指平臺提供接口日志查詢功能、查詢用戶登錄應(yīng)用的證書信息、登錄時間。

3.3 平臺管理模塊

平臺管理模塊由信息服務(wù)設(shè)置、角色權(quán)限管理、CA接入管理、應(yīng)用設(shè)置管理、統(tǒng)計報表等子模塊組成。

3.3.1 信息服務(wù)設(shè)置

信息服務(wù)設(shè)置主要包括標(biāo)題內(nèi)容設(shè)置、公告信息管理、推送信息管理、短信接入管理、RA服務(wù)設(shè)置、用戶注冊管理、證書過期提示、安全服務(wù)設(shè)置等功能。

（1）標(biāo)題內(nèi)容設(shè)置是指動態(tài)設(shè)置平臺的名稱、標(biāo)題、子標(biāo)題、LOGO、Copyright、聯(lián)系我們、關(guān)于我們等信息。

（2）公告信息管理是指平臺可以根據(jù)需要發(fā)布公告信息，所有的用戶、應(yīng)用管理員都在登錄后，都可以看到平臺統(tǒng)一發(fā)布的公告。

（3）推送信息管理是指平臺配套提供一網(wǎng)通移動客戶端應(yīng)用（Android/iOS），用戶安裝一網(wǎng)通移動客戶端后，所有的移動終端設(shè)備都將接入到平臺中。平臺可以根據(jù)需要向用戶的移動終端發(fā)送推送消息，并可以查看歷史推送消息。

（4）短信接入管理是指平臺支持短信服務(wù)商接入，接入后將可以使用短信發(fā)送激活碼、驗證碼，目前支持時代互聯(lián)、億美軟通等短信服務(wù)商。

（5）RA服務(wù)設(shè)置是指平臺支持RA服務(wù)接入，接入后，用戶可以在一網(wǎng)通移動客戶端（Android/iOS）直接申請并下載數(shù)字證書，數(shù)字證書下載成功后，用戶在移動終端可以像在PC上一樣方便的使用數(shù)字證書的數(shù)字簽名、加密解密等功能。

（6）用戶注冊管理是指平臺可以設(shè)置用戶注冊的限制條件，例如可以允許數(shù)字證書自動注冊，可以允許用戶自主綁定數(shù)字證書。

（7）證書過期提示是指平臺可以根據(jù)用戶數(shù)字證書的有效期，設(shè)置到期提醒功能，比如可以設(shè)置提醒時間在證書即將過期的一個月前，這樣，用戶登錄之后，就可以收到平臺的證書過期提醒，以防止忘記對證書延期而導(dǎo)致證書失效不能正常使用。

（8）安全服務(wù)設(shè)置平臺為保證數(shù)字證書的使用安全，采用三項安全服務(wù)策略，分別是SVS驗簽服務(wù)、TSA驗簽服務(wù)和SSL認(rèn)證設(shè)置。SVS驗簽服務(wù)主要是驗證證書所做的PKCS1/PKCS7簽名驗證，驗證內(nèi)容包括證書鏈、有效期、CRL；TSA驗簽服務(wù)主要是驗證時間戳，以確保時間戳的合法性；SSL認(rèn)證設(shè)置主要是根據(jù)需要設(shè)置平臺支持的模式，目前支持雙向SSL認(rèn)證模式和控件簽名模式。

3.3.2 角色權(quán)限管理

角色權(quán)限管理主要包括權(quán)限組管理、操作員管理、用戶管理等功能。

（1）權(quán)限組管理是指平臺提供權(quán)限組列表、詳情查看、編輯、刪除等功能。權(quán)限組是被賦予一定權(quán)限集合的組，一個管理員被分配到某一個權(quán)限組中后，將自動獲得該權(quán)限組中的所有權(quán)限。

（2）操作員管理是指可以向平臺添加操作員，為其分配權(quán)限。在操作員查詢列表中，可以點擊查看某一操作員的詳細(xì)信息。

（3）用戶管理是指平臺可以根據(jù)條件查詢處用戶，查詢出來之后，可以對用戶進(jìn)行操作。

3.3.3 CA接入管理

平臺支持多CA接入，CA接入到平臺后，其業(yè)務(wù)根CA下所簽發(fā)的數(shù)字證書將可被允許到平臺登錄、認(rèn)證。一個CA可添加多個業(yè)務(wù)根證書，支持RSA和SM2算法。

3.3.4 應(yīng)用設(shè)置管理

應(yīng)用設(shè)置管理主要包括應(yīng)用分類管理、應(yīng)用審核管理、應(yīng)用推薦管理、應(yīng)用查看等功能。

（1）應(yīng)用分類管理是指平臺可以設(shè)置應(yīng)用分類，以讓用戶通過分類瀏覽應(yīng)用。根據(jù)業(yè)務(wù)需要，可以對應(yīng)用分類進(jìn)行編輯，并可刪除。

（2）應(yīng)用審核管理是指平臺管理員對提交創(chuàng)建或者修改的應(yīng)用可以進(jìn)行審核，根據(jù)提交信息判定審核結(jié)果，只有審核通過的應(yīng)用才能在平臺正常使用。

（3）應(yīng)用推薦管理是指平臺管理員可以設(shè)置推薦應(yīng)用，設(shè)置的推薦應(yīng)用都會在平臺首頁優(yōu)先顯示。應(yīng)用的設(shè)置采用點擊的方式在首頁12個位置展示，并可撤銷應(yīng)用推薦。

（4）應(yīng)用查看是指平臺管理員可以查看已經(jīng)在平臺上線的應(yīng)用，同時可以查看已經(jīng)在平臺下線的應(yīng)用。對于已下線的應(yīng)用，可以選擇刪除，即永久從平臺刪除，也可以選擇上線，讓其重新在平臺中出現(xiàn)并可使用。

3.3.5 統(tǒng)計報表

統(tǒng)計報表主要包括應(yīng)用統(tǒng)計、用戶統(tǒng)計等功能。

（1）應(yīng)用統(tǒng)計是指平臺提供應(yīng)用統(tǒng)計功能，平臺管理員可以直觀的通過柱狀圖、折線圖等方式查看應(yīng)用的統(tǒng)計信息。目前提供的應(yīng)用統(tǒng)計包括用戶量前五位的應(yīng)用統(tǒng)計，已上線、未上線及待審核應(yīng)用統(tǒng)計，新增用戶統(tǒng)計、新開通用戶統(tǒng)計、關(guān)閉應(yīng)用統(tǒng)計等。

（2）用戶統(tǒng)計是指平臺提供用戶統(tǒng)計功能，平臺管理員可以以CA機構(gòu)為維度統(tǒng)計用戶的分布情況，可以以列表的方式查看所有用戶，可以查看用戶的詳細(xì)信息。

3.4 用戶中心模塊

用戶中心模塊包括通知中心、我的應(yīng)用、授權(quán)管理、賬號管理、安全登錄、申請開發(fā)權(quán)限等功能。

（1）通知中心是指用戶登錄后顯示系統(tǒng)通知信息以及用戶的證書過期提醒、訪問應(yīng)用、新上架應(yīng)用信息。

（2）我的應(yīng)用是指用戶可以管理已經(jīng)開通的應(yīng)用列表信息和已經(jīng)提交申請正在等待審核的應(yīng)用列表信息。

（3）授權(quán)管理是指對已經(jīng)授權(quán)的應(yīng)用會顯示在已授權(quán)應(yīng)用列表中，在“已授權(quán)應(yīng)用”欄目下，點擊圖標(biāo)可直接單點登錄到該應(yīng)用，點擊 “授權(quán)管理” 鏈接，可以解除對該應(yīng)用的授權(quán)。

（4）賬號管理是指顯示當(dāng)前賬號上綁定的所有證書信息，其他信息中可以維護用戶相關(guān)屬性信息，如名稱、郵箱、電話、地址等。

（5）安全登錄是指通過安全登錄設(shè)置，可以提高賬號的安全等級，啟用兩步驗證后，登錄必須使用手機短信驗證碼驗證。

（6）申請開發(fā)權(quán)限是指應(yīng)用管理員需要通過申請成為開發(fā)者，才能擁有應(yīng)用的創(chuàng)建、維護、查看等相關(guān)的管理權(quán)限。

3.5 移動端APP（Android/IOS）功能設(shè)計

平臺移動端為用戶提供在移動終端（Android/IOS），用戶可以使用移動端完成Web端用戶中心的所有操作，支持統(tǒng)一認(rèn)證，支持掃描二維碼快速登錄應(yīng)用。平臺移動端的功能分類方式與平臺服務(wù)端有所不同，主要有統(tǒng)一認(rèn)證模塊、我的應(yīng)用、證書管理器、公告消息、賬號設(shè)置等模塊功能。平臺移動端的證書管理器提供數(shù)字簽名、數(shù)據(jù)加解密等PKI服務(wù)功能。

（1）統(tǒng)一認(rèn)證模塊包括數(shù)字證書認(rèn)證和二維碼掃描登錄。平臺移動端（Android/IOS）支持移動端數(shù)字證書認(rèn)證，用戶在移動端選擇數(shù)字證書輸入PIN碼后，移動端會將用戶數(shù)字證書及相關(guān)請求信息發(fā)送到平臺服務(wù)端的統(tǒng)一認(rèn)證模塊請求驗證。用戶登錄成功后，進(jìn)入到移動端主頁面，主頁面除了常用應(yīng)用功能外，還提供“二維碼掃描登錄”功能。平臺移動客戶端（Android/IOS）可以直接掃描登錄，解決了用戶在潛在的不安全的網(wǎng)絡(luò)環(huán)境下，安全的登錄平臺或第三方應(yīng)用的問題。

（2）我的應(yīng)用是指用戶可以查看已經(jīng)開通的應(yīng)用和待開通應(yīng)用，可以在應(yīng)用中心中瀏覽所有已接入平臺的第三方應(yīng)用。在用戶登錄移動端（Android/IOS）后，可以直接在移動端通過內(nèi)置瀏覽器打開第三方應(yīng)用（Web應(yīng)用），而無需再次驗證數(shù)字證書。

（3）我的證書是指平臺移動端（Android/IOS）提供了證書管理器，與Windows系統(tǒng)下證書管理器的功能類似，平臺移動端證書管理器支持證書請求生成、數(shù)字證書導(dǎo)入、可信根CA導(dǎo)入等功能。我的證書模塊可以查看“我的證書”、可信根證書，可以申請證書、同步證書。

（4）移動端PKI服務(wù)是指平臺移動端基于證書管理器，提供了移動端PKI服務(wù)，包括數(shù)字簽名、數(shù)據(jù)加解密等功能供第三方移動應(yīng)用接入調(diào)用。

（5）公告消息是指移動端公告信息與Web端通知中心一樣，可以查看平臺的公告信息。

（6）賬號設(shè)置是指在平臺移動端（Android/IOS），用戶可以查看賬號信息、分享、檢查更新、設(shè)置緩存、設(shè)置備份私鑰。

4 結(jié)束語

本文針對當(dāng)前互聯(lián)網(wǎng)存在的網(wǎng)絡(luò)安全風(fēng)險，為加強網(wǎng)絡(luò)可信身份體系建設(shè)，提出了一種采用模塊化松耦合設(shè)計，基于OAuth2.0協(xié)議的統(tǒng)一認(rèn)證模塊支持多屬性認(rèn)證的可信身份平臺方案。平臺能夠根據(jù)不同的業(yè)務(wù)抽象出不同的應(yīng)用接口供應(yīng)用在PC端、移動端使用，支持多種瀏覽器，采用多CA融合技術(shù)支持不同CA機構(gòu)、不同算法數(shù)字證書互通互認(rèn)。平臺作為網(wǎng)絡(luò)可信身份戰(zhàn)略建設(shè)的探索，為建設(shè)全國性網(wǎng)絡(luò)可信身份服務(wù)平臺提供了基礎(chǔ)和借鑒。

參考文獻(xiàn)

[1] 郭金生.CA數(shù)字證書安全平臺構(gòu)建與研究[J].現(xiàn)代電子技術(shù)，2010，33（3）：49-51.

[2] 杜文杰，沙俐敏.電子支付平臺數(shù)字證書申請系統(tǒng)設(shè)計與實現(xiàn)[J].計算機工程，2004，30（b12）：599-601.

[3] 郭亓元，沈宇超，岑榮偉.電子政務(wù)數(shù)字證書互認(rèn)平臺的研究與設(shè)計[J].信息安全研究，2017，3（6）：548-553.

[4] 宋憲榮，張猛.網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)問題研究[J].網(wǎng)絡(luò)空間安全，2018（3）.

[5] 徐祺.基于數(shù)字證書的云計算安全認(rèn)證平臺的研究[J].計算機安全，2013（7）：67-70.

[6] 帥青紅.基于數(shù)字證書的電子商務(wù)支付平臺[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（2）：50-52.

[7] 劉紅光，唱宇，朱朝華.基于數(shù)字證書安全認(rèn)證平臺的實現(xiàn)及應(yīng)用[J].科技資訊，2008（9）：259.

[8] 朱玉濤，王雅哲，武傳坤.兩層架構(gòu)的可信身份服務(wù)平臺研究與設(shè)計[J].計算機應(yīng)用與軟件，2012，29（3）：1-4.

[9] 李以斌，牟大偉.基于數(shù)字證書的教育云可信實名身份認(rèn)證和授權(quán)的研究[J].網(wǎng)絡(luò)空間安全，2016，7（9-10）：40-44.