劉龍 北京國(guó)電通網(wǎng)絡(luò)技術(shù)有限公司 供應(yīng)鏈管理事業(yè)部

第一章 緒論

電子商務(wù)平臺(tái)前期已引入一家CA機(jī)構(gòu)（天威誠(chéng)信）面向國(guó)內(nèi)外供應(yīng)商提供數(shù)字證書簽發(fā)服務(wù)，為進(jìn)一步提升面向終端用戶供應(yīng)商的服務(wù)質(zhì)量，現(xiàn)引進(jìn)新的一家CA機(jī)構(gòu)（深圳CA）作為供應(yīng)商的證書簽發(fā)機(jī)構(gòu)，將全面提升電子商務(wù)平臺(tái)電子認(rèn)證的服務(wù)能力。

切換深圳CA將全面優(yōu)化服務(wù)質(zhì)量和服務(wù)效率，包括1.縮短數(shù)字證書辦理周期。由以前7個(gè)工作日縮小到3個(gè)工作日必須受理的服務(wù)；2.提供證書受理的專用通道服務(wù)。所有與數(shù)字證書相關(guān)的使用異常或咨詢問題，由深圳CA固定的售后服務(wù)團(tuán)隊(duì)全權(quán)負(fù)責(zé)，減少中廣核業(yè)務(wù)人員壓力；3.后續(xù)將在交易大廳提供受理點(diǎn)服務(wù)。解決客戶現(xiàn)場(chǎng)快速、便捷辦理數(shù)字證書的服務(wù)通道。

電子商務(wù)平臺(tái)現(xiàn)已集成了CA數(shù)字簽名、加密、時(shí)間戳服務(wù)等的相關(guān)接口，但在運(yùn)營(yíng)過程中，發(fā)現(xiàn)如下的問題，急需引進(jìn)一家第三方認(rèn)證服務(wù)機(jī)構(gòu)解決如下問題：

（一）合法合規(guī)的問題

現(xiàn)投標(biāo)文件統(tǒng)一由服務(wù)端的加密機(jī)完成加解密功能，解密環(huán)節(jié)與供應(yīng)商無關(guān)性，存在平臺(tái)公正性的挑戰(zhàn)；

（二）平臺(tái)CA接口穩(wěn)定性問題

經(jīng)常碰到加密解密失敗的問題，需在新上線的CA接入的版本中得到改善。

（三）證書發(fā)放效率的問題

目前，供應(yīng)商的證書辦理效率，天威承諾在7天內(nèi)才可以辦理數(shù)字證書，影響了面前全國(guó)的供應(yīng)商的證書受理的便捷性，希望新的CA機(jī)構(gòu)在效率上有所改善。

（四）加解密性能的問題

由于目前的加密措施，是統(tǒng)一由共同的加密機(jī)完成投標(biāo)文件的非對(duì)稱算法的加解密，導(dǎo)致大文件的加密的效率低下，急需引進(jìn)效率高效的加密手段，保障加解密的效率。

第二章 需求分析

（一）已發(fā)放證書免費(fèi)更換的服務(wù)

前期，已經(jīng)由天威誠(chéng)信發(fā)放給供應(yīng)商的數(shù)字證書，目前涉及證書量1000多家，需提供免費(fèi)數(shù)字證書與證書介質(zhì)的簽發(fā)服務(wù)。

已辦理了電子鑰匙的國(guó)內(nèi)外供應(yīng)商（已有客戶）：1、補(bǔ)發(fā)數(shù)字證書。引導(dǎo)與協(xié)調(diào)供應(yīng)商免費(fèi)辦理深圳CA的數(shù)字證書；2、補(bǔ)發(fā)數(shù)字證書的業(yè)務(wù)流程介紹。以電子商務(wù)平臺(tái)客服部電話外呼、郵件通知為溝通渠道、以深圳CA提供證書辦理服務(wù)為引導(dǎo)，組織已有證書的供應(yīng)商補(bǔ)發(fā)深圳CA的數(shù)字證書。

還未辦理電子鑰匙的國(guó)內(nèi)外供應(yīng)商（新客戶）：新客戶群體的數(shù)字證書辦理的業(yè)務(wù)流程介紹。

（二）提供證書數(shù)字信封加解密的技術(shù)服務(wù)

提供目前業(yè)界數(shù)字信封的加解密技術(shù)，提升大文件的加密效率。

（三）提供證書簽名驗(yàn)簽的技術(shù)服務(wù)

在投標(biāo)文件上傳環(huán)節(jié)，提供證書簽名功能服務(wù)。在投標(biāo)文件上傳后，提供驗(yàn)簽服務(wù)。

（四）面向供應(yīng)商簽發(fā)證書與管理的服務(wù)

前期提供線下的數(shù)字證書受理模式過渡，待深圳CA的在線認(rèn)證平臺(tái)開發(fā)完畢，再接入在線認(rèn)證平臺(tái)，由深圳CA提供認(rèn)證、證書受理的服務(wù)。

（五）切換目標(biāo)

提升標(biāo)書加密環(huán)節(jié)的系統(tǒng)性能，改善電子標(biāo)書的業(yè)務(wù)流程。現(xiàn)行的加密方式為供應(yīng)商將投標(biāo)文件上傳過程中，系統(tǒng)自動(dòng)調(diào)用服務(wù)端的加密機(jī)證書公鑰，采用非對(duì)稱算法對(duì)電子標(biāo)書進(jìn)行加密，由于非對(duì)稱算法加密速度相對(duì)慢的特點(diǎn)，導(dǎo)致對(duì)大文件加密過程中造成長(zhǎng)時(shí)間的等待，且加密過程耗損服務(wù)端的性能進(jìn)程，影響了系統(tǒng)性能。本次方案將從改造加密流程、提升加密速度兩個(gè)方面結(jié)合，最大限度提升系統(tǒng)的服務(wù)性能。

第三章 技術(shù)方案

（一）總體架構(gòu)

該總體架構(gòu)是在保留現(xiàn)有的時(shí)間戳服務(wù)器設(shè)備、加密機(jī)設(shè)備的前提下，實(shí)現(xiàn)深圳CA的安全產(chǎn)品嵌入采購(gòu)平臺(tái)，可完成深圳CA證書的簽發(fā)、證書加密解密等安全服務(wù)功能。主要建設(shè)內(nèi)容包括：

PKI安全中間件：用于供應(yīng)商在上傳標(biāo)書時(shí)，提供生成對(duì)稱密鑰、對(duì)稱加密、非對(duì)稱數(shù)字信封加密、簽名等服務(wù)。

安全身份認(rèn)證系統(tǒng)：提供驗(yàn)證服務(wù)、按照平臺(tái)傳遞的投標(biāo)書的指定路徑，可完成驗(yàn)簽、解密的服務(wù)，驗(yàn)簽、解密后生成的文件與制定路徑的目錄保持統(tǒng)一。

（二）CA業(yè)務(wù)流程整合

電子商務(wù)平臺(tái)提供投標(biāo)上傳工具，由深圳CA提供證書簽名和加密的接口，完成投標(biāo)書的加解密服務(wù)。

1.上傳工具對(duì)投標(biāo)文件加密與簽名

投標(biāo)文件上傳工具由中電普華提供并開發(fā)，深圳CA提供長(zhǎng)傳工具涉及到“加密簽名按鈕”的接口服務(wù)，深圳CA提供的PKI中間件提供如下接口：

2.解密與驗(yàn)簽接口

經(jīng)過加密簽名后的文件傳遞給ECP服務(wù)平臺(tái)，ECP平臺(tái)將待驗(yàn)簽、解密的文件統(tǒng)一轉(zhuǎn)移到指定的文件服務(wù)器進(jìn)行管理，深圳CA提供的證書服務(wù)系統(tǒng)，需支持以文件路徑為形成，輸入為同一路徑下的驗(yàn)簽或解密的文件進(jìn)行存儲(chǔ)。