劉龍 北京國(guó)電通網(wǎng)絡(luò)技術(shù)有限公司 供應(yīng)鏈管理事業(yè)部
第一章 緒論
電子商務(wù)平臺(tái)前期已引入一家CA機(jī)構(gòu)(天威誠(chéng)信)面向國(guó)內(nèi)外供應(yīng)商提供數(shù)字證書簽發(fā)服務(wù),為進(jìn)一步提升面向終端用戶供應(yīng)商的服務(wù)質(zhì)量,現(xiàn)引進(jìn)新的一家CA機(jī)構(gòu)(深圳CA)作為供應(yīng)商的證書簽發(fā)機(jī)構(gòu),將全面提升電子商務(wù)平臺(tái)電子認(rèn)證的服務(wù)能力。
切換深圳CA將全面優(yōu)化服務(wù)質(zhì)量和服務(wù)效率,包括1.縮短數(shù)字證書辦理周期。由以前7個(gè)工作日縮小到3個(gè)工作日必須受理的服務(wù);2.提供證書受理的專用通道服務(wù)。所有與數(shù)字證書相關(guān)的使用異?;蜃稍儐?wèn)題,由深圳CA固定的售后服務(wù)團(tuán)隊(duì)全權(quán)負(fù)責(zé),減少中廣核業(yè)務(wù)人員壓力;3.后續(xù)將在交易大廳提供受理點(diǎn)服務(wù)。解決客戶現(xiàn)場(chǎng)快速、便捷辦理數(shù)字證書的服務(wù)通道。
電子商務(wù)平臺(tái)現(xiàn)已集成了CA數(shù)字簽名、加密、時(shí)間戳服務(wù)等的相關(guān)接口,但在運(yùn)營(yíng)過(guò)程中,發(fā)現(xiàn)如下的問(wèn)題,急需引進(jìn)一家第三方認(rèn)證服務(wù)機(jī)構(gòu)解決如下問(wèn)題:
(一)合法合規(guī)的問(wèn)題
現(xiàn)投標(biāo)文件統(tǒng)一由服務(wù)端的加密機(jī)完成加解密功能,解密環(huán)節(jié)與供應(yīng)商無(wú)關(guān)性,存在平臺(tái)公正性的挑戰(zhàn);
(二)平臺(tái)CA接口穩(wěn)定性問(wèn)題
經(jīng)常碰到加密解密失敗的問(wèn)題,需在新上線的CA接入的版本中得到改善。
(三)證書發(fā)放效率的問(wèn)題
目前,供應(yīng)商的證書辦理效率,天威承諾在7天內(nèi)才可以辦理數(shù)字證書,影響了面前全國(guó)的供應(yīng)商的證書受理的便捷性,希望新的CA機(jī)構(gòu)在效率上有所改善。
(四)加解密性能的問(wèn)題
由于目前的加密措施,是統(tǒng)一由共同的加密機(jī)完成投標(biāo)文件的非對(duì)稱算法的加解密,導(dǎo)致大文件的加密的效率低下,急需引進(jìn)效率高效的加密手段,保障加解密的效率。
第二章 需求分析
(一)已發(fā)放證書免費(fèi)更換的服務(wù)
前期,已經(jīng)由天威誠(chéng)信發(fā)放給供應(yīng)商的數(shù)字證書,目前涉及證書量1000多家,需提供免費(fèi)數(shù)字證書與證書介質(zhì)的簽發(fā)服務(wù)。
已辦理了電子鑰匙的國(guó)內(nèi)外供應(yīng)商(已有客戶):1、補(bǔ)發(fā)數(shù)字證書。引導(dǎo)與協(xié)調(diào)供應(yīng)商免費(fèi)辦理深圳CA的數(shù)字證書;2、補(bǔ)發(fā)數(shù)字證書的業(yè)務(wù)流程介紹。以電子商務(wù)平臺(tái)客服部電話外呼、郵件通知為溝通渠道、以深圳CA提供證書辦理服務(wù)為引導(dǎo),組織已有證書的供應(yīng)商補(bǔ)發(fā)深圳CA的數(shù)字證書。
還未辦理電子鑰匙的國(guó)內(nèi)外供應(yīng)商(新客戶):新客戶群體的數(shù)字證書辦理的業(yè)務(wù)流程介紹。
(二)提供證書數(shù)字信封加解密的技術(shù)服務(wù)
提供目前業(yè)界數(shù)字信封的加解密技術(shù),提升大文件的加密效率。
(三)提供證書簽名驗(yàn)簽的技術(shù)服務(wù)
在投標(biāo)文件上傳環(huán)節(jié),提供證書簽名功能服務(wù)。在投標(biāo)文件上傳后,提供驗(yàn)簽服務(wù)。
(四)面向供應(yīng)商簽發(fā)證書與管理的服務(wù)
前期提供線下的數(shù)字證書受理模式過(guò)渡,待深圳CA的在線認(rèn)證平臺(tái)開發(fā)完畢,再接入在線認(rèn)證平臺(tái),由深圳CA提供認(rèn)證、證書受理的服務(wù)。
(五)切換目標(biāo)
提升標(biāo)書加密環(huán)節(jié)的系統(tǒng)性能,改善電子標(biāo)書的業(yè)務(wù)流程?,F(xiàn)行的加密方式為供應(yīng)商將投標(biāo)文件上傳過(guò)程中,系統(tǒng)自動(dòng)調(diào)用服務(wù)端的加密機(jī)證書公鑰,采用非對(duì)稱算法對(duì)電子標(biāo)書進(jìn)行加密,由于非對(duì)稱算法加密速度相對(duì)慢的特點(diǎn),導(dǎo)致對(duì)大文件加密過(guò)程中造成長(zhǎng)時(shí)間的等待,且加密過(guò)程耗損服務(wù)端的性能進(jìn)程,影響了系統(tǒng)性能。本次方案將從改造加密流程、提升加密速度兩個(gè)方面結(jié)合,最大限度提升系統(tǒng)的服務(wù)性能。
第三章 技術(shù)方案
(一)總體架構(gòu)
該總體架構(gòu)是在保留現(xiàn)有的時(shí)間戳服務(wù)器設(shè)備、加密機(jī)設(shè)備的前提下,實(shí)現(xiàn)深圳CA的安全產(chǎn)品嵌入采購(gòu)平臺(tái),可完成深圳CA證書的簽發(fā)、證書加密解密等安全服務(wù)功能。主要建設(shè)內(nèi)容包括:
PKI安全中間件:用于供應(yīng)商在上傳標(biāo)書時(shí),提供生成對(duì)稱密鑰、對(duì)稱加密、非對(duì)稱數(shù)字信封加密、簽名等服務(wù)。
安全身份認(rèn)證系統(tǒng):提供驗(yàn)證服務(wù)、按照平臺(tái)傳遞的投標(biāo)書的指定路徑,可完成驗(yàn)簽、解密的服務(wù),驗(yàn)簽、解密后生成的文件與制定路徑的目錄保持統(tǒng)一。
(二)CA業(yè)務(wù)流程整合
電子商務(wù)平臺(tái)提供投標(biāo)上傳工具,由深圳CA提供證書簽名和加密的接口,完成投標(biāo)書的加解密服務(wù)。
1.上傳工具對(duì)投標(biāo)文件加密與簽名
投標(biāo)文件上傳工具由中電普華提供并開發(fā),深圳CA提供長(zhǎng)傳工具涉及到“加密簽名按鈕”的接口服務(wù),深圳CA提供的PKI中間件提供如下接口:
2.解密與驗(yàn)簽接口
經(jīng)過(guò)加密簽名后的文件傳遞給ECP服務(wù)平臺(tái),ECP平臺(tái)將待驗(yàn)簽、解密的文件統(tǒng)一轉(zhuǎn)移到指定的文件服務(wù)器進(jìn)行管理,深圳CA提供的證書服務(wù)系統(tǒng),需支持以文件路徑為形成,輸入為同一路徑下的驗(yàn)簽或解密的文件進(jìn)行存儲(chǔ)。