基于数字证书的网络可信身份服务体系研究

马圣东

摘 要：网络可信身份战略的提出，为解决当前互联网存在的身份冒用、信息泄露等问题提供了方向指引。为落实网络可信身份战略，加强互联网用户网络身份管理，基于数字证书、身份证、生物识别技术、账号口令等多属性认证方式，论文提出了一种基于数字证书的网络可信身份服务平台建设方案，该平台可以作为网络可信身份建设的探索，为今后建设全国性网络可信身份服务平台积累了经验。

关键词：数字证书；可信身份；网络安全

中图分类号：D923；TP393.08 文献标识码：B

Abstract： The proposal of the network trusted identity strategy provides a direction for solving the problems of identity fraud， information leakage and other issues existing in the Internet. It is of vital importance to implement the network trusted identity strategy and strengthen the network user network identity management. Based on multi-attribute authentication methods such as digital certificate， ID card， biometric technology and account password， this paper proposes a digital certificate-based network trusted identity service platform. The platform can be used as an exploration of network trusted identity construction， and has accumulated experience for building a national network trusted identity service platform in the future.

Key words： digital certificate； trusted identity； cybersecurity

1 引言

随着我国互联网的快速发展，网络成为人们生活的重要场所，影响着经济社会的运行效率。当前，我国互联网已经延伸到电子政务、电子商务、互联网金融、工业生产等各个领域，在促进经济发展的同时，也激发了更深层次的需求。例如，在政务领域，全国都在推进在网上政务办理，原有孤立的系统已经影响到办公效率，且变得难以维护，整合现有应用系统，在提高认证、访问控制安全的前提下，提供统一服务是大势所趋；在商务领域，在涉及需要身份认证及数据安全的各个行业，数字身份缺失及认证方式依旧混乱。此外，个人用户大量的用户名和密码也增加了信息泄露、身份冒用等安全问题发生的概率。如何解决用户网络身份可信，保障用户信息安全，提高网上办事效率，成为迫在眉睫需要解决的问题。

2 基于数字证书的网络可信身份服务平台设计

平台设计总分独立运行结构，平台建设完成后，各省、地、市可以直接使用全国平台资源，也可以在各地部署单独的PKI设备建设分平台，使用本地资源。

2.1 平台总体架构

PCS私钥运算服务：主要用于为服务器端应用提供服务器端PKCS#1和PKCS#7格式数据签名运算以及数字信封的私钥加、解密运算。数字签名运算服务为系统开发需要数字签名、数字信封技术提供便捷的运算接口。

SVS签名验证服务：主要用于在服务器端接收数据后，对数据签名、签名证书的有效性进行合法性验证。支持PKCS#1、PKCS#7格式的数字签名。签名验证服务应用于验证网上用户身份、检验交易凭证和防止抵赖等方面。

TSA时间戳服务：主要用于对外提供精确可信的时间戳服务，以确认系统处理数据在某一时间（之前）的存在性和相关操作的相对时间顺序，为实现系统数据处理的抗抵赖性提供基础。TSA时间戳服务器对目标数据加上可信时间源提供的时间标记，并用数字签名来保证时间标记的完整性与真实性。

CRL管理和自动更新服务：CRL管理主要用于管理证书撤销列表，验证证书有效性时需要首先在该列表查询，若证书存在于该列表中，表示该证书已被废除、失效。

平台支持SM2、SM3、SM4等国产密码算法，同时支持各种符合国家密码管理局标准的加密卡/加密机。

2.2 应用架构

平台采用模块化松耦合设计，提供基于OAuth2.0协议的统一认证模块支持多属性认证；根据不同的业务抽象出不同的应用接口供应用在PC端、移动端使用；提供NetONEX控件满足用户多浏览器支持；基于NetONE安全網关贯通PC和移动端数字证书生命周期管理；多CA融合技术支持不同CA不同算法数字证书互通互认。

2.3 业务流程

应用接入平台后，所有的数字证书认证都可以引导到平台由平台统一认证。平台的统一认证的多浏览器支持，可以让数字证书用户使用IE、IE内核的浏览器以及Firefox、Chrome等非IE内核的浏览器。数字证书用户登录应用系统可以采用两种方式，分别是统一认证方式和应用直达方式（单点登录）。用户采用统一认证方式登录到应用系统时，会由应用系统引导至平台进行统一认证。统一认证时序图如图3所示。

用户采用应用直达登录应用系统时，必须首先登录到数字证书互认互通平台，在用户中心，点击应用直达即可直接登录应用系统，并且不再需要再次提交数字证书认证。应用直达时序图如图4所示。

3 网络可信身份服务平台功能

3.1 统一认证功能

所有接入到平台的应用，都可以引导用户到平台进行统一认证，这样做可以只在平台管理用户信息，第三方应用无需维护用户信息，只需要接入到平台中，即可使用平台的数据信息。第三方应用在集成平台提供的SDK并接入平台后，可以添加“使用数字证书互认互通平台账号登录”链接。用户点击“使用数字证书互认互通平台账号登录”链接后，可以到平台统一认证模块进行身份认证。

3.1.1 用户数字证书登录多浏览器支持

平台提供NetONEX/npNetONE控件，支持IE（包括IE内核浏览器），也支持Firefox、Chrome等非IE内核浏览器。配合平台提供的netonex.base.js，应用系统只需要简单几行代码就能同时支持数字证书在IE、IE内核的浏览器、Firefox以及Chrome下使用。

3.1.2 二维码快速扫描登录

平台提供二维码快速扫描登录功能，使用平台移动客户端（Android/IOS）可以直接扫描登录，解决了用户在潜在的不安全的网络环境下，安全的登录平台的问题。

3.2 应用管理模块

应用管理模块由通知中心、应用管理、用户开通应用审核、应用统计、审计、应用分组管理、用户证书管理、日子管理等功能。

（1）通知中心是指登录后通知中心浏览系统通知、证书过期提醒、各个应用各自新增用户数及各应用需要人工审核的信息内容。

（2）应用管理是指应用管理员或者具有应用管理权限的开发商可以使用应用管理功能，完成应用的创建、修改、申请上线流程，申请上线的应用待通过平台管理员审核后，正式上线运行提供服务。

（3）用户开通应用审核是指在创建应用和编辑应用中应用审核模式，设置为人工审核，则需要应用管理员审核应用的用户申请信息。

（4）应用统计是指显示用户量居前的5个应用柱状图，统计各个应用最近新增用户数，待审核用户数，统计各个应用总用户数以及个应用的用户访问数量。

（5）审计包括应用开通审计和证书操作审计。应用开通审计是指查询用户开通应用的操作记录信息、用户证书信息、应用名称、操作员信息、时间；证书操作审计是指查询用户证书的停用、启用、更新等操作记录。

（6）应用分组管理是指可以通过分组管理的方式，把同类的应用加入一个自定义的组中，用户申请开通这个应用分组，即可同时开通，应用分组下的所有应用。

（7）用户证书管理是指应用管理员在权限范围内，可以更新用书的证书状态，即可以启用证书、停用证书，并可以更新用户的证书。

（8）日子管理包括接口日志管理和登录日志管理。接口日志查询是指查询通过接口调用开通应用分组的用户信息；登录日志查询是指平台提供接口日志查询功能、查询用户登录应用的证书信息、登录时间。

3.3 平台管理模块

平台管理模块由信息服务设置、角色权限管理、CA接入管理、应用设置管理、统计报表等子模块组成。

3.3.1 信息服务设置

信息服务设置主要包括标题内容设置、公告信息管理、推送信息管理、短信接入管理、RA服务设置、用户注册管理、证书过期提示、安全服务设置等功能。

（1）标题内容设置是指动态设置平台的名称、标题、子标题、LOGO、Copyright、联系我们、关于我们等信息。

（2）公告信息管理是指平台可以根据需要发布公告信息，所有的用户、应用管理员都在登录后，都可以看到平台统一发布的公告。

（3）推送信息管理是指平台配套提供一网通移动客户端应用（Android/iOS），用户安装一网通移动客户端后，所有的移动终端设备都将接入到平台中。平台可以根据需要向用户的移动终端发送推送消息，并可以查看历史推送消息。

（4）短信接入管理是指平台支持短信服务商接入，接入后将可以使用短信发送激活码、验证码，目前支持时代互联、亿美软通等短信服务商。

（5）RA服务设置是指平台支持RA服务接入，接入后，用户可以在一网通移动客户端（Android/iOS）直接申请并下载数字证书，数字证书下载成功后，用户在移动终端可以像在PC上一样方便的使用数字证书的数字签名、加密解密等功能。

（6）用户注册管理是指平台可以设置用户注册的限制条件，例如可以允许数字证书自动注册，可以允许用户自主绑定数字证书。

（7）证书过期提示是指平台可以根据用户数字证书的有效期，设置到期提醒功能，比如可以设置提醒时间在证书即将过期的一个月前，这样，用户登录之后，就可以收到平台的证书过期提醒，以防止忘记对证书延期而导致证书失效不能正常使用。

（8）安全服务设置平台为保证数字证书的使用安全，采用三项安全服务策略，分别是SVS验签服务、TSA验签服务和SSL认证设置。SVS验签服务主要是验证证书所做的PKCS1/PKCS7簽名验证，验证内容包括证书链、有效期、CRL；TSA验签服务主要是验证时间戳，以确保时间戳的合法性；SSL认证设置主要是根据需要设置平台支持的模式，目前支持双向SSL认证模式和控件签名模式。

3.3.2 角色权限管理

角色权限管理主要包括权限组管理、操作员管理、用户管理等功能。

（1）权限组管理是指平台提供权限组列表、详情查看、编辑、删除等功能。权限组是被赋予一定权限集合的组，一个管理员被分配到某一个权限组中后，将自动获得该权限组中的所有权限。

（2）操作员管理是指可以向平台添加操作员，为其分配权限。在操作员查询列表中，可以点击查看某一操作员的详细信息。

（3）用户管理是指平台可以根据条件查询处用户，查询出来之后，可以对用户进行操作。

3.3.3 CA接入管理

平台支持多CA接入，CA接入到平台后，其业务根CA下所签发的数字证书将可被允许到平台登录、认证。一个CA可添加多个业务根证书，支持RSA和SM2算法。

3.3.4 应用设置管理

应用设置管理主要包括应用分类管理、应用审核管理、应用推荐管理、应用查看等功能。

（1）应用分类管理是指平台可以设置应用分类，以让用户通过分类浏览应用。根据业务需要，可以对应用分类进行编辑，并可删除。

（2）应用审核管理是指平台管理员对提交创建或者修改的应用可以进行审核，根据提交信息判定审核结果，只有审核通过的应用才能在平台正常使用。

（3）应用推荐管理是指平台管理员可以设置推荐应用，设置的推荐应用都会在平台首页优先显示。应用的设置采用点击的方式在首页12个位置展示，并可撤销应用推荐。

（4）应用查看是指平台管理员可以查看已经在平台上线的应用，同时可以查看已经在平台下线的应用。对于已下线的应用，可以选择删除，即永久从平台删除，也可以选择上线，让其重新在平台中出现并可使用。

3.3.5 统计报表

统计报表主要包括应用统计、用户统计等功能。

（1）应用统计是指平台提供应用统计功能，平台管理员可以直观的通过柱状图、折线图等方式查看应用的统计信息。目前提供的应用统计包括用户量前五位的应用统计，已上线、未上线及待审核应用统计，新增用户统计、新开通用户统计、关闭应用统计等。

（2）用户统计是指平台提供用户统计功能，平台管理员可以以CA机构为维度统计用户的分布情况，可以以列表的方式查看所有用户，可以查看用户的详细信息。

3.4 用户中心模块

用户中心模块包括通知中心、我的应用、授权管理、账号管理、安全登录、申请开发权限等功能。

（1）通知中心是指用户登录后显示系统通知信息以及用户的证书过期提醒、访问应用、新上架应用信息。

（2）我的应用是指用户可以管理已经开通的应用列表信息和已经提交申请正在等待审核的应用列表信息。

（3）授权管理是指对已经授权的应用会显示在已授权应用列表中，在“已授权应用”栏目下，点击图标可直接单点登录到该应用，点击 “授权管理” 链接，可以解除对该应用的授权。

（4）账号管理是指显示当前账号上绑定的所有证书信息，其他信息中可以维护用户相关属性信息，如名称、邮箱、电话、地址等。

（5）安全登录是指通过安全登录设置，可以提高账号的安全等级，启用两步验证后，登录必须使用手机短信验证码验证。

（6）申请开发权限是指应用管理员需要通过申请成为开发者，才能拥有应用的创建、维护、查看等相关的管理权限。

3.5 移动端APP（Android/IOS）功能设计

平台移动端为用户提供在移动终端（Android/IOS），用户可以使用移动端完成Web端用户中心的所有操作，支持统一认证，支持扫描二维码快速登录应用。平台移动端的功能分类方式与平台服务端有所不同，主要有统一认证模块、我的应用、证书管理器、公告消息、账号设置等模块功能。平台移动端的证书管理器提供数字签名、数据加解密等PKI服务功能。

（1）统一认证模块包括数字证书认证和二维码扫描登錄。平台移动端（Android/IOS）支持移动端数字证书认证，用户在移动端选择数字证书输入PIN码后，移动端会将用户数字证书及相关请求信息发送到平台服务端的统一认证模块请求验证。用户登录成功后，进入到移动端主页面，主页面除了常用应用功能外，还提供“二维码扫描登录”功能。平台移动客户端（Android/IOS）可以直接扫描登录，解决了用户在潜在的不安全的网络环境下，安全的登录平台或第三方应用的问题。

（2）我的应用是指用户可以查看已经开通的应用和待开通应用，可以在应用中心中浏览所有已接入平台的第三方应用。在用户登录移动端（Android/IOS）后，可以直接在移动端通过内置浏览器打开第三方应用（Web应用），而无需再次验证数字证书。

（3）我的证书是指平台移动端（Android/IOS）提供了证书管理器，与Windows系统下证书管理器的功能类似，平台移动端证书管理器支持证书请求生成、数字证书导入、可信根CA导入等功能。我的证书模块可以查看“我的证书”、可信根证书，可以申请证书、同步证书。

（4）移动端PKI服务是指平台移动端基于证书管理器，提供了移动端PKI服务，包括数字签名、数据加解密等功能供第三方移动应用接入调用。

（5）公告消息是指移动端公告信息与Web端通知中心一样，可以查看平台的公告信息。

（6）账号设置是指在平台移动端（Android/IOS），用户可以查看账号信息、分享、检查更新、设置缓存、设置备份私钥。

4 结束语

本文针对当前互联网存在的网络安全风险，为加强网络可信身份体系建设，提出了一种采用模块化松耦合设计，基于OAuth2.0协议的统一认证模块支持多属性认证的可信身份平台方案。平台能够根据不同的业务抽象出不同的应用接口供应用在PC端、移动端使用，支持多种浏览器，采用多CA融合技术支持不同CA机构、不同算法数字证书互通互认。平台作为网络可信身份战略建设的探索，为建设全国性网络可信身份服务平台提供了基础和借鉴。

参考文献

[1] 郭金生.CA数字证书安全平台构建与研究[J].现代电子技术，2010，33（3）：49-51.

[2] 杜文杰，沙俐敏.电子支付平台数字证书申请系统设计与实现[J].计算机工程，2004，30（b12）：599-601.

[3] 郭亓元，沈宇超，岑荣伟.电子政务数字证书互认平台的研究与设计[J].信息安全研究，2017，3（6）：548-553.

[4] 宋宪荣，张猛.网络可信身份认证技术问题研究[J].网络空间安全，2018（3）.

[5] 徐祺.基于数字证书的云计算安全认证平台的研究[J].计算机安全，2013（7）：67-70.

[6] 帅青红.基于数字证书的电子商务支付平台[J].网络安全技术与应用，2007（2）：50-52.

[7] 刘红光，唱宇，朱朝华.基于数字证书安全认证平台的实现及应用[J].科技资讯，2008（9）：259.

[8] 朱玉涛，王雅哲，武传坤.两层架构的可信身份服务平台研究与设计[J].计算机应用与软件，2012，29（3）：1-4.

[9] 李以斌，牟大伟.基于数字证书的教育云可信实名身份认证和授权的研究[J].网络空间安全，2016，7（9-10）：40-44.