浅析数字证书在网络办公系统身份认证中的应用

河南科技Journal of Henan Science and Technology总572期第9期2015年9月Vol.572，No.9Sep ，2015收稿日期：2015-8-28作者简介：左志斌（1979-），男，硕士，研究方向：信息安全。

摘要：随着互联网的不断发展，如何构建一种安全的通信系统成为目前迫切需要解决的问题。

本文详细介绍了一种使用USBKey 实现基于数字证书的客户端与服务器端的身份认证方案，并对该身份认证方案的安全性和有效性进行了分析。

关键词：USBKey ；数字证书；CryptoAPI ；身份认证中图分类号：TP393文献标识码：A文章编号：1003-5168（2015）09-0011-3A USBKey Identity Authentication Scheme based on Digital CertificateZuo Zhibin（Huiji District Office of Zhengzhou City ，Zhengzhou Henan 450044）Abstract：With the continuous development of the Internet ，how to build a secure communication system has be ⁃come a problem urgently needed to solve.This paper introduces in detail anidentity authentication scheme using US ⁃BKEYto achieve the client and the server based on digital certificate ，and the safety and effectiveness of the identity authentication scheme are also analyzed.Keywords:USBKey ；digital certificate ；CryptoAPI ；identity authentication 随着互联网的不断发展，越来越多的人开始尝试在线交易。

基于移动端CA技术的中国海油采办系统数字证书升级思考随着移动互联网的发展，移动终端已经成为人们生活和工作的必备设备。

在企业信息化建设中，移动终端的应用也变得越来越重要。

中国海油采办系统作为中国海油在供应链管理领域的重要系统，必须适应移动端的发展趋势，为了保障系统的安全性和可靠性，数字证书的升级是必不可少的步骤。

一、移动端CA技术概述CA（Certificate Authority）即数字证书颁发机构，是一种为用户提供数字证书的服务机构。

数字证书是公钥基础设施（PKI）体系中的一种密码学机制，用于识别网络中的通信双方，并保证通信双方之间的安全通信。

移动端CA技术即将数字证书颁发机构的服务扩展到移动终端，为企业用户提供移动装置的证书管理服务。

在移动端CA技术中，数字证书的功能与传统PC端并无二致，主要包括身份认证、加密通信和数字签名等功能。

但由于移动终端的特殊性，移动端CA技术需要兼顾用户体验和安全性，因此在数字证书的管理和使用方面有着一定的区别。

二、中国海油采办系统数字证书升级的必要性中国海油采办系统是中国海油公司在供应链管理领域的核心系统之一，承担着关键的采购、供应商管理和合同管理等功能。

随着移动终端的普及和移动办公方式的普及，越来越多的员工开始通过移动终端访问和使用采办系统。

中国海油采办系统数字证书管理体系目前主要基于PC端，对于移动端的支持还不够完善。

现有的数字证书管理系统在移动终端上存在诸多问题，例如用户体验差、安全性不足、功能受限等。

对中国海油采办系统的数字证书进行升级，以适应移动端的需求，对于提升系统的安全性和用户体验至关重要。

三、数字证书升级的思考与建议1. 优化数字证书的管理流程当前数字证书的申请、颁发和管理流程主要基于PC端，对于移动终端用户而言存在一定的障碍。

为了提升用户体验，建议优化数字证书的管理流程，使得用户能够通过移动终端完成数字证书的申请和管理。

可以开发移动端应用，实现数字证书的在线申请和颁发，用户可以通过移动终端完成申请流程，并在移动终端上接收和管理数字证书。

全程无纸化协同办公CA认证解决方案二〇二〇年十一月目录目录 (2)1 引言 (3)2 项目建设总体设计 (4)2.1建设目标 (4)2.2建设原则 (4)2.3CA认证应用支撑平台总体设计 (7)3 产品技术规格说明 (8)3.1数字证书 (8)3.2认证服务器软件 (8)3.3时间戳服务系统 (9)3.4安全中间件 (9)3.5服务器密码机 (10)4 无纸化办公系统功能实现 (10)4.1设备总体部署 (10)4.2强身份认证应用实现 (11)4.3电子签名及验证应用实现 (13)4.4电子签章应用实现 (14)1引言随着经济全球化和因特网的快速发展，电子信息技术日益参透到社会生活的各个方面，深刻地改变着我们的工作方式与生活方式，同时也给传统的管理模式带来一场革命，同时也是政府部门或者企事业单位在信息化建设中的重要组成部分，从而倍受人们的重视。

运用计算机、网络和通信等现代信息技术手段，实现组织结构和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的运作模式，以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。

在机构内部，各级领导可以在网上及时了解、指导和监督各部门的工作，并向各部门做出各项指示。

这将带来办公模式与行政观念上的一次革命。

在单位内部，各部门之间可以通过网络实现信息资源的共建共享联系，既提高办事效率、质量和标准，又节省政府开支、起到反腐倡廉作用。

开展网上办公，有助于机构管理的现代化，实现机构办公电子化、自动化、网络化。

但对于这些信息化系统，往往传输大量的机密信息，这些信息可能是机构的人事数据、客户资料、机密文档等等。

在这些系统中的身份认证基本上都是采用不安全的用户名/口令方式，这种模式已经被证明不安全，通过穷举、猜测、社交工程等能够轻易的获取；另外在目前系统中输出的数据都是通过明文方式传输的，非常容易被截获、修改；并且对提交的内容如果出现问题，使用者完全可以抵赖等。

统一身份认证系统技术方案2019年目录1总体设计 (1)1.1设计原则 (1)1.2设计目标 (2)1.3设计实现 (3)1.4系统部署 (4)2方案产品介绍 (5)2.1统一身份认证管理系统 (5)2.1.1系统详细架构设计 (5)2.1.2身份认证服务设计 (7)2.1.3授权管理服务设计 (11)2.1.4单点登录服务设计 (15)2.1.5身份信息共享与同步设计 (17)2.1.6后台管理设计 (21)2.1.7安全审计设计 (24)2.1.8业务系统接入设计 (26)2.2数字证书认证系统 (27)2.2.1产品介绍 (27)2.2.2系统框架 (28)2.2.3软件功能清单 (29)2.2.4技术标准 (30)3数字证书运行服务方案 (32)3.1运行服务体系 (32)3.2证书服务方案 (33)3.2.1证书服务方案概述 (33)3.2.2服务交付方案 (34)3.2.3服务支持方案 (42)3.3CA基础设施运维方案 (43)3.3.1运维方案概述 (43)3.3.2CA系统运行管理 (43)3.3.3CA系统访问管理 (44)3.3.4业务可持续性管理 (45)3.3.5CA审计 (45)1总体设计1.1设计原则一、标准化原则系统的整体设计要求基于国家密码管理局《商用密码管理条例》、公安部计算机系统安全等级要求和《中华人民共和国计算机信息系统安全保护条例》的有关规定。

数字证书认证系统的安全基础设施的设计和实现将遵循相关的国际、国内技术和行业标准。

二、安全性原则系统所采用的产品技术和部署方式必须具有足够的安全性，针对可能的安全威胁和风险，并制定相应的对策。

关键数据具有可靠的备份与恢复措施。

三、可用性原则系统具有足够的容量和良好的性能，能够支撑百万级或千万级用户数量，并能够在海量用户和大并发访问压力的条件下，保持功能和性能的可用性。

四、健壮性原则系统的基础平台成熟、稳定、可靠，能够提供不间断的服务，相关产品均具有很强的健壮性、良好的容错处理能力和抗干扰能力。

统⼀⾝份认证平台讲解统⼀⾝份认证平台设计⽅案1）系统总体设计为了加强对业务系统和办公室系统的安全控管，提⾼信息化安全管理⽔平，我们设计了基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台。

1.1.设计思想为实现构建针对⼈员帐户管理层⾯和应⽤层⾯的、全⾯完善的安全管控需要，我们将按照如下设计思想为设计并实施统⼀⾝份认证服务平台解决⽅案：内部建设基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应⽤模块实现所提出的员⼯帐户统⼀、系统资源整合、应⽤数据共享和全⾯集中管控的核⼼⽬标。

提供现有统⼀门户系统，通过集成单点登录模块和调⽤统⼀⾝份认证平台服务，实现针对不同的⽤户登录，可以展⽰不同的内容。

可以根据⽤户的关注点不同来为⽤户提供定制桌⾯的功能。

建⽴统⼀⾝份认证服务平台，通过使⽤唯⼀⾝份标识的数字证书即可登录所有应⽤系统，具有良好的扩展性和可集成性。

提供基于LDAP⽬录服务的统⼀账户管理平台，通过LDAP中主、从账户的映射关系，进⾏应⽤系统级的访问控制和⽤户⽣命周期维护管理功能。

⽤户证书保存在USB KEY中，保证证书和私钥的安全，并满⾜移动办公的安全需求。

1.2.平台介绍以PKI/CA技术为核⼼，结合国内外先进的产品架构设计，实现集中的⽤户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供⽤户⾝份、系统资源、权限策略、审计⽇志等统⼀、安全、有效的配置和服务。

如图所⽰，统⼀信任管理平台各组件之间是松耦合关系，相互⽀撑⼜相互独⽴，具体功能如下：a)集中⽤户管理系统：完成各系统的⽤户信息整合，实现⽤户⽣命周期的集中统⼀管理，并建⽴与各应⽤系统的同步机制，简化⽤户及其账号的管理复杂度，降低系统管理的安全风险。

b)集中证书管理系统：集成证书注册服务（RA）和电⼦密钥（USB-Key）管理功能，实现⽤户证书申请、审批、核发、更新、吊销等⽣命周期管理功能，⽀持第三⽅电⼦认证服务。

；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；；1.引言河南省水利信息化经过多年的建设与发展，逐步建成了内部办公、电子邮件、防汛信息查询和工程管理等多套应用系统，这些应用系统在行政办公和防汛抗旱等方面，发挥了不可替代的积极作用。

随着应用的普及与深入，应用系统牵涉的敏感数据越来越多，身份认证作为一种保护系统数据的有效手段，其作用越来越重要，近期建设的河南水利电子政务系统，灵活运用了多种身份认证技术，有效提高了系统安全性，保护了系统数据的安全。

河南省水利厅电子政务系统包括综合办公平台和内网门户、电子公文流转、电子公文交换、电子文档传输和共享、移动办公和即时通讯等多套子系统，对系统用户实现了统一管理和单点登录，根据所要保护的数据的敏感程度，灵活采用了用户名/口令和基于USB KEY 的数字证书身份认证技术，既保证了系统数据的安全，又节省了投资。

河南省水利电子政务系统数据包含公开数据和非公开数据。

对于公开数据我们需要做的是这些数据不被攻击，那我们可以在硬件上设置障碍，比如入侵检测、安全网关、VPN 、防火墙等，这些措施都好比是桶壁，来保证数据不被攻击。

非公开信息，我们需要做的不仅仅防止这些数据被攻击，而更重要的是防止这些数据不被盗取。

盗取这些信息，需要找到入口进入。

如何防止不被别人找到入口进入，就需要进行身份验证。

也就是说，身份认证好比是进入桶底的唯一路径，只有它才能确认访问者的合法性。

安全有效的身份认证是保护系统安全的重要手段，身份认证是应用系统审查确认用户身份的过程，进而决定该用户是否拥有使用和访问系统某种资源的权限。

2.身份认证身份认证就是为了解决访问者的物理身份和数字身份进行身份认证在河南水利电子政务系统中的应用□张贵芳（河南省水利信息中心）摘要：面对日益猖獗的信息盗取，如何确保信息数据的安全显得愈来愈重要。

河南省水利电子政务系统是一个非常复杂的信息处理系统，面对其中的非公开信息以及公文交换数据，采用了用户名加密码和USB KEY 两种身份认证方式来确保这些信息的安全，分析了身份认证的几种常用方式以及USB KEY 身份认证在公文交换系统中的应用方案。

目录1. 系统需求 (1)1.1背景概述 (1)1.2现状与需求概述 (1)1.3需求分析 (2)1.3.1 CA建设与使用的分析 (2)1.3.2 证书存储方式的分析 (3)1.3.3 签名数据类型的分析 (3)2. 技术方案 (4)2.1系统总体架构 (4)2.2系统数据库 (4)2.3CA数字证书受理系统 (5)2.3.1 数字证书及其格式 (5)2.3.2 自建CA数字证书受理系统 (6)2.3.3 自建CA切换到第三方CA的可行性分析 (9)2.3.4 基于第三方（CTCA）的数字证书受理系统 (9)2.4数字签名认证系统 (9)2.4.1 数字签名认证的原理及流程 (10)2.4.2 客户端浏览器签名控件 (10)2.4.3 签名认证服务器及认证的业务流程 (11)2.4.4 基于WEB的签名验证管理系统 (12)2.5数据加密传输通道（SSL） (13)3. 成功案例 (13)4. 设备软件汇总及报价 (14)4.1基本设备及软件 (14)4.2CA系统设备及软件 (14)4.2.1 自建CA系统设备及软件 (14)4.2.2 基于CTCA的数字证书受理系统设备及软件 (15)4.3数字签名认证系统设备及软件 (15)4.4USB智能卡类型 (15)5. 附录 (15)1. 系统需求1.1 背景概述随着计算机网络技术的迅速发展和信息化建设的大力推广，越来越多的传统办公和业务处理模式开始走向电子化和网络化，从而极大地提高了效率、节约了成本。

与传统的面对面的手工处理方式相比，基于网络的电子化业务处理系统必须解决以下问题：（1）如何在网络上识别用户的真实身份；（2）如何保证网络上传送的业务数据不被篡改；（3）如何保证网络上传送的业务数据的机密性；（4）如何使网络上的用户行为不可否认；基于公开密钥算法的数字签名技术和加密技术，为解决上述问题提供了理论依据和技术可行性；同时，《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据，使得数字签名与传统的手工签字和盖章具有了同等的法律效力。

《电子政务》试题库（五）、名词解释1、信息: 信息是客观存在的一切事物通过物质载体所发出的情报、指令、数据、信号中所包含的一切可传递和交换的知识内容，是对客观世界中各种事物的状态和特征的反映。

2、电子政务：电子政务是运用信息和通信技术，打破行政机关的组织界限，重组行政组织结构，改善公共管理模式，实现政府办公自动化、政府业务流程信息化，为公众、企业和社会提供广泛、高效和个性化服务的一个过程。

3、政府信息化：政府信息化是一个相对宽泛的概念，包括办公自动化、信息网络化、管理电子化等方面。

电子政务是政府信息化的主要表现形式，而政府信息化为电子政务建设提供了必要条件。

4、办公自动化是指在办公室的职能中应用计算机和通讯设备，进行包括语音、文字、数据和图像等信息处理的自动化信息系统。

办公自动化的目标是充分利用现代科学技术的最新成果，实现办公活动的科学化，自动化，最大限度地提高办公效率，改进办公质量，改善办公环境和条件，辅助决策，减少或避免各种差错和弊端。

办公自动化系统分为事务型、管理型、决策型三类。

通常，办公信息包括数据、文字、语音、图形和图像等，那么办公自动化系统需要处理的就是以上这些信息。

5、电子商务：电子商务系指交易当事人或参与人利用现代信息技术和计算机网络（主要是因特网）所进行的各类商业活动，包括货物贸易、服务贸易和知识产权贸易。

6、政府创新：政府创新指的是各级政府为适应公共管理与行政环境需求，与时俱进地转变观念与职能，探索新的行政方法与途径，形成新的组织机构、业务流程和行政规范，全面提高行政效率，更好地履行行政职责的实践过程。

7、政务流程：政务流程是一组相关的、结构化活动的集合，或者说是一系列事件的链条。

这些活动集合或链条为特定的公众提供特定的服务或产品，这个流程是有目的的，并且有始有终。

8、政府流程的优化与再造是政府治理的理念、原则、结构和行为等进行大规模的改革，以提高政府的绩效和服务品质，不是简单的组织精简和结构重组。