关于电子商务平台CA证书切换的设计与实现

刘龙 北京国电通网络技术有限公司 供应链管理事业部

第一章 绪论

电子商务平台前期已引入一家CA机构（天威诚信）面向国内外供应商提供数字证书签发服务，为进一步提升面向终端用户供应商的服务质量，现引进新的一家CA机构（深圳CA）作为供应商的证书签发机构，将全面提升电子商务平台电子认证的服务能力。

切换深圳CA将全面优化服务质量和服务效率，包括1.缩短数字证书办理周期。由以前7个工作日缩小到3个工作日必须受理的服务；2.提供证书受理的专用通道服务。所有与数字证书相关的使用异常或咨询问题，由深圳CA固定的售后服务团队全权负责，减少中广核业务人员压力；3.后续将在交易大厅提供受理点服务。解决客户现场快速、便捷办理数字证书的服务通道。

电子商务平台现已集成了CA数字签名、加密、时间戳服务等的相关接口，但在运营过程中，发现如下的问题，急需引进一家第三方认证服务机构解决如下问题：

（一）合法合规的问题

现投标文件统一由服务端的加密机完成加解密功能，解密环节与供应商无关性，存在平台公正性的挑战；

（二）平台CA接口稳定性问题

经常碰到加密解密失败的问题，需在新上线的CA接入的版本中得到改善。

（三）证书发放效率的问题

目前，供应商的证书办理效率，天威承诺在7天内才可以办理数字证书，影响了面前全国的供应商的证书受理的便捷性，希望新的CA机构在效率上有所改善。

（四）加解密性能的问题

由于目前的加密措施，是统一由共同的加密机完成投标文件的非对称算法的加解密，导致大文件的加密的效率低下，急需引进效率高效的加密手段，保障加解密的效率。

第二章 需求分析

（一）已发放证书免费更换的服务

前期，已经由天威诚信发放给供应商的数字证书，目前涉及证书量1000多家，需提供免费数字证书与证书介质的签发服务。

已办理了电子钥匙的国内外供应商（已有客户）：1、补发数字证书。引导与协调供应商免费办理深圳CA的数字证书；2、补发数字证书的业务流程介绍。以电子商务平台客服部电话外呼、邮件通知为沟通渠道、以深圳CA提供证书办理服务为引导，组织已有证书的供应商补发深圳CA的数字证书。

还未办理电子钥匙的国内外供应商（新客户）：新客户群体的数字证书办理的业务流程介绍。

（二）提供证书数字信封加解密的技术服务

提供目前业界数字信封的加解密技术，提升大文件的加密效率。

（三）提供证书签名验签的技术服务

在投标文件上传环节，提供证书签名功能服务。在投标文件上传后，提供验签服务。

（四）面向供应商签发证书与管理的服务

前期提供线下的数字证书受理模式过渡，待深圳CA的在线认证平台开发完毕，再接入在线认证平台，由深圳CA提供认证、证书受理的服务。

（五）切换目标

提升标书加密环节的系统性能，改善电子标书的业务流程。现行的加密方式为供应商将投标文件上传过程中，系统自动调用服务端的加密机证书公钥，采用非对称算法对电子标书进行加密，由于非对称算法加密速度相对慢的特点，导致对大文件加密过程中造成长时间的等待，且加密过程耗损服务端的性能进程，影响了系统性能。本次方案将从改造加密流程、提升加密速度两个方面结合，最大限度提升系统的服务性能。

第三章 技术方案

（一）总体架构

该总体架构是在保留现有的时间戳服务器设备、加密机设备的前提下，实现深圳CA的安全产品嵌入采购平台，可完成深圳CA证书的签发、证书加密解密等安全服务功能。主要建设内容包括：

PKI安全中间件：用于供应商在上传标书时，提供生成对称密钥、对称加密、非对称数字信封加密、签名等服务。

安全身份认证系统：提供验证服务、按照平台传递的投标书的指定路径，可完成验签、解密的服务，验签、解密后生成的文件与制定路径的目录保持统一。

（二）CA业务流程整合

电子商务平台提供投标上传工具，由深圳CA提供证书签名和加密的接口，完成投标书的加解密服务。

1.上传工具对投标文件加密与签名

投标文件上传工具由中电普华提供并开发，深圳CA提供长传工具涉及到“加密签名按钮”的接口服务，深圳CA提供的PKI中间件提供如下接口：

2.解密与验签接口

经过加密签名后的文件传递给ECP服务平台，ECP平台将待验签、解密的文件统一转移到指定的文件服务器进行管理，深圳CA提供的证书服务系统，需支持以文件路径为形成，输入为同一路径下的验签或解密的文件进行存储。