浙江大学PKI及电子签章系统建设案例

项目概述

浙江大学建设了统一身份认证系统之后，用户使用一个帐号和口令即可登陆所有的应用系统。这种模式在方便了用户的同时，也带来了安全性问题。一旦该用户的帐号口令被破解，所有的系统安全机制都将失效。安全性的问题困扰着统一身份认证系统的发展，很多对安全性要求较高的应用系统无法实现接入统一身份认证。

另一方面，浙江大学正在进行电子校务的建设。电子校务实现了办公的网络化，给学校教职工带来了很大的便利。但是，由于网上办公无法缺少签字盖章环节，最终的办公还需要通过纸质流程来完成。

在以上背景下，校方提出了建设PKI公钥基础设施的需求。目标是通过建设PKI公钥基础设施，同时解决统一身份认证系统的强身份认证问题和电子校务中的电子签章问题。

项目建设方案

通过聚安数字认证系统构建浙江大学PKI公钥基础设施。其中，聚安数字认证系统中的CA模块、CRL模块、LDAP模块无需进行修改，分别作为PKI公钥基础设施的认证核心、黑名单服务以及证书发布服务。

RA是统一身份认证系统的业务处理模块，因此必须保证RA系统的易用性。PKI作为一种强身份认证基础设施，还必须保障其身份真实性。在本项目中，我们设计了RA与统一身份认证系统用户身份信息库的紧密对接方案。RA与统一身份认证系统对接，直接从统一身份认证系统用户身份信息库中查询用户身份，保证用户身份信息的真实性。

通过CA、RA、CRL、LDAP模块的建设，构建了浙江大学PKI公钥基础设施。基于PKI公钥基础设施，我们可以提供身份认证、数据机密性完整性保护、不可抵赖性三大基础功能。在本项目中，我们通过与统一身份认证系统的整合，实现了强身份认证、数据机密性完整性保护；通过与电子校务各审批系统的整合，实现了基于电子签章的不可抵赖性功能。

统一身份认证系统数字证书的应用，可以通过对AM的配置来实现。AM的设计非常全面，可以支持数字证书、动态令牌、用户名口令等十多种认证方式。在AM中启用数字证书认证，通过HTTPS协议来实现身份认证，并实现传输通道的全程加密，保证数据完整性。通过对AM的设置，还可以实现对不同的用户、不同的应用采取不同的策略，选择性的实现用户是否使用数字证书来进行身份认证。

电子签章应用是PKI公钥基础设施的另一个主要功能。电子签章主要应用于电子校务流程审批过程中，用于实现对流程的确认。电子签章系统的建设包含了电子印章的生命流程管理和电子签章在电子校务流程中的应用两个部分。电子印章的生命流程管理，包括了印章的制作、印章的挂起、印章的启用以及印章的废止。由于电子印章与数字证书均存储与USBKEY中，因此需要将数字证书以及电子印章的生命周期管理统一起来。我们设计将RA与电子印章管理系统进行整合，实现了统一的管理。管理员制作数字证书的同时，根据是否需要制作电子印章选择性的将电子印章写入USBKEY。整合后的RA系统可以同时实现数字证书和电子印章的生命周期管理。电子签章可以与word、excel、wps产品、pdf产品进行天然的结合，无需进行任何开发即可实现应用；在流程审批过程中，实现电子签章在电子表单中的应用。