密碼在高校數字化安(ān)全中(zhōng)的技(jì )術應用(yòng)

劉亮¹，王延敏²

（1.山(shān)東師範大學(xué) 信息化工(gōng)作(zuò)辦(bàn)公(gōng)室，濟南 250014；2.山(shān)東省數字證書認證管理(lǐ)有(yǒu)限公(gōng)司 方案管理(lǐ)部，濟南 250011）

1引言

2018年7月15日，中(zhōng)共中(zhōng)央辦(bàn)公(gōng)廳 國(guó)務(wù)院辦(bàn)公(gōng)廳聯合印發了《金融和重要領域密碼應用(yòng)與創新(xīn)發展工(gōng)作(zuò)規劃（2018-2022年）》的通知（廳字〔2018〕36号），其中(zhōng)在“推進信息惠民(mín)密碼應用(yòng)”第13條中(zhōng)提出，服務(wù)科(kē)教興國(guó)戰略實施，在教育和科(kē)研計算機網、教育資源系統、電(diàn)子校務(wù)系統、教育基礎系統、學(xué)曆學(xué)籍管理(lǐ)系統、教育卡等教育應用(yòng)中(zhōng)構建密碼支撐體(tǐ)系。

近年來，《網絡安(ān)全法》、《密碼法》相繼頒布實施，《電(diàn)子簽名(míng)法》修訂完善，《國(guó)家教育事業發展“十四五”規劃》、《教育信息化2.0行動計劃》、《教育部密碼服務(wù)節點标準化建設指南》等一系列文(wén)件的出台，要求進行校園可(kě)信密碼應用(yòng)建設，形成密碼應用(yòng)基礎設施和支撐平台，為(wèi)校園信息化用(yòng)戶體(tǐ)系引入可(kě)信身份服務(wù)，運用(yòng)基于電(diàn)子簽名(míng)技(jì )術的電(diàn)子簽章服務(wù)和電(diàn)子證照服務(wù)提升校園網上辦(bàn)公(gōng)、辦(bàn)事能(néng)力，建立和健全教育密碼資源和服務(wù)安(ān)全标準體(tǐ)系。

《電(diàn)子簽名(míng)法》第十三條明确規定了可(kě)靠的電(diàn)子簽名(míng)符合的具(jù)體(tǐ)條件：

（一）電(diàn)子簽名(míng)制作(zuò)數據用(yòng)于電(diàn)子簽名(míng)時，屬于電(diàn)子簽名(míng)人專有(yǒu)；

（二）簽署時電(diàn)子簽名(míng)制作(zuò)數據僅由電(diàn)子簽名(míng)人控制；

（三）簽署後對電(diàn)子簽名(míng)的任何改動能(néng)夠被發現；

（四）簽署後對數據電(diàn)文(wén)内容和形式的任何改動能(néng)夠被發現。

密碼在高校的身份認證、電(diàn)子簽署、電(diàn)子證照、驗證溯源等應用(yòng)場景越來越清晰，并随着數字化校園的建設完善在逐步發揮着密碼安(ān)全的技(jì )術作(zuò)用(yòng)。

2高校場景調研與需求建設

2.1場景調研

2.1.1成績單

目前大多(duō)數高校，學(xué)生開具(jù)成績單，隻能(néng)開具(jù)紙質(zhì)版本，而且必須至學(xué)校教務(wù)處辦(bàn)理(lǐ)。這種線(xiàn)下辦(bàn)理(lǐ)模式，學(xué)生跑腿煩、教師審核慢、經常排長(cháng)隊。同時，紙質(zhì)成績單無論是學(xué)生自己保管還是流轉使用(yòng)都非常不便。而普通電(diàn)子版本成績單，其防僞能(néng)力不足，篡改、僞造後不易發現、不易識别。 

2.1.2學(xué)業證明

學(xué)生開具(jù)各類學(xué)業證明文(wén)件，如：在讀（學(xué)）證明、畢業證明、學(xué)曆證明等需要通過線(xiàn)上審批，線(xiàn)下辦(bàn)理(lǐ)，隻能(néng)開具(jù)紙質(zhì)版本，而且必須至學(xué)校教務(wù)處辦(bàn)理(lǐ)。疫情期間，封閉期間線(xiàn)下辦(bàn)理(lǐ)給學(xué)生造成了諸多(duō)不便，會造成不能(néng)及時開出有(yǒu)效的證明還增加了線(xiàn)下辦(bàn)理(lǐ)的安(ān)全隐患。

2.1.3錄取通知書

目前很(hěn)多(duō)高校仍在沿用(yòng)紙質(zhì)、郵寄的傳統方式發放通知書，雖然紙質(zhì)錄取通知書在一定程度上會讓人感覺有(yǒu)溫度，但是也存在一定的弊端，比如：紙質(zhì)的錄取通知書不易保存，容易被野雞大學(xué)模仿僞造，未來在作(zuò)為(wèi)履曆憑證時不能(néng)鑒真，還需要做大量的補充材料進行佐證等等。

2.1.4憑證文(wén)件

老師的電(diàn)子憑證、學(xué)生的獲獎憑證等相關憑證文(wén)件，基本上是做掃描件或者照片上傳本地端進行保存。未能(néng)形成有(yǒu)效的利用(yòng)，對教師晉升，學(xué)生就業方面，相關信息不通，不能(néng)做到很(hěn)好的“存、管、用(yòng)”的匹配。

2.1.5合同文(wén)件

部分(fēn)院校雖具(jù)有(yǒu)招采平台系統，但合同采購(gòu)文(wén)件仍是通過線(xiàn)下簽署後進行掃描、存檔。不易保存，不方便查找。

2.1.6流程審批

在有(yǒu)流程審批的各應用(yòng)系統中(zhōng)，在本系統内的流程審批目前暫時都沒有(yǒu)問題，但是在涉及到跨部門、跨科(kē)室、跨系統、跨院系、跨校區(qū)之間的流程審批，仍然有(yǒu)大部分(fēn)的審批需要在線(xiàn)下，通過紙質(zhì)文(wén)件，多(duō)次審批才能(néng)完成。所以在滿足信息安(ān)全的基本需求前提下，需要節約審批時間，提升審批效率，減少業務(wù)辦(bàn)理(lǐ)時間，提升用(yòng)戶體(tǐ)驗。響應“互聯網+”政策，真正做到“用(yòng)戶少跑腿，數據多(duō)跑路”。

2.1.7“密碼”找回

目前智慧校園各應用(yòng)系統的密碼找回功能(néng)一般是采用(yòng)手機驗證碼、郵箱驗證碼、密碼遺忘提問等方式來實現。我們找回的“密碼”，嚴格意義上來講，不是密碼，而是“口令”。口令隻是一種驗證機制，并不具(jù)備密碼的機密性要求。有(yǒu)些比較關鍵的賬号密碼，如：學(xué)生重置上網賬号密碼時，往往需攜帶有(yǒu)效證件到信息中(zhōng)心，經工(gōng)作(zuò)人員核實學(xué)生身份後，由管理(lǐ)員修改“密碼”（口令），不安(ān)全、也不夠便利。

2.1.8數據安(ān)全

在智慧校園系統中(zhōng)存在着大量高校學(xué)生及教職工(gōng)的隐私信息、大量的科(kē)研成果數據，隻要登錄權限賬号，就可(kě)以上傳、下載、導入、導出，一是對隐私數據事件洩露的發生，像“徐玉玉式”的悲劇，會給學(xué)校造成不良的社會影響。二是如果出現重大科(kē)研數據成果洩露等事件，涉及到法律層面，又(yòu)缺乏合法的數據安(ān)全證據鏈，不易追責。所以，無論教師層面還是學(xué)生層面都對數據安(ān)全有(yǒu)迫切的需求。

2.1.9成績錄入/修改

在教務(wù)管理(lǐ)系統中(zhōng)，教務(wù)老師會對學(xué)生的成績進行錄入或者修改，二次修改，因為(wèi)需要涉及到敏感信息數據，需要進行身份信息、手機信息等信息驗證，較為(wèi)繁瑣，需要進行改進。

2.1.10論文(wén)簽署

論文(wén)簽署，會涉及到學(xué)生畢業、就業等相關的事項。同時論文(wén)質(zhì)量也是檢驗導師的執教成果之一，所以，論文(wén)簽署無論是對學(xué)生還是對教師都比較重要。因此，論文(wén)的提交、分(fēn)值、評閱、存檔等等相關環節，如果有(yǒu)更多(duō)的人為(wèi)因素參與其中(zhōng)，會出現學(xué)生提交的紙質(zhì)論文(wén)和電(diàn)子論文(wén)不一樣，教師的評價分(fēn)值不客觀，存檔的數據有(yǒu)差異等情況的發生。要避免這些問題的發生，除了論文(wén)查重，還需要解決紙質(zhì)文(wén)檔與電(diàn)子文(wén)檔不統一的問題，全程無紙化、電(diàn)子化，減少人為(wèi)參與其中(zhōng)環節。

2.1.11電(diàn)子證照

疫情期間，進出校園需要反複進行登記、身份認證、測試體(tǐ)溫，進入食堂就餐出示一卡通刷卡，進入圖書館借書需要出示借閱證。部分(fēn)高校雖然做了一些集成，但是集成的并不完善，而且随着系統的升級，需要“亮照”的場所會根據實際情況有(yǒu)增有(yǒu)減。現狀不能(néng)滿足安(ān)全性、便攜性、易用(yòng)性的要求，以及廣大師生在區(qū)域範圍内随時‘一卡通’的需求，有(yǒu)待改進。

2.1.12合同簽署

學(xué)校與教職工(gōng)的勞動合同、學(xué)生就業協議、采購(gòu)合同等，目前部分(fēn)院校仍在使用(yòng)紙質(zhì)文(wén)件和傳統的線(xiàn)下簽署、傳遞方式，多(duō)層多(duō)級審核，在這些環節中(zhōng)不僅存在審批時間冗長(cháng)的問題，也存在信息安(ān)全風險，因此合同簽署需要升級為(wèi)電(diàn)子合同簽署。

2.1.13校友注冊

部分(fēn)院校在組織校友聯誼會的活動中(zhōng)，仍采用(yòng)紙質(zhì)手冊、通訊錄等。校友信息不方便查找，校友信息變更後，不能(néng)及時更新(xīn)。尤其是在組織校慶的活動中(zhōng)，不能(néng)及時有(yǒu)效的通知校友參加，對校友辦(bàn)的工(gōng)作(zuò)造成一定的困擾。因此校友的實名(míng)認證也是需要推進的一項工(gōng)作(zuò)。

2.1.14電(diàn)子歸檔

高校進行業務(wù)文(wén)件歸檔時，多(duō)采用(yòng)雙軌制、雙套制，歸檔工(gōng)作(zuò)量大、時間長(cháng)。由于電(diàn)子檔案在長(cháng)期留存中(zhōng)存在篡改問題，且不易識别，因此，仍需保留紙質(zhì)檔案作(zuò)為(wèi)“基準”。而紙質(zhì)檔案的留存，不僅浪費大量空間、紙張，而且經常由于物(wù)理(lǐ)環境的不達标，導緻損壞、遺失等情況。

2.1.15項目評審

在科(kē)研項目評審中(zhōng)，需要提交紙質(zhì)内容多(duō)次找評審專家反複簽字，比較繁瑣。部分(fēn)院校希望進行無紙化、流程化改造。

2.1.16電(diàn)子票據

電(diàn)子票據需要對文(wén)件的格式、版式、顯示效果進行統一，形成出具(jù)流程規範。

需要對非稅電(diàn)子票據能(néng)夠進行鑒别，同時在系統報銷環節，支持個人簽名(míng)，手寫簽章，符合等級保護和密碼評級的要求。

l 非稅電(diàn)子票據

2018年11月财政部發布《關于全面推開财政電(diàn)子票據管理(lǐ)改革的通知》（财綜〔2018〕62号），要求将電(diàn)子票據推廣至全部單位和全部财政票據種類，包含涉稅發票和非稅發票。在電(diàn)子票據開具(jù)過程中(zhōng)，開票單位需通過安(ān)全可(kě)信的方式向财政部提交開票信息。财政部對數據驗證無誤後，添加财政部電(diàn)子簽名(míng)。所以，院校對于非稅電(diàn)子票據提交的鑒别也需要進行優化提升，杜絕假票錯票的發生。

l 報銷憑證

目前，大部分(fēn)院校能(néng)夠做到報銷憑證的線(xiàn)上審批，各級領導審批時，采用(yòng)在線(xiàn)無紙化審批方式，節約審批時間，提升審批效率，減少業務(wù)辦(bàn)理(lǐ)時間，提升用(yòng)戶體(tǐ)驗，滿足了信息安(ān)全的基本需求。但是仍然有(yǒu)部分(fēn)系統隻做到了登錄審批，不支持手寫簽名(míng)、個人簽章等驗證機制。系統不符合等級保護或密碼評級的要求，仍然有(yǒu)升級的需求。 

2.2需求建設

通過對高校的場景的調研，對建設内容進行梳理(lǐ)與總體(tǐ)規劃，中(zhōng)層需要建設校園可(kě)信應用(yòng)服務(wù)平台，提供可(kě)信身份服務(wù)、電(diàn)子證照服務(wù)、電(diàn)子簽章服務(wù)、密碼共享服務(wù)、PKI/CA服務(wù)等相關服務(wù)内容。然後與調研的場景使用(yòng)内容上層部分(fēn)有(yǒu)需求的校園系統做應用(yòng)集成，底層部分(fēn)要有(yǒu)基礎硬件設施支撐，這樣既能(néng)滿足場景的使用(yòng)需求，又(yòu)能(néng)達到高校數字化安(ān)全的技(jì )術标準。

同時，還可(kě)以根據以後的需求建設，不斷的進行外延與深化，例如：做外部系統的拓展、高校的其他(tā)關鍵機構需要接入、深化對智能(néng)安(ān)全監控系統的展示數據進行分(fēn)析處理(lǐ)等等。如圖1所示：

 

圖1 校園可(kě)信應用(yòng)服務(wù)平台規劃圖

根據校園應用(yòng)服務(wù)平台規劃圖的建設内容，結合場景需求調研的案例，前期建設達到以下六個部分(fēn)要求，即可(kě)滿足當下數字化安(ān)全的需要。

2.2.1可(kě)信身份認證：構建可(kě)信身份認證，夯實可(kě)信應用(yòng)基礎

校園内部以統一身份認證平台作(zuò)為(wèi)統一登錄入口，一個賬号統一身份單點登錄各大系統，保證身份可(kě)信，校園師生按照自己的需求切換系統完成流程審批、簽署申請等相關的業務(wù)内容，關鍵業務(wù)節點，可(kě)以進行強身份認證。最後由可(kě)信身份系統統一蓋章、簽署文(wén)件回傳業務(wù)系統或數據中(zhōng)心存檔。

2.2.2電(diàn)子簽署應用(yòng)：實現電(diàn)子簽署服務(wù)，易用(yòng)便捷提升效率

l 電(diàn)子簽名(míng)

需要與OA、教務(wù)系統、招采平台等系統集成實現電(diàn)子成績單、招生就業推薦表、獎勵證書、師生電(diàn)子簽名(míng)、供應商(shāng)電(diàn)子合同等各類文(wén)件的在線(xiàn)簽署。

l 電(diàn)子簽章

學(xué)校對外發布公(gōng)文(wén)、公(gōng)示、對接函等，對内發文(wén)、部門間的文(wén)件流轉、需要蓋學(xué)校公(gōng)章的文(wén)件等具(jù)有(yǒu)電(diàn)子簽章的需求。

2.2.3電(diàn)子證照使用(yòng)：提供電(diàn)子證照服務(wù)，保障證照使用(yòng)安(ān)全

電(diàn)子證照是高校建設中(zhōng)“一網通辦(bàn)”公(gōng)共服務(wù)支撐體(tǐ)系的重要組成部分(fēn)。在“一網通辦(bàn)”的事項管理(lǐ)、服務(wù)管理(lǐ)、數據管理(lǐ)、安(ān)全管理(lǐ)等各項管理(lǐ)應用(yòng)中(zhōng)都有(yǒu)證照使用(yòng)内容。因此，在證照實現電(diàn)子化的前提下，對證照的安(ān)全性、完整性、可(kě)控性和可(kě)用(yòng)性提出了新(xīn)的要求，即需要實現電(diàn)子證照的綜合管理(lǐ)。

2.2.4協同簽名(míng)設備：配置協同簽名(míng)設備，服務(wù)移動安(ān)全體(tǐ)系

高校建設運營移動辦(bàn)公(gōng)和業務(wù)應用(yòng)，是一個覆蓋“雲、網、端”的完整互聯網信息系統，包括了移動端APP、數據中(zhōng)心的移動應用(yòng)服務(wù)以及移動端與應用(yòng)服務(wù)之間的數據通信信道等組成部分(fēn)。面向所有(yǒu)校内OA系統、财務(wù)系統、資産(chǎn)系統等流程審批移動業務(wù)涉及核心數據和敏感數據，如何确保移動端數據和應用(yòng)安(ān)全是保障移動辦(bàn)公(gōng)的難點。

2.2.5統一系統接口：遵循國(guó)家标準規範，統一接入安(ān)全部署

學(xué)校現有(yǒu)的所有(yǒu)業務(wù)系統中(zhōng)都會産(chǎn)生數據，有(yǒu)些是比較重要敏感的數據，數據存儲在數據庫中(zhōng)，尤其是在大數據應用(yòng)的前提下，如何保障存儲過程中(zhōng)的數據安(ān)全，應用(yòng)過程中(zhōng)的數據安(ān)全，是學(xué)校在數字化校園建設中(zhōng)需要重點考慮的問題。 

2.2.6智能(néng)數據可(kě)視：實現密碼應用(yòng)監管，運維數據動态管理(lǐ)

針對高校内運維人力成本的投入，構建統一的智能(néng)化安(ān)全服務(wù)運維平台，幫助縮短問題發現時間，提升處置效率，增強管理(lǐ)水平。通過自動化信息資産(chǎn)管理(lǐ)及安(ān)全運維功能(néng)，實現各種密碼設備的統一接入、統一管理(lǐ)、統一運維。

3技(jì )術服務(wù)要求與實施保障體(tǐ)系

3.1技(jì )術服務(wù)要求

3.1.1身份認證服務(wù)

身份認證的技(jì )術實現，需要遵循GB/T 15843《信息技(jì )術 安(ān)全技(jì )術 實體(tǐ)鑒别》規範中(zhōng)定義的多(duō)次傳送協議來實現安(ān)全目标，主要體(tǐ)現在實名(míng)化。需要對注冊、登錄身份，通過“三要素”，人臉識别等多(duō)種方式，聯合國(guó)家通信運營商(shāng)、公(gōng)安(ān)部人口信息庫等權威數據來源自動校驗賬号持有(yǒu)者的身份是否真實有(yǒu)效，進行統一認證，實現可(kě)信身份管理(lǐ)。

3.1.2數字證書服務(wù)

數字證書是服務(wù)于電(diàn)子簽署的一種技(jì )術手段。公(gōng)章使用(yòng)時，對公(gōng)章管理(lǐ)部門提出申請、簽批等，尤其是跨部門、跨院校、多(duō)公(gōng)章簽署的審批，比較麻煩，需要進行流程化改造。需要遵循以下标準：

l GM/T 0003-2012 SM2 橢圓曲線(xiàn)公(gōng)鑰密碼算法

l GM/T 0009-2012 SM2 密碼算法使用(yòng)規範

l GM/T 0010-2012 SM2 密碼算法加密簽名(míng)消息語法規範

l GM/T 0004-2012 SM3 密碼雜湊算法

l GM/T 0002-2012 SM4 分(fēn)組密碼算法

l GM/T 0005-2012 随機性檢測規範

l GM/T 0006-2012 密碼應用(yòng)标識規範

l GM/T 0018-2012 密碼設備應用(yòng)接口規範

改造方法是：在這些電(diàn)子簽署環節中(zhōng)，需要使用(yòng)到簽名(míng)、簽章。将印章和簽名(míng)從傳統的實物(wù)轉變成可(kě)以由系統管控的數據ID，實現印章和簽名(míng)的數字化轉型。

3.1.3簽名(míng)驗簽服務(wù)

簽名(míng)驗簽服務(wù)是身份核驗的一種方式。錄取通知書、畢業證書、簽署的合同，簽名(míng)信息有(yǒu)無篡改等，需要配置簽名(míng)驗簽服務(wù)器，通過哈希算法，對個人身份或者機構身份進行驗真。需要遵循以下标準：

l GM/T 0030-2014《簽名(míng)驗簽服務(wù)器技(jì )術規範》

l GM/T 0018-2012《密碼設備應用(yòng)接口規範》

l GM/T 0020-2012《證書應用(yòng)綜合服務(wù)接口規範》

l GM/T 0002-2012《SM4分(fēn)組密碼算法》

l GM/T 0003-2012《SM2橢圓曲線(xiàn)公(gōng)鑰密碼算法》

l GM/T 0004-2012《SM3密碼雜湊算法》

l GM/T 0005-2012《随機性檢測規範》

l GM/T 0009-2012《SM2密碼算法使用(yòng)規範》

l 符合《商(shāng)用(yòng)密碼産(chǎn)品随機數檢測要求》

數字簽名(míng)的應用(yòng)過程是，數據源發送方使用(yòng)自己的私鑰對數據校驗或其他(tā)與數據内容有(yǒu)關的變量進行加密處理(lǐ)，完成對數據的合法“簽名(míng)”，數據接收方則利用(yòng)對方的公(gōng)鑰來解讀收到的“數字簽名(míng)”，并将解讀結果用(yòng)于對數據完整性的檢驗，以确認簽名(míng)的合法性。數字簽名(míng)技(jì )術是在網絡系統虛拟環境中(zhōng)确認身份的重要技(jì )術，完全可(kě)以代替現實過程中(zhōng)的“親筆(bǐ)簽字”，在技(jì )術和法律上有(yǒu)保證。在數字簽名(míng)應用(yòng)中(zhōng)，發送者的公(gōng)鑰可(kě)以很(hěn)方便地得到，但他(tā)的私鑰則需要嚴格保密。

3.1.4電(diàn)子證照服務(wù)

電(diàn)子證照主要提供以下5類技(jì )術服務(wù)：

l 雙向簽名(míng)

基于國(guó)密算法實現電(diàn)子證照文(wén)件的雙向數字簽名(míng)，保證頒發機構的真實性和持證者應用(yòng)的真實性，以及防止對證照文(wén)件的肆意篡改。

l 安(ān)全追蹤

制作(zuò)電(diàn)子證照時，每個電(diàn)子證照文(wén)件具(jù)有(yǒu)唯一的标識，确保電(diàn)子證照标識的唯一性、安(ān)全性和嚴謹性。

l 位序加擾

根據位圖像素大小(xiǎo)和密鑰，能(néng)對存放在位圖中(zhōng)的數據次序進行随機加擾。提高電(diàn)子證照存放數據的安(ān)全可(kě)靠性，并加大僞造者竊取數據的成本。

l 色度加擾

色度加擾技(jì )術是将共享數據拆成若幹Bit數據，根據像素RGB深度和加擾密鑰，創建一種圖像色度加擾算法。

l 數字暗記

模仿實物(wù)印章暗記的理(lǐ)念，根據圖像處理(lǐ)算法，将數字暗記随機嵌入數字印簽圖像中(zhōng)。

3.1.5可(kě)信時間戳服務(wù)

可(kě)信時間戳，主要是用(yòng)于簽署時間的合法有(yǒu)效管理(lǐ)，大部分(fēn)采用(yòng)簽名(míng)驗簽和時間戳二合一服務(wù)器來完成此項服務(wù)。

3.1.6密碼管理(lǐ)服務(wù)

應用(yòng)系統可(kě)通過調用(yòng)密碼機提供的标準API函數來使用(yòng)密碼機的服務(wù)，密碼機API與密碼機之間的調用(yòng)過程對上層應用(yòng)透明，應用(yòng)開發商(shāng)能(néng)夠快速地使用(yòng)密碼機所提供的安(ān)全功能(néng)。密碼機API接口符合《GM/T 0018-2012 密碼設備應用(yòng)接口規範》标準接口規範，通用(yòng)性好，能(néng)夠平滑接入各種系統平台，滿足大多(duō)數平台系統的應用(yòng)需求。

3.2實施保障體(tǐ)系

3.2.1物(wù)理(lǐ)設備部署

根據高校的數字化安(ān)全服務(wù)要求，需要對服務(wù)器設備及配套服務(wù)器進行檢視，按照技(jì )術服務(wù)要求，對密碼機服務(wù)器、協同簽名(míng)服務(wù)器、簽名(míng)驗簽與時間戳服務(wù)器、進行調試部署，搭建統一服務(wù)密碼平台的物(wù)理(lǐ)環境。

3.2.1.1協同簽名(míng)服務(wù)器

協同簽名(míng)系統（簡稱為(wèi)“手機盾”）是面向移動互聯網應用(yòng)開發的基于密碼和CA數字證書的安(ān)全中(zhōng)間件産(chǎn)品，為(wèi)第三方移動互聯網應用(yòng)客戶端以及系統平台提供用(yòng)戶身份認證、應用(yòng)認證以及密碼服務(wù)。手機盾采用(yòng)安(ān)全密碼算法、數字證書、數字簽名(míng)、訪問控制等技(jì )術，實現了手機上用(yòng)戶身份認證安(ān)全、計費安(ān)全、數據存儲安(ān)全、數據加密安(ān)全、密鑰調用(yòng)安(ān)全等關鍵技(jì )術功能(néng)，成為(wèi)手機上業務(wù)應用(yòng)的基礎安(ān)全平台。其适用(yòng)的業務(wù)包括：移動電(diàn)子政務(wù)、移動電(diàn)子商(shāng)務(wù)、無線(xiàn)城市業務(wù)、行業移動信息化應用(yòng)、移動辦(bàn)公(gōng)、移動支付、手機銀行等。

3.2.1.2簽名(míng)驗簽與時間戳二合一服務(wù)器

簽名(míng)驗簽與時間戳二合一服務(wù)，可(kě)以實現衆多(duō)業務(wù)系統用(yòng)戶擁有(yǒu)數字中(zhōng)心統一頒發的證書驗證和查詢服務(wù)，證書驗證的具(jù)體(tǐ)操作(zuò)集中(zhōng)在統一認證平台完成，應用(yòng)系統無需在本地服務(wù)器進行用(yòng)戶的身份認證操作(zuò)。簽名(míng)驗簽服務(wù)全面支持PKI/PMI信息安(ān)全基礎設施，提供包括身份驗證、簽名(míng)驗簽、數字信封等核心安(ān)全認證服務(wù)，并可(kě)以通過集群技(jì )術、負載均衡技(jì )術、雙機熱備技(jì )術，在不改變網絡結構和應用(yòng)模式的情況下，實現對目前所有(yǒu)網絡層以上各種靜态或動态端口應用(yòng)的完全支持。

3.2.1.3密碼機服務(wù)器

高性能(néng)的密碼機設備，能(néng)夠為(wèi)各類業務(wù)系統提供多(duō)任務(wù)并行處理(lǐ)的密碼運算能(néng)力。密碼機支持SM1、SM2、SM3、SM4、SM9等多(duō)種國(guó)産(chǎn)密碼算法，可(kě)以滿足應用(yòng)系統數據的簽名(míng)/驗證、加密/解密的要求，保證傳輸信息的機密性、完整性和有(yǒu)效性，同時提供安(ān)全、完善的密鑰管理(lǐ)機制，自身具(jù)備較強的安(ān)全防護能(néng)力。

應用(yòng)系統可(kě)通過調用(yòng)密碼機提供的标準API函數來使用(yòng)密碼機的服務(wù)，密碼機API與密碼機之間的調用(yòng)過程對上層應用(yòng)透明，應用(yòng)開發商(shāng)能(néng)夠快速地使用(yòng)密碼機所提供的安(ān)全功能(néng)。密碼機API接口符合《GM/T 0018-2012 密碼設備應用(yòng)接口規範》标準接口規範，通用(yòng)性好，能(néng)夠平滑接入各種系統平台，滿足大多(duō)數應用(yòng)系統的要求，在應用(yòng)系統安(ān)全方面具(jù)有(yǒu)廣泛的應用(yòng)前景。

3.2.2統一服務(wù)平台

根據技(jì )術服務(wù)内容，滿足校園可(kě)信服務(wù)平台的應用(yòng)需求，達到數字化安(ān)全的要求。需要結合各高校目前已有(yǒu)的系統，進行統一服務(wù)平台建設。即實現校園可(kě)信服務(wù)平台、數字證書管理(lǐ)平台、密碼綜合共享服務(wù)平台（包含電(diàn)子證照、電(diàn)子簽章、證照驗簽）、移動端服務(wù)、數字證書服務(wù)等等一系列内容的處理(lǐ)，進行池化資源整合，應用(yòng)内容分(fēn)拆，最後集成需求應用(yòng)等，完成統一服務(wù)平台的實施。

3.2.2.1可(kě)信校園應用(yòng)平台

校園可(kě)信應用(yòng)服務(wù)平台采用(yòng)主流的架構組合研發，具(jù)有(yǒu)良好的适配性及擴展性，注重用(yòng)戶體(tǐ)驗，設計及功能(néng)上不依附于任何其他(tā)系統，業務(wù)針對性更強，系統操作(zuò)性更加簡潔。該平台由可(kě)信身份服務(wù)、PKI/CA服務(wù)、密碼共享服務(wù)、電(diàn)子證照服務(wù)、電(diàn)子簽章服務(wù)組成。組合及分(fēn)拆内容如下：

3.2.2.2數字證書管理(lǐ)服務(wù)平台

實現數字證書生命周期全流程服務(wù)，包括證書咨詢、證書申請、證書簽發、證書更新(xīn)、證書撤銷、證書在線(xiàn)延期、在線(xiàn)解鎖、證書統計查詢、丢失或損壞補辦(bàn)等，為(wèi)證書用(yòng)戶和CA證書簽發服務(wù)建立橋梁，實現數字認證一站式标準化操作(zuò)。

數字證書是安(ān)全技(jì )術支撐核心内容，可(kě)簽發個人、機構、設備三類數字證書，并支持存放在USBKEY、手機盾和SIMKEY卡等多(duō)種介質(zhì)中(zhōng)，無論軟件産(chǎn)品、硬件産(chǎn)品都可(kě)以滿足各種應用(yòng)終端的認證需求。結合基于PKI/CA技(jì )術研發的電(diàn)子認證服務(wù)接口為(wèi)提供各類信息系統開放式應用(yòng)接口，确保身份認證、數據的機密性、數據的完整性和不可(kě)抵賴性，提供安(ān)全保障。

3.2.2.3密碼綜合共享平台

密碼綜合共享平台是教育校園可(kě)信應用(yòng)服務(wù)平台的“服務(wù)中(zhōng)樞”，對業務(wù)系統提供真實性、保密性、完整性和不可(kě)否認性等基礎性密碼服務(wù)。建設統一的、覆蓋全面的、滿足大部分(fēn)教育密碼需求的密碼服務(wù)接口，以服務(wù)化的理(lǐ)念封裝(zhuāng)底層密碼接口，屏蔽不同設備廠商(shāng)、不同類型密碼設備之間的差異，為(wèi)業務(wù)系統提供标準統一的密碼服務(wù)接口，減少集成複雜度，方便本地應用(yòng)系統的密碼服務(wù)調用(yòng)。目前密碼綜合共享平台主要的應用(yòng)有(yǒu)以下13項内容：

1）電(diàn)子證照服務(wù)

電(diàn)子證照服務(wù)能(néng)夠對證照進行業務(wù)流程處理(lǐ)、證照安(ān)全制作(zuò)、證照安(ān)全管理(lǐ)、證照安(ān)全存儲、證照安(ān)全分(fēn)發、證照安(ān)全應用(yòng)、證照數據共享、證照雙向驗證和證照互聯互通應用(yòng)的管理(lǐ)軟件。采用(yòng)具(jù)有(yǒu)自主知識産(chǎn)權的影子标簽技(jì )術和文(wén)件加解密中(zhōng)間件技(jì )術、基于電(diàn)子證照的安(ān)全制作(zuò)技(jì )術和安(ān)全水印技(jì )術，實現了對電(diàn)子證照從制作(zuò)、流轉、共享、驗證、應用(yòng)和管理(lǐ)等全流程控制，并全程記錄了證照的操作(zuò)行為(wèi)，直至證照狀态失效。産(chǎn)品采用(yòng)B/S和C/S混合架構，确保證照安(ān)全使用(yòng)和授權控制。同時，産(chǎn)品可(kě)通過提供的數據共享系統提供的RESTFUL風格的API訪問接口，實現與用(yòng)戶現有(yǒu)的業務(wù)應用(yòng)系統無縫結合，确保電(diàn)子證照文(wén)件的安(ān)全性、完整性、可(kě)控性和可(kě)用(yòng)性。

2）證照目錄管理(lǐ)

目錄管理(lǐ)是通過按證照業務(wù)部門、行政區(qū)域、證照類别等信息分(fēn)類，建設标識統一、結構科(kē)學(xué)、檢索方便的證照目錄注冊和證照目錄維護功能(néng)。主要包括證照目錄注冊、證照目錄申請、證照目錄維護（證照目錄變更、證照目錄廢止）和證照目錄發布等功能(néng)。

3）證照目錄注冊

用(yòng)戶單位證照目錄，通過電(diàn)子證照目錄注冊申請和審批、審核，完成各單位各部門應開通電(diàn)子證照範圍的界定和準入工(gōng)作(zuò)。一般由委辦(bàn)用(yòng)戶發起證照目錄信息提交，由證照中(zhōng)心用(yòng)戶負責證照目錄信息的審批。

4）證照目錄發布

證照管理(lǐ)單位可(kě)在系統中(zhōng)對注冊成功的目錄執行發布操作(zuò)，目錄發布後會在界面中(zhōng)顯示。

5）證照目錄維護

實際業務(wù)中(zhōng)經常需要對已發布的證照目錄進行維護。一旦證照目錄因業務(wù)需求需要發生變化時，可(kě)以通過電(diàn)子證照目錄維護實現電(diàn)子證照目錄的變更、廢止操作(zuò)。

6）證照目錄檢索

系統提供了目錄檢索功能(néng)實現證照目錄精(jīng)确查找和定位。

7）證照生産(chǎn)管理(lǐ)

電(diàn)子證照安(ān)全生産(chǎn)管理(lǐ)作(zuò)為(wèi)電(diàn)子證照服務(wù)的後台制作(zuò)系統，是個相對獨立的管理(lǐ)系統。在系統中(zhōng)承擔了證照模闆管理(lǐ)、安(ān)全生産(chǎn)管理(lǐ)、電(diàn)子證照維護管理(lǐ)、派生加注應用(yòng)本管理(lǐ)。

l 模闆管理(lǐ)

模版管理(lǐ)是電(diàn)子證照安(ān)全管理(lǐ)重要的基礎管理(lǐ)模塊，包含：證照的底版版本管理(lǐ)、模版信息管理(lǐ)、模版照面信息浏覽等功能(néng)。管理(lǐ)用(yòng)戶可(kě)通過選定已注冊的證照目錄，以圖形化界面定義證照的底闆、證照照面信息和證照結構信息，定義完成後對模闆進行發布，用(yòng)于後續各類證照生成時提供對應的模闆。

l 底版版本管理(lǐ)

底闆版本管理(lǐ)功能(néng)主要提供了底闆版本的編号定義、底片數的管理(lǐ)、底闆的操作(zuò)和搜索等功能(néng)。

l 模版信息管理(lǐ)

模版信息管理(lǐ)決定着證照要顯示的各項信息在照面上是如何排版的。模版信息管理(lǐ)主要提供模版的定義、預覽、清空、修改等功能(néng)。

l 模版照面信息浏覽

通常電(diàn)子證照模版與實體(tǐ)證照模版存在一緻性的要求，系統為(wèi)用(yòng)戶提供了證照模版信息搜索、展示證照模版的信息和照面排版信息的等功能(néng)。方便用(yòng)戶确認電(diàn)子證照模闆符合要求。

l 模闆維護管理(lǐ)

管理(lǐ)用(yòng)戶可(kě)對已發布和還未發布的證照模闆信息（含底闆、照面信息、結構信息）進行參數修改和模闆凍結等日常維護管理(lǐ)。

8）電(diàn)子簽章維護管理(lǐ)

電(diàn)子簽章維護管理(lǐ)承擔了電(diàn)子印章的維護和電(diàn)子印章關聯工(gōng)作(zuò)。目前系統已有(yǒu)無縫對接多(duō)家符合國(guó)家标準的電(diàn)子印章系統的經驗，有(yǒu)一套完整的印章對接接口。

l 電(diàn)子印章維護

供通過訪問印章同步接口，自動同步電(diàn)子簽章系統中(zhōng)的相關的電(diàn)子印章，并可(kě)提供電(diàn)子印章的預覽。

l 電(diàn)子印章關聯

提供界面配置具(jù)體(tǐ)印章與證照目錄的關聯映射、解除映射、簽章方式（關鍵字簽章、坐(zuò)标簽章）或簽名(míng)方式（帶格式的數據簽名(míng)、帶格式的文(wén)件簽名(míng)）維護管理(lǐ)。

9）安(ān)全生産(chǎn)管理(lǐ)

通過安(ān)全生産(chǎn)管理(lǐ)模塊接收經審核合格的證照模闆及證照數據（含擴展數據），即可(kě)自動合成電(diàn)子證照文(wén)件。

安(ān)全生産(chǎn)管理(lǐ)融合了多(duō)種安(ān)全技(jì )術：如數字水印、電(diàn)子印章、隐藏技(jì )術、加密技(jì )術、數字簽名(míng)、影子标簽技(jì )術、加解密中(zhōng)間件等安(ān)全機制（其中(zhōng)：身份認證系統、密碼系統、标簽系統、電(diàn)子印章、數字簽名(míng)、OFD系統均為(wèi)第三方支撐系統），最大限度地确保了電(diàn)子證照的安(ān)全性，具(jù)有(yǒu)防僞造、防篡改、防冒用(yòng)等功能(néng)。安(ān)全生産(chǎn)管理(lǐ)包含了系統配置管理(lǐ)、源數據采集管理(lǐ)、電(diàn)子證照制作(zuò)生成管理(lǐ)、電(diàn)子證照維護管理(lǐ)、證照加注派生管理(lǐ)。

l 系統配置管理(lǐ)

系統内可(kě)以對制證方式（自動/手動）、存儲方式（本地/分(fēn)布式）、存儲路徑、證照版式（國(guó)家标準、國(guó)際标準版式文(wén)件）等參數進行配置。

10）電(diàn)子證照制作(zuò)生産(chǎn)管理(lǐ)

電(diàn)子證照制作(zuò)生成首先會對源數據進行數據處理(lǐ)，數據符合要求并轉換為(wèi)統一格式後才能(néng)制作(zuò)生成電(diàn)子證照。同時，系統支持單一證照和批量證照的申請制作(zuò)。審批通過後系統會根據系統配置手動或自動選擇單個或多(duō)個電(diàn)子證照制作(zuò)。

l 數據處理(lǐ)

包括數據預處理(lǐ)、數據清洗和數據轉換。

數據預處理(lǐ)

根據數據格式标準和轉換規則，對人工(gōng)采集和自動采集的數據進行預處理(lǐ)，對不符合規則的數據進行拒絕入庫管理(lǐ)，并返回相應的錯誤。

數據清洗

根據數據清洗規則，針對人工(gōng)采集和自動采集的證照數據中(zhōng)二義性、重複、不完整、違反業務(wù)或邏輯規則等問題的數據進行統一甄别和處理(lǐ)，在确保數據完整性的同時去除無效的數據。

數據轉換

根據數據轉換規則，針對人工(gōng)采集和自動采集的證照數據進行統一格式化處理(lǐ)，确保證照數據格式的統一性和完整性。

l 電(diàn)子證照生成

證照數據采集完成後，系統提供可(kě)視化界面和接口兩種方式生成電(diàn)子證照，後台根據用(yòng)戶角色關聯證照源數據和證照模闆，一份完整的電(diàn)子證照版式文(wén)件中(zhōng)包含證照模闆信息、證照擴展信息、證照簽名(míng)和證照二維碼等。此外，每一張生成的電(diàn)子證照都具(jù)有(yǒu)合法的唯一标識，便于後期證照的查驗和管理(lǐ)。

l 電(diàn)子證照維護管理(lǐ)

電(diàn)子證照管理(lǐ)類功能(néng)主要包括：電(diàn)子證照查詢、電(diàn)子證照簽發、電(diàn)子證照發布、電(diàn)子證照庫維護（狀态變更、有(yǒu)效期管理(lǐ)、版本管理(lǐ)）。

l 電(diàn)子證照查詢

通過電(diàn)子證照查詢功能(néng)可(kě)以對制作(zuò)完成的電(diàn)子證照文(wén)件進行預覽和多(duō)條件搜索。

l 電(diàn)子證照簽發

面向證照簽發部門提供電(diàn)子證照數字簽名(míng)、簽章等功能(néng)。電(diàn)子證照一旦簽發，證照的正本就會被固化，同時會自動形成證照備案本保存至電(diàn)子證照庫，證照庫可(kě)以由管理(lǐ)員配置為(wèi)分(fēn)布式本地庫和集中(zhōng)式證照總庫。

l 電(diàn)子證照發布

對于簽發完成的電(diàn)子證照的正本可(kě)以使用(yòng)電(diàn)子證照發布功能(néng)，使之最終有(yǒu)效。電(diàn)子證照的發布可(kě)以自由選擇發布渠道。

11）電(diàn)子證照庫維護

系統提供電(diàn)子證照庫的維護功能(néng)，可(kě)以對證照庫中(zhōng)的電(diàn)子證照進行查詢、統計、分(fēn)析、打印等功能(néng)，并可(kě)以對電(diàn)子證照的全生命周期進行跟蹤。一旦接收到證照狀态發生改變時，可(kě)對證照庫中(zhōng)電(diàn)子證照的實時狀态進行變更、廢止、挂失、吊銷、注銷等各種操作(zuò)。

l 證照狀态變更

提供對已簽發的電(diàn)子證照及其狀态進行變更。其中(zhōng)：變更方式包括通過界面進行變更操作(zuò)和通過接口方式，由業務(wù)系統發起變更請求；證照的失效的原因包括撤銷、吊銷、挂失和過期等。對狀态已失效的證照，通過掃碼驗證時，返回的證照狀态将同步變更為(wèi)失效。

l 證照有(yǒu)效期管理(lǐ)

對具(jù)有(yǒu)有(yǒu)效期限的電(diàn)子證照，系統提供自動檢測出即将過期的證照以便管理(lǐ)人員進行處理(lǐ)；對過期的證照系統支持自動變更為(wèi)過期狀态，證照超過有(yǒu)效期的文(wén)件自動将其标記為(wèi)曆史版本，可(kě)作(zuò)為(wèi)檔案進行檔案查詢，但不可(kě)提供給持證者辦(bàn)事使用(yòng)。

l 證照版本管理(lǐ)

系統提供證照版本管理(lǐ)功能(néng)，對于當前失效狀态的證照自動移至曆史狀态庫，可(kě)供随時查詢和歸檔使用(yòng)。

l 證照派生加注應用(yòng)本

證照的正本隻有(yǒu)一份，往往需要妥善保管。網上辦(bàn)事時，系統提供了派生加注應用(yòng)本功能(néng)。持證人可(kě)以使用(yòng)移動端APP或者通過互聯網證照服務(wù)平台，由正本派生一份加注本用(yòng)于事項處理(lǐ)。派生時，不僅可(kě)以根據持證人實際需要，标注應用(yòng)本的用(yòng)途、有(yǒu)效期。還可(kě)以控制應用(yòng)本的使用(yòng)權限，包括有(yǒu)效期控制、證照使用(yòng)記錄等。派生後，由持證人數字簽名(míng)後生效。此外，加注本通常還可(kě)以作(zuò)為(wèi)受理(lǐ)單位電(diàn)子檔案歸檔備案。

12）證照驗證

l 多(duō)格式驗證

證照驗證支持多(duō)種證照文(wén)件格式的驗證，如OFD、PDF。确保電(diàn)子證照在各種環境下的适用(yòng)性、易用(yòng)性和可(kě)驗性。

l 多(duō)版本驗證

證照驗證支持證照正本和證照加注派生應用(yòng)本的驗證。确保電(diàn)子證照在各種環境下的适用(yòng)性、易用(yòng)性和可(kě)驗性。

l 多(duō)功能(néng)驗證

證照驗證在數字簽名(míng)方面采用(yòng)雙向驗證機制：一方面驗證證照的頒發機構的真實有(yǒu)效性；另一方面會驗證持證者的使用(yòng)真實性。根據應用(yòng)的需求，驗證證照的真僞性、狀态的有(yǒu)效性、證照的使用(yòng)範圍和時限性。

l 多(duō)平台驗證

證照驗證可(kě)通過二維碼掃描驗證、手機APP掃碼驗證、驗證平台驗證等多(duō)種方式驗證。一方面滿足線(xiàn)上線(xiàn)下證照驗證的需要、支持移動無線(xiàn)證照驗證的應用(yòng)、滿足驗證手段從弱到強的需求；另一方面滿足證照信息在線(xiàn)共享利用(yòng)的政府訴求和證照信息離線(xiàn)共享利用(yòng)的互聯網市場需求。

l 多(duō)内容驗證

除了驗證證照本身的真僞性和有(yǒu)效性外，系統還提供了多(duō)維度驗證，可(kě)對電(diàn)子證照的類型、模闆防僞、編号檢測、證照标識合法性、證書合法性、簽名(míng)有(yǒu)效性、證照有(yǒu)效期、狀态和基本源數據和使用(yòng)軌迹等信息進行驗證。

13）電(diàn)子簽章服務(wù)

電(diàn)子簽章服務(wù)面向用(yòng)戶的業務(wù)應用(yòng)提供接口服務(wù)，它提供了豐富的API接口，開發者可(kě)以根據自己的業務(wù)系統根據實際情況靈活進行交互設計。它的業務(wù)獨立，業務(wù)流程開發者在自身業務(wù)系統中(zhōng)完成。它還提供了豐富的集成方案，開發者可(kě)根據方案來集成和完善自身業務(wù)系統。

l 應用(yòng)管理(lǐ)

點開樹形中(zhōng)“應用(yòng)管理(lǐ)”，能(néng)夠查看接入應用(yòng)名(míng)稱、創建時間、APPID、APPKEY、應用(yòng)狀态。

l 接口管理(lǐ)

樹形“文(wén)檔管理(lǐ)”中(zhōng)“接口管理(lǐ)”中(zhōng)可(kě)以查看對外的開發接口、所屬類型、接口描述以及接口狀态等，也可(kě)通過此頁(yè)面進行相關管理(lǐ)操作(zuò)。

l 文(wén)檔管理(lǐ)

樹形“文(wén)檔管理(lǐ)”中(zhōng)可(kě)以查看對外提供的所有(yǒu)文(wén)檔标題、内容、預覽及編輯，采用(yòng)Markdown語法。

l 用(yòng)戶管理(lǐ)

樹形“用(yòng)戶管理(lǐ)”中(zhōng)可(kě)以查看到個人、企業用(yòng)戶信息，支持導出用(yòng)戶的EXCEL表格數據。

l 印章管理(lǐ)

樹形“印章管理(lǐ)”能(néng)夠新(xīn)增、編輯、查看接入用(yòng)戶的印章信息。

l 合同管理(lǐ)

樹形“合同管理(lǐ)”能(néng)夠查看、預覽的簽署的合同、簽署記錄。

l 模闆管理(lǐ)

支持模闆簽署，将指定信息轉化為(wèi)統一版式文(wén)件，适合證照類文(wén)檔的簽署，在左側樹形點擊“模闆管理(lǐ)”，指定所屬應用(yòng)即可(kě)進行模闆的設置。

l 簽署日志(zhì)

後台可(kě)以查看每條簽署日志(zhì)，并支持導出EXCEL表格中(zhōng)。

l 日志(zhì)管理(lǐ)

查看關鍵操作(zuò)日志(zhì)記錄，支持導出EXCEL表格。

l 系統設置

字典管理(lǐ)，提供字典數據的管理(lǐ)功能(néng)。

3.2.3移動端APP

整合集成手機盾的SDK，支持數字證書，具(jù)備移動端用(yòng)戶安(ān)全可(kě)信身份認證、證書生命周期管理(lǐ)、文(wén)件多(duō)方式簽署等服務(wù)能(néng)力。機構用(yòng)戶/個人用(yòng)戶都可(kě)注冊使用(yòng)。

具(jù)備登錄及密碼找回的功能(néng)，同時集成實名(míng)認證、證書申請、證書更新(xīn)等移動應用(yòng)服務(wù)功能(néng)。

3.2.4數字證書服務(wù)

數字證書是安(ān)全技(jì )術支撐核心内容，可(kě)簽發個人、機構、設備三類數字證書，并支持存放在USBKEY、手機盾和SIMKEY卡等多(duō)種介質(zhì)中(zhōng)，無論軟件産(chǎn)品，硬件産(chǎn)品都可(kě)以滿足各種應用(yòng)終端的認證需求。結合基于PKI/CA技(jì )術研發的電(diàn)子認證服務(wù)接口為(wèi)提供各類信息系統開放式應用(yòng)接口，确保身份認證、數據的機密性、數據的完整性和不可(kě)抵賴性，提供安(ān)全保障。

數字證書為(wèi)軟件産(chǎn)品，提供的證書為(wèi)個人數字證書、機構證書。

l 個人數字證書

保證用(yòng)戶在網絡中(zhōng)身份的真實性。以數字證書為(wèi)核心的加密技(jì )術可(kě)以對網絡上傳輸的信息進行加密和解密、數字簽名(míng)和簽名(míng)驗證，确保網上傳遞信息的機密性、完整性。使用(yòng)了數字證書，即使用(yòng)戶發送的信息在網上被他(tā)人截獲，甚至丢失了個人賬戶、密碼等信息，仍可(kě)以保證信息的保密。

所簽發的個人數字證書，在技(jì )術規格上遵循GB/T 20518-2018《信息安(ān)全技(jì )術 公(gōng)鑰基礎設施 數字證書格式》、GM/T0015-2012 《基于SM2密碼算法的數字證書格式規範》、ITU-T X. 509 V3（數字證書）、ITU-TX.509 V2 （CRL），采用(yòng)雙證書模式。

l 機構證書

為(wèi)已申請機構數字證書的機構頒發，用(yòng)于證明機構在特定業務(wù)中(zhōng)真實身份，證書中(zhōng)包含機構信息和機構的公(gōng)鑰，以及機構的簽名(míng)私鑰，用(yòng)于标識證書持有(yǒu)機構的真實身份。此證書相當于現實世界中(zhōng)機構的業務(wù)專用(yòng)章。

所簽發的機構數字證書，在技(jì )術規格上遵循GB/T20518-2018《信息安(ān)全技(jì )術 公(gōng)鑰基礎設施 數字證書格式》、GM/T 0015-2012 《基于SM2密碼算法的數字證書格式規範》、ITU-T X.509 V3（數字證書）、ITU-TX.509 V2 （CRL），采用(yòng)雙證書模式。

4結論

通過以上基于可(kě)信用(yòng)戶管理(lǐ)平台建設為(wèi)中(zhōng)台的服務(wù)結構分(fēn)解，對數字證書管理(lǐ)服務(wù)平台、密碼綜合共享平台等基于密碼技(jì )術的一系列内容的整合、分(fēn)拆、然後按照高校需求再進行集成的工(gōng)作(zuò)整合，形成統一服務(wù)平台，将可(kě)信用(yòng)戶的信息進行傳遞共享，使用(yòng)密碼技(jì )術保證用(yòng)戶信息的安(ān)全、防洩露，實現一個用(yòng)戶标識在各個系統中(zhōng)的互認，實現基于數字簽名(míng)技(jì )術的行為(wèi)确權、保護、溯源等，建立以PKI/CA體(tǐ)系為(wèi)基礎，以數字化安(ān)全為(wèi)保障的用(yòng)戶管理(lǐ)體(tǐ)系。