区县电子政务数字证书应用技术方案

时间: 2020-01-20 15:57:29     来源: 数字证书|电子签名|电子签章|身份认证


方案概述

CA认证建设作为电子政务外网安全体系的核心,是电子政务顶层设计在安全层面规定的核心建设内容。在建设过程中应该遵循统一规划、分步实施、开放性、方便集成、先进与实用性、可靠性和稳定性等原则。这些原则对电子政务数字证书应用方案设计和产品选型具有一定的指导意义。

1)  统一规划、分步实施原则

针对CA认证涉及的技术新、投资大等特性,必须采用“统一规划、分步实施”的原则。具体而言,先对CA认证支撑平台进行统一规划,在保证各区县CA认证使用的前提下,各地市逐步建设CA认证支撑平台。随着今后应用的种类和复杂程度的增加,再在省级现有基础防护体系之上,建立增强的安全防护体系。

2)  开放性原则

ü  数字证书及CRL的格式要求。证书的格式要求遵循X.509 V3,证书撤消列表(CRL)的格式要求遵循同X.509 V3证书对应的X.509 v2 CRL。

ü  支持多种证书载体类型。数字证书可以存储在加密机、USB Key、IC卡等载体上。同时应具有抗读取、抗复制、便于携带等优点,保护证书私钥不出载体,有效保证数字证书的安全性。

ü  支持多种证书操作协议和管理协议。证书操作协议定义证书及CRL分发给应用系统的方式,包括基于LDAP、HTTP和X.500等多种手段,协议包括RFC2559、RFC2560、RFC2585、RFC2587、RFC2875等;证书管理协议定义PKI实体之间的在线交互协议,包括消息格式和消息传输协议,包括RFC2510、RFC2511、RFC2797等。

3)  方便集成原则

区县数字证书推广应注重数字证书与本单位的具体应用业务相结合,并提供多样化的集成解决方案,有效屏蔽安全技术的复杂性,使应用无须开发的情况下,即可构造高安全性的应用。

4)  先进与实用性原则

区县数字证书推广时,既要采用先进的技术和标准使建成后的系统具有先进水平,同时又要保护现有的投资,充分利用现有的CA应用支撑平台和证书介质,避免不必要的浪费。

5)  可靠性和稳定性原则

区县数字证书推广时,要充分考虑系统的可靠性及稳定性。对于关键设备需要冗余配置,以避免单点故障;关键服务器采用双机备份,出现问题时能够及时恢复;并采用自主研发的的安全产品,保证CA认证工作的高可靠性和高稳定性,保证CA认证服务不间断运行。

需求分析

1.1 数字证书应用场景

1.1.1  身份认证

身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一。用户身份认证是建立安全应用系统的第一道防线,目前各区县已建应用系统普遍存在用户名、密码方式登录,用户名、密码认证方式已被证明存在安全隐患,密码很容易泄露和破解。根据各县电子政务外网OA、公文传输系统业务的重要性,需要建立安全身份认证机制,保证电子政务交易实体的身份的真实性和合法性。通过引入合法CA机构颁发的数字证书和数字证书载体(USB_KEY),在技术上和法规要求上,可以有效保护用户身份的唯一性,有效保护交易双方身份的真实性。

1.1.2  数据加密

我省电子政务的快速发展提高了办公的高效性,但由此带来的安全隐患却随着对信息化办公的普及而越发明显。对数据机密性的威胁主要包括未经许可访问信息、泄露信息、监视或监控交易事务、拷贝信息以及偷窃信息,网上办公的各种敏感信息均为明文在网上传输。非法接入用户可轻易的偷窥信息,甚至中途对信息进行篡改并发放。而通过网络传输的业务数据更是容易受到安全性上的威胁。由于网络开放性的特点,非法入侵的黑客更加容易得到本无权限得到的信息。因此解决网上办公数据的机密性成为了迫在眉睫需要解决的问题。在PKI技术中通常采用数字信封技术实现数据存储和传输加密,以确保数据的机密性。

1.1.3  数字签名

公文信息在政府信息系统流转过程中,涉及到各级公务人员对数据的创建、修改、删除等操作,鉴于政府职能的特殊性,需建立有效的责任认定机制。

在实际办公业务中,各级政府均采用关键领导签名和政府加盖公章的方式来确保纸质文件的有效性。随着《电子签名法》的实施,数字签名和手写签名效力达到了等同的地位,各级政府也应该为使用OA、公文传输系统的各级公务人员提供数字签名来实现电子文档的有效性验证。同时,在网络信息世界,数字签名是隐藏在电子文档中的一串字符,不能像现实世界的手写签名一样直接展现给用户,因此,需要通过相关技术手段实现数字签名的可视化,而电子签章正是数字签名的图形化展示,在政府信息系统中集成电子签章系统能够有效的解决责任认定问题。

平台架构

2.1 平台设计

CA认证平台主要由基础设施层、应用支撑层、安全应用层三个部分组成。

基础设施层实现证书的签发、管理、证书源目录、密钥生产与存储、司法取证服务等。基础设施层由CA中心及其分支机构负责建设和维护。

应用支撑层即CA应用支撑平台,主要提供应用系统证书运行所需要的PKI各项安全服务,由各种形态的证书应用服务器和PKI安全中间件组成。各地市CA应用支撑平台由各地市根据应用支撑平台规范进行建设。

认证服务器、签名验签服务器、本地OCSP服务器是在屏蔽安全实现细节的基础上,以外包(接口)的形式为应用系统提供认证、签名、在线查询相关专业服务,最大程度上减轻了应用系统在安全实现方面的代价。

时间戳服务器、电子签章系统、服务器密码机是提供标准时间源、电子印章、服务端密钥管理的专业系统。

PKI安全中间件是以公钥基础设施PKI为核心,建立在一系列相关国际安全标准的基础上,在实现认证、签名、验签、时间戳等服务的基础上,对PKI基本功能如对称加密和解密、非对称加密和解密、信息摘要、单向散列、数字签名以及密钥生成、储存、销毁等进一步扩充,进而形成系统安全服务器接口。向上为应用系统提供统一的安全开发接口,向下提供统一的密码算法接口以及各种设备驱动接口。

安全应用层是数字证书在应用系统的具体实现,通过调用PKI安全中间件相关安全接口对OA、公文传输等系统进行配置或二次开发,实现身份认证、信息加密、电子签名等功能,保证用户身份的合法性以及数据的机密性、完整性和不可抵赖性。