XX局电子签名认证服务平台应用解决方案
1 需求分析
本次项目建设的电子签名系统平台(简称平台)需要满足XX局对电子签章的应用要求,实现执法业务网络化、无纸化批,同时在部署上满足管理局“两地三中心”的部署要求,实现电子签名系统的高可用性、安全性运行。下面将从业务应用方面和平台网络部署方面进行具体分析。
1.1 业务应用需求
1、证书本地化注册申请的需求
由权威合法的第三方电子认证服务机构为管理局、所、部门、工作人员等不同实体对象设计、签发不同类型的数字证书,用于标识管理局、部门、人员在网络应用中的真实身份,做到机构或人员身份无法伪造、假冒。同时,充分考虑数字证书注册申请签发环节的方便性,可以在管理局内部部署设置相应的证书注册申请环境,使管理局在数字证书注册申请上实现本地化申请签发。
2、可信电子签名、时间戳的需求
在XX局的相应业务应用系统中,申请人提出的业务申请,领导进行的审核审批,以及在最终结果上进行部门、所或管理局公章加盖时,需要将这些原来在线下人工进行的流程,全程搬到线上进行,且使用产生的电子凭证或电子文书与原来线下形成的纸质材料具有同等法律效力。根据《中华人民共和国电子签名法》的相关要求,需要在管理局业务应用系统中使用可靠电子签名,使操作人员在各类业务应用系统中对其对操作行为负责且具有不可否认,操作所产生的业务数据具有完整性、防篡改性、秘密性的特点,最终使管理局审核审批业务实现全程网络化、无纸化办理。
同时,为了增强审核审批业务发生时间的权威性,在对相关业务审核审批进行电子签名时,同时为其加盖相应时间戳,保障业务形成时间的可信性。
3、证书在使用形式上的需求
根据XX局当前实际的工作情况,数字证书应用需要分别满足PC端和移动执法专用端的应用要求。在PC端可使用USBKEY形式的数字证书,在移动执法专用端需要使用非USBKEY形式的数字证书,满足移动执法在便捷性方面的要求。
1.2 网络部署需求
根据XX局“两地三中心”的部署要求,需要在同城的两个服务中心分别部署相应的电子签名系统服务平台,且两个服务中心的电子签名系统服务平台以主从模式对外提供服务,在异地的服务中心部署电子签名系统服务平台的数据备份系统,为平台提供CA电子签名认证服务数据备份服务。
2 技术方案
2.1 CA支撑平台整体框架设计
结合XX局对电子签名的应用需求,设计在XX局本地部署建设一套电子签名认证服务支撑平台(简称CA支撑平台),CA支撑平台主要由基础设施层、安全服务层、安全应用层三个部分组成。
基础设施层实现数字证书(USBKEY证书、云证书)的签发、管理、证书在线状态发布、密钥生产与存储等。基础设施层由陕西CA中心认证负责建设和维护。
安全服务层主要负责提供USBKEY证书和云证书签发、印章采集制作、证书身份认证、签名验签、电子签章、时间戳、加解密等一系列服务,服务以PKI中间件、WebService、SDK等接口形式向上层业务应用系统提供。这些服务接口屏蔽了证书安全应用的实现细节,最大程度上减轻了应用系统在安全实现方面的代价。本层是由一系列证书应用相关的安全产品组成。主要包括数字证书注册管理管理系统、服务器密码机、身份认证系统、签名验签服务系统、电子签章服务系统、时间戳服务系统、云证书应用代理系统。
安全应用层是与具体业务应用系统紧密结合的部分,通过与具体业务应用系统的对接集成,在相应业务系统上实现CA电子认证的各项证书应用功能,从而有效保证业务应用系统用户身份的真实性以及业务数据的机密性、完整性、防篡改性和不可抵赖性。在安全应用层,管理局和各戒毒所相关业务系统主要是对CA认证、电子签名、时间戳、加解密等功能服务进行集成对接,使业务应用系统实现CA认证登录、电子签名(签章)、时间戳、加解密等服务功能。
2.2 CA支撑平台网络部署设计
电子签名认证服务支撑平台网络部署主要设计思想是:分别在同城服务中心部署一套CA支撑平台,并按主从工作模式进行配置;由处于工作状态的CA支撑平台向管理局和戒毒所的业务应用系统提供相应的CA登录认证、电子签名、时间戳、加解密等安全应用服务;陕西CA认证中心通过单向隔离网闸为同城服务中心的CA支撑平台提供USBKEY证书、云证书的签发服务及数字证书状态信息的发布服务;由异地服务中心的CA数据备份系统依托当地的磁盘存储柜向同城两个服务中心的CA支撑平台分别提供CA数据实时备份服务。
2.3 CA支撑平台的安全产品介绍
在XX局内部建设本地化的电子签名认证服务支撑平台,满足管理局和戒毒所内用户USBKEY证书的本地化注册申请和云证书的在线自助注册申请,以及管理局内部业务系统在业务处理过程中对用户真实身份认证、电子签名(签章)、时间戳等证书应用需求,最终实现业务审核审批的全程网络化、无纸化,且形成的电子凭证或文书合法合规,与纸质材料具有同等法律效力。
2.3.1 本地证书注册管理系统(LRA)
证书注册管理系统具有对管理员的管理、证书申请、审核、证书制作、更新、注销等的功能。可以完成对管理员证书的授权、用户证书的申请、审核、制作、更新等数字证书相关业务。
Ø 全面支持X509数字证书及PKI公钥体系;
Ø 提供证书读取、证书解析、证书验证、生成随机数、数字信封、数据加密、证书检查等功能;
Ø 提供证书更新功能,可以收集证书应用环境发起的证书更新请求,统一由证书管理服务器、管理员批量更新证书,可以根据证书应用环境自动更新;
Ø 系统提供机构管理功能,实现在多机构共用证书管理服务器时的信息分类;系统管理员可以按照机构名称查询证书更新状态信息等。
2.3.2 服务器密码机(KM)
服务器密码机主要作用为是云证书生成签名密钥对和加密密钥对,同时证书认证、签名验签、加解密等提供高性能的密码算法服务。
服务器密码机主要功能包括RSA算法加/解密功能、RSA算法数字签名/验证功能、SM2算法加/解密功能、SM2算法数字签名/验证功能、对称密钥加/解密功能(SSF33、CB2算法加密/解密速度50Mbps)、随机数生成功能、密钥生成与管理功能、密码算法及密钥防护功能、集群及扩展功能、LINUX/UNIX/WINDOWS系统调用功能等。
Ø RSA1024 签名3500次/秒验签10000次/秒;
Ø RSA2048 签名600次/秒验签5000次/秒;
Ø SM2 256 签名1500次/秒验签1000次/秒;
Ø SM1 100Mbps;
Ø SM4 60Mbps。
2.3.3 电子签章系统
电子签章通过技术手段将数字证书与图片或者文字进行绑定,实现电子签名的可视化操作。电子签章系统支持国家密码局有关电子签章的规范,采用国家密码局规定的密码算法进行签名和加密。电子签章系统具有以下基本功能:
Ø 提供电子印章的制作和管理功能,提供日志审计功能;
Ø 支持电子印章图片写入证书存储介质中,并与证书绑定;
Ø 支持自动生成电子印章图片,同时也支持采集手写签名;
Ø 可在多种电子文档(如WORD、PDF、OFD、HTML)上添加电子签章,达到纸质文档上的签章效果;
Ø 提供电子签章客户端控件;
Ø 在服务端对电子文档提供电子签章的接口服务;
Ø 确保电子签章和文档内容紧密绑定,一旦绑定内容发生变化,电子签章失效,防止篡改;
Ø 可对电子签章的真实性及其绑定内容的完整性进行验证;
Ø 可查看签章用户的身份;
Ø 提供电子签章中间件,满足C/S、B/S环境的电子签章集成;
Ø 电子签章应用支持PC端和移动端。
电子签章插件支持B/S和C/S,以组件形式集成在WORD、PDF、OFD等文件系统中,通过调用第三方CA证书,实现身份认证、机密性、完整性和不可抵赖性。支持手写签名、数字签名、一文多章、骑缝章、时间戳、防伪条码、防伪打印、加密保存等多项安全功能。
2.3.4 认证服务器软件(ASS)
认证服务器软件是基于SOA架构的证书认证系统,作为CA认证支撑平台与应用系统之间的“桥梁”,承担着用户证书身份认证、认证过程审计和证书CRL列表、白名单、OCSP查询功能,主要应用于证书登录方面。
功能指标:
Ø 提供基于WS的数字证书身份认证功能;
Ø 提供基于WS的方式的认证过程审计功能;
Ø 内置CRL列表、白名单、OCSP;
Ø 灵活支持单向或双向身份认证;
Ø 支持SM2算法,兼容RSA算法;
Ø 最大可支持2500并发访问。
2.3.5 签名验签服务器软件(VSS)
本系统为项目建设的新增系统。
签名验证服务器(Passec Sign & Verify Server System)是基于SOA架构的签名验证系统,主要提供对数据进行数字签名以及签名的真实性和有效性验证功能,可应用于验证用户身份、检验交易凭证和防止抵赖等方面。
功能指标:
Ø 提供基于WS的数字签名、数字验签功能;
Ø 提供基于WS的签名审计、证据保全、司法举证等功能;
Ø 支持标准的PKCS#7格式;
Ø 支持RSA、SM2算法;支持MD5、SHA1、SM3摘要算法;支持DES、3DES、SM1算法;
Ø 最大可支持2500并发访问。
2.3.6 时间戳服务系统(TSA)
时间戳服务器是一套基于PKI技术的时间戳权威(TSA)系统服务。它采用精确的时间源、高强度高标准的安全机制、能够为用户提供精确的、不可抵赖的时间戳服务,该时间戳服务严格遵循国际标准(RFC3161)时间戳协议,采用标准的时间戳请求、时间戳应答以及时间戳编码格式,具有良好的兼容性能。
时间戳服务器主要功能包括签发时间戳、验证时间戳、获取时间戳主要信息、解析时间戳详细信息、时间戳审计、同步可信时间等。
Ø 内置时间源套件,支持从国家授时中心标准时间源获取可信时间服务。
Ø 对外提供时间戳签发服务和时间戳校验服务;
Ø 支持对电子文件做时间戳签发服务和时间戳校验服务;
Ø 遵循国际通用标准的戳服务请求和验证反馈;
Ø 支持签名密钥生成与保护;
Ø 支持时间戳签名、签名密钥备份;
Ø 支持NPT、SNPT等时间同步协议,可实现全网校时;
Ø 支持操作日志记录和审计;
Ø 时间源同步误差:年偏离<1s;
Ø 1024位RSA时间戳签名速度8000次/秒;
Ø 1024位RSA时间戳验证速度20000次/秒;
Ø 2048位RSA时间戳签名速度700次/秒;
Ø 2048位RSA时间戳验证速度7000次/秒;
Ø 256位SM2时间戳签名速度2000次/秒;
Ø 256位SM2时间戳验签速度1500次/秒;
Ø 专用工业控制计算机,机架式2U。
2.3.7 CA数据备份系统
CA数据备份系统的功能模块主要包括:系统管理、备份服务、介质管理服务、备份客户端、应用代理等。
系统管理:主要用于显示、配置备份作业信息,并实时查看备份日记、备份进程等信息。
备份服务:主要负责备份作业的调度与执行,管理存储介质和存储设备,生成备份日志,向管理界面发出警报等。
备份客户端:安装于需要备份的应用服务器上,执行备份服务器程序以及对远程服务器和工作站进行查询,使备份服务器能访问工作站的目录和驱动器。具体执行服务器和工作站的文件系统备份任务,执行备份数据压缩和恢复数据解压缩功能,及与应用代理程序通信并传递和恢复数据。
应用代理:应用代理与备份客户端安装在同一台应用服务器上, 主要功能包括:通过数据源的备份接口获取需要备份的数据,通过数据源的备份接口恢复数据,与备份客户端通信并接受备份和恢复指令和数据流。
介质管理服务:主要实现备份介质的读取和写入,接受备份数据,并写入存储设备,如磁带、硬盘、光盘等。 数据恢复时从备份介质中读取数据,发送给备份客户端。
其它功能:数据储存方式支持DAS、NAS、SAN;数据备份方式,支持完全备份、增理备份;数据备份对象支持AIX、Solaris、Windows、Linux等操作系统,支持Oracle、SQLServer等数据库。
2.3.8 移动证书应用代理系统
向移动执法系统提供云移动证书注册申请、证书认证、签名签章、加解密等服务。
Ø 支持Windows、Android、IOS等主流开发平台;
Ø 提供移动证书注册申请、更新、注销等证书管理应用服务;
Ø 接收移动端的云证书应用请求,向CA认证中心的移动服务平台转发或处理移动证书认证、签名验签、数据加解密等一系列证书相关服务;
Ø 证书认证服务请求的分发和管理;
Ø 支持移动证书应用日志管理。
2.3.9 PKI中间件
PKI安全中间件是以PKI公钥基础设施为基础,遵循国际、国内安全标准,面向信息安全应用,提供数字证书安全服务的开放式中间件。
PKI安全中间件提供对称加密和解密、非对称加密和解密、信息摘要、单向散列、数字签名以及密钥生成、储存、销毁等进一步扩充,进而形成系统安全服务接口。向上为应用系统提供开发接口,向下提供统一的密码算法接口以及各种设备驱动接口。安全中间件屏蔽了安全技术的复杂性,使设计开发人员无须具备专业的安全知识背景就能够构造高安全性的应用。
Ø 支持RSA、SM2算法;
Ø 全面支持X509数字证书及PKI公钥体系;
Ø 提供证书读取、证书解析、证书验证、生成随机数、数字信封、数据加密、证书检查等功能;
Ø 运用COM技术、JavaBean组件、Activex控件,适用于各类型开发语言。