电子认证注册服务机构建设Word文档下载推荐.docx
《电子认证注册服务机构建设Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《电子认证注册服务机构建设Word文档下载推荐.docx(17页珍藏版)》请在冰点文库上搜索。
指集机构、系统(硬件和软件)、人员、程序、策略和协议为一体,利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。
PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括电子认证服务机构、注册机构、资料库等基本逻辑部件和在线证书状态协议服务等可选服务部件以及所依赖的运行环境。
3.6
数字证书DigitalCertificate
由证书认证机构签发的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
3.7
证书撤销列表CertificateRevocationList(CRL)
也称证书黑名单,是CA签发的一系列不再被证书发布者所信任的证书签名列表。
3.8
在线证书状态查询协议OnlineCertificateStatusProtocol(OCSP)
在线证书状态协议发送一个对于证书状态信息的请求,服务器回复一个“有效”、“过期”或“未知”的响应。
3.9
移动终端MobileDevice
指在移动业务中使用的,基于互联网进行通信,从电子政务外网安全接入区接入的可移动的计算设备,包括手机、PAD等通用终端和专用终端设备。
3.10
互联网接入终端InternetAccessTerminal
互联网接入终端指基于互联网进行通信,从电子政务外网安全接入区接入的移动终端、PC终端或业务应用主机。
3.11
电子政务移动办公系统MobileE-GovernmentSystem
利用移动终端,随时随地通过无线网络、互联网等访问电子政务办公系统,进行网上办公的应用系统。
4 总体要求
按照国家和省对于电子政务外网电子认证基础设施建设的相关要求,基于PKI技术的全省电子政务外网电子认证注册服务分中心(LRA)、注册服务点,为全省各级政务部门工作人员制作、发放和管理各类数字证书。
a)各设区市参照国家、省电子认证服务标准和规范,建设注册服务分中心(LRA)及注册服务点,负责本地区证书发放;
省各有关部门和单位根据实际需要,可独立建设注册服务分中心(LRA)或注册服务点,也可使用省级注册服务中心(RA)统一发放的证书。
b)设区市可建设一个或者多个注册服务分中心(LRA),县(市、区)根据业务需求可以建设所属设区市注册服务分中心的下级注册服务点。
c)电子政务外网需使用数字证书的新建应用系统,应使用省电子政务外网注册服务中心(RA)审核发放的数字证书;
使用其它证书认证系统的原有电子政务外网应用系统,需逐步过渡到电子政务外网统一的证书认证系统。
5 建设原则
5.1 规范建设原则
电子政务外网电子认证注册服务机构建设,应按照国家和省有关部门的相关规划和要求,统一技术路线,统一标准规范,相关技术、标准、协议和接口应遵循国家的有关规定,建设申请、审核和合规性审查应遵循建设流程规范。
5.2 安全设计原则
电子政务外网电子认证注册服务机构建设,需根据建设单位自身实际情况,对物理环境、网络环境、系统软件、设备管理和密钥管理等方面进行系统风险分析,制定相应的物理安全设计、网络安全设计、系统安全设计、数据安全设计和密钥安全设计等。
5.3 分级管理原则
具体要求如下:
a)电子政务外网电子认证注册服务机构建设,按照“谁建设谁运维”原则进行分级运维和管理。
b)省政府办公厅电子政务办公室负责全省电子政务外网证书认证系统的管理工作,包括注册服务分中心及注册服务点建设的报备和合规性审查,省级电子认证注册服务中心(RA)的建设和运行维护,全省电子政务外网用户数字证书业务的审核。
c)设区市政府办公室(厅)负责本地区电子政务外网电子认证注册服务分中心(LRA)及注册服务点的建设和运行维护,以及本地区政务外网用户数字证书的发放和维护服务工作。
d)省有关部门根据业务需求建设电子政务外网电子认证注册服务分中心(LRA)及注册服务点。
5.4 规范管理原则
电子政务外网电子认证注册服务机构建设,需建立主要领导负责制,从机构、制度、人员、运行维护、资金保障等方面实现全面、有效、规范管理。
6 体系结构
省级电子政务外网电子认证注册服务中心按照国家电子政务外网CA体系架构建设。
国家电子政务外网认证体系架构共分成CA中心、RA中心、LRA节点三个层次,形成“国家-省-市”三级体系架构。
江苏省电子政务外网基于国家电子政务外网CA体系架构,规划“国家-省-市-县”四级体系,涵盖省内设区市和县(市、区)。
详见图1。
注册服务分中心、注册服务点建设内容见附录A。
a)CA中心:
国家政务外网CA中心主要提供CA系统的核心服务,负责签发和管理证书。
国家电子政务外网离线根CA与政务外网CA系统共同构建完整的国家电子政务外网信任体系源点;
b)RA中心:
是设在省的RA节点,负责全省范围内各类数字证书的申请、更新、作废等管理,提供基于数字证书的安全支撑服务;
c)LRA节点:
LRA是RA系统的下级节点,可为本区域人员提供最终用户证书管理服务,负责接收本管辖范围内各种数字证书的请求,并向RA系统提出请求,由RA系统节点和CA系统完成交互,完成证书申请、证书更新、证书作废等请求;
d)注册服务点:
注册服务点可接入省级RA或设区市LRA系统,可为县(市、区)提供基础的数字证书本地管理和服务。
图1 体系结构
7 建设内容
7.1 电子认证服务中心
LRA系统
LRA系统为用户提供数字证书基本信息的管理和维护。
系统需具备如下功能:
a)系统支持直接接入省电子政务外网RA系统;
b)使用GB/T25056中的安全通信标准与省政务外网RA系统进行安全通信;
c)提供基本的证书信息管理服务,包括:
1——证书注册;
2——证书签发;
3——证书更新;
4——证书冻结/解冻;
5——证书重发;
6——证书废除。
d)提供基本的证书辅助管理功能包括查询/统计/归档等;
e)对外提供服务接口,供第三方进行应用开发。
注册服务点系统
注册服务点系统为用户提供数字证书基本信息的管理和维护。
a)系统支持直接接入省级RA或设区市LRA系统;
b)使用GB/T25056中的安全通信标准与省级RA或设区市LRA系统进行安全通信;
7——证书注册;
8——证书签发;
9——证书更新;
10——证书冻结/解冻;
11——证书重发;
12——证书废除。
d)提供基本的证书辅助管理功能包括查询/统计/归档等。
服务器密码机
服务器密码机为LRA系统中信息及传输数据提供基于密码技术的保护。
系统具备如下功能:
a)支持数据加密、解密;
b)支持MAC的产生、验证;
c)支持SM3、SHA256等散列函数;
d)支持RSA2048和SM2非对称算法;
e)具备热备份、负载均衡;
f)具备国家密码管理局颁发的《商用密码产品型号证书》。
目录服务
系统结构
要求如下:
a)省电子政务外网RA注册服务中心以国家电子政务外网CA中心的主目录为证书发布载体。
省级目录体系结构为三层体系机构,分别为:
国家电子政务外网主/从目录服务、省电子政务外网从目录服务和设区市电子政务外网目录服务。
详见图2。
图2 CA目录体系结构
b)通过目录的复制机制,实现不同层次的目录服务之间数据共享。
所有设区市目录服务所需进行的目录查询操作均在本节点目录服务实现,各设区市应用如需查询非本节点内的证书信息,则通过查询江苏省电子政务外网固定从目录服务实现。
c)为提高目录体系互联互通的可靠性,政务外网运行CA采用统一的目录服务系统,各注册服务中心应采用与政务CA相同产品。
目录命名空间
目录命名空间可以理解为目录树结构。
目录的命名空间,取决于证书的命名规范,并影响目录的部署方式。
江苏省电子政务外网目录命名空间和目录树结构符合《国家电子政务外网证书认证机构(CA)命名空间规范》。
其证书主题规则如下:
a)桌面端个人用户证书
证书类型:
SM2双证书
主题规则:
CN=姓名,G=姓名全拼,OU=机构编码+姓名全拼+重名区分码,O=江苏省政府,S=江苏省,C=CN
b)移动端个人用户证书
RSA2048单证书
CN=姓名,G=姓名全拼,OU=机构编码+姓名全拼+重名区分码,OU=mobile,O=江苏省政府,S=江苏省,C=CN
c)机构证书
根据实际需求
CN=机构名称,G=统一社会信用代码或机构代码,O=机构区分码,O=江苏省政府,S=江苏省,C=CN
主题规则字段说明如下表:
表1 主题规则字段说明
主题规则字段
说明
个人用户证书
CN=姓名
用中文表示,手动输入
G=姓名全拼
姓名全拼,使用算法实现
OU=机构编码+姓名全拼+重名区分码
唯一标识字段,用算法实现,重名区分码检测机构编码和姓名全拼的组合字段,从0开始,依次累加。
OU=mobile
用来区分桌面和移动用户
机构证书
CN=机构名称
机构名称使用中文表示
O=机构区分码
机构证书机构区分码从01开始,依次累加,02、03……,非必填。
G=统一社会信用代码或机构代码
18位的阿拉伯数字或大写英文字母。
如果还没有,也可暂用组织机构代码(见附录G)
O=江苏省政府,S=江苏省,C=CN
证书BaseDN
目录服务系统
设区市目录服务系统(LDAP)采用主从目录结构设计,作为从目录服务负责同步主目录服务信息,并存储证书及发布CRL列表信息。
a)与国家和省电子政务外网目录服务系统体系一致,支持与省目录服务系统进行主从同步;
b)支持用户证书信息发布,支持证书撤销列表CRL在线查询服务;
c)支持一主多从模式,子树、级联方式;
d)支持LDAPV2、V3标准、SSL协议,并兼容MD5、SMD5、SHA256、SSHA1等算法;
e)支持标准的LDIF格式;
f)支持SSL/TLS/StartTLS标准;
g)支持基于目录树、基于某个分支的复制;
h)目录命名空间和目录树结构符合《国家电子政务外网证书认证机构(CA)命名空间规范》;
i)具备国家密码管理局颁发的《商用密码产品型号证书》。
在线证书状态查询系统(OCSP)
在线证书状态查询系统主要为业务系统提供实时的在线证书状态查询服务。
系统具备功能如下:
a)证书状态查询功能:
在线接受证书状态查询请求,完成证书状态查询操作,将证书状态信息封装在OCSP响应中签发给用户;
b)支持多种查询方式:
支持从CA查询证书状态,也支持从LDAP服务器查询证书状态;
c)支持多种数字证书:
支持个人证书、机构证书、设备证书、无线证书(遵循WPKI规范)等各类数字证书;
d)采用标准的OCSP协议,支持第三方的OCSP客户端应用;
e)通讯协议支持HTTP1.1和CMP。
证书在线服务系统
证书在线服务系统主要为用户提供在线申请办理数字证书的新办、延期、补办、解锁等各项业务。
a)与LRA系统对接:
支持省电子政务外网RA中心证书信任链,与国家电子政务外网管理中心电子政务外网CA中心及省电子政务外网RA中心保持版本实时同步;
b)为用户提供自助式的在线证书更新、延期等基础的证书服务功能;
c)为管理员提供系统管理和参数配置功能,对证书更新有效期、快过期时限等进行设置;
d)支持用户属性变更更新,支持当用户个人信息发生变化时进行数字证书更新;
e)提供数字证书载体运行环境自检测功能,提供运行环境自修复功能,提供修复组件下载服务(检测环境包括硬件、浏览器、证书链、驱动、控件等);
f)提供用户自助数字证书载体解锁服务,包括数字证书载体解锁申请,支持结合邮箱或短信为用户发放数字证书载体解锁随机验证码。
USBKey
USBKey是数字证书的载体,具体要求如下:
a)产品应采用《国家电子政务外网电子认证注册服务机构建设指南》中“经过测试符合政务外网要求的证书存储介质型号”;
b)设备支持标准USB1.1、USB2.0接口;
c)设备支持电子政务外网数字证书存储;
d)设备内置算法:
DES/3DES/RSA2048/SM2/SM3/SM4以及国产分组算法等;
e)符合国家密码管理局《智能IC卡及智能密码钥匙密码应用接口规范》;
7.2 电子认证发证中心
办公设备
需要配置的办公设备,包括:
电脑(用于制证及LRA系统管理)、标签打印机、扫描仪、复印机、办公桌/办公椅、铁皮柜(用于存放客户资料,存储介质等)、保密柜(存放未被用户领走的存有私钥的介质等)。
办公场地
根据以上办公物品存放面积、人员工位大小及受理接待区,建议使用面积不少于40平方米。
场地装修和安全防护建设应能满足电子认证发证中心工作和安防的要求。
机房
机房内配置一至两个标准机柜,用于安装外网电子认证注册服务分中心、注册服务点的相关设备。
人员配置
建议配置不少于2位工作人员,职责包括用户接待、资料录入、资料审核、制作证书、原材料出入库、证书出入库、对证书、原材料进行汇总统计管理、产品的派送、原材料采购、制证档案资料管理等。
其中,资料录入与资料审核需两人分别办理,其他可兼职进行。
人员培训
a)LRA运维培训,由国家电子政务外网数字证书中心或江苏省电子政务外网注册服务中心统一组织安排。
b)LRA技术培训和使用培训,由LRA产品提供商负责。
7.3 应用安全支撑中心
安全认证网关
安全认证网关主要为用户提供支持数字证书的身份认证、访问控制和链路加密功能。
a)产品应为《国家电子政务外网电子认证注册服务机构建设指南》中“通过测试的安全认证网关产品”;
b)支持RSA、SHA1、MD2、MD5等算法;
c)支持SM2、SM3、SM4国密算法;
d)支持符合X.509v3格式的数字证书的身份认证功能;
e)支持基于LDAP黑名单、白名单的访问控制功能;
f)支持链路加密功能,支持创建多个链路加密服务,保护不同的应用服务,也可支持通过客户端建立加密链路,保护多个应用服务;
g)支持单双向认证选择功能,产品可以设置是否需要用户提交用户证书;
h)支持多证书链功能:
一个加密服务中可同时配置多条证书链,验证不同CA的用户证书;
i)支持RSA和SM2数字证书的同时使用;
j)支持双机热备和负载均衡功能,具备高可靠性;
k)具备国家密码管理局颁发的《商用密码产品型号证书》。
签名验证服务器
签名验签服务器主要为外网应用提供签名/验证签名等密码接口服务。
a)产品应为《国家电子政务外网电子认证注册服务机构建设指南》中“通过测试的签名验证服务器产品”;
b)支持普通格式/P7attach/P7detach等多种格式的数字签名、数字签名验证功能;
c)支持对文件提供数字签名、数字签名验证功能;
d)支持黑名单/OCSP等多种方式的证书有效性验证,支持自动更新黑名单、动态更新;
e)支持SM2、SM3、SM4国密算法,支持RSA、SM2数字证书;
f)支持多条证书链,验证不同CA的用户证书;
g)支持证书解析功能,获取证书中的任意主题信息以及扩展项信息;
h)支持系统将日志以SYSLOG的方式发送到指定服务器;
i)支持多种开发接口支持,客户端提供C开发API,COM方式API,Java开发API;
j)支持双机热备功能;
移动证书服务系统
移动证书服务系统主要与LRA系统对接,为移动终端提供数字证书注册、下载、更新、延期等业务。
移动证书服务系统需要与安全接入网关进行配合,保证移动终端用户身份的可信。
a)与LRA系统进行对接,提供移动终端证书管理功能,包括证书申请、下载、废除等服务;
b)支持为移动终端提供安全中间件(SDK开发包);
c)支持Android系统的Java开发接口;
d)支持数字证书的申请、更新、延期等在线服务;
e)支持TF卡、SIM卡、文件型等各类数字证书形态;
f)支持数字证书和移动设备绑定功能,证书和移动设备分离后,该证书在其它设备中将无法使用。
安全接入网关
安全接入网关主要为移动终端提供安全接入网络的基于数字证书的身份认证、访问控制和数据传输加密等功能。
b)支持国密非对称算法SM2和RSA算法;
c)支持移动终端(Android、IOS等主流操作系统)用户基于数字证书的应用系统访问身份认证,移动终端支持文件数字证书和TF卡形式数字证书;
d)支持基于X.509v3标准证书的高强度身份认证,同时支持多种认证协议,支持单、双向认证选择功能;
e)支持动态黑名单功能,系统可以自动更新黑名单、动态更新;
f)支持多证书链功能,一个安全服务中可同时配置多条证书链,验证不同CA的用户证书;
g)支持应用重定向功能;
h)支持通过cookie将证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息;
i)支持信息统计功能,系统能够对用户连接数、应用访问情况、系统资源占用等信息进行统计;
j)支持双机热备功能,系统具备高可靠性;
k)设备具备国家密码管理局颁发的《商用密码产品型号证书》。
8 电子认证注册机构建设流程
8.1 申请及审批步骤
明确需求
拟申请建设外网LRA的单位与江苏省人民政府办公厅电子政务办公室(以下简称“电子政务办”)进行接洽,了解建设规模、基本费用等情况,并就技术实现是否无障碍等方面进行交流。
由电子政务办向申请单位提供有关电子认证注册服务机构建设资料,包括建设规范与建设指南等方面内容。
提交建设申请资料
申请单位向电子政务办递交外网LRA建设申请函(见附录B),并填写申请表格,说明使用目的、经费落实、预计发证数量、使用范围等情况(见附录C),同时提供外网建设主管部门同意建设的书面材料。
审查
电子政务办按照审查流程审查申请函、申请表格及相关资料,在申请表格填写同意建设或不同意建设的意见。
对于同意的,在10个工作日内向申请单位回复签署过的申请表格原件以及同意建设回复函,申请单位即可开展有关建设工作。
对于不同意的,在10个工作日内向申请单位说明不同意的原因,申请单位对申报材料做相应修改后重新进行申报。
8.2 建设阶段
产品选型
LRA建设单位在进行产品造型时应符合是电子政务外网产品造型要求(见附录D),并将所选承建商及产品告之电子政务办,以便开始建设协作。
明确实施方案
由LRA承建商根据《国家电子政务外网电子认证注册服务机构建设指南》编写电子政务外网数字证书中心LRA建设方案,该方案经LRA建设申请单位向电子政务办提交,并经电子政务办审核批准后(审批依据:
《国家电子政务外网证书认证机构(CA)命名空间规范》、《国家电子政务外网电子认证注册服务机构建设指南》、《国家电子政务外网数字证书格式规范》、《国家电子政务外网证书认证机构(CA)系统接口规范》),由电子政务办向LRA建设申请单位发出方案审核修改意见电子邮件,最后由LRA承建商根据修改后方案的具体内容实施LRA建设。
电子政务办根据建设方案内容,为在建LRA开通测试帐号和临时服务端口。
8.3 合规性审查
LRA系统合规性审查
LRA系统建设完成后,由申请建设单位向电子政务办提交LRA合规性审查申请(见附录E),电子政务办接到申请后10个工作日内组织相关人员按照统一的合规性审查流程进行现场合规性审查。
合规性审查内容
通过下述内容合规性审查后,电子政务办向LRA建设单位出具《LRA建设合规性审查通过报告》。
未通过审查的,按照审查意见修改后重新进行现场合规性审查。
内容要求如下:
a)LRA建设过程文档,内容包括LRA建设方案、验收单、测试报告、机房人员管理制度等;
b)根据LRA建设方案审查软硬件系统设备;
c)根据《国家电子政务外网注册服务机构(RA)合规性审查指南》,对LRA环境、功能进行审查。
开通LRA服务
LRA提交管理员证书申请表和网络配置信息,外网RA取消测试帐号和临时服务端口,发放LRA管理员证书,正式开通LRA服务。
(详细LRA建设流程见附录F。
)