长沙市电子政务CA安全建议书.docx
《长沙市电子政务CA安全建议书.docx》由会员分享,可在线阅读,更多相关《长沙市电子政务CA安全建议书.docx(21页珍藏版)》请在冰点文库上搜索。
长沙市电子政务CA安全建议书
长沙市国土资源局电子政务项目
CA安全认证方案建议书
长沙市国土资源局
2008年10月
1.概述
近年来,长沙市国土资源局大力开展了电子政务系统建设,长沙市国土资源局电子政务系统信息化在快速发展,建设了先进的公文审批系统,案卷上传系统逐步从传统方式向在线方式转变,大大提高的政府职能部门的服务质量和效率。
为了有效防止假冒身份、篡改信息、越权操作、否定责任等问题,现在急需建立安全的信任体系。
随着《电子签名法》的正式生效,基于国家许可的第三方认证机构的权威性,并利用先进的数字证书技术,成为解决电子政务应用系统安全问题的最有效途径,同时具有充分的法律依据。
2.现状与需求分析
2.1系统现状
目前,长沙市国土资源局已经建设了先进的网上公文审批系统,全市案卷上传系统等在业务上可满足政府各职能单位、业务处室的办公需求,但因为缺少第三方CA认证,暂未实现安全功能,具有极大的安全风险。
2.2安全需求分析
目前,长沙市国土资源局电子政务信息系统存在的安全需求如下:
1、保障登录公文审批,案卷上传系统的用户帐户的真实性
目前公文审批,案卷上传系统采用“用户名+口令”的认证方式,这种认证方式已经被证明存在明显的安全隐患。
非法分子可利用一些简单的黑客工具就能够得到登录者的用户名和口令,从而对公文审批,案卷上传系统进行破坏性攻击。
因此,建设具备高安全性、高可靠性的系统身份认证机制是迫在眉睫的事情。
2、保障数据在传输过程中的机密性、完整性和不可抵赖性
由于公文审批,案卷上传系统保存和传输的数据属于政府内部办公信息,有些信息为高度敏感数据,因此需要保障这些敏感数据在网络上传输时的机密性和完整性。
在传统方式下,可以通过单位盖章或个人的签字来实现责任的认定。
而在电子化环境下,也需要确保信息内容能用于事后的责任认定,防止抵赖行为。
目前,《中华人民共和国电子签名法》已经确定电子签名与手写签名具有同样的法律效力,因此在信息系统中需要针对重要信息内容实现符合法律要求的、有效的数字签名,以确保签名人能承担起其操作责任,不能否认和抵赖,这对减少并妥善处理事后的责任纠纷具有重要意义。
3、实现图形化、可视化的电子签章功能
在现实世界中,政府各职能部门进行数据上报时均采用签名和加盖印章的方式来确保纸质文件的有效性。
而在网络世界中,OA系统同样需要用户产生的电子签名数据具备图形化、可视化的效果,并能够对电子签章的有效性进行验证。
这样更加符合人们的日常操作习惯,更加容易被用户接受和认可。
3.设计思想
3.1建设目标
长沙市国土资源局电子政务项目的总体建设目标是,借助合法、可信第三方CA成功的经验和成熟的服务模式,为长沙市国土资源局电子政务建设证书发放系统和证书应用系统,提供安全信任服务。
为此,我们将为长沙市国土资源局公文审批,案卷上传系统提供证书注册管理系统(RA),实现证书的办理以及生命周期内的管理;提供WEB信息安全系统,在公文审批,案卷上传系统中实现基于数字证书的用户登录和权限管理;在公文审批,案卷上传系统的操作过程中集成电子签章系统,实现可视化的电子签名,并将数字证书的安全功能与公文审批,案卷上传业务流程紧密的结合起来,使证书应用软件与系统无缝结合,实现业务上各方面的安全需求。
3.2建设原则
北京数字证书认证中心(简称BJCA)在本项目中将遵循以下几个原则:
(1)法律有效性:
BJCA保障在本项目中所采用的证书技术体系和管理服务体系符合《电子签名法》和《电子认证服务管理办法》的要求,确保电子政务系统用户所获取证书的有效性;BJCA确保系统中使用的软件产品,完全具有自主的知识产权;保证产生的电子签名的可用性和合法性,确保各项操作的可靠性并可用于责任认定。
(2)标准化和可扩展性:
BJCA的RA系统符合国家最新技术标准,系统中所有的证书格式都符合X.509v3的标准,黑名单符合CRLV2标准,证书应用软件(WEB信息安全系统和电子签章系统)符合CSP和PKCS#11标准规范。
由于BJCA具有自主知识产权,可根据甲方需求,具有对软件的功能灵活扩展的技术研发能力,为满足将来业务上的扩展需求做好技术上的充分准备。
(3)实用性:
BJCA将建立适应长沙市国土资源局政府需要的、实用的RA系统,并提供相关培训服务,可使长沙市国土资源局证书用户方便获得数字证书和证书应用服务;在证书应用方面,BJCA充分考虑到业务系统的特点,实现与公文审批,案卷上传系统的无缝结合,使数字证书在系统中的启用简单方便,使数字证书在应用过程中产生切实有效的安全功能。
3.3遵循的规范标准
基于BJCA认证体系,来构建长沙市国土资源局应用系统安全信任服务的项目中,符合以下规范标准:
1.CA证书服务系统:
符合国家标准《证书认证系统密码及其相关安全技术规范》。
2.证书及证书撤消列表格式:
证书符合X.509V3,黑名单符合CRLV2标准;
3.非对称算法:
经国密局审查批准并认可的密码算法;
4.对称算法:
经国密局审查批准并认可的密码算法;
5.数字签名:
符合《电子签名法》对可靠电子签字签名的要求;
6.证书应用接口:
符合CSP标准,可支持PKCS#11标准。
7.符合抽象语法符号ASN.1标准的语法及编号。
3.4总体框架
根据本项目的需求,我们设计了本项目的总体框架,如下图所示:
图表1安全系统总体架构图
长沙市国土资源局基于BJCA的CA系统,建设RA系统,并配备证书管理员,利用RA系统系统为政府内部办公人员签发数字证书,并为他们制作电子印章。
在电子政务系统中,集成BJCA的Web信息安全系统和电子签章系统,配置服务器证书。
Web信息安全系统实现基于数字证书的身份认证、信息加密、检验信息完整性及实现抗抵赖性等;电子签章系统实现电子签章功能,并在系统中保存上传敏感资料原件及其电子签章,两者结合起来作为电子证据保存,可用于事后的责任认定。
4.RA系统与数字证书
4.1RA系统结构
在BJCA先进的CA系统基础上,将RA系统的建设在长沙市国土资源局。
本系统可根据长沙市国土资源局政府的需求进行方便的配置,RA系统结构图如下:
图表2RA系统结构示意图
4.2RA系统功能
RA注册系统采取B/S结构,这样既保证了受理点安装的简便性,系统主要提供如下操作模块:
Ø证书申请模块
证书申请模块负责录入用户的申请信息。
用户申请信息包括签发证书所需要的信息和用于验证用户身份的信息,这些信息存放在RA系统的数据库中。
Ø身份审核模块
身份审核模块提取用户的申请信息,审核用户的真实身份,当审核通过后,将证书签发所需要的信息提交给签发系统,为用户签发数字证书。
系统设计根据用户需求的不同,采取分级部署的模式,不同种类和等级的证书,要求不同级别的注册系统进行审核。
审核人员通过对申请者身份的检验,实现对证书申请者的身份审核。
Ø证书下载模块
当签发系统为用户签发证书后,注册系统通过证书下载模块完成证书下载,并将用户证书写入系统指定用户证书载体中,然后分发给用户。
Ø安全管理模块
负责对注册系统的各级管理人员和操作人员进行身份认证和安全访问控制,并记录相应的日志中。
负责对注册系统的管理人员、操作人员的操作日志进行查询、统计以及报表打印。
4.3RA系统的建设
图表3 RA系统网络拓扑图
根据国家标准以及行业通行经验,建设RA系统的网络拓扑图如上所示,部署的设备主要包括:
加密机、RA服务器以及系统管理终端。
RA系统的功能主要是:
接收证书注册点录入的信息,与CA系统建立安全通道,将用户证书注册信息发送到CA系统,将用户证书从CA系统中下载下来,并传递到注册点终端上的用户UsbKey内。
BJCA可根据甲方需要,为了提供更好的服务,节省成本,可采用甲方已有的RA服务器、网络设备、操作系统等软硬件。
RA系统建设的主要流程为:
1)准备:
准备网络环境、设备、操作系统、数据库和RA系统软件;准备RA系统的注册信息,如RA编号、基本信息等,签发RA通信证书;
2)安装部署:
将所有服务器、管理终端的操作系统安装完毕,配置网络,安装RA系统软件,配置参数,启动RA服务程序,配置各类管理员账户和证书。
3)测试:
测试RA系统与CA系统的通信功能,证书录入、审核和下载等功能,测试证书生产和管理等各方面业务。
4.4证书生命周期的管理
证书服务系统包括CA系统、RA系统和注册点,提供了数字证书整个生命周期的管理,包括证书的申请、审核、更新、注销、查询等等。
1、证书申请
申请者到长沙市国土资源局的注册点处当面申请证书,由注册点工作人员现场对申请者身份进行审核,审核通过后为用户签发证书,并当面将证书交给用户。
证书注册点管理员登录系统和操作系统的界面如下:
图表4 证书管理员登录与录入界面
2、证书更新
证书有效期一般为一年,当用户证书即将到期时,公文审批,案卷上传系统会提前30天自动提醒用户需要进行证书更新,并连接到帮助页面,指导用户完成证书更新操作。
3、证书吊销
当usbkey遗失、人员变动或其它导致用户无法继续承担网上操作责任时,用户应及时提出证书注销申请,CA工作人员通过证书服务系统废除该用户的证书,并通过证书服务系统进行作废证书列表的发布,公文审批系统中部署有CRL获取程序,定期从CA中心的LDAP目录服务器上下载最新的黑名单文件,从而使该证书不能再次登录公文审批,案卷上传系统。
由于公文审批系统位于内网,与BJCA的目录发布系统物理隔离,因此可采取在公文审批系统中单独建立黑名单列表的方式,实现证书注销和作废功能。
4、证书查询
CA系统可根据证书序列号、证书持有人、证书状态、证书类型、办理时期等查询条件,准确查询处于生命周期各个阶段的数字证书,及其持有人的详细信息:
图表5 证书查询界面
4.5数字证书产品
BJCA的证书服务系统是完全符合国家标准的CA系统,支持双证书模式,能够颁发个人证书、单位证书、服务器证书等主流证书类型,并提供优良的证书产品包装,提升证书用户的体验度。
图表6 数字证书包装示意图
为确保证书自身的安全性及使用的便利性,用户数字证书采用智能USBkey作为证书载体,USBkey的特点如下:
(1)对证书密钥保护程度高,不仅密钥存储可靠,而且私钥运算完全在专用芯片中进行,杜绝了密钥泄密;
(2)形状小巧,携带方便,操作简单。
5.Web信息安全系统
5.1系统概述
BJCAWeb信息安全系统是BJCA面向WEB应用系统所面临认证、签名和加密需求,而提出基于权威数字证书的具有完全自主知识产权的安全系统,它完全满足本次项目中关于Web安全通信系统的各项技术指标。
BJCAWeb信息安全系统在PKCS#11、CSP等标准的底层证书调用接口基础上,进行组件级应用封装,设计成由证书控件和安全网关组件两部分,分别与浏览器和Web服务器协同工作,确保具有安全完备、使用透明、性能高效的特点:
浏览器端采用证书ActiveX控件,服务器端的具体调用形式为基于对象的安全证书组件,两者的功能是对称的,主要有验证证书、数字签名、证书解析、数字信封、随机数、加解密等功能。
从结构上,该系统由证书控件和安全网关组件两部分组成,分别与浏览器和Web服务器协同工作,如下图所示:
图表7Web信息安全系统结构示意图
证书控件是标准的ActiveX对象,它内嵌到Web页面中,当用户浏览应用系统时自动下载并在浏览器中工作,用户的使用是透明的;服务器端安全网关作为基于对象的证书组件,配置于WEB服务器上,由应用程序进行调用,保护Web服务器的应用信息。
浏览器端证书控件和安全网关服务器的功能是对称的,主要有验证证书、加/解密、签名/验证、以及解析证书等功能。
从功能结构上,BJCAWeb信息安全系统由认证、签名、加密、管理等四个模块构成,分别提供相应的安全功能,这些功能模块可以根据用户应用系统的具体安全要求来单独或组合方式进行系统整合。
5.2系统功能
实现有效身份认证BJCAWeb信息安全系统利用PKI技术体系解决网络办公上信任问题,通过数字证书标识网上各方的真实身份,保证了身份验证的有效性。
实现可靠的电子签名BJCAWeb信息安全系统利用可信第三方签发的数字证书、结合数字签名等安全技术实现业务信息操作的责任认定,并且符合《电子签名法》对可靠电子签名的技术要求。
实现信息加密防护BJCAWeb信息安全系统利用可信第三方签发的数字证书、结合数字信封等安全技术实现对敏感业务信息加密操作,防止敏感信息被非法窃取。
5.3性能及可扩展性
BJCAWeb信息安全系统的性能指标如下:
产品
指标
BJCAWeb信息安全系统
接口标准
PKCS#11、微软CSP等
支持密码算法
SSF33、RSA等
性能
1024位RSA算法(128字节报文)
签名
400次/秒(4*2GCPU软实现)
2450次/秒(单主机加密服务器实现)
验证
2000次/秒(4*2GCPU软实现)
10000次/秒(单主机加密服务器实现)
对称算法
SSF33
72.83Mbps
3DES
309Mbps
负载均衡
支持多应用服务器负载均衡方式
支持SJY系列主机加密服务器负载均衡方式
通过上表,充分反映出BJCAWeb信息安全系统具有较高的性能指标,能够确保客户端一次安全认证的时间不超过2秒钟。
同时,还体现出BJCAWeb信息安全系统具有较强的可扩展性,能够满足各种复杂的应用环境:
第一,从底层接口上,BJCAWeb信息安全系统是在标准的PKCS#11和CSP接口上的封装,支持相互之间的消息交换,因此能够支持主流的证书调用方式,实现对各类介质的透明支持,同时客户端和服务器端均支持各类操作平台,包括Windows、Linux等等。
第二,从硬件密码设备支持能力上,由于支持标准的PKCS#11接口,因此能够支持各类专用的硬件密码设备,包括密码机和密码卡,能够进一步提高运算速度,提升更多用户访问下的并发处理性能。
第三,从功能上,能够在现有数字签名基础上,进行印章图片的读写操作,从而能够平滑升级来实现可视化的数字签名功能,即电子签章功能,进一步提升系统操作的友好性,并更加满足实际操作习惯。
6.电子签章系统介绍
6.1概述
BJCA电子签章系统采用国家认可的签名算法,实现对公文审批系统中的指定内容进行签名和验证,以可视化的单位公章、个人人名章或签名的形态展现,不仅满足信息在网络传输中的完整性和不可否认性的安全需要,而且可以模拟实际工作场景,建立网上办公的责任认定机制。
BJCA电子签章系统的组成包括智能Key(硬件部分)、签章管理工具和客户端签章软件(软件部分):
●智能key:
用于存放使用者的数字证书、密钥对、印章图片等信息,换而言之,就是在用户已有的证书存储设备基础上加入印章图片;
●签章管理工具:
提供电子印章制作功能,负责将公章、手写签名(.JPG图片)导入电子印章KEY中。
●客户端签章软件:
它是在不同应用系统环境下对文档实现电子签名的软件。
为实现对具体的文档或信息内容进行电子签章和验证工作,该系统包括了一系列的客户端签章软件,根据产品形态可以分为两大类:
文档电子签章软件(支持Word、Excel等各类文档)和网页签章软件。
网页电子签章软件是专用于对网页内容进行签章的产品,主要应用于基于B/S结构的应用系统中。
该软件即可以在网页上加盖可视印章或名章,也可以仅对签名对象进行数字签名保护而不显示印章。
6.2系统结构
BJCA电子签章系统结构如下:
图表8BJCA电子签章系统结构图
BJCA电子签章系统的组成包括电子签章管理系统、智能Key(硬件部分)和客户端签章软件(软件部分):
●电子签章管理系统:
电子签章管理程序,能够对用户进行统一管理、统一监督,能够对电子印章进行整个生命周期的管理;实现所有电子印章安全方便的集中管理和签章使用控制,做到签章统一监管、签章使用流程可控。
●智能key:
用于存放使用者的数字证书、密钥对、印章图片等信息,换而言之,就是在用户已有的证书存储设备基础上加入印章图片。
●签章软件:
它是部署公文审批系统环境下对文档实现电子签名和电子签章的软件。
为实现对具体的文档或信息内容进行电子签章和验证工作,该系统包括了一系列的客户端签章软件,根据产品形态可以分为两大类:
文档电子签章软件(支持Word、Excel等各类文档)和网页签章软件。
6.2.1电子签章管理系统
电子签章管理系统作为电子签章系统的后台管理系统,是整个电子签章系统的核心,完成对每一个电子印章进行整个生命周期的管理,包括电子印章制作、电子印章中数字证书更新,印章信息管理、印章发放、印章挂失、印章停用、印章重新生成的全过程的管理。
其功能结构如图2所示。
图表9电子签章管理系统功能结构图
1、系统管理
负责对组织机构、用户(分为个人用户和单位用户)和管理员的维护和管理。
2、印章制作
负责制作单位公章和个人印章。
3、印章管理
包括印章查询、印章信息修改、印章挂失和停用,印章重新制作等。
4、印章统计
根据机构和用户信息进行印章记录统计汇总。
5、临时授权
通过对用户临时签章授权,允许用户离线签章。
6、签章验证
在签章时需要对电子印章的智能Key和印章证书进行合法性验证,确保签章的安全性和严密性。
7、日志审计
对电子签章管理系统的管理和维护进行日志记录和审计,对电子印章的管理进行日志记录和审计,对电子印章的使用进行详细日志记录和审计。
6.2.2网页电子签章软件
网页电子签章软件是专用于对网页内容进行签章的产品,主要应用于基于B/S结构的应用系统中。
该软件既可以在网页上加盖可视印章或名章,也可以仅对签名对象进行数字签名保护而不显示印章。
软件结构
网页电子签章软件分为客户端和服务器端两部分,其逻辑结构如下图:
图表10BJCA网页电子签章软件逻辑结构图
客户端ActiveX控件集成在页面中,随网页自动下载并注册到用户计算机。
客户端ActiveX控件和服务器端组件协同工作,ActiveX控件在客户端对Web页面表单中的一个或多个域的信息进行电子签章,然后将产生的签章信息连同表单信息提交给服务器,服务器端组件对签章信息进行验证。
在客户端可以对签章进行自动和手动验证,通过相关的验证接口,可以对指定输入信息、指定的输入域或对所有的输入域进行电子签章和验证。
而在服务器端,所有的验证工作也由组件自动完成。
客户端功能:
●添加样章:
根据用户指定的位置,在web页面上添加样章,用户根据实际需要可以任意移动样章的位置;对表单中的一个或多个域进行数字签名,并可以加盖签名或图章;支持会签。
●执行签章:
根据指定的样章位置对页面进行电子签章,并且在页面中显示印章图片;
●重新签章:
页面内容发生变化后,对页面内容进行重签。
●删除签章:
删除选定的签章,使该签名对表单的作用消除。
●验证签章:
主要针对网页内容的防篡改验证,保证其内容的完整性,以及防抵赖验证,一方面能够辨别签署者身份的真伪,另一方面能够确保签署者身份的不可抵赖性,即一旦签名而且身份认证通过,则签名者将无法否认此签名;
●查看证书:
任何人都可以查看签署者的数字证书信息;
●签章时间:
查看签章人签章时的系统时间。
服务器端功能:
在服务器端可以验证客户端签章的完整性以及签章人证书的有效性。
验证工作主要由服务器端的组件完成,通过在网页中添加简单的脚本,即可调用服务器端组件。
具体地讲,服务器端组件能够完成如下功能:
●网页信息的防篡改验证:
通过对签名对象的数字签名来鉴别网页信息是否是签名之前的信息。
●签名证书的有效性验证:
判别客户端所使用数字证书是否合法有效。
运行环境
网页电子签章软件可部署集成在.Net和J2EE平台上,客户端支持IE及NetScape浏览器;服务器端支持IIS、Apache等通用Web服务器。
◆客户端操作系统:
Windows98、Windows2000、WindowsXP、Windows2003
◆服务器端操作系统:
Windows2000、Windows2003、Linux、Unix等
6.2.3Word电子签章软件
Word电子签章软件采用PKI技术,基于数字证书应用和数字签名算法,对文档内容进行数字签名,这样不仅可以保证签名者身份的真实性,还可以确保文档的完整性,以及签章者对签章行为的不可抵赖性;同时可视的印章图片更加符合人们的使用习惯,并从根本上提高了印章使用的安全性。
Word电子签章软件以COM控件的方式切入到MicrosoftWord软件中,能够与MicrosoftWord无缝结合。
通过对Word文档进行电子签章,将签章与签名者的数字证书以及文档绑定在一起,具有唯一性,实现了签章的不可仿造。
软件功能:
Word电子签章软件的主要功能有:
实现对Word文档进行签名认证,包括文档签章、撤消签章、签章验证、位置锁定、文档锁定等功能。
1)添加样章:
根据用户指定的位置,在Word文档中添加样章,用户根据实际需要可以任意移动样章的位置。
2)文档签章:
具有在线签章和离线签章控制功能,根据用户拥有的签章权限信息,对文档进行电子签章,并且在Word文档中显示印章图片,可以达到纸质盖章相同的效果;同时支持会签功能。
3)重新签章:
文档内容和相关内容信息变更后,对文档进行重签。
4)删除样章:
删除添加的样章。
5)删除签章:
删除选定的签章,使该签名对文档的作用消除。
6)验证签章:
主要验证文档内容是否被篡改,同时根据签章时的设置,验证对指定内容(包括图片信息、字体颜色和字体大小等)的签章是否有效。
如果签章后的文档相关内容发生了变化,验证时则会提示文档验证失败。
7)解除位置锁定:
一旦签章后,印章图片所在的位置将被固定,解除位置锁定后,可以任意移动印章图片的位置,直到执行重新锁定位置操作。
8)在线验证印章状态:
验证提交验证时刻数字证书的有效性。
9)证书信息:
查看签署者个人证书的基本信息。
10)签章时间:
查看执行签章操作时的时间。
11)文档保护:
对文档进行保护后,文档将处于不可编辑状态,以保证文档不被篡改。
12)文档解锁:
执行该操作后,文档将处于可编辑状态,此时可以对文档进行修改。
运行环境
◆操作系统:
Windows98/2000/XP/2003/Vista
◆Word版本:
Office2000/XP/2003/2007
6.3系统主要功能
⏹对电子印章进行整个生命周期的管理包括电子印章制作、电子印章中数字证书更新,印章信息管理、印章发放、印章挂失、印章停用、印章重新生成、签章在线使用控制的全过程的管理。
⏹在线签章验证为了确保印章真实可靠,签章时联机到服务器验证电子印章的智能Key和印章证书的合法性,通过验证后才可以进行签章。
⏹离线临时授权为了满足用户的不同需要,可为不能联网的用户提供临时授权离线签章功能。
⏹确认文档签署者身份通过验证签署者的数字证书是否由权威第三方认证机构所颁发,来证明签署者身份的真实可靠性,并可以查看签署者身份证书,从而确认签署者的身份。
⏹保护文档不被非法篡改能对所签文档内容进行完整性认证,确定其是否被篡改。
如果签署后的文档发生了变更,验证时则会提示文档验证不通过(即文档验证失败)。
⏹确保文档签署者不可否认通过数字签名的
升级会员 