《无纸化办公CA认证解决方案v11.docx》由会员分享,可在线阅读,更多相关《无纸化办公CA认证解决方案v11.docx(16页珍藏版)》请在三一办公上搜索。
1、全程无纸化协同办公CA认证解决方案二0二0年十一月目录目录21引言32项目建设总体设计42.1建设目标42.2建设原则42.3 CA认证应用支撑平台总体设计73产品技术规格说明83.1数字证书83.2认证服务器软件83.3时间戳服务系统93.4安全中间件93.5服务器密码机104无纸化办公系统功能实现104.1设备总体部署104.2强身份认证应用实现114.3电子签名及验证应用实现134.4电子签章应用实现141引言随着经济全球化和因特网的快速发展,电子信息技术日益参透到社会生活的各个 方面,深刻地改变着我们的工作方式与生活方式,同时也给传统的管理模式带来一场 革命,同时也是政府部门或者企事业
2、单位在信息化建设中的重要组成部分,从而倍受 人们的重视。运用计算机、网络和通信等现代信息技术手段,实现组织结构和工作流程的优化 重组,超越时间、空间和部门分隔的限制,建成一个精简、高效、廉洁、公平的运作 模式,以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。在机构内部,各级领导可以在网上及时了解、指导和监督各部门的工作,并向各 部门做出各项指示。这将带来办公模式与行政观念上的一次革命。在单位内部,各部 门之间可以通过网络实现信息资源的共建共享联系,既提高办事效率、质量和标准, 又节省政府开支、起到反腐倡廉作用。开展网上办公,有助于机构管理的现代化,实 现机构办公电子化、自动化
3、、网络化。但对于这些信息化系统,往往传输大量的机密信息,这些信息可能是机构的人事 数据、客户资料、机密文档等等。在这些系统中的身份认证基本上都是采用不安全的 用户名/ 口令方式,这种模式已经被证明不安全,通过穷举、猜测、社交工程等能够轻 易的获取;另外在目前系统中输出的数据都是通过明文方式传输的,非常容易被截获、 修改;并且对提交的内容如果出现问题,使用者完全可以抵赖等。尤其是对于机构如 果涉及文件的审批、发布公文等,传统模式我们都是打印出来领导签字或者加盖公章, 非常费材、费力。对于目前信息化建设中的一系列问题,一证通CA推出真正的CA应用安全支撑 全程无纸化办公解决方案,通过利用PKI技术
4、,解决身份认证问题、解决数据安全问 题、解决领导签名或单位签章问题。2005年4月1日中华人民共和国电子签名法的施行,为电子签名或电子印章 的使用提供了法律依据,电子签名法第十四条规定:“可靠的电子签名与手写签名或 者盖章具有同等的法律效力”。2项目建设总体设计2.1建设目标依据中华人民共和国电子签名法、国务院1999-25号文和公安部关于印 发公安信息网电子签章系统技术规范(暂行)的通知等文件相关要求。结合机构 部门无纸化办公的应用实际,建立“无纸化办公”全流程网上操作问题,实现电子签 名在以上流程中提交电子化的材料文档。建设的目标是:1)客户端全面引入由合法第三方电子认证服务机构颁发的数字
5、证书,通过数字证 书认证,保障信息系统用户身份的合法性;2)服务器端,搭建本地CA安全认证支撑平台,为机构信息系统提供数字证书身 份认证、可靠电子签名、SSL信息加密等功能,解决网络应用中身份认证、责任认定 等安全问题,保证办公自动化等系统信息的机密性、完整性和不可抵赖性。3)在已建立的信息化系统中嵌入合法的电子签章功能,实现在任何时间、任何地 点都可在各类文件上加盖印章,防止信息在存储和传输过程中来自内部有意或无意的 篡改、伪造与否认。22建设原则在建设过程中我们遵循统一规划、分步实施、开放性、方便集成、可扩展性、安 全性、先进与实用性、可靠性和稳定性、易操作、易维护等原则。这些原则对机构信
6、 息化建设单位的方案设计和产品选型具有一定的指导意义。1. 统一规划、分步实施原则针对CA认证涉及的技术新、投资大等特性,可以采用“统一规划、分步实施”的 原则。具体而言,先对网络及应用系统做一个比较全面的安全体系规划,然后根据实 际应用状况,可以先建立一个基础的安全防护体系,保证基本的应用安全。随着今后 应用的种类和复杂程度的增加,再在原来基础防护体系之上建立增强的安全防护体系。2. 开放性原则(1)数字证书及CRL的格式要求。证书的格式要求遵循X.509 V3,证书撤消列 表(CRL)的格式要求遵循同X.509 V3证书对应的X.509 v2 CRL。(2)支持多种证书载体类型。数字证书可
7、以存储在加密机、USB Key、IC卡等 载体上。同时应具有抗读取、抗复制、便于携带等优点,保护证书私钥不出载体,有 效保证数字证书的安全性。(3)支持多种证书操作协议和管理协议。证书操作协议定义证书及CRL分发给 应用系统的方式,包括基于LDAP、HTTP和X.500等多种手段,协议包括RFC2559、 RFC2560、RFC2585、RFC2587、RFC2875等;证书管理协议定义PKI实体之间的在 线交互协议,包括消息格式和消息传输协议,包括RFC2510、RFC2511、RFC2797等。3. 方便集成原则CA系统建设应注重数字证书与本单位的具体应用业务相结合,并对应用系统进 行安全
8、改造。CA认证平台应能够有效屏蔽了安全技术的复杂性,使应用开发人员无 须具备专业的安全知识背景就能够构造高安全性的应用。4. 可扩展性原则(1)CA认证体系结构上应具有可伸缩性,以适应扩大业务范围和增加多种应用 的需要。CA认证应至少为两层结构:根CA和操作CA。根CA负责制定和审批总体 安全策略、签发并管理操作CA的证书、与其它根CA进行交叉认证等;操作CA的 职责是直接给最终用户签发支持各种应用的数字证书,并管理下级证书受理机构和其 所发证书和CRL。如今后需要扩大业务,则可以从根CA下面建立新的操作CA。(2)算法可扩展性。根据国际密码管理局相关要求可进行系统算法升级。(3)支持人员证书
9、、机构证书和设备证书。能对人员、机构和设备(路由器、防 火墙、Web服务器等)发放证书,以实现身份认证。5. 安全性原则在CA认证系统建设中,安全问题是重中之重。必须对威胁系统安全的各方面因 素综合考虑,制定切实可行的安全策略和防范手段,建立完善的安全体系,确保CA系统运行在一个安全可靠的环境中。主要包括:(1)物理环境安全CA认证系统的物理安全和环境安全是整个系统安全的基础,要把CA系统的危 险减至最低限度,应在机房选址、机房装修、配电、空调系统、火灾报警及消防设施、 门禁监测系统、防雷击、防电磁波等提出严格要求。(2)网络安全网络安全是保证CA认证系统安全可靠运行的必要条件,可以采用成熟、
10、可靠的 网络产品和技术,构建CA认证系统架构;合理划分网络安全区(公共区、DMZ区、 操作区、安全区),实现各区的安全层次;各安全层次之间采用不同类型的防火墙和入 侵检测系统进行防护,并进行病毒防治。(3)目录服务器的安全在CA系统建设时,目录服务器要达到以下安全目标:防止外部黑客对数据的篡 改、删除;防止内部未授权人员对数据的篡改、删除;如果目录服务器的数据遭到侵 害,可以及时、有效地恢复所有数据。6. 先进与实用性原则在CA认证系统建设时,既要采用先进的技术和标准使建成后的系统具有先进水 平,同时又要保护现有的投资,充分利用现有的软硬件条件,以避免不必要的浪费。7. 可靠性和稳定性原则在C
11、A认证系统建设时,要充分考虑系统的可靠性及稳定性。对于关键设备需要 冗余配置,以避免单点故障;关键服务器采用双机备份,出现问题时能够及时恢复; 并采用自主研发的的安全产品,保证CA认证工作的高可靠性和高稳定性,保证CA 认证服务不间断运行。8. 易操作、易维护原则由于任何的安全措施都需要人去完成,如果措施过于复杂,对人的要求太高,这 本身就降低了安全性,而且安全措施的采用不能影响系统的正常运行。因此,在CA 认证系统建设时,产品的选择应具有友好的用户界面,并且可以进行相应的客户化定 制工作,使用户在管理、开发、使用、维护上尽量简单、直观。2.3 CA认证应用支撑平台总体设计CA认证应用支撑平台
12、主要由基础设施层、安全服务层、安全应用层三个部分组成。安全应用层协同办公系统公文传输系统电子档案管理系统其它应用安全服务层认证服务器PKI安全中间件签名验签服务器电子签章服务器时间戳服务器LOCSP基础设施层OCSP图2.1CA认证安全支撑平台体系结构图基础设施层实现证书的签发、管理、证书源目录、密钥生产与存储、司法取证服 务等。基础设施层由CA中心及其分支机构负责建设和维护。安全服务层主要提供应用系统运行所需要的PKI各项安全服务,由PKI安全中间 件和各种形态的证书应用服务器组成。PKI安全中间件是以公钥基础设施PKI为核心,建立在一系列相关国际安全标准 的基础上,并对PKI基本功能如对称
13、加密和解密、非对称加密和解密、信息摘要、单 向散列、数字签名以及密钥生成、储存、销毁等进一步扩充,进而形成系统安全服务 器接口。向上为应用系统提供开发接口,向下提供统一的密码算法接口以及各种设备 驱动接口。证书应用服务器包含认证服务器、签名验签服务器、电子签章服务器、时间戳服 务器(可选)。是在PKI安全中间件基础上对PKI基本功能进行二次封装,在屏蔽安 全实现细节的基础上,以外包(接口)的形式为应用系统提供认证、签名、时间戳相 关专业服务,最大程度上减轻了应用系统在安全实现方面的代价。安全应用层是与具体应用系统紧密结合的部分,通过对网络办公系统、档案管理 系统的等的集成开发,实现网上用户身份
14、的合法性以及数据的机密性、完整性和不可 抵赖性。3产品技术规格说明3.1数字证书用于证明各类实体的法律身份,并用于实施电子签名和数据加密,以及与电子印 章绑定,实施法律有效的盖章签章。主要功能:用于证明单位内部个人岗位的合法身份;能够结合相关的PKI技术实现数据在传递、接收和存储过程中的完整性;能够结合相关的PKI技术避免系统被侵入或者认为破坏以及数据被篡改;能够结合相关的PKI技术保证网络信息的安全加密、解密。32认证服务器软件认证服务器软件(ASS)是基于SOA架构的证书认证系统,作为CA安全支撑平 台与应用系统之间的“桥梁”,承担着用户证书身份认证、认证过程审计和证书CRL 列表、白名单
15、查询功能,主要应用于证书登录方面。主要功能:提供基于WS的数字证书身份认证功能;提供基于WS的方式的认证过程审计功能;内置CRL列表、白名单;灵活支持单向或双向身份认证;33时间戳服务系统时间戳服务器是一套基于PKI技术的时间戳权威(TSA)系统服务。它采用精确 的时间源、高强度高标准的安全机制、能够为用户提供精确的、不可抵赖的时间戳服 务,该时间戳服务严格遵循国际标准(RFC3161)时间戳协议,采用标准的时间戳请 求、时间戳应答以及时间戳编码格式,具有良好的兼容性能。主要功能:电子文件做时间戳签名;时间戳验证;时间戳签名备份; 从时间源获取精确时间; 操作日志生成及查询。3.4安全中间件P
16、KI安全中间件是以PKI公钥基础设施为基础,遵循国际、国内安全标准,面向 信息安全应用,提供数字证书安全服务的开放式中间件。PKI安全中间件提供对称加密和解密、非对称加密和解密、信息摘要、单向散列、 数字签名以及密钥生成、储存、销毁等进一步扩充,进而形成系统安全服务接口。向 上为应用系统提供开发接口,向下提供统一的密码算法接口以及各种设备驱动接口。 安全中间件屏蔽了安全技术的复杂性,使设计开发人员无须具备专业的安全知识背景 就能够构造高安全性的应用。 全面支持X509数字证书及PKI公钥体系; 提供证书读取、证书解析、证书验证、生成随机数、数字信封、数据加密、 证书检查等功能; 运用COM技术
17、、JavaBean组件、ActiveX控件,适用于各类型开发语言。35月艮务器密码机密码机是CA认证系统的核心基础设备,作为CA认证系统的核心组成部分,承 担服务端签名运算以及认证验证服务的密码运算服务。密码机主要承担以下任务:产生应用服务器端签名密钥对;存储管理应用服务器端签名私钥; 提供符合规范的国产加密算法(SSF33、SCB2);加速实现各类密码运算。4无纸化办公系统功能实现41设备总体部署本方案设计在用户单位搭建完善的数字证书安全认证平台,平台包含身份认证系 统、签名验签系统、时间戳系统、服务器密码机,电子签章系统为机构应用系统提供 全方位、高可用的安全保障。CA数字认证部署图如下:
18、PKI应用接口 CRL列表I CA PKIS础设施CA中心证书制作和发布系统电子签章系统机构网络图4.1 CA认证安全平台部署图4.2强身份认证应用实现应用系统修改用户名+密码登录方式为数字证书强身份认证登录。身份认证集成完 全基于标准的CA安全中间件,实现选择证书,Pin码校验,数字证书对需要签名的数 据进行签名生成标准的签名并传输给应用服务器进行验证。证书客户端/浏览器认证服务器/应用服务器数据库服务器以上将示例流程描述如下:(1)客户端请求访问服务器;(2)服务端响应客户端请求,并返回认证服务器端随机数;(3)用户端使用私钥对认证服务器端随机数进行签名,并产生客户端随机数,同 时将客户端
19、证书、客户端随机数及签名值发送给服务端;(4)服务器端验证客户端签名和证书;(5)如果验证不通过,则拒绝登录;(6)如果通过则提取用户证书的身份信息;(7)根据用户身份信息,查询数据,判断是否是合法用户;(8)如果不是合法用户,拒绝登录;(9)合法用户,服务端使用私钥对客户端随机数进行签名,同时返回服务器证书和随机数的签名值;(10)客户端验证服务端签名和证书的有效性;(11)如果验证通过,登录系统;(12)如果验证不通过,退出登录。以上是基于数字证书的身份认证流程实现,本流程涉及USB-_KEY证书、客户端 (客户端中间件)、应用服务器(服务器中间件)、认证服务器、密码设备等相关设备 组成。
20、第1步骤到第6步骤完成了客户端端证书验证,第9步骤到第10步骤完成了服 务器证书验证。传统的数字证书认证流程是由客户端和服务器端直接进行身份认证,但在实际实 施中增加了业务应用提供商的集成复杂度,需要应用提供商实施人员具备一定的安全 专业知识才能完成整个数字证书认证过程的集成。为了降低认证复杂度和业务应用与 数字证书的耦合度,陕西CA研发了安全中间、认证服务器、签名验签服务器。身份 认证由认证服务器完成,签名验签由签名验签服务器完成,并通过安全中间件提供的 接口、函数有效降低了数字证书的集成复杂度。4.3电子签名及验证应用实现对应用系统中涉及的关键环节,为了保证核心数据的完整性,防止被篡改,加
21、入 了数据的签名验证,即是对提交业务的核心数据做Hash处理,同时对处理的Hash数 据做签名验证。数字签名及签名验证需要与办公应用进行集成开发,客户端的数字签名由应用系 统通过PKI安全中间件调用用户的USB_KEY数字证书完成。证书用户开始用户插入USBKey登录系统一展示交易表单填写交易数据;提交业务申#展示交易表单提示:验证签名失败N验证成功Y交易失败保持交易数据和签名值,进行后续业务处理交易成功图4.3数字签名验证流程示意图以上将示例流程描述如下:(1) 用户插入USB_KEY;(2) 通过应用系统展示待签名的数据表单;(3) 用户填写交易数据并提交;(4) 客户端程序调用USB_K
22、EY对交易数据进行数字签名并提交交易原文和签名 值(5) 应用服务器获取交易原文和签名值,验证签名值是否正确;(6) 若验证成功保持交易数据和签名值,进行后续业务处理;(7) 若验证失败提示验证签名失败。4.4电子签章应用实现为了充分利用密码技术、电子签名技术,实现电子公文流转的真实性、完整性、无纸化办公CA认证解决方案 机密性和不可抵赖性,我们使用电子签章技术保证电子文件的合法性。电子签章是电 子印章技术和数字签名技术的完美结合,在提供可视化电子签名的同时,可有效降低 集成的复杂度,同时提供外挂件和中间件两种安全中间件。对于MS Office WPS Office、永中Office、PDF等版式签名提供外挂中间件,该 中间件不需要第三方系统调用,不需要二次开发,安装部署简单、使用方便,打开 Office、WPS、PDF等文字处理软件时系统自动加载电子签章工具条,通过鼠标事件 即可实现强大的安全电子签章功能。对于网页签名提供标准的SDK开发接口,可与第 三方办公OA进行无缝集成,实现安全电子签章功能。
