CA认证-对账系统建设方案

1、CA认证对账系统建设方案1 概述CA认证-对账系统的技术基于公钥密码基础设施(PKI)技术，严格遵循国家密码管理局制 定的证书认证系统密码及其相关安全技术规范标准，完全自主研发的商用密码统一身份认 证系统，主要为用户提供多系统之间的统一身份认证、数据加解密、数据安全传输、业务系统 安全集成、对账服务。CA认证-对账系统的建设原则：1.1先进性现代信息技术的发展，是现代科学技术发展中最活跃的领域，新产品、新技术日新月异，每 一个新技术的出现都对我们的工作方式产生极大的影响，对我们工作效率的提高起到极大的推 动作用。因此本系统必须采用先进的技术和设备，这一方面反映了系统所具有的先进水平，另一 方面

2、乂使得系统具有强大的发展潜力。同时，由于本系统是一实际使用的工程，因此其技术和设 备乂必须是相对成熟的。1. 2安全性系统设讣考虑系统安全、敬感数据安全，采用多种手段防止各种形式与途 径的损失。平台 后续充分考虑到使用数字证书与PK1相关安全技术，例如：严格的角色权限控制，敬感数据传 输必须使用SSL保护，关键操作采用数字证书签名等。1. 3规范性系统的建设涉及到的数字证书、公钥算法、数字签名等严格遵循国密的相关规范及标准， 所使用的软硬件设备具备国密颁发的生产资质，通过遵循或者指定相应的规范和标准，并要求 相关参与单位严格执行，保证数字签名验签的一致性、数字签章验签的一致性，保证平台真正 实

3、现数字证书的互认互通。1. 4开放性互联网的发展是飞快的，在经历了 Webl. 0和Web20之后，现阶段以应用 服务为中心为 互联网用户提供更方便、更多元化的服务已经是大势所趋，只有 互通更多的应用接入、才能为 互联网用户提供更好、更多的服务，因此，合法CA机构发放的证书可以接入平台中，符合国密数字证书格式要求的数字 证书都可以在平台中使用，即支持数字证书的互认互通。15可扩充性平台具备良好的可扩充性。从功能上讲，平台支持多政务CA的接入，支持RSA、SM2等 多种算法的数字证书，当国密数字证书算法升级时，平台保障应用能够在算法上平滑过渡。从 性能上讲，当平台负载超过预警值时，可以通过增加硕

4、件设备或其他技术手段扩容，为更多的 用户提供服务。2. 系统特点2.1部署灵活、简单易用、提供可视化的数据管理系统的设计采用B/S模式，各模块以及子系统采用分布式架构，只需在服 务端部署即可， 客户端无需做任何的修改，管理终端与服务器之间采用高强度SSL安全连接，釆用数字证书对 用户的身份实现管理。为降低管理人员的工作量，系统提供完善的可视化数据平台，从多个维度 对数据进行分析 和统计。同时可结合用户的实际需要，灵活的进行系统模块的组合部署，如采用：RA+CA+KMCa RA+CA等多种组合。2. 2支持多种加密算法，釆用专用密码硬件系统采用完全符合国家商用密码管理局标准以及规范要求的专用服务

5、器密码机、签名验签 服务器，可进行灵活的扩展以满足不同客户的性能要求。2 3系统平台的高安全性 通信安全平台内部各子系统采用高强度的SSL标准安全通信协议，同时配合数字证书进行身份验证 数据安全数据库、配置文件中的敬感数据采用加密方式保存；提供完备的数据备份 及恢复的手段。 管理人员安全采用基于数字证书的身份验证机制，管理员使用证书进行登录管理、管理员的管理权限与其证书进行绑定。24兼容主流系统环境，开发接口丰富系统支持主流操作系统运行环境以及主流硬件平台，支持Windows,Linux, AIX, Solaris, HP_UX,并提供 Java、C、.net、C#、ObjeCt C 等应用接

6、 口，方便用 户的应用集成。3 系统功能模块说明根据需求，对系统各层级功能进行初步划分，区分每个功能的边界，结果如下表所示:模块功能功能描述CA认证SSL数字证书身份认证通过可信第三方认证机构签发数字证书，利用SSL安全 通道对客户的网络身份进行真实性验证，解决网上应用 系统的用户身份认证问题。PCS私钥运算主要用于为服务器端应用提供服务器端PKCS#1和 PKCS#7格式数据签名运算以及数字信封的私钥加、解密 运算。数字签名运算服务为系统开发需要数字签名、数 字信封技术提供便捷的运算接口。SVS签名验证主要用于在服务器端接收数据后，对数据签名、签名证 书的有效性进行合法性验证。支持PKCSt

7、tls PKCS#7格 式的数字签名。签名验证服务应用于验证网上用户身 份、检验交易凭证和防止抵赖等方面。对账功能统计分析涉及到多种表格的组合统计对账单生成根据业务的需求发起对账并生成对账单对账确认各对账单位对无异议的对账单结果确认异议处理对存在争议的原始数据进行处理，录入异议、修改数据 并生成修改记录4. 系统架构4丄系统架构智能终端安全集成组件 服务身份认证务密码服务CA认证用户注册中心证书认证中心密钥管理中心系统采用全分布式架构，各个子系统和模块之间相对独立，可分布式部署，整个系统的逻辑结构如下:第三方证书管理及盘 洵服务对账平台系统运行框架童码硬件接口封装层燥作系统及数据库层整个系统架

8、构分为以下层次：一. 操作系统以及数据库层为系统运行所需要的基本环境、数据库。二、密码硬件接口封装层将底层硬件接口进行封装，如底层的服务器密码机等硬件设备。三、系统运行框架为整个系统运行框架，具体包括消息队列、并发控制等。为整个系统提供 基础服务以及为 运维管理提供管理、监控服务。四、应用层 对账功能应用 证书以及密钥管理主要包括用户注册申请证书服务、证书生命周期管理、密钥生命周期管理 等。 身份认证服务主要提供基于业务的身份认证服务、笫三方证书的管理以及证书状态的查询等。安全集成组件服务主要为应用系统的安全集成提供组件以及为用户终端的安全集成提供组件。4. 2.典型部署整个系统网络拓扑图如下

9、:CAJXMC系逐弦盘胯系垸RA系统臣码硬件CA认证对軀平台在上述图中可以看出，部署于用户系统的核心区域，通过边界隔离设备对核心区域外的用 户提供认证服务，主要密码硬件（服务器密码机、签名验签服务器）、CA系统、KMC系统、RA 系统，主要为客户解决用户的认证，包括用户身份、设备身份的认证，并提供完善的运维审计 管理工具。场景流程图:数字证书(SSL)认证服务器业务办理应用B；势署敢字证书税务签发数字证书CA认证中心4 3 系统组成4. 3. 1核心硬件部件结合客户的实际需要，我们将根据用户的对性能、容量的需求，灵活的配置各种专用密码 硬件，为整个系统提供强有力的算力支撑，主要的硬件主要包括：

10、4. 3. 2服务器密码机服务器密码机为符合国家商用密码管理规定、通过国家商用密码管理局的检测的加解密运 算以及密钥安全存储的专用密码设备，在系统中，主要为整个系统提供密钥的产生、核心密钥 的安全存储功能，为整个系统的高效、快速的密钥产生提供强有力的算力支撑以及安全保障。 4.3.3签名验签服务器签名验签服务器为符合国家商用密码管理规定、通过国家商用密码管理局 的检测的签名运 算、验签运算专用密码设备，在系统中，主要为整个系统提供证书的产生、核心密钥的安全存 储功能，为整个系统的疡效、快速的证书验证提供强有力的算力支撑以及安全保障。4. 3. 4核心软件部件密码硬件接口封装层该模块主要为整个系

11、统所应用的密码硬件进行接口统一封装，实现整个系统其他模块的硬 件无关性，主要包括：服务器密码机的接口封装、签名验签服 务器的接口封装等。证书以及密钥管理层该模块主要包括有：密钥管理中心（KMC）和证书管理系统两大子系统，密钥管理系统是整个系统的核心，对系统中的所有密钥的整个生命周期进行严格的管控，具体 功能包括有密钥的生成、密钥的分发、密钥的存储、密钥的备份以及恢复等，证书管理系统主 要对证书的整个生命周期进行管理，具体功能主要包括证书模板设置、证书的签发、证书的更 新、证书的过期监控等。安全集成组件服务层安全集成组件服务层是整个系统对外的服务展示层，包括为应用系统提供 完善的安全集成 开发组

12、件以及为终端/用户提供完善的完全开发组件，力求用户开发简单、以及个性化的定制。审计以及运维管理子系统本系统主要对整个系统的运行状况、用户的操作进行全面的管理和监控，并提供可视化的 数据界面，让运维管理人员可以轻松方便的对整个系统进行监控和维护，同时，提供详细的日 志记录，供系统审讣人员对系统运行的合规性进行审计。5. 系统功能5.1.系统架构说明 数字证书身份认证：通过可信第三方认证机构签发数字证书，利用SSL安全通道对客户 的网络身份进行真实性验证，解决网上应用系统的用户身份认证问题。 PCS私钥运算：主要用于为服务器端应用提供服务器端PKCSttl和PKCS#7格式数据签名 运算以及数字信

13、封的私钥加、解密运算。数字签名运算服务为系统开发需要数字签名、数字信 封技术提供便捷的运算接口。SVS签名验证：主要用于在服务器端接收数据后，对数据签名、签名证 书的有效性进行合法 性验证。支持PKCS#1、PKCS#7格式的数字签名。签名验证服务应用于验证网上用户身份、检 验交易凭证和防止抵赖等方面。对账功能：涉及到多种表格的组合统讣。52系统功能5. 2.1对账功能对账示意图：修改数据无异议11)认可异议流程结束对账的数据生表格城乡居民参保应缴实缴对账袤 灵活就业人员参保应缴实缴对蘇 职工参保应缴实缴对账表一 异常参保状态对账表一 退费对账表特殊缴费业务对账表一对账单生成根据业务的需求发起

14、对账并生成对账单。对账确认对账发起用户对生成的对账单进行审阅，无异议的对账单则确认后结束对账流程，如用对账单有异议，则流程流转至选择的用户。 异议处理收到异议对账单的用户对存在争议的对账单进行处理，如果认可对方异议，则修改数据并 结束流程，系统对修改数据记录进行存档；如果不认可对方 异议，可返回异议，对账发起用户 在收到返回异议后，认可返回异议则修改数 据并结束流程，系统对修改数据记录进行存档，不 认可返回异议则将流程原路退回给上一步处理人。5. 2. 2认证服务 身份认证： 设备认证：利用SSL安全通道对客户的网络身份进行真实性验证USBKEY智能密码钥匙（一代），证书储存介质。提供证书的申

15、请功证书申请：能，包括管理申请和用户自助申请。对于通过审核的证书申请，CA证书签发：系统可以为其签发证书。用户可以通过下载凭证安全的下载证书。证书下载：对一些申请成，功但是没有下载的证书，RA系统可以重新生成下载凭证（授权码），使用新的下 载凭证即可进行证书下载。 证书发布：对于签发好的证书，系统进行自动发布。 证书更新：系统提供证书更新功能。 证书查询：用户可以通过查询条件查询岀符合条件的证书信息。 证书注销：用户可以对一些不再使用或是使用过程中出现问题的证书进 行注销操作，注 销名的证书不可恢复。 证书冻结：用户可以对短期内不会使用的证书进行冻结操作，在冻结期间内证书被限制 不可使用。 证

16、书解冻：提供证书解冻功能，使得证书可以重新使用。 证书实体查询：用户可以通过查询条件可以查询岀符合条件的证书。 CRL服务功能：提供CRL产生、CRL发布、CRL查询功能。 批量申请和制证：支持批量证书申请和制证的功能，简化管理员操作。5. 2. 3数字签名支持对数据、文件制作数字签名，签名结构符合PKCS#7标准；支持验 证符合PKCS#7标准的签名结果。数字签名服务器支持对数据制作数字签名，签名结构符合PKCS#1标准；支持通过证书 导入、证书配置方式验证符合PKCS#1标准的签名结果。身份验证：使用证书进行数字签名，接收者可验证签名，而其他任何人 都不能伪造签 事后验证：使用证书进行完整

17、数字签名，签名结果中包含签名时的全部 证书状态信息， 接收者可在生成名的任意时间验证，而其他任何人都不能伪造。 数据完整性：对重要数据、文件制作数字签名，如果验证签名失败，说明数据的完整性 遭到破坏。 行为抗抵赖：对操作行为（数据形式）制作数字签名，签名者不能否认自己的签名。5. 2. 4数字信封 数字签名服务器支持对数据、文件制作数字信封，信封结构符合PKCS#7标准；支持解密符合PKCS#7标准的信封结果。 对重要数据、文件制作数字信封，通过双层加密技术来保障数据的私密性。5. 2. 5证书验证 支持对签名、加密证书进行全面验证； 根据配置不同CA签发的根证书，验证证书的信任域； 根据系统

18、时间，验证证书的有效期； 根据CRL或OCSP验证证书状态。证书状态验证方式包括，标准OCSP协议验证证书，连 接LDAP服务器更新CRL验证，连接WEB服务器更新CRL验证。5. 2. 6交叉验证数字签名、数字信封，结构严格遵循PKCS#7标准，可供其他CA机构验证。 支持配置多信任CA签发的根证书，可验证不同CA机构签发的符合PKCS#7标准的签 名、信封结果。5.2.7密钥管理及服务 密钥生成 密钥分发 密钥备份与恢复 密钥更新 密钥归档 密钥查询 密钥销毁 密钥预生成5.2.8用户管理 用户登录 密码修改 用户信息维护 消息管理 待办提醒5. 29系统监控 系统软件运行状态监控 系统各

19、部件周期性自检 系统硬件状态监控5. 2. 10备份和恢复 数据库系统的备份和恢复，包括备份策略配置、备份计划的设置等。 密钥系统的备份和恢复，采用多分量分散备份机制。5. 2.11日志管理 日志的生成日志的查询及审计日志的归档5. 3双机热备 数字签名服务器内置双机热备系统； 当备机发现工作机停止工作，切换到备机提供服务，当主机恢复正常后，备机自动切回 到主机。6. 遵循技术规范（-）CA机构签发的数字证书必须符合国家密码管理局电子政务数字证 书格式规 范。（二）平台支持RSA及国密SM2系列算法。（三）基于0AUth2的认证技术服务1）全平台身份认证支持提供支持PC的基于0AlIth2的账

20、号身份认证服务。2）多认证方式支持提供数字证书、帐号口令、短信、APP等多种方式身份认证登录支持（可选）。应用 可以根据安全需要选择一种或儿种强制用户使用。（四）PK1技术服务PK1不仅是一种技术，包括硬件和软件，它还包括服务、策略、规程、协议等多方面 的内容。PK1中最基本的元素就是数字证书，所有安全的操作主要通过证书来实现。PK1 的硬设备还包括签发这些证书的证书机 构（CA）,登记和批准证书签发的登记机构（RA）,以及 存储和发布这些证书 的电子L1录。PK1中还包括证书策略，证书路径以及证书的使用者。 所有这些都是PK1的基本元素，这样的基本元素有机地结合在一起就构成了PKIO PK1

21、的功能和支持的主要安全服务如下图所示：TN消息充祭性岔钥恢复支时间載文件加密单点登录 与统一授 权管理识别用户名 和服务驾消息的不可 否认性E-KLAIL加密PK1的功能制定迂书築晦和认证按作规范復发证书发布证书作废CA和用户证书发布CA和用户证书作废表【CRL）持交叉认证実持数宇签名的不可否认肯理密钥IT7 cfaPK1功能不意图PK1信任体系的核心是证书认证中心（Certificate Authority,简称CA中心）。CA中心为建立身份认证过程的权威性框架奠定了基础，为交易的参与方提供了安全保障，为网上交易构筑了一个互相信任的环境，同时解决了网上身份认证、公钥分发及信息完整性检验、抗抵赖验证、访问控制 等一系列问题。根 据中华人民共和国电子签名法的规定，数字签名被认定为可靠的电子签名，具有与手写 签名同等的法律效力。（五）数字签名技术服务数字签名是指使用密码算法，对待发的数据进行加密处理，生产一段杂凑值信息附在 原文上一起发送，这段信息类似现实中的签名或印章，接 收方对其进行验证，判断原文真 伪。这种数字签名适用于对大文件的处 理，对于那些小文件的数字签名，则不预先做杂凑 值，而直接将原文进行 加密处理。在网络信息保密系统中，数字签名技术有着特别重要的地位，在网络信息服