内蒙古自治区人力资源社会保障电子认证体系建设方案

1、.：.；内蒙古自治区人力资源社会保证电子认证体系建立方案为做好全区人力资源社会保证电子认证体系建立任务，根据人力资源和社会保证部，制定本方案。 建立原那么一致规划、分步实施根据人社部总体要求，自治区一致规划，分两期建立全区完好一致的电子认证体系，为全区人力资源社会保证各业务系统提供平安保证。一致规范、互置信任按照LD/T 30-2021，坚持一致的信任源，确保人力资源社会保证各业务系统之间、各地域业务协作的互置信任。技术先进、平安可靠采用先进的电子认证技术，为自治区人力资源社会保证各业务系统提供信息平安、网络信任、身份鉴别、电子签章等平安效力，保证各业务系统平安稳定运转。建立思绪一按照自治区一

2、致规划，先期建立注册管理中心RA，逐渐建成完善的自治区电子认证中心(CA)。二在推进电子认证体系建立的同时，进展数字证书业务运用的推行，从满足业务虚际需求出发，率先完成对试点盟市、试点运用系统的电子认证运用。三按照人社部一致规范，严厉规范和控制数字证书的签发和运用，实现一人一证、一户一证、一机一证、一证多用和互信互认。系统设计人力资源社会保证电子认证体系包含电子认证系统根底层、证书业务管理层、证书运用支撑层、相关政策法规和规范规范，总体构造如图1所示。图 1 人力资源社会保证电子认证体系总体构造图电子认证系统根底层包括密钥管理系统、密码效力系统、证书签发管理系统、证书注册管理系统和证书查验效力

3、系统等。证书业务管理层包括证书生命周期管理、系统运转管理、证书效力一致监管平台等。证书运用支撑层包括根底平安接口和高级运用接口,为运用系统提供身份认证、数据加密解密、数字签名验签、电子签章、网络平安协议和时间戳等运用平安支撑功能。一系统规划自治区人力资源社会保证电子认证系统规划图如图2所示。图2 人力资源社会保证电子认证系统规划图自治区电子认证系统包括密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验效力系统。以人力资源社会保证电子认证根系统为信任源，日常证书业务不与电子认证根系统进展实时通讯。一切数字证书的恳求、注册、审核、签发、证书的载体导入和交付都由自治区电子认证系统单独完成，为

4、全区内部和外部运用系统提供证书效力。二系统建立内容电子认证系统的建立主要包括证书认证设备、密码管理设备，以及相配套的根底平安防护设备、承载网络系统、机房环境设备、密码机和数字证书载体等，如图3所示。其中，证书认证设备包括证书签发管理系统、证书注册管理系统和证书查验效力系统；密码管理设备包括密钥管理系统和密码效力系统；根底平安防护设备包括防火墙、入侵检测、破绽扫描、防病毒和平安审计等。图3 电子认证系统设备构造图1.电子认证系统电子认证系统是电子认证体系的主要建立内容，涉及密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验效力系统等电子认证系统软硬件的购置和部署实施。自治区电子认证系统软

5、件产品具备国家密码管理局颁发的和。2.根底平安防护电子认证系统的根底平安防护系统建立包括防火墙、入侵检测、破绽扫描、防病毒和平安审计等。产品为经国家认证的信息平安产品，具有公安部的和中国信息平安认证中心颁发的有效认证证书。电子认证系统各平安域边境防火墙的任务方式设置为路由方式，入侵检测的配置设置为高警戒检测级别。平安域的边境防护采器具有访问控制、入侵检测防护、防病毒和平安审计等综合平安功能的UTM设备。3.机房环境设备电子认证系统部署的机房符合国家有关计算机机房设计和建立规范，以及机房场地平安要求。机房设有门禁、视频监控和消防系统，提供可靠的供配电系统。密钥管理系统和签发管理系统部署的机房到达

6、GB50174-2021B级以上要求，放置在具有电磁走漏发射防护的场所。4.密码机密码机包括电子认证系统公用密码机和证书运用密码机两类。产品具备国家密码管理局颁发的和。符合国家密码管理局(试用)和LD/T 30.4-2021。密码机支持RSA模长1024-2048、SM1、SHA1、SHA256等算法。5.数字证书载体数字证书载体具备国家密码管理局颁发的和。产品符合LD/T 30.5-2021要求。证书载体支持RSA 1024和SM2 256算法，全套内容包含证书载体、配套驱动程序、管理软件以及数字证书载体USB-Key的制造和分发效力等。三系统部署和配置密钥管理系统、证书签发管理系统和证书注

7、册管理系统,软件和后台数据库分别配置在不同的效力器上。证书查询验证效力的目录效力器按主从方式分别部署在证书签发管理区域和运用效力区域。系统部署构造如图4所示。图4自治区电子认证系统部署构造图数字证书运用集成设计一运用平安战略数字证书运用集成是电子认证体系建立的一项关键内容，为全区人力资源社会保证各业务系统提供应用平安支撑，包括身份认证、数据加密解密、基于数字签名验签的防抵赖等根本证书运用平安功能，以及电子签章和时间戳等加强证书运用平安功能。二运用集成技术框架数字证书运用集成的框架设计如图5所示。图5人力资源社会保证证书运用集成框架图人力资源社会保证运用系统是经过调用高级运用接口,与密码设备交互

8、，以完成基于数字证书的平安运用。 密码设备由密码机、证书载体等组成，经过根底运用接口向上层运用提供密码效力。根底运用接口是基于密码设备，直接对密码设备进展管理和操作的接口层，并向高级运用接口提供规范化的密码效力。 高级运用接口是位于根底运用接口之上，供人力资源社会保证运用系统直接调用的接口开发包，以提供身份认证、加密与解密、数字签名验签等功能。高级运用接口包括客户端和效力器端接口两大部分, 客户端接口包括ActiveX控件、DLL格式的COM组件或JAR格式的JAVA包; 效力器端接口包括DLL格式的COM组件、JAR格式的JAVA包或so文件格式的开发包。三运用集成方式和构造证书运用集成采用

9、认证运用接口方式，认证运用接口方式是一种紧耦合的数字证书运用集成方式，可实现C/S和B/S架构运用系统的数字证书运用集成。其主要特点是支持证书运用功能多，运转效率高，平安功能配置灵敏。经过对运用系统软件进展二次开发，嵌入身份认证、数据加密、数字签名验签等证书运用调用模块，并在效力器端和证书客户端部署相应的控件库和设备驱动，以实现根本的证书运用平安功能。运用集成方式如图6所示。图6认证运用接口方式集成构造图四运用集成部署和配置证书运用集成涉及证书客户端、运用效力器、运用密码机等方面。运用效力器运用效力器上安装证书认证软件包，软件包形状上分为C言语的动态库文件或Java言语的Jar包。证书认证软件包主要为嵌入在运用系统的证书运用模块提供身份认证、加密解密和签名验签的功能调用，以及访问运用密码设备的密码运算效力。 同时运用效力器上还配置CRL同步程序，定时从证书查验效力系统下载CRL文件。证书客户端证书客户端安装客户端