福建省交通综合执法管理系统技术报告

福建省交通厅综合执法管理系统技术报告ReportOfTechnology承建单位：福建省交通科学技术研究所参建单位：福建慧舟信息科技有限公司目录TOC\o"1-3"\h\z第一章 前言 CA中心：CA中心提供了签发用户证书、管理证书、签发和管理CRL协查通报以及证书状态查询服务等证书服务。RA注册中心：为了节省投资，统一部署在福建省交通厅，重要完毕接受用户申请、审核、证书制作等功能。受理点：受理点直接面向最终证书用户。可设立福建省交通厅所辖9个地市设立。直接面向最终用户，进行证书的受理和发放工作。物理拓扑设计图6-27：PKI/CA系统建设的物理拓扑图实现功能PKI证书签发系统1）结构设计证书签发系统是PKI的核心执行机构，具有签发和管理证书的全面功能，开放管理接口、高解决能力、大容量、安全可靠等特性，采用国家有关主管部门鉴定的密码机。证书签发系统逻辑结构设计见下图：图6-28：证书签发系统逻辑结构设计其中：按照业务规定，CA根密钥达成2048位加密强度，非对称算法达成1024位加密强度，对称算法达成128位加密强度；2）功能设计PKI/CA系统签发系统功能设计特点如下：可以签发X.509V3标准格式的数字身份证书；提供证书定制模板，可以灵活对扩展域进行定制。该功能允许管理员自定义需要的任何证书扩展类型；支持X.509V2证书撤消列表（CRL），使用CRL分布点技术可以提高CRL查询的性能；具有证书自动管理功能，支持加密证书的自动更新功能；3)服务功能服务功能具体涉及：身份认证、完整性、保密性、不可否认性。身份认证：通过PKI/CA系统为所服务的PKI域内的相关实体签发数字证书，将用户身份和数字证书绑定，实现对通信双方身份的辨认与鉴别。完整性：保证数据没有被篡改，即通过密码算法确认数据无论在传输过程中还是在存储过程中通过检查证明没有被修改。保密性：实现对所保护数据的加解密，从而保证数据在传输和存储中，没有被授权的人无法获取真实的信息。不可否认性：从技术上保证实体对其行为的诚实性。一方面是对数据来源的不可否认，即实体不能否认敏感消息或文献不是来源于实体自身；另一方面是接受后的不可否认性，即实体不能否认其已经接受到了敏感信息或文献。证书的设计1）证书种类全面支持X.509V3证书，并且支持所有的X.509V3标准定义的扩展，支持属性证书。提供证书定制模板功能，允许管理员自定义证书类型、结构、需要的扩展域。支持X.509V2证书撤消列表（CRL）。并采用CRL分布点技术提高性能。证书存储格式为国际化标准格式（PEM、DER和PKCS系列标准），并且在API中提供上述格式进行转换的函数，支持编程接口。可签发下面类型的证书：用户证书：为最终用户签发的身份证书；公司证书：颁发给独立的机构、组织，在网络上证明该机构、组织的身份；服务器证书：颁发给WEB服务器，以此来证明该服务器是一个合法的服务器；其他类型证书：可以根据系统新的需要，增长新的证书类型。2)证书格式公钥证书的标准格式符合X.509v3/V4标准，支持用户灵活的定义自己证书的需求，即PKI签发证书机构对用户对证书格式的特殊规定提供服务，如添加标准的和非标准的证书扩展域。3)证书载体PKI/CA系统支持以IC卡、USB卡等方式集中人工发放证书；可以选择用磁盘、光盘、IC卡或USB卡来存放自己的证书。PKI/CA系统所签发的证书支持以下存放介质：磁盘、光盘方式：证书制作存储在磁盘上，使用时直接读入即可。该存放方式成本比较低，但是容易毁坏和被窃用，只在对安全级别规定不高的情况下才可使用，出于安全性考虑，本方案不采用该存储方式。IC卡方式：此方式可认为证书用户的私钥提供额外的保护。只有对的输入存储IC卡的口令后才干使用私钥和证书；当连续若干次（可设定）输入错误的口令后，存储IC卡会自动锁定，无法打开，为卡中的私钥提供了又一层保护。CPUIC卡：卡内带有RSA算法，密钥对在卡内产生并永不出卡，所有的运算均在卡内完毕，从主线上保证了证书用户私钥的安全。USBKEY：USBKEY在工作机制上和智能IC卡类似，不需要读卡器，只要设备有USB接口就可以方便使用，携带比较方便。证书的管理功能证书管理的功能重要涉及：接受最终用户的证书申请、审核、签发、发布、证书撤消申请、CRL的签发和发布等功能。证书模版的定制灵活的配置功能：提供证书策略和证书类型管理的灵活配置，可以比较灵活的增长证书种类，并对各种不同的证书种类提供不同的证书策略。证书申请证书的申请支持在线和远程与异地执法申请方式。远程与异地执法方式重要针对内部人员，而在线申请多针对外部人员。远程与异地执法申请为管理员为内部用户统一登记，统一提交给RA中心，由受理操作人员录入所有用户的信息完毕后，批量提交给RA中心的服务器，并传给CA中心，CA中心接受完毕，将用户的参考号、授权码返给RA中心，交给用户。而在线申请则为用户通过互联网登录到RA中心提交证书申请。申请审核申请审核支持在线和远程与异地执法两种审核方式。在线审核通过用户提交的鉴别信息和数据库中的已存信息进行比对来完毕，远程与异地执法审核则采用面对面或者人工查询的方式来完毕。申请审核由RA实现，RA根据认证中心制定的策略审核用户，批准申请或拒绝发放证书。当用户的审核通过后，CA中心的签发服务器将发放给用户参考号、授权码，用户在得到了参考号、授权码之后，就可以下载自己的证书。证书签发在证书的签发过程中，所采用的方式是将用户的证书信息传给与签发服务器相连的硬件加密设备（例如加密机）中，由硬件加密设备完毕对证书的署名，这样保证了CA的署名私钥不出硬件加密设备，此外，用户信息以及密钥的传递信息是通过加密机来实现加密解决，以保证信息的传递安全。同时签发后的证书由签发服务器发布到系统的主目录服务器上，并通过目录服务器的自动映射功能，将证书映射到从目录服务器中，供用户查询和下载；同时，还将用户的证书存储在系统的数据库中，以便对其进行归档和备份。证书归档证书的归档重要是对过期或被撤消的证书和相应的私钥进行归档，在PKI/CA系统中，过期的证书可以存放在系统的数据库中，也可以存放在外部介质上。建议同时采用两种方式对归档文献进行解决，以提高系统的安全性。PKI/CA系统证书归档可采用自动和手工两种方式进行。手工方式：可由PKI/CA系统的管理员定期或不定期地对系统数据库中的过期和被撤消的证书信息进行备份，存储在外部介质上。自动方式：可通过对系统设立归档策略，选择一定的时间段，对过期和已撤消的证书自动进行归档，同时将数据库和主目录服务器中的过期的证书删除（也可以不删除，由PKI/CA系统的管理策略拟定）。证书撤消证书的撤消涉及CA系统证书的撤消和用户证书的撤消。CA系统管理员的证书撤消是由CA系统的首席官员运用AuthorityAdmin将证书撤消，撤消的证书被放入CA的撤消数据库中，并签发CRL；用户的证书撤消分为CA中心强制作废和用户申请作废。CA中心强制作废是由RA管理员根据CA系统策略将用户的证书强制作废；用户申请作废是用户提出申请，并由RA管理员审核，审核通过后，撤消该用户证书。PKI/CA系统通过书面申请方式实现证书撤消功能。出现以下因素，证书应当被作废。密钥泄密：证书的私钥泄密，或者怀疑泄密。为防止错误使用，其相应的公钥证书必须作废。从属变更：某些关于密钥的信息变更，但未怀疑泄密。例如，根据组织机构的安全规则，已变更甄别名称（DN）的用户可以作废他们现有的证书，说明因素是从属变更，用新的名字取代旧的，并给以对的的信息。密钥已被取代：旧密钥对已被新密钥对所取代，但不怀疑泄密。根据组织机构的安全规则，一旦密钥更新，管理员则要撤消过去用的密钥对。终止使用：该密钥对已不再用于本来的用途，但不怀疑泄密。例如，根据您们的组织机构的安全规则，当某雇员已离开，就可以选择作废该雇员的公钥证书。暂时不使用：证书持有者由于某种因素如长期出差，短期内无法使用证书。未说明的因素：由于不同于上述分类中的任何因素，该密钥对不再需要。证书冻结/解冻用户在证书安全收到威胁的时候需要向管理员提出证书冻结申请，申请被接受后，用户证书将会失效，一旦用户证书解除安全威胁后，用户可以向管理员提出解冻申请，用户证书将恢复正常使用。证书更新为了加密的安全性与灵活性，应当定期更新密钥。CA系统管理员的证书更新由系统操作员根据CA运营规则和操作规范完毕，并对证书到期进行管理。最终用户的证书在到期的时候，需要用户到审核机构RA申请更新证书。证书有效期管理功能系统提供三种方式设立证书的有效期：设立证书有效期策略，设定不同类型的有效期；指定单个证书的过期日；指定单个证书的有效期长度，提供对证书到期的管理。证书的发放PKI/CA系统使用目录服务器进行证书的发布，所签发的证书发布到系统的目录服务器上，供用户进行查询和下载。用户可以通过RA中心客户端获得证书：用户到RA中心，通过制证终端客户端程序提交参考号、授权码，然后将证书下载到制证终端内，由RA中心按用户所选择的证书介质，为用户制证，然后发放给用户。证书内容的更改在证书用户的信息发生变更时，系统将更改用户证书中的相关信息，如用户DN名的更改、用户其他信息，涉及mail地址、所属机构等的更改。证书的在线查询PKI/CA系统的证书查询功能重要采用LDAP协议。PKI/CA系统签发证书后，将用户的证书发布到系统的主目录服务器中，然后运用目录服务器的自动映射功能，将用户的证书发布到从目录服务器中，以供用户在线查询证书，同时提供方便的Web查询证书方式。交叉认证设计PKI/CA系统支持交叉认证，也支持进行交叉认证的开放标准。事实上，交叉认证涉及信用认可和技术实现两方面。从技术角度来看，交叉认证是让一个CA为另一个CA签发交叉认证证书，从而使两个CA的体系内的证书都可以互相验证。从信用认可来看，交叉认证是对第三方信任的一种扩展形式，即一个CA相信另一个CA所做出的决定。进行交叉认证最大的障碍来自于不同的CA有着不同的业务策略，要实行交叉认证规定双方在业务策略上必须达成共识。PKI/CA系统可在任何时间进行交叉认证，两个系统在保证策略一致的情况下，一方为另一方的私钥所相应的公钥签发一张证书，此时建立起单向交叉认证；接下来双方调换角色，反复此操作，从而建立起双向交叉认证。交叉认证后，认证的双方将各自签发的证书放入本系统的证书仓库中。CA系统支持涉及网状结构、桥型结构等多种标准交叉认证，假如多个CA之间需要互相交叉认证，需要互相两两签发交叉认证证书，信用体系的扩展非常复杂，这种情况下，使用交叉认证技术中的桥型结构比较有可操作性。注册审核系统注册审核系统是PKI/CA系统面向用户服务最直接的一个业务窗口，通过注册审核系统来实现用户身份的真实性鉴别、接受用户证书的注册申请和将数字证书发放给用户。PKI/CA系统注册审核系统采用远程与异地执法的用户注册和审核，此外还可以对用户资料进行管理和维护，提供定义灵活的证书申请、审核流程。PKI/CA系统从横向上可以支持多个RA中心，以满足多个二级机构进行数字证书的申请注册以及证书制作的功能；从纵向上采用RA和LRA两层分布式结构能满足三级机构的注册审核机制。在系统应用中，用户根据其属地在各自RA或LRA得到相应服务。该系统提供丰富的API接口（RAToolKit），可认为第三方CA产品提供有力支持，此外，API接口还具有应用支持开发能力，最大限度的为用户提供帮助。1）结构设计注册审核系统采用客户端/服务器结构，如上图所示，注册审核系统由RA和LRA组成。其中RA涉及注册服务器、管理终端、业务终端和审计终端组成；LRA由录入终端、审核终端和制证终端组成。每个终端与RA服务器之间的通信都规定管理员/操作员使用数字证书登录系统，系统内部通信采用SPKM协议进行加密通信。RA图6-29:RALRA图6-30：LRA2）功能设计注册审核系统重要功能如下：进行用户身份信息的审核，保证其真实性；本属地用户身份信息管理和维护；数字证书的下载；数字证书的发放和管理；收集和管理材料和信息；录入身份信息；初步审核与提交身份信息；证书记录功能；系统日记和审计功能。3)最终用户的证书申请制证流程图6-31：最终用户的证书申请制证流程用户带有效身份证件到所属RA受理点申请用户证书用户填写证书申请信息表单RA录入管理员将用户信息录入到系统中RA审核员审核已录入的用户申请信息RA审核员验证用户身份真实，假如用户身份真实，则发放身份辨认码和用户授权码给用户，否则拒绝用户的申请。用户收到身份辨认码和用户授权码，带着身份辨认码和用户授权码到RA受理点，通过RA受理点的制证终端制证。注：证书可以存放在磁盘、卡和USB等多种存储设备上。4）证书审核流程（1）在LRA进行审核的流程：受理点对用户证书具有初级审核功能，审核流程如下：根据用户填写的证书申请书对用户进行初审。初审通过后，将该用户的初审信息提交到RA中心。（2）在RA进行审核的流程审核员根据用户填写的证书申请书直接对用户进行审核。审核通过后，为该用户产生与其身份辨认码相相应的授权码（AuthCode）。以安全的方式将用户授权码传送给用户。系统可以根据相应的策略实行多级审核，可以任意指定在某一级或多级完毕审核。5）证书的下载流程（1）单证书的下载图6-32：证书的下载流程用户到审核机构，输入身份辨认码Ref.No.和授权码AuthCode，并以安全方式传递给CA中心进行身份验证。假如通过身份认证，同时用户的申请也通过了审核机构的最终审查，那么审核机构软件运用硬件加密设备为用户产生密钥对。审核机构软件以安全的方式将用户的公钥传送给CA中心，请求签发证书。CA中心为用户签发证书。CA中心将用户的证书以安全的方式传给审核机构软件。审核机构为用户制作证书。(2)双证书的下载图6-33：双证书的下载用户到审核机构，提交自己的Ref#&AuthCode。制证终端应用系统在加密机中产生署名密钥对。署名公钥和用户信息署名后一起传给证书发布服务器，由发布服务器将用户请求传送到署名服务器。签发服务器验证用户署名后，向KMC密钥管理中心申请加密密钥。KMC为用户选择一对加密密钥对，私钥用RA加密机与KMC之间共享的密钥加密保护，公钥传给签发服务器，进行证书签发。签发服务器为用户签发两张证书（一张用于加密，一张用于署名），将两张证书以及加密后的私钥传递给证书发布服务器。证书发布服务器将上述信息回传给用户，进行制证。6）证书更新流程图6-34：证书更新流程用户向RA管理员提出证书更新的申请。RA管理员审核用户的证书更新申请。RA管理员将证书更新申请和审核结果提交给CA中心。CA中心为该用户的原有证书签发注销申请列表（CRL）。RA管理员从CA中心获得新的身份辨认码和授权码，运用新的身份辨认码和授权码下载证书。6)最终用户的证书查询流程CA的证书查询功能重要采用LDAP协议。CA系统签发证书后，将用户的证书发布到系统的主目录服务器中，然后运用目录服务器的自动映射功能，将用户的证书发布到从目录服务器中，以供用户查询证书。7)证书撤消流程图6-35：证书撤消流程用户向RA管理员提出证书撤消的申请。RA管理员审核用户的证书撤消申请。RA管理员将证书撤消申请和审核结果提交给CA中心。CA中心为该用户的证书签发注销申请列表（CRL）。在线证书状态查询服务系统(OCSP)1)概述PKI系统是对外界提供安全服务的基础设施，其服务最重要的方式是通过签发管理数字证书来实现。证书在PKI/CA系统中存在着从产生到撤消的过程，而在这个过程中证书有唯一的状态，对于业务应用来讲获得证书的状态是很关键的。OCSP（在线证书状态协议）与CRL相结合，能为用户提供高效、及时的证书状态。2)结构设计图6-36：OCSP结构设计在网络区域上，OCSP服务器和目录服务系统在一个区域上，并从目录服务系统获取证书状态。3)功能设计提供证书状态的在线实时查询。图6-37：OCSP功能设计系统技术特点福建交通厅CA系统是灵活的、易用的、可互操作的认证系统软件，它提供的安全特性和多重策略支持，使用户建立的PKI安全体系能支持大量的应用。福建交通厅CA体系结构的设计保证了用户能按照适合其组织的方式建设PKI安全体系。CA作为构建安全体系的基石，它能使福建交通厅已建立的PKI安全体系不断满足日渐变化的需求，如支持新应用、增长用户、与合作伙伴进行互操作、改变自己的基础设施等。基于PKI标准PKI即“公开密钥体系”，是一种遵循既定标准的密钥管理平台，它是为所有网络应用提供加密和数字署名等密码服务的一种密钥和证书管理体系，简朴来说，PKI就是运用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务、电子政务的关键和基础技术。安全性。系统安全性重要体现在：根密钥的安全、数据安全、人员安全、提供审计手段、证书归档和备份、证书存储安全等多个方面。根密钥的安全：根密钥在国密半安审通过的硬件加密介质（加密机，加密卡，IC卡等）上生成，根私钥不可以导出。选用的硬件加密介质具有非常完善的安全性保证；数据安全：数据库中的敏感信息加密存放，提供集中的数据备份及恢复的手段。在CA服务器和证书业务终端之间的所有信息传输都采用了高强度的加密；人员安全：系统操作员都采用证书来登录系统，所有的业务操作都通过了操作员的数字署名；提供审计手段：系统提供对每一步操作及运营状态的记录和查询手段；提供安全的证书归档及备份功能；证书安全存储：用户证书可以存储硬件的IC卡，USBKEY等介质上，该硬件介质同样通过国密半的安全性审查，具有非常完善的安全性保证；兼容性CA服务器支持WIN2023Server操作系统；支持数据库：SQLSERVER等。支持多种加密设备，加密机、加密卡支持多种证书存储介质，USBKey、IC卡灵活性灵活的加密算法：RC2、RC4、DES、3DES、RSA等；灵活的系统配置；灵活的证书种类：个人证书、公司证书、WEB服务器证书；互操作性福建交通厅CA在设计和开发过程中完全遵循国际开放标准，所选择的加密模块也符合开放标准。因此它可以很方便地与第三方产品进行集成、与其它系统互连。系统配置建议表6-19：系统配置建议编号名称厂家型号描述数量硬件1CAServerSUNA42-XAB2-04GDSF4402*1GHz,4GB,4x36GB,2*10/100/1000M/DVD/3YR/磁带机12JITConnecter&OCSPServer&SlaveLDAPServer&TSASUNA42-XAB2-04GDSF4402*1GHz,4GB,4x36GB,2*10/100/1000M/DVD/3YR/2*D1000盘阵13终端PCIBMA30P-2296-61CP42.66G/256M/80G/DVD/10-100M/XP黑色/15"CRT5软件1目录服务SUNSunONEDirectoryServer50,000用户12SRQ05系统吉大正元SRQ051以上配置仅供参考，SUN的服务器产品可以换成同档次的IBM或HP公司UNIX服务器产品，也可以采用PC服务器，操作系统NT。与其他系统的互联设计与下级业务系统的互联综合执法系统与业务系统的互联是最为密切的。综合执法系统是通过应用集成平台服务的应用接口层与执法系统的数据库进行通讯。与下级业务系统的接口如下图所示：图7-1：应用集成平台与业务系统接口分析如下：本方案是目前的业务系统无需做任何改动。接口层采用JDBC直连核心业务系统的数据库。同核心业务的适配器重要完毕核心业务数据结构向标准XML的数据转换。方案的优点是实现起来比较简朴，效率也比较高。同时，假如业务系统从两层升级到三层结构，只需要重新实现接口层和适配器即可。◆通讯方式下级业务子系统同综合执法系统的数据解决中心之间，采用FTP方式进行文献传输；数据解决中心作为FTP服务器。下载：综合执法系统的数据解决中心准备好交通厅端需要下载的文献后，采用文献传输告知报文告知交通厅端前置子系统。交通厅端前置子系统收到告知后，即刻发送通用响应报文表达已收到告知，然后作为FTP客户端，自行下载指定文献。上传：交通厅端前置子系统先将需上传文献FTP上传到综合执法联网系统的数据解决中心的FTP服务器，然后组文献传输告知报文，发送给数据解决中心，数据解决中心收到后，即刻发送通用响应报文表