广东CA数字证书安全应用平台设计方案

OA 系统数字证书安全平台设计方案 1 数字证书安全平台 设计方案 广东数字证书认证中心有限公司 2009 年 8 月 OA 系统数字证书安全平台设计方案 2 目目 录录 1.CA 简介简介.4 1.1.数字证书.4 1.2.CA 中心.4 1.3.CA 安全体系.5 1.4.CA 认证体系在广州市的推广介绍.6 2.需求分析需求分析.8 2.1.应用层安全是整个信息系统安全体系的薄弱环节.8 2.2.应用层安全的具体需求.8 2.2.1.业务实体的身份鉴别身份认证.9 2.2.2.业务数据的保密机密性.9 2.2.3.业务数据的防篡改完整性.9 2.2.4.业务交往的防抵赖防抵赖性.10 3.数字证书安全应用平台建设数字证书安全应用平台建设.10 3.1.系统架构.10 3.2.使用简便性描述.12 3.3.平台扩展性说明.12 3.4.安全应用平台功能实现.13 3.4.1.身份认证.13 3.4.2.加密与解密.15 3.4.3.签名与验签.17 3.5.产品说明.18 3.5.1.安全应用支撑服务器.18 3.5.2.PKI 安全服务中间件.19 3.5.3.数字证书载体.21 4.应用系统与应用系统与 CA 平台集成平台集成.22 4.1.实施任务.22 4.2.实施工作描述.22 4.2.1.技术培训.23 4.2.2.开发环境搭建.23 4.2.3.应用系统二次开发.23 4.2.4.设备安装调试.23 4.2.5.技术支持.23 OA 系统数字证书安全平台设计方案 3 5.电子印章系统电子印章系统.24 5.1.系统概述.24 5.2.系统组成.24 5.3.电子印章系统与应用系统的接入.25 5.4.电子印章系统与安全应用平台的接入.25 5.5.产品特色.26 5.5.1.独特核心技术、锁定文档安全.26 5.5.2.多重功能扩展、满足随需应用.26 5.5.3.人性化操作享受、一切轻松把握.26 5.6.产品功能.26 6.数字证书安全应用平台设备清单数字证书安全应用平台设备清单.27 7.服务简介服务简介.29 7.1.数字证书服务.29 7.2.安全平台售后服务.30 8.附录：广东省数字证书认证中心简介附录：广东省数字证书认证中心简介.32 8.1.资质完善.32 8.2.服务优质.34 8.3.产品领先.34 8.4.应用广泛.35 OA 系统数字证书安全平台设计方案 4 1. CA 简介简介 1.1. 数字证书数字证书 数字证书也称 CA 证书或电子密钥证书，俗称“网络身份证” ，是以密码技术为核 心，结合政策法规、安全管理于一体用于在互联网络信息世界中标志用户身份的电子 身份凭证和电子签章载体。数字证书可以存放在 IC 卡或带有专用密码芯片的 USB 智能 密码钥匙中，目前主要是采用 USB 智能密码钥匙作为证书存放介质，其外形就像普通 的 U 盘一样。 数字证书的格式是严格规范的要求的，遵循国际和国家标准，一般会存放个人或 机构的基本特征信息，比如身份证号、姓名、机构名称、组织机构代码等信息。 数字证书是由权威公正的第三方机构即 CA 中心签发的，通过 CA 中心的权威可信 性、政策法规的规范性、管理的严密性和密码技术的安全可靠性，把现实生活中的人、 机构身份唯一、真实、可靠地映射到互联网络世界中，为互联网络世界建立起安全可 靠的信任体系。基于数字证书的加密技术可以对网络上传输的信息进行加密和解密、 数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真 实性，签名信息的不可否认性，从而保障网络应用的安全性。 1.2. CA 中心中心 数字证书认证中心（Certificate Authority, CA）就是一个负责发放和管理数字 证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结 构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中 心的证书，最下一级的认证中心直接面向最终用户。 认证中心主要有以下几种功能： 证书的颁发证书的颁发 中心接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请，将申请 的内容进行备案，并根据申请的内容确定是否受理该数字证书申请。如果中心接受该 数字证书申请，则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥 签名以后，发送到目录服务器供用户下载和查询。为了保证消息的完整性，返回给用 OA 系统数字证书安全平台设计方案 5 户的所有应答信息都要使用认证中心的签名。 证书的更新证书的更新 认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。 证书的查询证书的查询 证书的查询可以分为两类，其一是证书申请的查询，认证中心根据用户的查询请 求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务 器来完成，目录服务器根据用户的请求返回适当的证书。 证书的作废证书的作废 当用户的私钥由于泄密等原因造成用户证书需要申请作废时，用户需要向认证中 心提出证书作废的请求，认证中心根据用户的请求确定是否将该证书作废。另外一种 证书作废的情况是证书已经过了有效期，认证中心自动将该证书作废。认证中心通过 维护证书作废列表(Certificate Revocation List, CRL)来完成上述功能。 证书的归档证书的归档 证书具有一定的有效期，证书过了有效期之后就将作废，但是我们不能将作废的 证书简单地丢弃，因为有时我们可能需要验证以前的某个交易过程中产生的数字签名， 这时我们就需要查询作废的证书。基于此类考虑，认证中心还应当具备管理作废证书 和作废私钥的功能。 1.3. CA 安全体系安全体系 CA 体系的数字证书和安全认证应采用“集中式生产、分布式服务”的模式，即证 书的生产（签发、发布、撤消等）集中在证书生产系统进行，而证书的服务则由大量 分布式的证书查询验证服务系统完成。 安全体系主要为电子政务系统提供以下可靠的安全服务： 提供基于数字证书的信任服务，进行证书管理。 提供基于统一安全管理的密钥服务，包括密钥的生成、管理等相关服务。 提供数字证书/证书撤消列表的目录查询及管理服务。 提供基于统一安全管理的密码服务。 以信任服务为基础，为电子政务业务系统提供可信的授权管理服务。 OA 系统数字证书安全平台设计方案 6 基于国家权威时间源和公钥密码，提供可信的时间戳服务。 提供网络可信接入、安全通信及可脚理服务。 提供信息安全防护系统服务。 安全体系包括：证书生产系统、证书查询验证服务系统、可信时间戳服务系统、 可信授权服务系统、网络信任域系统和信息安全防御系统等，如图所示。其中证书生 产系统为电子政务工程提供数字证书的生产服务，由证书认证中心 CA、证书审核注册 中心 RA、密钥管理中心 KM 组成。 综合业务支撑平台 网络基础设施 安 全 W e b 门 户 系 统 认 证 网 关 可 信 系 统 交 换 服 务 系 统 共性服务可信时间戳服 务系统 证书查询验证系 统 可信 Web 邮 件服务系统 可信服务授权 系统 网络信任域系 统 资源管理系统 CA 中心 KM 中心 RA 中心 信 息 安 全 防 御 系 统 电子政务应用系统 证书查询验证系统 证书生产系统 1.4. CA 认证体系在广州市的认证体系在广州市的推广介绍推广介绍 CA 安全认证体系的建设，不仅仅是建设业务系统，更重要的是搭建全局的信息化 基础设施，为此，需要将 CA 认证作为一项基础性、全局性的工作来实施。 根据广东省电子政务信息安全管理暂行办法第八条的规定：“在电子政务外 网上建立统一的数字证书认证体系，建立电子政务安全信任机制和授权管理机制。凡 接入电子政务外网的应用系统必须采用省电子政务认证中心发放的数字证书。各市可 直接采用省电子政务认证中心提供的数字证书注册服务，也可根据实际应用情况建立 本市数字证书注册服务中心，负责本市范围内数字证书的登记注册。 ” OA 系统数字证书安全平台设计方案 7 广州市数字证书管理中心本身不具备 CA 的认证运营资质和认证技术体系，广州市 数字证书管理中心是广东省数字证书认证中心在广州地区的注册审核机构（RA）和数 字证书运营推广合作伙伴，他接受 GDCA 的运营授权并继承 GDCA 的运营资质。是 GDCA 在广州地区唯一对外授权的 RA 中心。该 RA 中心于 2003 年 12 月建立并投入运营。并 先后在税务，社保，环保，市政，建设，交通，教育，人事等多个部门进行了数字证 书的运营推广工作。双方在广州地区的数字证书运营推广有战略合作协议。广州市数 字证书管理中心在数字证书体系上符合 GDCA 统一的技术规范，行政上归属广州市信息 中心管理，业务上接受 GDCA 的业务指导。 GDCA 已经成功实施 CA 认证体系的单位名单摘录如下： 广东省质监组织机构数字证书安全平台 广东省社会保障综合信息系统 广州市工商网上年审 广州市国税报税系统 广东省国土办公 OA 广东省环保数字证书安全应用平台 广东省金财工程 广东省企业信用信息网 广东省信息产业厅 OA 系统 广州市财局政府采购系统 广州市人事局高校毕业生就业系统 国家统计局企业网上直报系统 国税网上报税系统 国土并联审批系统 OA 系统数字证书安全平台设计方案 8 2. 需求分析需求分析 2.1. 应用层安全是整个信息系统安全体系的薄弱环节应用层安全是整个信息系统安全体系的薄弱环节 世界上没有绝对安全的信息系统，各种各样的安全隐患总是存在于信息系统的各 个方面。信息安全层次体系是由物理层安全、网络层安全、系统层安全、应用层安全、 管理安全五部分相互关联、有机结合的一个统一整体。 应用层安全 网络层安全 物理层安全 系统层安全管 理 安 全 信息中心现有的网络基础设施和系统安全解决方案通过建设高标准机房，部署防 火墙、入侵检测、漏洞扫描等技术和设备，建立完善的管理制度等，很好地解决了物 理层、网络层、系统层以及管理层的安全威胁，但是应用层安全却没有得到很好的保 障。 应用层是应用系统直接与用户打交道的层面，其安全性直接影响到应用系统及其 数据的安全，受到各种各样合法和非法用户的安全挑战。信息系统的应用层安全需求 主要表现在四个方面： 业务实体的身份鉴别 业务数据的保密 业务数据的防篡改 业务交往的防抵赖 2.2. 应用层安全的具体需求应用层安全的具体需求 上一小节已经描述了保障一个信息系统的安全需要从物理层、网络层、系统层、 应用层以及管理安全五部分来考虑，而传统的安全设备和措施并不能很好地保障信息 OA 系统数字证书安全平台设计方案 9 系统在应用层的安全。那么，信息系统在应用层到底面临哪些安全风险呢？ 2.2.1. 业务实体的身份鉴别业务实体的身份鉴别身份认证身份认证 根据每个用户的工作职责和工作权限，对应用系统的访问权限各不一样，只有经 授权的合法用户才能访问信息系统，并且只能执行与其职权对应的业务操作。如果用 传统的用户名/密码的方式登陆应用系统，将会存在三个方面的风险： 1)用户名/密码的安全性低，容易泄露或者被暴力破解。有的用户为了方便记忆， 把密码设置过于简单，并长期不更改，更降低了用户名/密码的安全性。 2)用户登录的时候，怎样才能确保自己所登陆的系统正是自己所要使用的应用系 统，而不是一个冒名顶替的系统？当前流行着一种网络攻击手段，黑客用足可 以假乱真的系统诱骗用户登录，从而窃取用户信息和密码，即所谓的钓鱼式攻 击。 3)应用系统怎样才能确保正在登陆的用户确实是一个合法的用户，而不是盗用了 用户名/密码的恶意入侵者呢？任何人只需要知道用户名/密码，便可以冒充合 法用户登录系统。 2.2.2. 业务数据的保密业务数据的保密机密性机密性 应用系统中流转着大量的重要数据，并存储在数据库中。机密数据一旦被非法用 户获得，进而被恶意使用，将对整个应用系统的安全带来严重威胁，对用户何单位带 来信息泄露的严重后果。所以，需要对这些重要数据进行保密，要做到即使被恶意用 户拿到了数据，也读不懂数据的内容。这就必须使用加密技术，让重要数据在网上流 转和存储的时候都使用高强度加密方式加密起来，只有经授权的用户才能解密阅读。 2.2.3. 业务数据的防篡改业务数据的防篡改完整性完整性 电子化的信息系统如果没有有效的安全手段保障，将很容易被恶意用户在数据传 输过程中截取数据并篡改，甚至系统管理员也可以修改数据，而不留下篡改痕迹。被 篡改过的数据破坏了原有信息的完整性，使收到信息的一方未能获得真实内容。 OA 系统数字证书安全平台设计方案 10 那么，怎样才能确保数据在信息系统中的完整性呢，这便需要采用一种可行的安 全手段来防止数据被篡改，而且即使被篡改了，也要能让用户很方便地验证识别出来。 2.2.4. 业务交往的防抵赖业务交往的防抵赖防抵赖性防抵赖性 在信息系统中的业务处理环节，当事人必须对自行的行为以及所经手的数据负责， 并且在事后也可以追溯到当事人，防止当事人对自己行为抵赖。 在传统的工作模式下，只要进行手写签名，或者是盖章，便可以很容易地解决这 些问题，但在信息系统中，资料是以电子信息的形式存在，我们不可能手写签名或盖 章，那应该怎样来解决这个必须要解决的问题呢？也就是说，我们要采用一种安全可 靠，且可追溯的数字签名方式，来解决系统中信息的防抵赖性问题。 3. 数字证书安全应用平台建设数字证书安全应用平台建设 3.1. 系统架构系统架构 数字证书安全应用平台的系统架构示意图如下： OA 系统数字证书安全平台设计方案 11 Key Key 政政务务网网/ / 互互联联网网/ / 专专线线 一一般般用用户户 领领导导 Key 安安全全服服务务中中间间件件 Key G GD DC CA A K Ke ey y 广广东东省省电电子子政政务务认认证证中中心心 广广东东省省电电子子密密钥钥管管理理中中心心 G GD DC CA A 移移动动用用户户 服务与支持 数数据据库库服服务务器器 数数字字证证书书安安全全应应用用平平台台 交交换换机机 安安全全应应用用 支支撑撑服服务务器器 图图例例： 应应用用服服务务器器 数数字字证证书书运运营营管管理理系系统统 内内部部用用户户 Key 防防火火墙墙 数字证书安全应用平台系统架构示意图 如上图所示，数字证书安全应用平台由服务器端和客户端组成，为应用系统实现 基于数字证书的身份认证、数据加解密、数字签名等功能。 在信息中心部署一台安全应用支撑服务器，与应用系统的应用服务器相连，为 应用系统提供各种应用层安全服务的底层硬件支撑； 在应用系统的应用服务器上安装安全服务中间件，实现应用系统与安全应用支 撑服务器之间的各种安全服务功能调用； 为每一个应用系统用户发放数字证书，用户使用数字证书登陆应用系统并进行 相关的业务操作。用户数字证书及私钥等信息都存储在证书实体鉴别密码器中 （即 USB-KEY） ，并由证书实体鉴别密码器实现签名、验证、加密解密、哈 希和产生签名密钥对等运算功能，可实现设备内独立的密钥管理和保护功能。 OA 系统数字证书安全平台设计方案 12 3.2. 使用简便性描述使用简便性描述 在安全服务平台上，首先 CA 解决的一个首要问题就是系统用户的强身份认证，凡 是需要进入应用系统的用户，都必须持数字证书载体进行强身份认证登录，在应用的 源头确保安全合法的人员才能进入系统。登录的验证过程对使用者是透明简单的，只 需要插入 USB KEY 及按照提示输入 PIN 码即可，而且身份验证占用的系统时间极少。 其次是加解密功能。通过在相关业务的程序代码中加入加密和解密的函数，即可 以实现加密解密功能，对一些关键数据进行加密的过程对于使用者也是透明的，和不 使用加密传输功能在操作上基本相同，只是要确保 USB KEY 的正确连接就可以了，其 余由系统在后台完成。 最后是防抵赖服务（签名验签功能） 。对敏感数据进行签名的过程是一个对电子数 据进行完整性保护及防抵赖服务的过程，签名过程对使用者来说是透明的，只需要确 保 USB KEY 的正确连接，并按照提示输入 PIN 码（防止有人利用人员暂时离开时，冒 用签名） ，系统后台自动完成签名过程。签名后的签名值和原文数据保存在数据库中， 以备为将来可能的审计工作保留有效的法律证据。 3.3. 平台扩展性说明平台扩展性说明 请考虑一下下面的情形： 早上刚上班的时候，大量员工使用数字证书登陆 OA 系统，开始新的一天的工 作；或者在某个时段，大量用户登录业务系统办理业务，由于在同一时间一起 登陆系统的用户过多，导致安全应用支撑服务器响应时间过长，员工经常抱怨。 由于各种原因，安全应用支撑服务器突然出现故障，OA 系统所有涉及到数字证 书的业务（如登录、加解密、签名等）将不能进行，员工怨声载道，日常办公 受到严重影响。 任何先进技术或系统在为用户提供更大便捷、更高效率的同时，必将同时加大用 户对此技术或系统的依赖程度。随着业务的开展，数字证书用户大量增多，原来的安 全平台从性能、稳定性等方面都已不能满足应用系统的要求。所以，对于整个数字证 书安全应用平台的核心设备安全应用支撑服务器，我们必须考虑其更高稳定性和 OA 系统数字证书安全平台设计方案 13 更高可用性，双机系统正是这样一个成熟的解决方案。 在部署上，此双机系统就是在原有一台安全应用支撑服务器的基础上，再增加一此双机系统就是在原有一台安全应用支撑服务器的基础上，再增加一 台安全应用支撑服务器，两台设备通过交换机与应用系统的应用服务器相连，然后通台安全应用支撑服务器，两台设备通过交换机与应用系统的应用服务器相连，然后通 过配置，让两台安全应用支撑服务器实现双机热备和负载均衡的功能过配置，让两台安全应用支撑服务器实现双机热备和负载均衡的功能。 双机热备双机热备 双机热备是安全应用支撑服务器的一项主要功能，使之具有高可靠性和高效的冗 余处理机制，在应用系统密码运算业务要求稳定性高的时候得以充分体现。一旦日常 使用的安全应用支撑服务器出现偶然的物理故障，通过热备机制，应用系统可以马上 切换到备用的安全应用支撑服务器，由其接管，不会对业务流程产生任何影响，整个 切换过程对终端用户是透明的。 负载均衡负载均衡 在双机或多机并行应用中，几台并行的安全应用支撑服务器保持密钥信息的同步， 各自独立地接受应用服务器发来的密码运算请求。应用主机程序对安全应用支撑服务 器的使用是通过调用在应用服务器上的接口程序实现的，接口程序接到调用请求，根 据各安全应用支撑服务器的忙闲程度权值以及其内部的分配调度算法自动进行任务分 配，从而实现负载均衡。 3.4. 安全应用平台功能实现安全应用平台功能实现 系统提供的安全功能主要包括身份认证、加密与解密、签名与验签服务。下面从 实现的功能上，实现的流程上详细介绍这几种安全功能。 3.4.1. 身份认证身份认证 身份认证功能描述身份认证功能描述 身份认证主要是要解决“我是谁”的问题，用数字证书替代传统的用户名/密码， 极大地增强了身份认证的安全性。在用户登陆应用系统的时候，客户端和服务器端必 须经过一个类似于握手的过程，在这个过程中，双方相互验证对方的数字证书，只有 都通过了验证，才能允许用户登陆应用系统。 在用户端安装好驱动程序，用户把智能密码钥匙（GDCA-Key）插入电脑的 USB 接 OA 系统数字证书安全平台设计方案 14 口，在登陆系统时，系统将提示用户输入智能密码钥匙的 PIN 码，如果 PIN 码正确， 系统将进行双向认证过程，如果认证通过，用户便可以登陆应用系统。注意，如果连 续输错 3 次 PIN 码，智能密码钥匙将被锁死，需交由 GDCA 或相关下级代理点解锁后方 能重新使用。 身份认证实现流程身份认证实现流程 客户端服务端密码实体鉴别器 1、发送登录请求 2、返回确认信息，建立连接 3、输入PIN码，取用户证书 4、发送用户证书 5、传送用户证书至服务端 6、对用户证书进行验证 7、生成随即数，对随机数进行签名 8、服务器证书、随机数、签名值传至客户端 9、传送信息（服务器证书，随机数，签名值） 10、验证服务器证书和随机数验签 11、产生随机数进行签名 12、回传随机数、随机数签名 13、回传随机数、随机数签名 14、对随机数签名验签 15、认证成功 （1） 发送登录请求 （2） 服务端返回确认信息，建立连接 （3） 客户端用户输入 PIN 码，从密码实体鉴别器中取用户证书 （4） 密码实体鉴别器校验 PIN 码正确后，发送用户证书至客户端 （5） 客户端将用户证书传送至服务端 OA 系统数字证书安全平台设计方案 15 （6） 服务端利用信任 CA 证书对客户端证书进行验证 （7） 服务端生成随机数，利用服务端签名私钥对随机数签名 （8） 服务端将服务端证书、随机数、随机数签名值传至客户端 （9） 客户端将服务端证书、随机数、随机数签名值传至密码实体鉴别器 （10）实体密码鉴别器利用信任 CA 证书验证服务器证书，并对随机数签名进行验 签 （11）产生随机数，并利用签名私钥对随机数进行签名 （12）将随机数、随机数签名值回传至客户端 （13）客户端回传随机数、随机数签名值至服务端 （14）服务端对随机数签名验签 （15）返回认证成功，身份认证成功。 3.4.2. 加密与解密加密与解密 加密与解密功能描述加密与解密功能描述 对于某些敏感的数据，如果需要进行加密，可以通过证书中的用户公钥进行加密。 如果是私人数据，可以用个人证书进行加密，如果是公共敏感数据，可以用服务器的 证书进行加密。 要实现数字证书的加密/解密功能，发送者使用接收者的公钥进行加密，接收者使 用自己的私钥进行解密。所以，在对数据进行加密之前，发送者必须获得接收者的公 钥，即接收者数字证书中所包含的公钥。发送者一般通过用户或管理员离线分发（即 通过邮件或者拷贝等方式） ，或者在线从 GDCA 的 LDAP 服务器上下载的方式获得接收者 的数字证书。 加密与解密实现流程加密与解密实现流程 OA 系统数字证书安全平台设计方案 16 客户端应用服务器密码服务器LDAP服务器 1、证书下载请求 2、LDAP证书下载 3、利用下载证书进行信息加密 4、HTTP传输信息（明文和密文） 5、传输密文信息 6、利用私钥解密 7、返回解密数据 8、业务处理后，传输数据 9、加密数据 10、返回加密数据 11、下传数据（密文） 12、解密数据，业务处理 （1） 客户端向 LDAP 服务器请求密码服务器公钥证书下载 （2） 接收密码服务器公钥证书 （3） 系统根据事前的约定将需要进行加密的数据组成一个数据包，并通过 ActiveX 控件调用 PKI 动态连接库进行数据的加密 （4） 利用 HTTP 方式传输信息（明文和密文）至应用服务器 （5） 应用服务器接受信息后，将密文数据传送至密码服务器 （6） 密码服务器利用私钥进行解密 （7） 返回明文信息至应用服务器 （8） 应用服务器进行业务处理后，将处理后的明文信息传送至密码服务器 （9） 利用客户端公钥进行信息加密 （10）返回加密数据至应用服务器 （11）将密文下传至客户端 （12）客户端利用自己的私钥进行解密，并进行业务处理 OA 系统数字证书安全平台设计方案 17 3.4.3. 签名与验签签名与验签 签名与验签功能描述签名与验签功能描述 数字签名的原理，简单地说就是利用签名者自己的私钥对数据进行处理，生成一 段与原文唯一对应的签名值，并把签名值附在原文后，一起发送给接收者，接收者使 用签名者的公钥对签名值进行验证，便可实现数据的防篡改、防抵赖功能。 签名值将作为一个字段保存在数据库中，如果事后发生纠纷，可以取出签名值重 新进行验证，而且数字签名是具有法律效力的。 中华人民共和国电子签名法在法律层面上确立了电子签名的效力，规范了电 子签名的行为，解决了电子签名的合法性问题。而基于数字证书的数字签名是各种电 子签名表现形式中应用最广的一种。 电子签名法确保了电子签名作为法律证据的合 法性，并且明确了包括数字证书服务提供商在内的各方责任和义务。 签名与验签实现流程签名与验签实现流程 客户端应用服务器密码服务器 1、对敏感数据签名 2、传送签名数据 3、验证签名数据 4、传送处理后的数据 5、对处理后的敏感数据签名 6、下传签名数据 7、验证签名数据 OA 系统数字证书安全平台设计方案 18 （1） 客户端用私钥将敏感数据签名，并将数据提交给应用服务器； （2） 应用服务器将数据传送到密码服务器； （3） 密码服务器使用客户的公钥证书验证签名数据；并将数据传送到应用服务器； （4） 应用服务器对数据进行处理，将处理后产生的数据传送到密码服务器； （5） 密码服务器将得到的数据用自己的私钥签名；并传送到应用服务器； （6） 应用服务器将数据下传到客户端； （7） 客户端用对方公钥来验证获得的签名数据 3.5. 产品说明产品说明 3.5.1. 安全应用支撑服务器安全应用支撑服务器 1、产品概述 安全应用支撑服务器是 PKI 安全应用的运行支撑平台，以硬件方式为应用系统提 供服务器端数据机密性、数据完整性、身份认证、防抵赖等服务，符合国密办证书 认证系统密码及其相关安全技术规范 ，具有稳定、可靠、高效、易管理的特点，其图 形化的配置管理工具使用户维护变得简单方便。 2、功能介绍 基于数字证书的身份认证与可信授权 高速数据加解密能力，支持国密办算法，10M Bps 加密数据通道 高速数字签名能力，数字签名速度 20 次/秒-200 次/秒 设备双机热备份支持 图形化的设备管理 设备的授权访问控制 724 服务高可靠性 OA 系统数字证书安全平台设计方案 19 可与基于所有流行的操作系统的应用服务器配套使用 可支持所有运行平台构建的 C/S 和 B/S 应用系统 3、功能描述 管理和配置功能：包括服务器的启动与停止，通信参数设置，网络设置，认证 参数设置和管理员管理等工作。 登录认证功能：认证服务器统一负责对访问本安全域的用户进行登录认证，及 时传递用户身份信息给用户将要访问的服务器，并响应合法用户对登录信息的 查询。 证书处理功能：对证书的有效性进行验证，包括证书链的验证，证书有效期的 验证，证书签名有效性验证等内容。 日志审计功能：提供了较完善的认证系统工作日志，包括用户的登录、登出和 访问请求记录和日志的多种方式查询，并能够进行日志备份恢复。 3.5.2. PKI 安全服务中间件安全服务中间件 1、产品概述 PKI 安全服务中间件是基于 PKI 公钥基础设施，构建安全应用的开发环境与运行 支撑环境，遵循国密办证书认证系统密码及其相关安全技术规范 ，兼容 PKCS11、Windows CSP、JCE 等国际信息安全应用标准。PKI 安全服务中间件采用中 间件技术、以及 J2EE、XML、Web Service、CORBA、COM 组件等多种先进技术，能够 屏蔽底层安全设备的硬件差异和复杂的密码实现逻辑，使用户只需在特定业务逻辑中 嵌入所需安全功能，然后再进行简单的部署和配置，即可实现基于 PKI 的安全应用， 可极大程度的降低应用系统的开发成本，提高开发效率。 2、体系架构 OA 系统数字证书安全平台设计方案 20 图 与与与与 P K I 与 与 与 与 与 与 与 与 PKI与 与 与 与 与 PKI与 与 与 与 与 与 与 与 与 与 与 与 与 PKI 与 与 与 与 与 C/S.B/S与 与 与 与 与 与 CA/RA与 与 与 与 与 与 与 LDAP/OCSP/TSP与 C与 JAVA与 COM与 CORBA与 EJB与 PKCS11WinCspJCE与 与 与 与 API PK I 与 与 与 与 PK I 与 与 与 与 Windows与 Linux与 FreeBSD与 Unix与SCO与SUN- OS与 HP- UX与 AIX与 与 与 与 与与 与 与USB Key与 与 与 与 与 表 1 PKI 安全服务中间件体系架构 3、功能描述 PKI 安全中间件中符合各种标准规范的组件功能，下面重点介绍自定义规范的组件 功能： 数据的对称加密、解密 消息的完整性鉴别码 MAC 随机密钥的生成 支持 MD5、SHA1 散列运算算法 BASE64 编码和解码 证书验证和解析 PKCS#7 数字信封 OA 系统数字证书安全平台设计方案 21 3.5.3. 数字证书载体数字证书载体 1、产品概述 安全客户端是通过客户端软硬件向用户提供安全服务的支撑，包括密码服务和信 任服务，安全客户端包括数字证书载体和客户端安全中间件等部分。下面详细介绍数 字证书载体的功能设计。 为了满足安全应用系统平台在实体可鉴别、可管理方面的需求，信任服务（签名/ 签名验证）方面的需求，以及证书的存储管理方面的要求，数字证书载体是对使用电 子政务安全平台的终端实体（包括用户和终端设备）进行身份识别的便携式硬件设备。 2、体系结构 数字签名证书载体的体系结构如下图所示。由图可知，数字签名证书载体由设备 驱动模块、通信控制模块、密码算法处理模块和扩展存储模块。 通通 讯讯 控控 制制 模模 块块 密密码码算算法法处处理理模模块块 扩扩展展存存储储模模块块 设设备备驱驱动动模模块块 用用 户户 终终 端端 OA 系统