整理ESVS签名验签服务器技术白皮书V1推荐文档

1、精品文档ESVS签名验签服务器 技术白皮书Versio n 1.1精品文档中讯亚太科技有限公司目录1 前言 12 产品概述 22.1 产品简介 22.2 组成框图 23 产品部署 34 产品功能 44.1 配置与管理 44.1.1 用户管理 44.1.2 配置管理 54.1.3 服务管理 74.1.4 日志管理 74.2对外服务 84.2.1 签名验签 84.2.2 制作/ 拆解数字信封 84.2.3 证书校验 84.2.4 证书解析 84.2.5 安全通信 85 产品特点 96 产品型号及技术指标 9/、八1 前言随着社会信息化的发展，大量传统业务逐渐过渡到以计算机、互联网为代 表的“电子化

2、 ”时代，为确保这些经过 “电子化 ”后的商业或政务活动的有效性，电 子签名应运而生。在 “电子化 ”的业务活动中，各参与方通过对应用系统中关键业 务信息进行签名，来确保这些业务活动或业务信息的完整性和不可抵赖性。 PKI 技术是实现电子签名的主要手段，随着电子签名需求的增多以及 PKI 技术的深 入发展，将分散在各应用系统中实现电子签名的模块独立出来形成公用的电子签 名服务平台， 逐渐成为各级管理人员、 开发人员的共识， 签名验签系统就是这样 一个针对业务数据进行签名验签的独立的服务平台。 使用签名验签系统不但可以 有效地保障业务数据的完整性和不可抵赖性， 同时还能大大降低应用系统中实现 电

3、子签名的复杂度，因此签名验签系统可以被广泛应用在电子政务、电子商务、 电子金融等各个行业中。2产品概述2.1产品简介ESVS签名验签服务器是一款支持多种算法的商用密码应用设备，该设备主要应用在采用PKI安全体系的电子商务、电子政务系统和企业信息化中，为各 类系统提供数据签名和验签、基于数字证书的身份认证、基于数字证书的加密和 解密等安全保护。2.2组成框图签名验签服务器及应用系统组成框图如下:带签名的 业务数据I ESVS系统相关的部分各部分详细描述如下:ESVS服务器（签名验签服务器）ESVS服务器为一台为不同的应用系统同时提供签名验签服务的硬件服务器设备。它提供 Web管理界面实现对自身的

4、管理和审计。ESVS服务器通过请求OCSP服务器实时验证证书状态，或者自动下载CRL文件进行证书状态验证。 ESVS服务器可以与TSA服务器结合实现带时间戳的数字签名。从服务功能上划分，ESVS服务器可分为四个大模块：1）配置与管理模块由ESVS管理员使用，配置ESVS服务器参数和数据同步，并对相关帐户、权限、日志及服务进行管理。2) ESVS 主服务模块 初始化必要的共享资源，比如共享内存，日志服务等。3) 签名验签模块接收来自应用服务器的签名验签请求， 并将签名验签结果返回给应用服 务器。4) CRL 下载模块 定期自动下载 CRL ，并更新到配置数据库中。二、 ESVS 应用 APIES

5、VS 应用 API 为应用系统提供签名验签服务的调用接口，它通过将签名 验签请求发送给 ESVS 服务器的方式实现对文件、表单数据的签名验签。三、 ESVS 客户端套件ESVS 签名控件为一个 ActiveX 控件，为客户提供了基于浏览器的签名验签 操作，同时，它也可以验证来自 ESVS 服务器的签名。签名控件也可以支持数 据压缩功能。3 产品部署在产品的实际使用中， ESVS 签名验签服务器与业务系统并行部署，可以采 用内部 CA 系统所签发的证书，也支持第三方 CA 系统证书，产品部署示意图如 下：外网办公用户外网办公用户东方中讯EZCAInternet-=、i CR列表CA服务器ESV签

6、名验签服务器Iweb服务器web!艮务器内部办公用户内部办公用户4产品功能产品功能主要包括了系统的配置管理和对外服务两部分内容4.1配置与管理4.1.1用户管理系统用户分为超级管理员、配置管理员、业务管理员、审计管理员。其中配置管理员、业务管理员和审计管理员由超级管理员创建和管理。配置管理员主要 完成配置管理模块的功能配置，业务管理员主要是对应用服务的管理， 审计管理 员主要是对系统和应用的日志查询和审核。管理员通过用户名、密码和证书联合认证成功才能登陆系统进行操作，证书存放在usbkey中保存。系统必须在插入操作员管理 KEY才能进入系统。4.1.2 配 置管理配置管理模块必须由配置管理员登

7、陆才能进行操作， 配置管理包括服务器证 书配置、 CA 证书配置、 CRL 配置、应用信息设置、事件管理、配置信息导入导 出等功能。服务器证书配置签名服务器可以设置多张签名证书， 针对不同的应用可以配置使用相同或不 同的签名证书。签名证书对应的私钥保存在服务器的加密卡上，通过 keyid 关联 公钥、私钥以及对应的证书。服务器证书配置包括生成 P10 证书请求、导入服务器证书、导出服务器证 书、查看服务器证书及删除服务器证书。CA 证书配置CA 证书配置用来配置签名服务器的受信任 CA 证书（多张 CA 证书可能形 成证书链），受信任 CA 证书是指签名服务器所能接受的 CA 证书，他表明了签

8、 名服务器对那些 CA 域是信任的，只有被签名服务器所信任的 CA 签发的客户证 书，才能通过签名服务器的验签， 签名服务器可以配置使用多条证书链， 即使用 签名服务器的应用系统可以同时使用多个 CA 签发的客户证书。CA证书配置支持对证书的查看、CA证书的导入导出、CA的CRL和OCSP 站点的配置。CRL 配置CRL 信息的获取可以采用自动下载和手工导入两种方式，签名服务器同时 支持这两种方式。如果在 CA 证书设置中配置好 CRL 发布点，签名服务器可以 自动下载 CRL 信息并将其导入数据库中； 此外，管理员也可以通过 CRL 设置人 工导入 CRL 信息。支持手工导入证书吊销列表、查

9、看被吊销的证书信息、删除 导入的被吊销证书。应用配置“应用“是指使用签名服务器签名验签功能的应用系统，签名服务器支持多个 应用系统同时调用签名验签服务，这些应用系统可以通过不同的服务端口来区 分，它们可以使用相同或不同的服务器签名证书。应用与服务端口、 签名证书、时间戳服务以及受信任的证书链这几者的关系总结如下:对应关系一对一一对多多对一多对多应用一服务端口VV应用一签名证书VVVV应用一时间戳服务VV应用一受信任的证书链VVVV备注：一个应用可以配置一个默认的签名证书，但是应用系统可以在API中指定签名的证书。与应用系统相关的参数包括：1）应用名称：标识一个应用。2）应用服务器的IP地址：可

10、用于鉴别应用。3）为应用提供签名验签服务的签名服务器 IP/PORT :签名验签服务端 口。4）应用客户证书的状态检查方式：包括不检查，检查CRL，检查OCSP 当选择CRL检查时，服务器会从导入的CRL里查找证书是否已经被吊销； 当检查OCSP时，服务器会通过配置的 OCSP站点信息连接到站点，通 过站点查找证书是否已被吊销。5）签名服务器与应用服务器之间的安全模式：包括鉴别模式，通讯保 密模式等。6） 应用使用的默认签名证书：可以通过 API指定签名的证书，如果在 API中没有指定签名证书，那么会使用默认签名证书。7）应用使用的时间戳服务器信息：如果在 API中指定使用时间戳，那 么会向这

11、里配置的时间戳服务器发起时间戳请求。应用设置包括增加、删除、修改应用相关的配置信息。事件与日志配置对日志记录方式，日志产生事件进行设置，包括：1）日志记录方式设置：a）本地数据库：在SVS服务器上保存日志（保存在 MYSQL数据 库中），默认选项。b）远程SYSLOG :将日志发送到指定的SYSLOG服务器，选择本 选项需要配置 SYSLOG 服务器 IP/PORT 。c）远程服务器：指定专门的日志服务器IP/端口。2 ）选择需要产生日志的事件，这些事件包括:管理员登录退出，管理员配置， 签名验签操作， 错误与异常等。 系统程序和数据库中保存有一个事件表， 每个事 件被分配一个 ID。数据备份

12、及恢复数据备份是容灾的基础， 是指为防止自然或人为因素， 导致数据丢失， 而将 数据集合从签名服务器主机的数据库复制到其它存储介质的过程。数据恢复能够在系统发生灾难性事件后最大程度恢复还原至事发前现场， 保 证服务能尽快恢复运营。数据备份对签名服务器中数据库中的所有配置信息、 用户信息、日志信息进 行压缩加密存储，通过配置的导出和导入进行数据的备份和恢复。4.1.3 服务管理业务管理员负责开启和关闭 ESVS 主服务、 CRL 下载服务、签名验签应用 服务。4.1.4 日 志管理通常情况下， 签名服务器所进行的每一次操作 （包括管理操作和签名验签操 作）均应产生一条或多条日志， 日志记录了操作

13、的主体以及操作的成败等相关信 息。签名服务器日志记录针对的对象是事件， 事件是签名服务器程序在运行过程 中所经历的成功或者失败的处理与操作， 每个事件都具有重要程度标识， 由高到 低，重要程度分为关键、重要、通知三个级别。 。日志由审计管理员进行审查，审计管理员审查每条日志都需插入所持有的 USBKEY ，审查的每条日志均由审计管理员对日志信息签名保存。4.2 对外服务ESVS 服务器的核心价值在于对外提供多种安全服务， 主要的服务包括如下 几个方面：4.2.1 签 名验签raw 签名/验签： raw 签名包内容就是签名结果本身。attached 签名/验签： attached 签名包是一个包

14、含原文数据，签名者信息等 相关签名验签信息在内的标准的 PKCS#7 签名包。detached 签名/验签： detached 签名包格式与 attached 签名包格式类似， 区别在于 attached 包中包括了原文，但 detached 包中不包括原文。4.2.2 制 作 /拆解数字信封数字信封分为两类：普通的数字信封和带签名的数字信封。普通数字信封 ：是一个标准的 PKCS#7 数字信封。带签名的数字信封 ：带签名的数字信封实际上可以看作是 attached 签名包 与数字信封的结合。4.2.3 证 书校验验证证书有效期、签名验证、状态、使用策略。4.2.4 证 书解析根据解析出的证书信息查询数据库中的证书，并匹配出加密卡中的私钥4.2.5 安 全通信ESVS 服务器的通讯安全设计包括通讯双方身份鉴别，通讯数据的保密性 / 完整性和抗重播等5产品特点（1）安全性高支持管