网络信任服务系统在工商电子政务中的运用

网络信任服务系统在工商行政管理电子政务中的应用

国家工商行政管理总局信息中心二○○五年八月五日以工商总局电子政务试点示范工程为例，阐述了行业政府管理部门在电子政务应用中所面临的可信服务方面的安全风险及解决方案，论述了网络信任服务系统的设计思路，介绍了典型应用的效果。

概要系统功能：业务工作平台、社会服务平台、资源共享平台。系统特点：用户数量多，成分复杂；业务流程严格，数据真实、可靠、完整。风险：

基本安全防御：防攻击、防破坏、防病毒等。 网络可信服务：防截获、防篡改、防伪造、防假冒、防抵赖一、工商系统电子政务面临的安全风险三、设计方案——设计原则（1）构筑在自主知识产权的基于公钥基础设施PKI的信息安全平台之上，为业务系统提供证书认证、密钥管理、密码、授权、可信时间戳、安全数据传输等安全服务。（2）工商总局统一规划政务外网的密码体制，建立密钥管理体系，建立总局安全认证系统，实现全网的集中认证与授权管理，实现工商系统电子政务实际需求的安全接入、统一的信任与授权、统一密码服务以及业务支撑等技术平台的建设。（3）省级工商局以总局的信任服务根系统为源点，建立二级证书业务和信任服务系统。以信任服务系统为平台，开展工商电子政务应用、业务处理及横向部门间的网上互联审批、联合年检和数据互联互通。三、设计方案——体系结构三、设计方案——逻辑结构二、网络信任服务解决方案利用电子政务试点示范工程项目，建立以PKI/CA为基础的安全与业务支撑平台，解决身份认证、有效授权、信息机密性、不可抵赖性、资源控制、责任认定等问题，开展工商行政管理核心政务信息资源建设和应用整合，建立为市场监管执法服务、增强国家宏观和微观管理能力的以企业注册、动态监管为主要内容的示范应用系统。证书认证系统证书注册审核系统证书查询验证服务系统密钥管理系统密码服务系统可信授权服务系统可信时间戳服务系统

三、设计方案——系统构成数据加解密、数字签名/验证、数据完整性验证和随机数运算，以及多类密码的策略匹配服务；对称密钥管理服务；密码设备统一集中监管服务；资源使用证书签发服务；资源使用授权管理和授权服务；资源使用可信时间服务；网络层数据安全传输服务；三、设计方案——系统功能网络层安全可信的接入控制服务；全网统一注册服务；资源使用、用户、应用、设备状态收集、查询和维护服务；全网统一的政务客户端版本更新和后台管理服务；客户端的可信应用集成服务以及时间戳等信任支持服务。在业务系统前部署认证网关，实现对原有业务系统不作太大修改的情况下基于数字证书的身份认证和访问控制。三、设计方案——系统功能（续）信任服务体系采用“集中式生产、分布式服务”的模式，即，证书申请、审核分别在总局、省级局、市局三级证书审核注册机构进行，证书的生产（签发、发布、管理、撤销等）集中在总局、省级局两级证书认证中心进行，证书认证由分布在各地的证书查询验证服务系统（LDAP服务器和OCSP服务器）完成。证书业务系统采用双证书（签名证书和加密证书）、双中心（证书认证中心和密钥管理中心）机制。证书类型按使用对象分为人员证书、设备证书、机构证书三种类型；按功能分为加密证书和签名证书。数字证书格式采用X.509V4三、设计方案——系统要点查询验证系统部署四、项目应用情况——应用范围

1、典型业务系统（业务专网）

企业信息查询、政务信息直报、调查统计、企业数据下载2、网站

网上年检（内资）、网上变更、网上亮照、企业信息查询

3、业务协同

互联审批、联合年检（外资）、企业信用信息采集、查询四、项目应用情况——总局CA

1、政务信息直报系统：人员证书100；2、商标网上查询：人员证书108；3、企业数据库及企业信息查询：总局10余试用人员证书。4、机构证书：上海CA一个，北京、贵州、浙江3个RA。5、设备证书：企业数据库服务器，外网信任系统设备。四、项目应用情况——上海二级CA1、企业营业执照副本电子版：52万。一天最多签发8000余张。2004年10月起，基于安全平台和营业执照电子副本为企业开展了并联审批、联合年检、企业服务邮箱、网上亮照、网上约见等工商服务。2、工商系统工作人员证书50多。3、有关委、办、局人员证书250，用于互联审批业务、联合年检等业务。另外，北京、浙江、贵州三个RA：每地20多个工商系统工作人员证书。总局与上海工商局信任服务系统的关系上海市工商局信任服务系统部署平台各系统平台各功能证书审核注册系统证书认证系统密钥管理系统证书查询验证系统密码服务系统可信授权服务系统可信时间戳服务系统认证网关VPN密码系统注册服务系统资源整合服务器智能客户端服务器数字证书的申请、审核、下载和用户管理√√数字证书签发、证书管理和机构管理功能√

√

证书和证书撤销列表的发布、证书服务√

√√

为用户加盖和验证时间戳

√√

加解密、签名验签√身份认证√√

可信授权

√

应用系统的访问控制

√√

√

保证网络层安全可信传输、边界访问控制

√√提供注册、呼叫控制和鉴权服务√版本管理、客户端管理和即时办公等服务√各系统功能对应表

示范应用系统和CA系统的结合CA功能应用系统各功能身份认证可信授权加密、解密签名、验签加盖验证时间戳注册鉴权政务客户端系统登录、用户登陆√

√√√进入企业信用敏感栏目√

企业敏感数据的下载√

√√

政务信息直报点登陆√

进入政务信息直报栏目

√√

直报信息录入

√√

数据导入和导出

√√

信息统计√√系统管理与维护

√√

网上年检体系结构（上海）网上年检流程（上海）五、收获及问题初步构建了基于PKI/CA的安全与应用支撑平台及工商总局业务专网的信任服务体系，实现了唯一身份认证、统一鉴权，从技术上解决了