传统行业

互联网及高新行业

电子认证网关解决方案 2015-10-19 10:35

广州迅科数码科技
|
|
|

基于电子认证网关CA解决方案

基于电子认证网关CA解决方案

1. 概述

电子认证网关产品是基于PKI技术构建的为应用系统提供多CA证书兼容验证服务、密码运算服务以及进行应用权限关联和权限控制管理的软件系统。

电子认证网关的证书验证服务包括两个层面。一个是基于PKI体系的证书有效性验证;一个是基于应用权限控制的有效性验证。基于PKI体系的证书有效性验证包括证书有效期验证、证书链验证及OCPS验证几个步骤。基于应用权限控制的验证包括授权信息验证及应用有效期验证。

为了满足应用系统的信息安全需求,电子认证网关以WebService方式为应用系统提供了密码运算服务,密码运算服务的类型涵盖了各种基础的必要的安全功能,所有的密码服务都是以WebService方式提供,解决了应用系统自身多样性调用安全接口的问题。

网关系统结合应用系统的登录的特征建立了数字证书与应用权限的关联机制,应用系统的终端用户可通过网关系统实现应用系统权限与数字证书的关联。管理部门同样可以通过网关系统对证书用户登录应用系统权限进行控制,确定应用权限的有效性。

2. 电子认证网关逻辑图

3. 电子认证网关整体架构图

 

可根据用户应用系统规模适当增加配置。

4. 关键流程描述

4.1. 证书验证流程

4.2. 流程说明

  1. 通过客户端控件获取证书介质中的用户证书;
  2. 和应用系统获取客户端传递的用户证书并调用电子认证网关的WebService接口进行证书有效性验证,验证接口入参除了用户证书外还需要包含网关系统为该应用系统定义的应用ID号;
  3. 网关系统通过获取的用户证书和应用ID开始进行有效性验证;
  4. 和通过网关系统配套部署的服务器端的中间件以及密码机完成证书有效期验证和证书链验证。在网关系统中可配置多个CA机构的证书链信息,可实现对不同CA机构颁发证书的验证。
  5. 通过本地配套部署的从OCSP服务器完成数字证书的在线验证,确定该证书的有效性(非注销证书)。从OCSP服务器与CA中心的主OCSP服务器保持数据同步。网关系统可配置多个CA机构的从OCSP,能实现对不同CA机构用户证书的OCSP验证。
  6. 通过网关系统存储的用户权限信息确定用户证书是否在网关系统进行注册。用户证书在网关系统注册由CA中心的证书管理系统完成,网关系统通过WebService接口可接收多个不同CA系统发起的用户证书注册请求。
  7. 在网关系统注册的用户证书存在有应用ID对应的应用状态(该状况也可由网关系统的管理人员进行配置更改),验证过程中网关系统会通过应用ID确定该用户证书是否有权限登录该应用系统,实现数字证书与具体应用的关联控制。
  8. 由于数字证书的有效期各不相同,为了控制数字证书访问某个应用系统的时间网关系统设置了应用有效期,网关在验证过程需要确定该证书在网关系统设定的应用有效期是否过期,应用有效期由CA中心的证书管理系统在证书注册时设置(应用有效期也通过网关系统的管理人员进行配置修订)。
  9. 在完成以上步骤的验证流程后,网关系统通过证书验证接口返回验证结果信息,验证结果信息中可以包含应用系统登录的唯一标识,如用户ID,或者是用户名和密码的组合信息。网关系统能在证书信息的注册过程记录应用系统的权限信息并在完成验证后返回该权限信息。
  10. 应用系统通过网关验证过程返回的结果信息登录应用系统。

4.3. 证书注册流程

4.4. 流程说明

 

  1. 证书用户需要获取到希望登录应用系统为其分配的用户权限信息(唯一权限标识),并向CA中心的业务受理部门发起应用注册申请。
  2. 和CA业务操作人员通过运管系统查询到用户对应的证书信息并将用户提供的唯一权限标识一同通过WebService接口发送给电子网关系统。
  3. 网关系统存储CA中心运管系统传来的证书信息,主要包括的签名证书、证书唯一标识、证书主题项信息。
  4. 和网关系统存储CA中心运管系统传来的应用权限关联信息,主要包括应用ID,用户提交的唯一权限标识,注册证书在该应用中的应用状态及应用有效期。
  5. 和网关系统在完成注册后将结果反馈给CA中心的运管系统,CA中心的运管系统将结果反馈给终端用户。
  6. 终端用户获取到CA中心运管系统的反馈后就可通过数字证书登录已经完成注册的应用系统了。

 

4.5. 使用简便性描述

在安全服务平台上,首先CA解决的一个首要问题就是系统用户的强身份认证,无论是电子政务系统的日常办公人员(如办公人员、申请及审批人员、文档归档人员等),还是领导及系统管理员,凡需要进入电子政务系统进行日常办公业务处理的人员,都应该持数字证书载体进行强身份认证登录,在应用的源头确保安全合法的人员才能进入系统。登录的验证过程对使用者是透明简单的,只需要插入USB KEY及按照提示输入PIN码即可,而且身份验证占用的系统时间极少。

其次是加解密功能。对一些关键数据(如秘密文件等)进行加密的过程对于使用者也是透明的,和不使用加密传输功能在操作上基本相同,只是要确保USB KEY的正确连接就可以了,其余由系统在后台完成。

最后是签名验签功能。对敏感数据(如领导审批签名等)进行签名的过程是一个对文档进行完整性保护及防抵赖服务的过程,签名时确保USB KEY的正确连接,并按照提示再次输入PIN码(防止有人利用人员暂时离开时,冒用签名),系统后台自动完成签名过程。签名后的签名值和原文审批意见保存在数据库中,以备为将来可能的审计工作保留有效的法律证据。

4.6. 数字签名法律意义

在内部审批、电子报批及内部OA等电子政务系统中,数字签名的应用将进一步推动无纸化办公的进程。2005年4月1日起实施的《电子签名法》确立了电子签名(含数字签名)的法律地位,用CA中心颁发的数字证书进行过数字签名的文件、批示、申请等电子文档具有与手写签名或盖章的纸质文档相等的合法效力。《电子签名法》的推出将极大的促进CA行业的建设快速发展。

同时根据《电子签名法》的规定,具有电子认证服务许可证的第三方CA中心(也就是法律规定的电子认证服务提供者)对于电子签名人及电子签名依赖方使用其提供的电子签名认证服务从事民事活动遭受损失,第三方CA不能证明自己无过错的,承担赔偿责任。从法律的层面上规范了第三方的责权范围。

 

附件
沪ICP备15021898号-1