数字证书认证 2015-10-19 10:35
基于电子政务的数字证书安全解决方案
1. 电子政务现状
电子政务是指政府机构利用信息化手段,实现各类政府职能。其核心是:应用信息技术,提高政府事务处理的信息流效率,改善政府组织和公共管理。
信息技术的飞速发展引发了一场深刻的生产和生活方式变革,极大地推动着经济和社会的发展。作为信息高速公路五个应用领域中的首要应用,电子政府/电子政务在全球范围内受到广泛的重视,可以说政府信息化是经济信息化和社会信息化的前提,电子政务是未来国家核心竞争力的重点要素之一。
根据政府机构的业务形态来看,通常电子政务主要包括三个应用领域:
- 政务信息查询:面向社会公众和企业组织,为其提供政策、法规、条例和流程的查询服务;
- 公共政务办公:借助互联网实现政府机构的对外办公,如:申请、申报等,提高政府的运作效率,增加透明度;
- 政府内部业务系统:以信息化手段提高政府机构内部业务领域的办公效率,如:公文报送、信息通知、信息查询及业务流程等;
2. 信息安全隐患
电子政务是近年业界强烈感受到的市场热点。由于电子政务系统本身的重要性和特殊性,安全性问题便成了人们解析电子政务时的首要话题。
电子政务提供科学决策、监管控制、大众服务的功能,信息安全是其成功的保证。解决好信息共享与保密性、完整性的关系、开放性与保护隐私的关系、互联性与局部隔离的关系,是实现“安全的”电子政务的前提。因此电子政务系统一方面要求考虑政府内部网络的安全,另一方面要求考虑面向公众服务的网络安全。
电子政务行使政府职能的特点导致来自外部或内部的各种攻击,包括黑客组织、犯罪集团或信息战时期信息对抗等国家行为的攻击。网络威胁包括来自内部与外部的威胁、主动攻击与被动攻击带来的威胁。网络威胁的隐蔽性、体制性、边界模糊性、突发性、易被忽视(如同恐怖的措手不及)的特点要求引起高度重视。从恶意攻击的特点来看,FBI统计的结果是65%的攻击来自网络系统内部,如来自内部的非法窃取或非授权访问。
信息网络的可腐败性是电子政务必须考虑的另一问题。信息系统要求有相应的安全环境。应用软件系统的脆弱性、应用系统的漏洞、代码错误、不安全代码的执行模式或不安全设计可能构成安全风险。网络的脆弱性、网络协议的开放性、系统的相互依赖性导致网络存在安全风险。安全设计本身的不完备性可能构成网络新的安全风险。安全管理要求考虑网络系统的安全配置、正常运行、安全操作、应急响应、安全审计等问题。
3. CA—应用层的安全屏障
任何应用系统都离不开安全,这也是绝大多数客户在选择和建设应用系统时的一个重要考虑因素。在谈到安全方面,很多人都首先想到防病毒、防黑客、入侵检测、端口扫描等等,这些都是对应用系统之外的操作系统、网络硬件级别的预防措施,而对于应用系统上的假冒、窃取、篡改、否认等攻击手段带来的威胁还没有引起足够的重视。
以下是典型的电子政务系统中的安全级别与安全考虑对照表:
| 安全级别 |
安全考虑 |
| 管理级 |
制订相应的规章与制度,从人的角度确保系统与数据安全 |
| 网络与硬件级 |
从硬件与网络设计上确保安全性 l 网络端口安全设计 l 子网/防火墙隔离设计 |
| 支撑软件级 |
主要从操作系统的安全性 l 数据库系统的安全性 l GIS系统的安全性等角度考虑。 |
| 应用级 |
确保各个专业系统之间的业务访问与数据交换安全 l 安全的密码保护机制——密码和密钥存储 l 系统进入的授权控制 l 信息访问的授权控制 l 加密存储及加密传输 l CA认证 |
从上表可以看出,处于系统应用级的CA认证所解决的问题不同于防火墙、防病毒、操作系统补丁等常常为人们所注意的安全问题,它集中于满足在应用系统中各个用户、各种角色的身份验证,以及数据在网络环境下传输交换过程中的机密性与完整性(防盗取,防篡改),和电子文档签名的合法性及不可以抵赖性等系统应用级别中的安全需求。
在电子政务的各系统中,如行政审批,内部OA等系统,对公众服务等,其中数字签名的应用将进一步推动电子政务的进程。2005年4月1日起实施的《电子签名法》确立了电子签名(含数字签名)的法律地位,用CA中心颁发的数字证书进行过数字签名的文件、批示、申请等电子文档具有与手写签名或盖章的纸质文档相等的合法效力。
4. 安全平台结构图
4.1.系统结构图及说明
图表 1电子政务系统安全应用平台结构图
如上图所示:各用户(包括内部办公人员、审批人员、相关领导和系统管理员等)通过已经安装有安全服务中间件的客户端,同时使用数字证书载体进行身份认证,业务系统将用户证书信息传输给安全应用支撑服务器,由安全应用支撑服务器验证用户证书的有效合法性,并根据系统分配给该用户的权限调出相关的业务办理页面。
此安全服务平台还可以解决包括信息的机密性、完整性和不可抵赖性等信息安全问题。安全服务平台需建设的项目有安全应用支撑服务系统、安全服务中间件和数字证书载体等。
4.2.使用简便性描述
在安全服务平台上,首先CA解决的一个首要问题就是系统用户的强身份认证,无论是电子政务系统的日常办公人员(如办公人员、申请及审批人员、文档归档人员等),还是领导及系统管理员,凡需要进入电子政务系统进行日常办公业务处理的人员,都应该持数字证书载体进行强身份认证登录,在应用的源头确保安全合法的人员才能进入系统。登录的验证过程对使用者是透明简单的,只需要插入USB KEY及按照提示输入PIN码即可,而且身份验证占用的系统时间极少。
其次是加解密功能。对一些关键数据(如秘密文件等)进行加密的过程对于使用者也是透明的,和不使用加密传输功能在操作上基本相同,只是要确保USB KEY的正确连接就可以了,其余由系统在后台完成。
最后是签名验签功能。对敏感数据(如领导审批签名等)进行签名的过程是一个对文档进行完整性保护及防抵赖服务的过程,签名时确保USB KEY的正确连接,并按照提示再次输入PIN码(防止有人利用人员暂时离开时,冒用签名),系统后台自动完成签名过程。签名后的签名值和原文审批意见保存在数据库中,以备为将来可能的审计工作保留有效的法律证据。
4.3.数字签名法律意义
在内部审批、电子报批及内部OA等电子政务系统中,数字签名及电子印章的应用将进一步推动无纸化办公的进程。2005年4月1日起实施的《电子签名法》确立了电子签名(含数字签名)的法律地位,用CA中心颁发的数字证书进行过数字签名的文件、批示、申请等电子文档具有与手写签名或盖章的纸质文档相等的合法效力。《电子签名法》的推出将极大的促进CA行业的建设快速发展。
同时根据《电子签名法》的规定,具有电子认证服务许可证的第三方CA中心(也就是法律规定的电子认证服务提供者)对于电子签名人及电子签名依赖方使用其提供的电子签名认证服务从事民事活动遭受损失,第三方CA不能证明自己无过错的,承担赔偿责任。从法律的层面上规范了第三方的责权范围。
5. 功能实现描述
5.1.基于数字证书的强身份认证
5.1.1. 功能描述
在网络环境中,身份认证是鉴别资源访问者的合法性的基础手段。
通常采用用户名+口令的方式进行身份认证是目前实现计算机安全的主要手段之一,但是采用用户名+口令的方式,在越来越复杂的网络环境中相对脆弱。首先由于应用系统设计上的缺陷,用户口令可能在网络中以明文传输,另外在口令的存储中甚至也可能是明文的或是经过简单加密措施处理。这些隐患都可能为恶意的攻击提供可能。
利用广东省数字证书认证中心提供的基于数字证书的身份认证服务,可以对每个访问系统的用户进行强身份验证。具体应用在系统的用户的身份认证登录。系统可以根据数字证书中的身份信息,对这些用户的有效身份进行识别,从而达到真正的网络身份认证的作用。基于PKI/CA技术的数字证书是由权威的第三方CA中心签发的,难以伪造,并保存在数字证书载体(以下简称USB KEY)硬件介质中可随身携带,USB KEY本身还有PIN码保护,所以丢失USB KEY但PIN码未泄露,或者PIN码泄露但保护好USB KEY,都能防止身份被盗用。
用户首先打开系统登录页面,将数字证书载体插入到计算机的USB接口,并在登录窗口的PIN码输入框中输入PIN码,当系统验证到PIN码是正确时,系统将通过密码服务器验证用户证书,当确定该证书合法性之后,才允许用户登陆系统。有一点请特别注意:出于保护用户的身份安全,如果连续输错3次PIN码,数字证书载体将被锁死,需交由GDCA或相关下级代理点解锁后方能重新使用。
5.1.2. 实现流程
- 用户进入系统,并进入业务申请办理页面
- 服务器将登录页面返回
- 客户端用户插入密码实体鉴别器(即KEY)并输入PIN码,从密码实体鉴别器中取用户证书
- 密码实体鉴别器校验PIN码正确后,将用户证书传送至服务端
- 服务端对客户端证书进行验证
- 服务端生成随机数,利用服务端签名私钥对随机数签名
- 服务端将服务端证书、随机数、随机数签名值传至客户端
- 客户端验证服务器证书,并对随机数签名进行验签
- 产生随机数,并利用签名私钥对随机数进行签名
- 将随机数、随机数签名值回传至服务端
- 服务端对随机数签名验签
- 验签通过则身份认证成功。
5.2.数据安全加解密服务
5.2.1. 功能描述
基于安全的整体规划考虑,数据在网络中传输时要确保机密数据不为第三方窃取。需要在机密数据的传输过程中进行加密处理,只能由接收方进行解密还原成明文,才能保证机密数据即使被第三方窃取也由于没有解密密钥而只能是一些无用的加密文件,这就是“取得到,但看不懂”。
客户端用户和安全应用支撑服务器通过系统登录时交换对方的公钥证书,客户端用对方的公钥证书对提交的敏感数据进行加密,通过应用服务器将数据传送给安全应用支撑服务器,安全应用支撑服务器用自己的私钥对数据解密;然后将解密数据提交到应用服务器对数据进行处理,处理完后将数据传回到业务管理员端进行加密:安全应用支撑服务器使用客户端的公钥对其进行加密,数据传送到客户端后,客户用自己的私钥对数据解密,即可完成一次安全的数据加解密处理过程。
5.2.2. 实现流程
- 通过登录时的身份认证双方交换公钥证书
- 系统根据事前的约定将需要进行加密的数据组成一个数据包,并通过ActiveX控件调用PKI动态连接库进行数据的加密
- 利用HTTP方式传输信息(明文和密文)至应用服务器
- 应用服务器接受信息后,将密文数据传送至安全中间件
- 安全中间件利用服务器私钥进行解密
- 返回明文信息至应用服务器
- 应用服务器进行业务处理后,将处理后的明文信息传送至安全中间件
- 利用客户端公钥进行信息加密
- 返回加密数据至应用服务器
- 将密文下传至客户端
- 客户端利用自己的私钥进行解密,并进行业务处理
5.3.数字签名及完整性验证
5.3.1. 功能描述
对数据的签名和验签,是将数据作为证据的一种最有效的方法。系统通过利用用户的签名私钥,对数据进行签名运算,并把运算结果作为一个字段存储在数据库中,这样数据就是经过这个用户签名的数据,具有法律效力,不能修改。当需要对数据进行验签时,系统只要再用用户的证书进行一次运算,就可以确定签名的有效性。
提交重要数据签名,客户端可以对关键业务数据用私钥签名。传送到服务端后用此用户公钥证书验签,再将验签数据传送到应用服务器处理;服务端也可以通过公钥证书对提交的敏感数据进行签名,通过应用服务器将数据传输到客户端,客户端用服务端的公钥证书验签。实现了数据的防篡改,防抵赖功能。
5.3.2. 实现流程
- 客户端用私钥将敏感数据签名,并将数据提交给应用服务器;
- 应用服务器将数据传送到密码服务器;
- 密码服务器使用客户的公钥证书验证签名数据;并将数据传送到应用服务器;
- 应用服务器对数据进行处理,将处理后产生的数据传送到密码服务器;
- 密码服务器将得到的数据用自己的私钥签名;并传送到应用服务器;
- 应用服务器将数据下传到客户端;
- 客户端用对方公钥来验证获得的签名数据
6. 产品说明
6.1.PKI安全服务中间件
6.1.1. 产品概述
PKI 安全服务中间件是基于PKI公钥基础设施,构建安全应用的开发环境与运行支撑环境,遵循国密办《证书认证系统密码及其相关安全技术规范》,兼容 PKCS#11、Windows CSP、JCE 等国际信息安全应用标准。PKI 安全服务中间件采用中间件技术、以及 J2EE、XML、Web Service、CORBA、COM 组件等多种先进技术,能够屏蔽底层安全设备的硬件差异和复杂的密码实现逻辑,使用户只需在特定业务逻辑中嵌入所需安全功能,然后再进行简单的部署和配置,即可实现基于 PKI 的安全应用,可极大程度的降低应用系统的开发成本,提高开发效率。
6.1.2. 体系架构
图表 2 PKI安全服务中间件体系架构
6.1.3. 功能介绍
PKI安全中间件中符合各种标准规范的组件功能,下面重点介绍自定义规范的组件功能:
- 数据的对称加密、解密
- 消息的完整性鉴别码 MAC
- 随机密钥的生成
- 支持 MD5、SHA1 散列运算算法
- BASE64编码和解码
- 证书验证和解析
- PKCS#7数字信封
6.2.安全应用支撑服务系统
6.2.1. 产品概述
安全应用支撑服务器是PKI安全应用的运行支撑平台,以硬件方式为应用系统提供服务器端数据机密性、数据完整性、身份认证、防抵赖等服务,符合国密办《证书认证系统密码及其相关安全技术规范》,具有稳定、可靠、高效、易管理的特点,其图形化的配置管理工具使用户维护变得简单方便。
6.2.2. 功能介绍
- 基于数字证书的身份认证与可信授权
- 高速数据加解密能力,支持国密办算法,>10M Bps加密数据通道
- 高速数字签名能力,数字签名速度20次/秒-200次/秒
- 设备双机热备份支持
- 图形化的设备管理
- 设备的授权访问控制
- 7×24服务高可靠性
- 可与基于所有流行的操作系统的应用服务器配套使用
- 可支持所有运行平台构建的C/S和B/S应用系统
6.2.3. 功能描述
- 管理和配置功能:包括服务器的启动与停止,通信参数设置,网络设置,认证参数设置和管理员管理等工作。
- 登录认证功能:认证服务器统一负责对访问本安全域的用户进行登录认证,及时传递用户身份信息给用户将要访问的服务器,并响应合法用户对登录信息的查询。
- 证书处理功能:对证书的有效性进行验证,包括证书链的验证,证书有效期的验证,证书签名有效性验证等内容。
- 日志审计功能:提供了较完善的认证系统工作日志,包括用户的登录、登出和访问请求记录和日志的多种方式查询,并能够进行日志备份恢复。
6.3.数字证书载体
6.3.1. 产品概述
安全客户端是通过客户端软硬件向用户提供安全服务的支撑,包括密码服务和信任服务,安全客户端包括数字证书载体和客户端安全中间件等部分。下面详细介绍数字证书载体的功能设计。
为了满足安全应用系统平台在实体可鉴别、可管理方面的需求,信任服务(签名/签名验证)方面的需求,以及证书的存储管理方面的要求,数字证书载体是对使用电子政务安全平台的终端实体(包括用户和终端设备)进行身份识别的便携式硬件设备。