电子政务RA建设方案.docx

1、电子政务RA建设方案HNCA数字证书RA系统建设方案河南省数字证书有限责任公司概述为解决Internet的应用安全问题,世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用的PKI技术(PublicKeyInfrastructure),PKI(公钥基础设施)技术采用证书管理公钥，通过第三方的可信任机构即CA(CertificateAuthority)机构，把用户的公钥和用户的其它标识信息(如名称、e-mail、身份证号等)捆绑在一起，在Internet网上验证用户的身份。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行

2、加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。 RA(RegistrationAuthority)即数字证书注册审批机构，它是CA机构的重要组成部分，它面向终端用户，接受用户的证书申请信息、审核信息以及制作发放证书，并具有注销用户证书的功能。河南省数字证书认证中心（简称HNCA)是经信息产业部、国家密码管理局及河南省人民政府批准成立，在省工业和信息化厅（原信息产业厅）、省国家密码管理局等有关部门领导的亲切关怀下发展起来的，是我省惟一依法成立的专门负责为政府、企业和个人提供网上身份认证和信息安全服务的第三方权威电子认证机构。与HNCA合作在全省各地信办建立

3、几家RA机构，作为区域性的认证服务中心，对我省信息化网络信任体系的布局是必要的，可行的，也是非常有意义的。第一章 为什么要在各地市建RA系统一、需求分析随着我省电子认证服务业务的发展，数字证书在各个领域的推广应用在不断创新，各地对数字证书的服务要求越来越迫切，所有这些应用都与当地政府的支持密不可分，政府在其中充当了服务的角色。为使政府的服务意识更加深入民心，在信息化网络安全领域方面，建立RA就是为了便于为百姓服务，并对信息化的推广起到保驾护航的作用。在应用软件系统使用数字证书保障网络安全的体系中，涉及的角色一般有二方。用户方即证书持有者（机构或个人）、管理用户方(发证方)，下面就二方对建立RA

4、的需求进行分析：1、 用户需要在本地制证发证的需求证书用户要求在当地直接办理业务，使办理证书各种业务方便、快捷，直接。如果当地没有RA 机构，所有证书业务都必须由CA 中心集中处理，这需要一定的时间进行处理。2、 证书业务推广宣传的需要在一个地区如果有专门的RA服务机构，就可以向更多的领域进行数字证书的推广，并给当地的市场带来更加直观的网络安全服务机构，增强人们对网络安全的信心。3、 证书业务服务的需要当证书应用在各个领域时，在一个地市就需要有一个区域中心来整合集中进行服务，可以节约业务成本。形成证书规模效益。4、 大宗用户需要对证书实时控制和管理的需求有的大宗用户需要对所发放的所有证书进行实

5、时的管理和控制，这样才可以更加有效的从管理的角度上来确保业务应用系统运行和操作的安全。而对证书的管理和控制，在CA 认证系统针对应用的建立平台中却仅仅解决了证书应用的问题，而对证书的管理和控制却没有集成有相应的系统。因此，需要对发放的证书进行实时控制和管理，建立RA的方式是一个选择。二、方案可行性 RA作为CA重要组成部分之一，其建设的依据可遵循CA的政策进行。所有针对CA电子认证服务的法律都适用于RA。1、电子签名法电子签名法第十六条规定：电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。第二十九条规定：未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为

6、；有违法所得的，没收违法所得；违法所得三十万元以上的，处违法所得一倍以上三倍以下的罚款；没有违法所得或者违法所得不足三十万元的；处十万元以上三十万元以下的罚款。河南省数字证书认证中心（简称HNCA)是经信息产业部、国家密码管理局及河南省人民政府批准成立，在省工业和信息化厅（原信息产业厅）、省国家密码管理局等有关部门领导的亲切关怀下发展起来的，是我省惟一依法成立的专门负责为政府、企业和个人提供网上身份认证和信息安全服务的第三方权威电子认证机构。作为HNCA在当地的注册机构RA对公众进行认证服务，完全符合法定要求。2、国家信息化领导小组关于我国电子政务建设指导意见电子政务建设将是今后一个时期我国信

7、息化工作的重点，而电子政务建设将主要围绕“1个政府门户网络、2个电子政务网络平台、4个基础数据库和12大重点信息化工程”开展。数字证书中心即是为了保障诸如电子政务外网平台和重点信息化工程的安全正常运转而构建的基础系统。如政府网上招标采购、企业网上报税、报关、网上工商登记和年检、网上联合审批等应用，必须以数字证书系统作为安全保障。3、河南省电子政务发展规划(20092012年) 构建信息保证体系原文“信息安全保障体系。整合构建安全支撑平台,完善信息网络、重要信息系统的安全防护和管理措施,加强信息安全内容管理和对抗能力建设。建立以密码技术为基础,以身份认证、授权管理、责任认定为主要内容的网络信任体

8、系,推进以涉密、敏感信息加密保护、电子认证、电子政务密钥管理基础设施和电子政务密码应用支撑平台等为主要内容的密码保障体系建设。建立容灾备份中心和计算机病毒防治、应急处置、安全通报中心。建设网络侦控、密钥管理和信息安全测评系统,创新信息安全技术和产品,为全省电子政务系统提供统一的入侵防御、漏洞扫描、病毒防护、内容过滤等信息安全服务,提高对网络攻击、病毒入侵、网络失窃密事件的防范能力。”4、河南省信息化工作简报（30期 2010-3-23）河南CA相关段落原文“省信息化工作办公室对河南CA所做的工作及取得的成绩给予了充分肯定。认为河南CA的发展不但在信息安全中发挥了重要作用，而且对全省的信息化建设

9、也做出了重要贡献，省信息化工作办公室将进一步重视和支持河南CA的发展。一是要加强联系与指导。与河南CA工作对接由省信息化办电子政务与信息安全处负责，保持经常联系，细化工作责任，明确责任人，尽力为河南CA反映情况和解决问题创造条件；二是抓紧协调推动河南省数字证书使用管理办法的制定工作，规范全省电子认证体系建设；三是依托全省信息化部门和机构，建立全省电子认证服务体系，组成一个完整的服务网络，做到省有CA，市有RA，县有受理点。同时要使上下建立起科学完整的法律关系、业务关系和利益关系；四是推动电子认证在一些重点领域的应用。要制定长远、中期、近期相结合的发展目标，先易后难，近期能完成的就尽快落实，需长

10、期协调跟进的应持续关注，从而全面发展我省电子认证体系。”三、在全省建立RA对信息化建设的意义1、政府信办在全省信息化安全的支撑需要河南省数字证书认证中心的PKI安全体系是一个安全支撑平台,对完善信息网络、重要信息系统的安全防护和管理措施,加强信息安全内容管理和对抗能力有这基础性的作用。因此非常适合作为政府信办在全省信息化安全的支撑业务平台。也能够建立以密码技术为基础,以身份认证、授权管理、责任认定为主要内容的网络信任体系,推进以涉密、敏感信息加密保护、电子认证、电子政务密钥管理基础设施和电子政务密码应用支撑平台等为主要内容的密码保障体系建设。2、当地信息建设保驾护航，并增强当地的信息化安全意识

11、的意义各地市信息化办公室建设了河南省数字证书认证中心的RA系统，就会形成以数字证书为基础的安全支撑平台，就解决了政府内外网应用的信息安全问题。能够很好的为当地信息化建设保驾护航，同时能够相应的扩大信息化的影响力,增加各地市及基层单位的信息化安全意识。3、社会效益随着人们对数字证书的认知程度的加深,以及需求的依赖.数字证书应用的领域越来越广泛,社会公众对证书这种安全服务越来越认可.因此在各地建立的RA系统可以与各社会上需要信息安全服务的社会公众，体现政府的服务职能，同时与社会公众建立有效的沟通和联系。产生出较为可观的社会效益和经济效益。第二章 建设什么样的RA系统一、RA系统介绍RA客户端系统和

12、RA中心。RA客户端系统负责申请注册、审核、证书发放，主要功能包括：证书申请、证书审核、证书发放、证书撤消申请、证书恢复申请、证书查询以及审核员管理等功能。RA中心负责与CA的安全通信、汇总统计、审计等工作。采用的是局域网应用程序，主要功能包括：申请资料录入、本地审核、用户管理、日志审计、证书发放、证书撤消、证书恢复、CA安全通信、系统初始化和系统设定等。CA中心只负责为电子政务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在电子政务系统使用者中检验和管理证书；它是电子政务的权威性、可信赖性及公正性的第三方机构，并不参与身份人证的真实过程。CA的主要职责归纳起来有：确保CA用于签

13、名证书的非对称密钥的质量、确保整个签证过程的安全性,确保私钥的安全性、证书材料信息（包括公钥证书序列号、CA标识等）的管理、确定并检查证书的有效期限、确保证书主体标识的唯一性,防止重名;发布并维护作废证书表、对整个证书签发过程做日志记录。整个系统采用国际通用的PKI技术，为广大证书使用者提供安全快捷的签名及加密网上电子政务服务，真正做到电子政务系统运行的不可抵赖性。证书吊销支持LDAP协议，通过在线更新证书吊销列表来充分满足电子政务系统的安全性。1、系统业务流程1.1 证书的申请和下载1. 用户信息注册用户携带身份证、要求携带的相关证件及复印件到指定地点（制证终端）办理申请数字证书。制证终端负

14、责接收用户申请，并对申请进行审核和制证。2. 制证终端初步审核并提交申请制证终端操作员对用户提交的资料进行初步审核，检查是否数字证书认证中心对办理数字证书所需相关资料的要求。对符合条件的用户依照数字证书规定的格式对用户信息进行填写，并设定数字证书的起始时间和有效期。制证人员提交填写好的证书申请。3. RA服务器审核申请按照证书模板的设定，可以允许制证终端操作员直接对申请进行审核或者系统自动审核。如果为了控制对终端操作员的行为，可以对其提交的申请进行远程人工审核，因此只有审核通过者才能继续将信息提交至认证中心CA服务器。CA服务器接受申请为用户制作证书，并将信息反馈到RA服务器，由RA服务器将证

15、书相关信息发给制证终端。4. 制证终端为用户进行制作证书制证终端操作人员根据RA服务器反馈的信息，插入证书硬件存储介质。点击“制证”，直至提示成功。用户数字证书制作完毕。用户可以持数字证书登陆电子政务系统服务器，在验证通过后即可进行相关业务。制证受理点制作证书流程如下：互联网SPKM通道互联网安全通道RA客户端受理点代理填写申请信息受理点审核申请信息受理点查询受理点插入KEY制证书制证成功、交给证书使用者电子政务系统RA服务器登记证书申请RA数据库转发证书制作请求修改证书状态河南CA中心CA中心服务器提交证书申请提交证书申请返回通过信息返回证书状态1.2证书的吊销和更新用户申请吊销和更新证书有

16、2种方式： 1、 用户到RA客户端受理点填写申请表，由录入操作员录入数据，审核操作员根据用户的资料进行审查，将通过审查的资料向CA提交。2、 用户直接至河南省数字证书认证中心，填写吊销或更新申请表，由录入操作员录入数据，审核操作员根据用户的资料进行审查，直接吊销或更新。1.3证书的使用客户端使用数字证书进行登录，大致的流程如下：当用户选择使用证书登录时，则点击客户端程序的“证书登录”选项卡，此时客户端登录程序自动选择能够支持证书登录验证的可用服务器列表(也可与密码登录模式共用同一服务器)；若此时用户已将含有数字证书的电子钥匙连接到计算机上，点击“登录”按钮则将开始进行证书登录操作，客户端程序将

17、尝试从电子钥匙中读取证书信息，并进行签名操作，出于安全性考虑，此时用户会被要求输入电子钥匙的访问密码（初始密码通常是6个“1”，可由用户自行进行更改），以确认用户对该数字证书的访问权限，如下图所示：出于安全需要，也可将用户名和密码在客户端使用证书进行加密后再发送，加密操作需要在建立连接前将接收者(服务器)的公钥证书从服务器端下载至客户端。2、网上证书申请安全方案RA服务器客户端CA中心高强度数据加密通道安全通道 SPKM协议 2.1网络拓扑图2.2加密通道数据流程图 客户端与RA服务器之间的通信采用了SPKM协议进行数据传输，从而保证客户端与服务器交互的所有的业务数据都经过高强度的加密算法加密

18、，保证数据的安全性。3、系统性能3.1系统基于PKI机制，信息传输采用SPKM协议。3.2电子政务系统使用的安全性高、不可抵赖性；实现了和电子政务系统的无缝衔接，电子政务系统证书使用者所使用的CA证书要求和证书使用者的身份有一一对应关系，并能在系统使用中进行管理和监控3.3使用方便、具有良好的系统可扩展性；实现了客户端的零管理，电子政务系统专用的电子政务系统客户端就会自动判断证书是否存在。3.4严格的后台操作管理和审计、完整的安全日志；系统设计时充分考虑了CA、RA系统作为电子政务系统的权威性、可信赖性及公正性的第三方机构的特点，而提供了全方位的安全解决方案，并通过日志记录为事后的追查提供了数

19、据依据。3.5认证快速；增加证书的认证过程完全不影响原来的电子政务系统运行，并且在速度上没有任何的延迟。4、系统功能注册子系统RA是河南CA电子证书认证系统的另一重要子系统，它是由配置向导、注册服务器、系统管理控制台、业务管理控制台、业务处理控制台和审计控制台组成的，用于负责对用户注册信息等进行管理，可提供证书申请、注册、注销、更新、业务审计和制做等业务，用于构建数字认证中心的对外业务窗口。 注册服务器注册服务器的主要功能是为其它客户端提供服务。服务是对于某种业务或管理请求进行相关的处理产生结果的过程。注册服务器提供了如下相关服务，用以实现注册子系统的各项功能。这些服务包括：证书申请相关服务证

20、书申请的录入服务证书申请的修改服务证书申请的删除服务证书申请的审核服务证书申请的查询服务证书注销相关服务注销申请的录入注销申请的修改注销申请的删除注销申请的审核注销申请的查询证书恢复相关服务恢复申请的录入恢复申请的修改恢复申请的删除恢复申请的审核恢复申请的查询证书更新相关服务更新申请的录入更新申请的修改更新申请的删除更新申请的审核更新申请的查询证书模板相关服务更新证书模板获取证书模板修改证书模板的审核策略权限管理相关服务创建、修改和删除权限模板；添加和删除管理员；修改管理员权限；获取指定用户权限信息；验证指定用户权限。安全通信证书导出安全通信证书的申请书导入安全通信证书导出Jit.ini配置管

21、理相关服务取系统配置；修改系统配置。系统管理相关服务启动服务停止服务数据安全管理相关服务数据库备份数据库恢复更新数据库加密密钥验证数据库完整性更新系统密钥 系统管理控制台注册子系统系统管理控制台的操作人员是注册子系统的超级管理员，系统采用了MofN验证机制验证超级管理员的身份，注册子系统系统管理控制台提供了对超级管理员身份的有效验证。注册子系统系统管理控制台为注册子系统超级管理员提供与服务器本身以及业务数据相关的系统管理服务，如注册服务器配置、注册服务器业务服务的启动和停止、业务数据安全管理等； 业务管理控制台注册子系统业务管理终端负责对注册服务器的各项工作进行管理，维护整个审核系统的安全性和

22、完整性，主要对证书模板、权限模板、终端管理员、业务受理点和下级RA等进行管理和维护，保障整个系统安全运营，并且对多级审核服务器进行维护。 审计控制台注册子系统审计控制台是注册子系统中的一个重要组件。作为注册子系统的审计控制台,负责对注册服务器的操作历史和现状进行及时监查和审计，是注册子系统不可或缺的组件。 业务处理控制台注册子系统证书业务处理控制台是河南CA电子证书认证系统的注册子系统的重要组成部分，主要负责处理日常证书业务，面对面地处理用户的证书申请、注销、恢复、更新以及证书授权码发放和证书制作等证书业务。5、系统特点1 充分利用了INTERNET网的优势，减少了以前证书私钥文件需要通过物理

23、介质发放的模式，改由证书文件从网上下载，私钥文件通过专用的程序在本地生成。2 减少证书使用者的开户流程，对证书使用者来说只要到受理点就可以办完所有手续，对信办制证受理点管理人员来说不需要输入多次证书使用者资料。3 真正实现了电子政务系统的证书使用者所使用的CA证书和证书使用者的身份有一一对应关系的结构，同时能利用我们的电子政务系统监管实现证书监管。二、系统运行环境1RA系统需要的软硬件及规格要求如下：硬件名称硬件配置数量系统平台备注RA服务器/数据库服务器CPU：奔腾4 内存 1G DDR2 硬盘 双80G11.操作系统：Windows2000 Server2.数据库：SQL 2000 中文企

24、业版需要有公网IP地址RA备份服务器/数据库服务器CPU：奔腾4 内存 1G DDR2 硬盘 双80G11.操作系统：Windows2000 Server2.数据库：SQL 2000 中文企业版要求：数据库同步终端控制台CPU：CPU 奔腾4以上256M内存3操作系统：Windows2000以上防火墙国产品牌的桌面级防火墙1CA行业属特殊行业，要求国产品牌防火墙加密机山大2代高速加密机SKY-B (3U)1制证终端(RABT)CPU：CPU 3以上128M内存4每个制证终端配备4台(录入、审核、制作及质检)操作系统建议WINDOWS SERVER 2000 数据库建议SQL SERVER ，并

25、在备份数据库服务器建立同步订阅数据库文件大小建议预留1G空间存放数据库文件。2RA系统网拓扑图如下：第三章 各地市信息办公室怎样建设RA系统一、确定需求申请建设RA系统的单位（以下简称申建机构）先与HNCA 市场部联系，并会同市场部与技术部共同确定RA建设需求书。申建机构与HNCA双方均需在需求书上签字确认。二、签署协议申建机构需与HNCA市场部签订关于建立RA系统的协议和数字证书合作协议，申建机构和HNCA双方在确认协议条款内容后签字盖章。三、RA系统建设实施双方按照RA建设需求书进行RA系统的建设实施。根据实施过程中的具体情况，HNCA市场部、技术部分别提供相应的服务、支持。如需求发生更改

26、，双方需重新在变更后的需求书上签字确认。四、RA系统测试4.1、RA建设实施完成后，申建机构向HNCA市场部提交RA测试申请； 4.2、HNCA市场部将测试RA和HNCA连接所需要的技术材料和用户RA基本信息填写工单交给技术部，由市场部和技术部配合申建机构进行RA系统测试； 五、RA系统验收5.1. HNCA市场部受理用户RA验收的申请；5.2. 技术部按照RA系统验收表进行验收； 5.3. 验收完毕后，HNCA的RA验收工程师编写RA验收报告和RA系统验收意见书；5.4. HNCA技术部将审核后的RA系统验收意见书发给申建机构RA；5.5. 申建机构根据RA系统验收意见书进行修改与完善。六、

27、文档评审申建机构需将以下文档交与HNCA技术部与市场部进行评审： RA系统客户化设计方案 RA系统机房物理建设方案 RA系统运行管理规定 RA系统人员组织管理RA业务管理规定七、系统上线7.1、申建机构向市场部提交连接生产系统的RA管理员证书申请表； 7.2、市场部受理申建机构的证书申请并填写工单交给技术部；7.3、技术部对生产系统进行相关配置工作并发放相应的RA证书，上线工作由市场部配合技术部共同完成第四章 RA系统的运营模式一、 推广方式：推广以培训会为主要的方式：1、内部培训 （1）对各地市信息化办公室的各级领导进行一次宣传性的数字证书的专题讲座，形式可多样化。（2）对各地市信息化办公室

28、的的工作人员以地区为单位进行培训，各地区的培训场地及设备由各地市信息化办公室提供。2、用户使用培训（1）现场培训：随发证时进行培训，内容为：证书使用方法、安装方法等。（2）集中培训：用户以营业部为单位进行集中培训3、交流培训会议形式邀请省直各单位信息化主管领导，信息安全领域方面的专家，省高新技术企业或软件企业的负责人一起来参加培训交流会议。共同探讨密码技术在信息安全领域中的应用，交流信息化的发展趋势及信息安全保障体系框架，推进信息化建设的进程。主要实现以下目的：（1）通过会议，加强省直信息化主管领导，辖市信息化办公室主任的信息沟通。了解河南省电子政务建设中网络与信息安全体系建设的工作规划。加强

29、网络与信息安全工作，构建网络信任体系。推动数字证书在OA办公，网上行政审批、公文流转等系统中的应用，并达成一致意见。（2）针对互联网目前所存在的安全风险和隐患，借助在信息安全领域有丰富经验的领导和权威专家意见。将数字证书电子认证与电子政务、电子商务中信息安全传输进行密切结合，把信息化建设中使用数字证书加强身份认证，确保信息安全，作为一种行业安全标准进行推广应用。（3）建立与软件企业或高新技术企业负责人之间的高端交流，解析企业在电子商务领域存在的安全风险和密码技术的应用。针对互联网上电子交易及支付的安全性,保密性等问题，在网上建立一种信任机制。推进电子认证在电子商务领域中的广泛应用。二、运营方式

30、在各地市信息办公室建设RA并验收完毕以后需要做的就是运营工作，而运营中主要有两大运营业务，如下：1、对行业性数字证书用户的服务支持需要根据河南省数字认证中心运营手册进行河南省数字认证中心相关行业性客户数字证书的制作和发放，以及各个受理点的管理工作。因此包含了受理点录入的申请审核工作，和各个受理点的客户证书的制作备案，以及管理工作。这就需要在河南省数字证书所承接的项目中直接面对开户，更新用户。以及回答用户的相关提问和售后工作。当然也会享受河南省数字证书认证中心相关的运营费用的补贴。2、对本地政府内部使用证书的推广对本地政府内网，和外网中的身份认证需求需要进行制发证。以及审核，以及管理工作。随着政

31、府内网，外网应用数字证书的量的增加，相应的就带来了管理上的难度，如果是在河南数字证书认证中心集中管理，必然会带来工作效率和时间上的瓶颈，因此设立远程RA就是解决了这个瓶颈，各地市信办可以自主管理自己在政府内外网中的相关数字证书业务。附件1：建设预算项目名称配置及型号数量系统平台单价(元)小计系统硬件RA服务器/数据库服务器xeon7310*2/4G/146*3/raid511.操作系统：Windows2003 Server R2 企业版 2.数据库：SQL 2000 中文企业版800000RA备份服务器/数据库服务器xeon7310*2/4G/146*3raid511.操作系统：Windows2003 Server R2