来源:中国电子政务网 更新时间:2013-05-09
3.数字证书类别
a.机构数字证书
b.设备数字证书
c.个人数字证书
4.CA认证中心的职能
负责管理密钥和数字证书的整个生命周期。
接收并验证最终用户数字证书的申请;证书审批,确定是否接受最终用户数字证书的申请;证书签发,向申请颁发、拒绝颁发数字证书;证书更新,接收、处理最终用户的数字证书更新请求;接收最终用户数字证书的查询、撤销;产生和发布证书废止列表(CRL),验证证书状态;提供OSCP在线证书查询服务,验证证书状态;提供目录服务,可以查询用户证书的相关信息;下级认证机构证书及帐户管理;数字证书归档;认证中心CA及其下属密钥的管理;历史数据归档。
5.RA中心--注册机构
是用户(个人/团体)和认证中心CA之间的一个接口。接受用户的注册申请,获取并认证用户的身份,完成收集用户信息和确认用户身份。
主要职能是自身密钥的管理,包括密钥的更新、保存、使用、销毁等;审核用户信息;向CA发起证书制作发放流程并自动完成证书的签发\制作;向最终用户发放数字证书\更新数字证书等;登记黑名单;对业务受理点的全面管理;接收并处理来自受理点的各种请求。
CA的网络结构
四、国家政务外网电子认证服务体系
(一)网络信任体系概念
中办发[2003]27号:加强以密码技术为基础的信息保护和网络信任体系建设。要建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。
国办发[2006]11号:进一步提高对网络信任体系建设的认识。网络信任体系是以密码技术为基础,以法律法规、技术标准和基础设施为主要内容,以解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系。
(二)实现网络身份认证的方法
口令:Password。
电子令牌:E-token。
数字证书:PKI技术(公钥基础设施)(CA系统),基础是非对称密码技术,称为“电子认证”技术。国际上广泛采用、技术上较成熟。
生物特征:指纹、虹膜、其他生物特征。
(三)法律、政策
法律:《中华人民共和国数字签名法》,2005年4月1日起施行。
政策文件:中办发[2003]27号文件,《国家信息化领导小组关于加强信息安全保障工作的意见》,提出网络信任体系。国办发[2006]11号文件,《关于网络信任体系建设的若干意见》,确定商务CA和政务CA管理部门。国密局联[2007]2号文件,《电子政务电子认证体系建设总体规划》,国家密码管理局牵头制定。
管理办法:《电子认证服务管理办法》,2009年3月31日起施行,工信部颁布,针对服务电子商务的CA,已经有30家获得工信部的服务许可。《电子政务电子认证服务管理办法》(国密局发[2009]7号)国家密码管理局颁布,2009年11月1日起施行,针对服务电子政务的CA。
(四)管理体系
国办发[2006]11号文:
(原)信息产业部(现工业和信息化部):电子商务中电子认证活动的指导和管理(工业和信息化部信息安全协调司)。
国家密码管理局:
电子政务中电子认证工作的规划和管理(国家密码管理局信息化密码保障处)。
(五)国家政务外网网络信任体系
目标:
按照中办发[2003]27号文的要求,国家政务外网网络信任体系的建设是电子政务外网建设的重要内容之一。
财政部、国家发改委[2009]988号文要求。
建设统一的网络信任体系。
(六)国家政务外网电子认证服务设施
1.数字证书认证系统:国家政务外网CA系统、RA系统。
2.密钥管理系统:
国家政务外网KMC:最大托管容量为300万对密钥。
国家密钥基础设施建设试点,国家密码管理局正式发文并给予一定的国家投资补助,要求国家信息中心建设“国家政务外网二级密钥管理中心”,对国家政务外网KMC实施管理,对各部委在国家政务外网中使用的所有密码设备的密钥实施管理并提供服务。
3.服务功能:代码签名、电子签章、单点登录、安全域登录、安全电子邮件、时间戳服务、安全传输。
(六)建设得到国家密码管理局的大力支持
1.局领导高度重视:从建设之初开始一直得到局领导的指导和支持。对系统的应用全力支持。支持全国服务体系建设、提出现行试点的建议。
2.召开专题会议:2008年12月7日,国家密码管理局就国家政务外网CA省级服务应用及为国家应急指挥平台提供服务应用相关问题进行专题研讨,并形成会议纪要。
3.通过国家密码管理局组织的安全性审查:2009年7月16日,国家政务外网CA和KMC系统顺利通过国家密码管理局组织的安全性审查。
4.已获得电子政务电子认证服务机构资质:国家密码管理局[2010]216号文批复国家政务外网CA为政务活动提供电子认证服务。
已经使用外网数字证书部分用户:
编号 主要用户 业务系统 使用方式 范围 1 中纪委监察部 纠风系统、预防腐败系统 身份认证、数据加密传输 全国 2 国家发改委 项目审批等系统 身份认证 全国 3 扶贫办 综合业务系统 身份认证、安全电子邮件 全国 4 审计署 “金审工程”非密业务 身份认证 全国 5 国土资源部 “金土工程”矿政许可证统一配号系统 身份认证 全国 6 新华社 新华频媒 身份认证 全国
决定使用政务外网CA证书的部分部门:
|
编 号 |
主要用户 |
业务系统 |
使用方式 |
范围 |
进展情况 |
|
1 |
国务院应急办 |
国家应急平台 |
身份认证、授权管理、责任认定 |
全国 |
完成测试 |
|
2 |
发改委等12部门 |
国家自然资源和地理空间基础信息库 |
身份认证、授权管理、责任认定 |
12部委 |
完成方案 |
|
3 |
导航卫星 |
导航卫星应用 |
身份认证 |
全国 |
签署合作协议 |
|
4 |
农业部 |
金农工程 |
身份认证 |
全国 |
正在测试 |
|
5 |
新华社 |
新华频媒 |
身份认证 |
全国 |
正在测试 |
|
6 |
中直机关采购中心 |
内部办公网、采购 |
身份认证 |
全国 |
已签署协议 |
|
7 |
民建中央 |
信息管理与上报系统 |
身份认证 |
全国 |
已签署协议 |
(七)政务部门业务应用模式
1.中央政务部门业务应用模式
网状需求:由中央政务部门发起的跨部门、跨地区的全国性综合业务。如:国务院应急系统、国务院扶贫系统等,业务横向涵盖各政务部门、纵向由中央至县或者到基层单位。例如:街道办事处、乡政府。
树状需求:由中央政务部门发起的本部门纵向业务。由中央部委门一直向下延伸到基层相应部门。如:国家监察部等,其纵向业务延伸到全国32个省级及其下属的市县,应用涵盖全国范围。
2.省级政务部门业务应用模式
省级政务部门发起的应用业务,一般局限在本省范围内,个别有一些跨部门、跨地区的全国性业务。
3.政务部门对证书服务的要求
中央和国家级政务应用部门希望专注做好自己的应用业务工作,对电子认证服务的基本要求是:
只和一个电子认证机构进行业务接洽,该电子认证服务机构在全国范围内具备应用服务与技术支撑能力;当某项业务延伸到地方时,可方便的在当地获得该电子认证机构数字证书服务。
4.满足应用需求的策略
综合考虑各种因素,目前最可行的方式是:充分利用国家政务外网在全国的资源以及其完备的运维体系,快速建立“认证服务体系”,在基层提供包括证书申请、发放、修改、挂失等服务,就近满足用户的需求。
同时实现以下目标:
全网一致的技术与服务支撑能力和质量;
充分利用现有人力、物力资源,避免浪费。
服务设施扩展性好、建设、管理、维护等便捷、成本低。
(八)全国服务体系建设
建设覆盖整个政务外网的电子认证全国服务体系。
结构:由国家政务外网CA及其省级RA、部委RA等相关服务设施与服务人员组成的服务和技术支撑体系;
任务:承担为电子政务外网用户发放、管理数字证书以及提供其它相关服务;
能力:在全网范围内提供数字证书服务;
时间:2010年底。
(九)服务范围和对象
服务范围:
根据目前的业务应用需求,国家政务外网信任体系及其CA系统主要依托国家电子政务外网网络平台,为国家电子政务外网应用业务涵盖的政务用户提供证书服务。
服务对象:
政务外网上的国家级政务部门及其在各地对口的业务工作人员;地方政务部门及其相关的工作人员。
五、山东RA介绍
(一)山东RA建设进程
2004年,山东省信息化工作领导小组办公室同意建设山东电子政务外网。
2009年,国家信息中心同意参加政务外网电子认证服务体系建设试点单位工作。
2009年8月,山东RA通过国家组织的验收。
(二)山东RA服务范围和对象
服务范围:承担国家政务外网CA系统的国家电子政务外网应用业务涵盖的政务用户提供证书服务。为山东省内政务用户提供证书服务。
服务对象:山东省内政务部门及其相关的工作人员。
(三)服务管理体系
负责山东省证书用户的证书申请、身份审核、证书制作、证书分发和证书更换等事宜;
负责山东省服务设施(RA系统)的建设运行和维护,接受“国家政务外网数字证书中心”的协调管理和技术指导;
根据业务需要,可在地市县或大量使用证书的单位设立服务受理点(RAT)。
(四)山东RA服务规范体系
政务外网数字证书管理;政务外网数字证书售后服务体系;政务外网数字证书业务服务审计规范;政务外网数字证书业务应用规划;政务外网数字证书业务运营安全管理;政务外网数字证书业务规则设计。
(五)山东RA证书管理流程
对证书进行管理,规范用户证书的发放、使用和废弃,保障用户证书的安全。
(六)山东RA中心体系结构
(七)山东RA中心网络结构
(八)山东RA服务内容
(九)CA的应用
身份认证:
CA身份认证:采用基于数字证书的双因子身份认证手段,解决应用系统身份认证需求。
数据加密:
信息机密性和完整性
数据加密也是目前碰到的较多的CA的应用,采用数据加密和数据摘要的方式保证应用系统传输数据的机密性和完整性。
访问控制:
对于系统的不同用户,具有不同的访问操作权限。因此,应用系统在身份认证的基础上,需要给不同的身份授予不同的访问权限,使他们能够进行相应授权的操作。因此,需要采用PKI/PMI的属性证书授权机制,解决应用系统访问控制的需求。
信息抗抵赖:
信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖。在应用系统中传输的很多信息,都需要实现信息抗抵赖。比如对于通过应用系统进行网上申报与审批时,如果没有抗抵赖性,申报者将可以否认自己的申报数据和行为,审批者也可以否认自己的审批意见和行为,甚至出现假冒他人进行申报或审批的行为。这样,将导致整个应用系统不能正常工作,将给企业造成巨大的损失。因此,需要采用数字签名的手段,对具体的操作信息进行签名验证。
(十)PKI/CA应用
Web应用:
电子交易:
电子邮件:
电子税务:
网上报税需要解决的安全问题:通信安全、身份认证、业务安全
(十一)山东RA前景展望:
1、全省30万公务员;
2、国家大的综合业务系统;
3、面向公众服务系统;
4、山东政务外网;
5、山东RA自身建设。