于志勇

（中國海洋大學(xué)信息科學(xué)與工程學(xué)院，山東青島 266100）

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展、信息化水平的不斷提高，網(wǎng)絡(luò)的觸角已經(jīng)延伸到人類生活、工作的每一個角落。數(shù)字證書作為網(wǎng)絡(luò)通訊中標記通訊各方身份信息的電子文件成為因特網(wǎng)上驗證身份的工具，應(yīng)用在工商網(wǎng)上備案系統(tǒng)中確保了網(wǎng)上信息傳輸安全，避免了業(yè)務(wù)發(fā)生后抵賴行為的發(fā)生。然而，數(shù)字證書所提供的身份認證、責(zé)任認定等功能對于用戶來說是透明的，大量的紙質(zhì)公文、表格的傳遞僅僅依靠數(shù)字證書的隱性工作還不能滿足需求。同時，紙質(zhì)傳統(tǒng)文件也日益顯現(xiàn)出弊端，諸如紙質(zhì)文件的惡意修改、虛填文件內(nèi)容等，對工商備案系統(tǒng)的正常運行帶來了諸多的干擾。

綜上原因，由電子文檔來代替?zhèn)鹘y(tǒng)紙質(zhì)文件，提高效率，降低成本，這種情況下就需要電子簽章來加以補充。

2 技術(shù)可行性研究

2.1 技術(shù)特點

本系統(tǒng)的建設(shè)開發(fā)應(yīng)遵循“物理分散、邏輯集中”的設(shè)計原則；堅持以需求為導(dǎo)向，注重實效的原則。

2.1.1 實用性

系統(tǒng)以滿足區(qū)域性網(wǎng)絡(luò)安全認證需求為目標，以方便各種應(yīng)用系統(tǒng)使用為原則，選用與信息技術(shù)發(fā)展潮流相適應(yīng)的開發(fā)工具，保持技術(shù)的先進性，同時注重應(yīng)用的實際需要和設(shè)備的性能價格比，并充分利用系統(tǒng)的現(xiàn)有軟件資源和硬件設(shè)備，有效保護原有的投資。

2.1.2 擴展性、先進性和成熟性

系統(tǒng)建設(shè)的結(jié)構(gòu)、操作系統(tǒng)平臺、應(yīng)用系統(tǒng)平臺從選型、設(shè)計到應(yīng)用開發(fā)都要充分考慮開放性原則。可擴展性、先進性具體體現(xiàn)在幾個方面。

①電子商務(wù)安全支撐平臺在體系結(jié)構(gòu)上應(yīng)具有可伸縮性。以適應(yīng)擴大業(yè)務(wù)范圍和增加多種應(yīng)用的需要。

②算法可擴展性。在國家有關(guān)密碼政策規(guī)定下能夠嵌入新的加密算法。

③支持分布式的目錄服務(wù)體系。在電子商務(wù)安全認證系統(tǒng)最頂端建立總的主、從目錄服務(wù)器，存放所有的證書和C R L；在其他分部建立分的主、從目錄服務(wù)器，作為總目錄服務(wù)器的一個子集，這樣就可以實現(xiàn)證書的逐級查詢。

④支持人員證書、機構(gòu)證書和設(shè)備證書。能對人員、機構(gòu)和設(shè)備（路由器、防火墻、Web服務(wù)器等）發(fā)放證書，以實現(xiàn)身份認證。及時處理，保證系統(tǒng)的正常工作。

2.1.4 安全性、保密性

系統(tǒng)是網(wǎng)絡(luò)安全認證體系基礎(chǔ)建設(shè)，要求有較高地安全性，能保護電子政務(wù)電子商務(wù)中的文件信息、企業(yè)信息的絕對安全。對使用信息和操作人員進行嚴格的權(quán)限管理，采用多種手段確保系統(tǒng)安全運行，在核心系統(tǒng)的建設(shè)上采用異地雙備份。

具體體現(xiàn)在幾個方面。

①物理環(huán)境安全。物理安全和環(huán)境安全是整個系統(tǒng)安全的基礎(chǔ)，要把CA系統(tǒng)的危險減至最低限度，應(yīng)在機房選址、機房裝修、配電、空調(diào)系統(tǒng)、火災(zāi)報警及消防設(shè)施、門禁監(jiān)測系統(tǒng)、防雷擊、防電磁波等提出嚴格要求。

②網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是保證安全可靠運行的必要條件，可以采用成熟、可靠的網(wǎng)絡(luò)產(chǎn)品和技術(shù)，構(gòu)建相應(yīng)的系統(tǒng)架構(gòu)；合理劃分網(wǎng)絡(luò)安全區(qū)（公共區(qū)、D M Z 區(qū)、操作區(qū)、安全區(qū)），實現(xiàn)各區(qū)的安全層次；各安全層次之間采用不同類型的防火墻和入侵檢測系統(tǒng)進行防護，并進行病毒防治。

③目錄服務(wù)器的安全。在系統(tǒng)建設(shè)時，目錄服務(wù)器要達到以下安全目標：防止外部黑客對數(shù)據(jù)的篡改、刪除；防止內(nèi)部未授權(quán)人員對數(shù)據(jù)的篡改、刪除；如果目錄服務(wù)器的數(shù)據(jù)遭到侵害，可以及時、有效地恢復(fù)所有數(shù)據(jù)。

④人員安全管理。為保證電子商務(wù)安全支撐平臺的安全，人員信息及訪問控制列表（A C L）要以加密的方式存貯在安全區(qū)的數(shù)據(jù)庫系統(tǒng)中，由系統(tǒng)管理員負責(zé)維護及更新，集中式的A C L 管理能夠有效地防止非授權(quán)人員的非法訪問，并定期對有關(guān)人員進行信息安全方面的培訓(xùn)，對新出現(xiàn)的安全問題和解決方法要及時通知給系統(tǒng)管理員。

2.1.3 可維護性、可靠性

軟硬件系統(tǒng)均采用模塊化結(jié)構(gòu)，可以根據(jù)需要增加和替換模塊，使系統(tǒng)具有較好的可維護性和可擴展性。同時保證系統(tǒng)具有穩(wěn)定的可靠性，在出現(xiàn)硬件故障時，可以及時報警，得到

2.2 主要性能指標及遵循的國際國內(nèi)標準

2.2.1所支持標準：PKI 國際標準

①支持非對稱算法，包括R S A、D S A、Diffie-hellman，支持的密鑰長度包括1024 比特、2048 比特。

②支持對稱算法，包括國密辦批準使用的SSF33 等對稱算法。

③支持文摘算法，包括SHA-1、MD5 等。④支持X.509 v4 的證書格式。

⑤支持雙證書雙密鑰。

⑥支持證書模版。

⑦支持P K C S#1、P K C S#7、P K C S#1 0、PKCS#11、PKCS#12 等。

⑧支持多級CA。

⑨支持交叉認證。

2.2.2 性能指標

①單張證書平均簽發(fā)時間 ＜ 2 秒。

②發(fā)證能力 ＞ 1800 張/小時。

③支持的RA 數(shù)量 ＞ 252 個。

④應(yīng)用環(huán)境：W i n 2 0 0 0/X P/W i n 2 0 0 3 linux9.2。

⑤系統(tǒng)信息安全存儲。

⑥各部門數(shù)據(jù)實時共享，快速傳輸。

⑦采用安全先進的通訊方式，可實現(xiàn)異地實時查詢。

2.3 技術(shù)路線研究

2.3.1 基于PKI/CA體系的完善與擴展

①網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全性設(shè)計的目標是保證網(wǎng)絡(luò)安全可靠的運行，從網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)安全區(qū)域的劃分、入侵檢測、漏洞掃描、病毒防治和防火墻系統(tǒng)的設(shè)置等方面防范來自Internet的攻擊并加強對內(nèi)部的安全管理。

②系統(tǒng)安全。保障PKI/CA體系中的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和目錄系統(tǒng)的安全性。通過定期升級系統(tǒng)補丁，對系統(tǒng)進行日常維護，保證系統(tǒng)的數(shù)據(jù)一致性和完整性；定時備份數(shù)據(jù)，可以及時、有效地恢復(fù)系統(tǒng)數(shù)據(jù)。

③C A 系統(tǒng)安全。感操作采用3 O F 5 機制，需3名以上管理員同時到場才能執(zhí)行。對敏感數(shù)據(jù)，采用加密存儲的方式，防止非授權(quán)修改；采用管理員證書驗證以及A C L 列表，防止非授權(quán)操作。

④密鑰安全。

a) 簽名證書的密鑰：由智能密碼鑰匙生成和管理。

b) 加密證書的密鑰：由密鑰管理中心生成和管理。

c)用戶的簽名密鑰和加密密鑰都保存在智能密碼鑰匙中，所有關(guān)于私鑰的操作都在智能密碼鑰匙中完成。

⑤通信安全。

a) 使用SPKM協(xié)議。

b) 全程硬件加密。

c) 使用SSF33算法。

d)密鑰傳輸過程——加密證書私鑰不落地。

⑥證書管理安全。通過LRA/RA受理證書業(yè)務(wù)，采用數(shù)字簽名技術(shù)防止惡意證書申請。提供標準的證書撤銷列表以及實時的證書狀態(tài)查詢方式，防止撤銷證書的使用。

⑦人員管理安全。采用分權(quán)管理模式，通過以超級管理員、管理系統(tǒng)管理員、再由系統(tǒng)管理員向下授權(quán)的方式，可以有效的將授權(quán)功能集中在一人身上再向下擴散，容易實現(xiàn)對管理員的控制和管理及事件追蹤。

⑧安全策略。安全策略是安全管理中非常重要的環(huán)節(jié)，也是容易出現(xiàn)漏洞的環(huán)節(jié)，在建立CA中心的過程中以及在項目完成后，都必須建立嚴格的管理規(guī)程，為了確保系統(tǒng)的安全，將從幾個方面重點建立安全策略。

建立安全管理小組，安全小組的成員要由熟悉CA系統(tǒng)操作的安全專家組成；安全管理小組負責(zé)安全措施的制定和定期進行安全審計；安全管理小組要定期對CA中心安全問題進行討論，對于安全問題提供相應(yīng)的解決方案；安全管理小組能夠及時地對系統(tǒng)的安全問題做出響應(yīng)，減少因處理不及時所造成的損失；任何部門出現(xiàn)問題之后，必須及時向安全小組報告；系統(tǒng)軟件的更新和升級都必須經(jīng)過安全小組的測試和批準后才能進行； 任何防病毒軟件的安裝策略必須經(jīng)過安全小組的批準才能實施。

2.3.2 認證功能的擴展功能

①基于PMI體系的授權(quán)訪問控制系統(tǒng)。項目訪問控制體系包括的基礎(chǔ)功能組件主要有安全客戶端插件、安全服務(wù)器插件、用戶授權(quán)管理服務(wù)器以及用戶認證決策服務(wù)器等，系統(tǒng)構(gòu)成和工作流如圖1所示。

圖1 授權(quán)和認證服務(wù)系統(tǒng)的構(gòu)成和工作流

a）安全客戶端插件。安全客戶端插件設(shè)計為瀏覽器的安全插件，為 B/S 系統(tǒng)提供身份認證、訪問控制和安全通信的功能。該插件也支持 VPN 通信方式，或客戶本地安全代理方式，也可以為典型的 C/S 系統(tǒng)提供安全代理通信服務(wù)。同時，插件還提供了標準的 API 接口，供 B/S 和 C/S 客戶端的嵌入式開發(fā)和附加功能開發(fā)。

b）安全服務(wù)器插件。安全服務(wù)器插件直接安裝在應(yīng)用服務(wù)器上，協(xié)助應(yīng)用系統(tǒng)完成用戶認證和訪問控制，是為實現(xiàn)訪問控制規(guī)則、認證和資源之間的連接而設(shè)計的插件。在受保護的應(yīng)用服務(wù)器上配置安全服務(wù)器插件，訪問控制體系可以適應(yīng)不同的系統(tǒng)環(huán)境，并為應(yīng)用系統(tǒng)實現(xiàn)統(tǒng)一安全策略下的訪問控制。

c）用戶授權(quán)管理服務(wù)器。用戶授權(quán)管理服務(wù)器是一臺獨立主機，負責(zé)建立用戶信息、完成用戶集中管理、建立訪問控制策略、設(shè)置認證方法和數(shù)據(jù)，完成用戶的分組或角色定義，權(quán)限數(shù)據(jù)的建立等。權(quán)限數(shù)據(jù)交用戶認證服務(wù)器使用和提供服務(wù)。

d）用戶認證決策服務(wù)器。用戶認證服務(wù)器是一臺獨立的服務(wù)器，包括 LDAP 服務(wù)器和認證決策模塊。數(shù)據(jù)庫內(nèi)存放著從用戶管理服務(wù)器獲得的權(quán)限信息，依據(jù)安全服務(wù)器插件提供的用戶信息完成用戶類型的認證并就其訪問權(quán)限做出決策，決策結(jié)果交回給安全服務(wù)器插件執(zhí)行。擁有多個應(yīng)用系統(tǒng)的大型網(wǎng)絡(luò)中心可以配備多個用戶認證服務(wù)器，互為備份，以便提高服務(wù)能力，構(gòu)成冗余配置和提高系統(tǒng)的可用性。

②建立可信時間戳系統(tǒng)。

a）系統(tǒng)功能設(shè)計。時間戳簽發(fā)系統(tǒng)：驗證時間戳請求；通過時間獲取接口獲取標準時間；簽發(fā)時間戳。時間戳管理終端：時間戳服務(wù)管理功能；管理員管理功能；日志管理功能；系統(tǒng)配置功能；時間戳權(quán)威證書管理功能。時間戳應(yīng)用API：建立時間戳請求，將用戶的數(shù)據(jù)進行編碼形成符合RFC3161或PKCS#7標準的請求包；請求時間戳，將用戶的請求發(fā)送到服務(wù)器端，請求時間戳；驗證時間戳，對用戶的時間戳進行驗證；驗證應(yīng)答，對時間戳服務(wù)器返回的時間戳應(yīng)答包進行解析，分析時間戳簽發(fā)結(jié)果；做文摘，對用戶數(shù)據(jù)進行Hash運算；解析時間戳，提供時間戳中的數(shù)據(jù)。

b）系統(tǒng)工作流程?？尚艜r間戳系統(tǒng)的工作流程如圖2所示。

圖2 可信時間戳系統(tǒng)的工作流程圖

圖3 系統(tǒng)物理結(jié)構(gòu)圖

用戶對文件（數(shù)據(jù)）進行Hash摘要處理，通常采用SHA_1或MD5算法來計算文件的數(shù)字指紋；用戶提出時間戳的請求，Hash值被傳遞給時間戳服務(wù)器；時間戳服務(wù)器接收到請求的Hash值，并從權(quán)威時間源處獲得的一個日期/時間記錄，服務(wù)器對此信息進行簽名，生成時間戳；時間戳服務(wù)器將生成的時間戳信息反饋給用戶，客戶端將時間戳和文件信息綁定，用戶保存相應(yīng)信息；當(dāng)該文件出現(xiàn)時間糾紛時，用保存下來的時間戳信息判定公正的時間。

c）系統(tǒng)結(jié)構(gòu)?？尚艜r間戳系統(tǒng)將由時間戳簽發(fā)系統(tǒng)、數(shù)據(jù)庫服務(wù)器、加密設(shè)備、標準時間源、時間戳管理終端和時間戳應(yīng)用API構(gòu)成。規(guī)劃系統(tǒng)的軟件結(jié)構(gòu)和物理邏輯結(jié)構(gòu)如圖3所示。

時間戳簽發(fā)系統(tǒng)：是系統(tǒng)的核心部分，主要負責(zé)時間戳的簽發(fā)；加密設(shè)備（SJY05-B）：產(chǎn)生和管理密鑰，進行簽名運算；數(shù)據(jù)庫服務(wù)器：系統(tǒng)日志記錄；標準時間源：國家授時中心指定的專用設(shè)備和技術(shù)；系統(tǒng)管理終端：主要負責(zé)時間戳服務(wù)器的各項管理工作，包括時間戳服務(wù)管理、管理員管理、日志管理、系統(tǒng)配置管理、證書管理等；時間戳應(yīng)用API：是一個二次開發(fā)接口，是本系統(tǒng)同其他系統(tǒng)的接口。

③安全應(yīng)用中間件。

a）產(chǎn)品功能。提供加解密、簽名驗證等功能；支持D E S、T r i p l e D E S、R C 4 等多種對稱加密算法；支持R S A 非對稱加密算法；支持MD5、SHA1等多種HASH算法；符合PKCS#7等多種標準；CRL查詢，OCSP驗證；支持時間戳簽名和驗證；支持LDAP查詢；支持可信時間戳；支持電子簽名；L D A P 安全中間件；X M L中間件。

b）主要特點。支持多種開發(fā)語言：提供Java語言和MS Com組件兩種版本，支持Java、JSP、VB、VC、Delphi、ASP 等多種開發(fā)語言；使用簡單：提供詳細的接口說明和大量的使用例成，使開發(fā)人員能夠迅速地實施業(yè)務(wù)功能開發(fā)；功能強大：在簽名加密地基礎(chǔ)上，提供大量的輔助工具包，便于實施復(fù)雜大型的安全商務(wù)系統(tǒng)；屏蔽技術(shù)細節(jié)：封裝了證書管理、格式轉(zhuǎn)換、參數(shù)設(shè)置等多種實現(xiàn)細節(jié)，提供簡潔的業(yè)務(wù)接口，便于開發(fā)人員快速實施。

c）運行環(huán)境。Java 版本：Windows、Linux、Unix等操作系統(tǒng)，JDK1.3或以上；MS Com版本：Windows2000或以上操作系統(tǒng)。

④建立安全電子簽章服務(wù)系統(tǒng)

a）系統(tǒng)功能。安全電子簽章系統(tǒng)由三部分組成：制章終端、簽章客戶端、簽章服務(wù)器。制章終端負責(zé)簽章的申請、制作、銷毀、更新、吊銷等；簽章客戶端軟件具體完成不同類型電子信息的簽章、驗證、包數(shù)字信封等的操作，與簽章服務(wù)器系統(tǒng)具有數(shù)據(jù)通訊；電子簽章服務(wù)器系統(tǒng)主要用于存放圖章、數(shù)字簽名，負責(zé)電子簽章使用控制，通過簽章服務(wù)器的管理終端系統(tǒng)管理員可進行系統(tǒng)用戶設(shè)置，系統(tǒng)用戶權(quán)限設(shè)置，查看日志，數(shù)據(jù)庫備份等數(shù)據(jù)庫管理及維護操作。系統(tǒng)功能架構(gòu)如圖4所示。

用戶可以在填寫數(shù)字證書申請表、安全電子簽章申請表，并向所在地的授權(quán)受理點遞交身份證明材料，待核準遞交材料準確無誤后CA制章終端為用戶頒發(fā)數(shù)字證書，制章終端為用戶頒發(fā)電子簽章并將數(shù)字證書和圖章信息等儲存于一個獲得國家密碼辦認證的USB Key中。用戶將USB Key插入計算機的USB接口經(jīng)過持章人啟用操作后即可在應(yīng)用系統(tǒng)中使用安全電子簽章。用戶無需系統(tǒng)建設(shè)投資和時間、無需系統(tǒng)維護和人員；只要擁有安全電子簽章即可享有與其他持章人實現(xiàn)電子簽章的需求。

制章終端。制章終端是一個基于數(shù)據(jù)庫的制章系統(tǒng)，對圖章的申請、審批、制作、審核、啟用、銷毀等進行全面的管理，用戶訪問圖章權(quán)限控制(某一用戶可根據(jù)定義的權(quán)限訪問不同的圖章)。主要完成幾項功能：圖章采集與制作；簽章的更新；簽章廢除；簽章吊銷；簽章掛失。

圖5 電子簽章服務(wù)系統(tǒng)總體框架圖

簽章客戶端。安全電子簽章支撐平臺客戶端由USB Key和軟件構(gòu)成，USB Key自帶CPU、快速存儲器和加密處理機制，用于存放單位或個人數(shù)字證書、圖章信息。USB Key通過USB接口與計算機連接。

軟件以第三方控件形式提供應(yīng)用，可滿足兩項功能。

1）自動嵌入到W o r d、E x c e l、P D F、WPS，用來實現(xiàn)電子簽章的功能，還可以根據(jù)辦公軟件的特性實現(xiàn)多人會簽的功能；由電子政務(wù)、電子商務(wù)需要自行開發(fā)的應(yīng)用系統(tǒng)，如網(wǎng)上報稅、電子報關(guān)、網(wǎng)上審批等可以直接在其應(yīng)用中掛接平臺客戶端控件，簡便易用。

電子簽章服務(wù)器。電子簽章服務(wù)器主要用于存儲圖章、公鑰，并提供圖章下載使用的。具體使用方式根據(jù)應(yīng)用系統(tǒng)電子簽章管理機構(gòu)的設(shè)置來決定部署方式、運行機制等。SDCA為簽章服務(wù)器頒發(fā)Web服務(wù)器證書，下載圖章時采取B/S通訊方式，采用標準的SSL安全機制，通過HTTPS協(xié)議實現(xiàn)，保證簽章服務(wù)器與客戶端間信息安全傳輸。下載圖章的接口以ActiveX控件形式提供給應(yīng)用，適合于瀏覽簽章客戶端采用C/S、B/S方式的開發(fā)。系統(tǒng)管理員在簽章服務(wù)器管理終端可通過以下操作對電子簽章服務(wù)器進行管理：增刪系統(tǒng)用戶、設(shè)置系統(tǒng)用戶權(quán)限、系統(tǒng)日志操作、數(shù)據(jù)庫維護等。

b）電子簽章的申請。數(shù)字證書的管理由山東省數(shù)字證書頒發(fā)系統(tǒng)即SDCA進行數(shù)字證書的發(fā)放和銷毀。SDCA制證員在制章終端處由USB Key 內(nèi)自動生成密鑰對，結(jié)合公鑰信息形成標準的證書申請格式，發(fā)送給數(shù)字證書頒發(fā)系統(tǒng)請求頒發(fā)證書。將頒發(fā)出來的證書導(dǎo)入到USB Key中。證書制作完畢，客戶通過制章終端申請電子簽章。

c）系統(tǒng)結(jié)構(gòu)。平臺采用國內(nèi)外普遍使用的、技術(shù)成熟、可實際使用的基于P K I 的數(shù)字簽名技術(shù)，使用數(shù)字證書做整個系統(tǒng)的安全支撐。系統(tǒng)通過數(shù)字簽名技術(shù)與數(shù)字水印技術(shù)的融合，實現(xiàn)了與傳統(tǒng)的印章的完美結(jié)合，具有使用簡單、管理方便、安全穩(wěn)定、擴展性強等特點；并且為信息安全級別需求高的電子信息網(wǎng)上傳輸提供了數(shù)字信封的功能，滿足了密文傳輸?shù)男枨蟆?/p>

安全電子簽章支撐平臺客戶端以Active X形式統(tǒng)一層面提供給應(yīng)用，能夠自動嵌入到固定格式文檔軟件中主要應(yīng)用在：如電子政務(wù)中Word、Excel公文的網(wǎng)上傳輸、網(wǎng)上OA內(nèi)需要各部門簽章的文檔、電子商務(wù)中電子合同等；支持自建應(yīng)用系統(tǒng)的應(yīng)用比較廣泛，主要滿足多樣化應(yīng)用系統(tǒng)。如：稅務(wù)系統(tǒng)中網(wǎng)上報稅、工商系統(tǒng)網(wǎng)上年檢等。

3 結(jié)束語

本文設(shè)計了基于PKI/CA安全體系的網(wǎng)絡(luò)安全認證平臺，保障信息傳遞的安全性以及人員權(quán)限管理的可操作性。平臺包括了基于PMI體系的授權(quán)訪問控制系統(tǒng)、建立可信時間戳系統(tǒng)、安全應(yīng)用中間件、建立安全電子簽章服務(wù)系統(tǒng)。平臺采用XML、Java、Web服務(wù)等技術(shù)手段，遵循國際信息傳輸技術(shù)標準，有利于重構(gòu)新的電子商務(wù)信任體系，有效控制了電子商務(wù)中存在的潛在風(fēng)險模式。