于志勇

（中国海洋大学信息科学与工程学院，山东青岛 266100）

1 引言

随着互联网技术的快速发展、信息化水平的不断提高，网络的触角已经延伸到人类生活、工作的每一个角落。数字证书作为网络通讯中标记通讯各方身份信息的电子文件成为因特网上验证身份的工具，应用在工商网上备案系统中确保了网上信息传输安全，避免了业务发生后抵赖行为的发生。然而，数字证书所提供的身份认证、责任认定等功能对于用户来说是透明的，大量的纸质公文、表格的传递仅仅依靠数字证书的隐性工作还不能满足需求。同时，纸质传统文件也日益显现出弊端，诸如纸质文件的恶意修改、虚填文件内容等，对工商备案系统的正常运行带来了诸多的干扰。

综上原因，由电子文档来代替传统纸质文件，提高效率，降低成本，这种情况下就需要电子签章来加以补充。

2 技术可行性研究

2.1 技术特点

本系统的建设开发应遵循“物理分散、逻辑集中”的设计原则；坚持以需求为导向，注重实效的原则。

2.1.1 实用性

系统以满足区域性网络安全认证需求为目标，以方便各种应用系统使用为原则，选用与信息技术发展潮流相适应的开发工具，保持技术的先进性，同时注重应用的实际需要和设备的性能价格比，并充分利用系统的现有软件资源和硬件设备，有效保护原有的投资。

2.1.2 扩展性、先进性和成熟性

系统建设的结构、操作系统平台、应用系统平台从选型、设计到应用开发都要充分考虑开放性原则。可扩展性、先进性具体体现在几个方面。

①电子商务安全支撑平台在体系结构上应具有可伸缩性。以适应扩大业务范围和增加多种应用的需要。

②算法可扩展性。在国家有关密码政策规定下能够嵌入新的加密算法。

③支持分布式的目录服务体系。在电子商务安全认证系统最顶端建立总的主、从目录服务器，存放所有的证书和C R L；在其他分部建立分的主、从目录服务器，作为总目录服务器的一个子集，这样就可以实现证书的逐级查询。

④支持人员证书、机构证书和设备证书。能对人员、机构和设备（路由器、防火墙、Web服务器等）发放证书，以实现身份认证。及时处理，保证系统的正常工作。

2.1.4 安全性、保密性

系统是网络安全认证体系基础建设，要求有较高地安全性，能保护电子政务电子商务中的文件信息、企业信息的绝对安全。对使用信息和操作人员进行严格的权限管理，采用多种手段确保系统安全运行，在核心系统的建设上采用异地双备份。

具体体现在几个方面。

①物理环境安全。物理安全和环境安全是整个系统安全的基础，要把CA系统的危险减至最低限度，应在机房选址、机房装修、配电、空调系统、火灾报警及消防设施、门禁监测系统、防雷击、防电磁波等提出严格要求。

②网络安全。网络安全是保证安全可靠运行的必要条件，可以采用成熟、可靠的网络产品和技术，构建相应的系统架构；合理划分网络安全区（公共区、D M Z 区、操作区、安全区），实现各区的安全层次；各安全层次之间采用不同类型的防火墙和入侵检测系统进行防护，并进行病毒防治。

③目录服务器的安全。在系统建设时，目录服务器要达到以下安全目标：防止外部黑客对数据的篡改、删除；防止内部未授权人员对数据的篡改、删除；如果目录服务器的数据遭到侵害，可以及时、有效地恢复所有数据。

④人员安全管理。为保证电子商务安全支撑平台的安全，人员信息及访问控制列表（A C L）要以加密的方式存贮在安全区的数据库系统中，由系统管理员负责维护及更新，集中式的A C L 管理能够有效地防止非授权人员的非法访问，并定期对有关人员进行信息安全方面的培训，对新出现的安全问题和解决方法要及时通知给系统管理员。

2.1.3 可维护性、可靠性

软硬件系统均采用模块化结构，可以根据需要增加和替换模块，使系统具有较好的可维护性和可扩展性。同时保证系统具有稳定的可靠性，在出现硬件故障时，可以及时报警，得到

2.2 主要性能指标及遵循的国际国内标准

2.2.1所支持标准：PKI 国际标准

①支持非对称算法，包括R S A、D S A、Diffie-hellman，支持的密钥长度包括1024 比特、2048 比特。

②支持对称算法，包括国密办批准使用的SSF33 等对称算法。

③支持文摘算法，包括SHA-1、MD5 等。④支持X.509 v4 的证书格式。

⑤支持双证书双密钥。

⑥支持证书模版。

⑦支持P K C S#1、P K C S#7、P K C S#1 0、PKCS#11、PKCS#12 等。

⑧支持多级CA。

⑨支持交叉认证。

2.2.2 性能指标

①单张证书平均签发时间 ＜ 2 秒。

②发证能力 ＞ 1800 张/小时。

③支持的RA 数量 ＞ 252 个。

④应用环境：W i n 2 0 0 0/X P/W i n 2 0 0 3 linux9.2。

⑤系统信息安全存储。

⑥各部门数据实时共享，快速传输。

⑦采用安全先进的通讯方式，可实现异地实时查询。

2.3 技术路线研究

2.3.1 基于PKI/CA体系的完善与扩展

①网络安全。网络安全性设计的目标是保证网络安全可靠的运行，从网络拓扑结构、网络安全区域的划分、入侵检测、漏洞扫描、病毒防治和防火墙系统的设置等方面防范来自Internet的攻击并加强对内部的安全管理。

②系统安全。保障PKI/CA体系中的操作系统、数据库系统和目录系统的安全性。通过定期升级系统补丁，对系统进行日常维护，保证系统的数据一致性和完整性；定时备份数据，可以及时、有效地恢复系统数据。

③C A 系统安全。感操作采用3 O F 5 机制，需3名以上管理员同时到场才能执行。对敏感数据，采用加密存储的方式，防止非授权修改；采用管理员证书验证以及A C L 列表，防止非授权操作。

④密钥安全。

a) 签名证书的密钥：由智能密码钥匙生成和管理。

b) 加密证书的密钥：由密钥管理中心生成和管理。

c)用户的签名密钥和加密密钥都保存在智能密码钥匙中，所有关于私钥的操作都在智能密码钥匙中完成。

⑤通信安全。

a) 使用SPKM协议。

b) 全程硬件加密。

c) 使用SSF33算法。

d)密钥传输过程——加密证书私钥不落地。

⑥证书管理安全。通过LRA/RA受理证书业务，采用数字签名技术防止恶意证书申请。提供标准的证书撤销列表以及实时的证书状态查询方式，防止撤销证书的使用。

⑦人员管理安全。采用分权管理模式，通过以超级管理员、管理系统管理员、再由系统管理员向下授权的方式，可以有效的将授权功能集中在一人身上再向下扩散，容易实现对管理员的控制和管理及事件追踪。

⑧安全策略。安全策略是安全管理中非常重要的环节，也是容易出现漏洞的环节，在建立CA中心的过程中以及在项目完成后，都必须建立严格的管理规程，为了确保系统的安全，将从几个方面重点建立安全策略。

建立安全管理小组，安全小组的成员要由熟悉CA系统操作的安全专家组成；安全管理小组负责安全措施的制定和定期进行安全审计；安全管理小组要定期对CA中心安全问题进行讨论，对于安全问题提供相应的解决方案；安全管理小组能够及时地对系统的安全问题做出响应，减少因处理不及时所造成的损失；任何部门出现问题之后，必须及时向安全小组报告；系统软件的更新和升级都必须经过安全小组的测试和批准后才能进行； 任何防病毒软件的安装策略必须经过安全小组的批准才能实施。

2.3.2 认证功能的扩展功能

①基于PMI体系的授权访问控制系统。项目访问控制体系包括的基础功能组件主要有安全客户端插件、安全服务器插件、用户授权管理服务器以及用户认证决策服务器等，系统构成和工作流如图1所示。

图1 授权和认证服务系统的构成和工作流

a）安全客户端插件。安全客户端插件设计为浏览器的安全插件，为 B/S 系统提供身份认证、访问控制和安全通信的功能。该插件也支持 VPN 通信方式，或客户本地安全代理方式，也可以为典型的 C/S 系统提供安全代理通信服务。同时，插件还提供了标准的 API 接口，供 B/S 和 C/S 客户端的嵌入式开发和附加功能开发。

b）安全服务器插件。安全服务器插件直接安装在应用服务器上，协助应用系统完成用户认证和访问控制，是为实现访问控制规则、认证和资源之间的连接而设计的插件。在受保护的应用服务器上配置安全服务器插件，访问控制体系可以适应不同的系统环境，并为应用系统实现统一安全策略下的访问控制。

c）用户授权管理服务器。用户授权管理服务器是一台独立主机，负责建立用户信息、完成用户集中管理、建立访问控制策略、设置认证方法和数据，完成用户的分组或角色定义，权限数据的建立等。权限数据交用户认证服务器使用和提供服务。

d）用户认证决策服务器。用户认证服务器是一台独立的服务器，包括 LDAP 服务器和认证决策模块。数据库内存放着从用户管理服务器获得的权限信息，依据安全服务器插件提供的用户信息完成用户类型的认证并就其访问权限做出决策，决策结果交回给安全服务器插件执行。拥有多个应用系统的大型网络中心可以配备多个用户认证服务器，互为备份，以便提高服务能力，构成冗余配置和提高系统的可用性。

②建立可信时间戳系统。

a）系统功能设计。时间戳签发系统：验证时间戳请求；通过时间获取接口获取标准时间；签发时间戳。时间戳管理终端：时间戳服务管理功能；管理员管理功能；日志管理功能；系统配置功能；时间戳权威证书管理功能。时间戳应用API：建立时间戳请求，将用户的数据进行编码形成符合RFC3161或PKCS#7标准的请求包；请求时间戳，将用户的请求发送到服务器端，请求时间戳；验证时间戳，对用户的时间戳进行验证；验证应答，对时间戳服务器返回的时间戳应答包进行解析，分析时间戳签发结果；做文摘，对用户数据进行Hash运算；解析时间戳，提供时间戳中的数据。

b）系统工作流程。可信时间戳系统的工作流程如图2所示。

图2 可信时间戳系统的工作流程图

图3 系统物理结构图

用户对文件（数据）进行Hash摘要处理，通常采用SHA_1或MD5算法来计算文件的数字指纹；用户提出时间戳的请求，Hash值被传递给时间戳服务器；时间戳服务器接收到请求的Hash值，并从权威时间源处获得的一个日期/时间记录，服务器对此信息进行签名，生成时间戳；时间戳服务器将生成的时间戳信息反馈给用户，客户端将时间戳和文件信息绑定，用户保存相应信息；当该文件出现时间纠纷时，用保存下来的时间戳信息判定公正的时间。

c）系统结构。可信时间戳系统将由时间戳签发系统、数据库服务器、加密设备、标准时间源、时间戳管理终端和时间戳应用API构成。规划系统的软件结构和物理逻辑结构如图3所示。

时间戳签发系统：是系统的核心部分，主要负责时间戳的签发；加密设备（SJY05-B）：产生和管理密钥，进行签名运算；数据库服务器：系统日志记录；标准时间源：国家授时中心指定的专用设备和技术；系统管理终端：主要负责时间戳服务器的各项管理工作，包括时间戳服务管理、管理员管理、日志管理、系统配置管理、证书管理等；时间戳应用API：是一个二次开发接口，是本系统同其他系统的接口。

③安全应用中间件。

a）产品功能。提供加解密、签名验证等功能；支持D E S、T r i p l e D E S、R C 4 等多种对称加密算法；支持R S A 非对称加密算法；支持MD5、SHA1等多种HASH算法；符合PKCS#7等多种标准；CRL查询，OCSP验证；支持时间戳签名和验证；支持LDAP查询；支持可信时间戳；支持电子签名；L D A P 安全中间件；X M L中间件。

b）主要特点。支持多种开发语言：提供Java语言和MS Com组件两种版本，支持Java、JSP、VB、VC、Delphi、ASP 等多种开发语言；使用简单：提供详细的接口说明和大量的使用例成，使开发人员能够迅速地实施业务功能开发；功能强大：在签名加密地基础上，提供大量的辅助工具包，便于实施复杂大型的安全商务系统；屏蔽技术细节：封装了证书管理、格式转换、参数设置等多种实现细节，提供简洁的业务接口，便于开发人员快速实施。

c）运行环境。Java 版本：Windows、Linux、Unix等操作系统，JDK1.3或以上；MS Com版本：Windows2000或以上操作系统。

④建立安全电子签章服务系统

a）系统功能。安全电子签章系统由三部分组成：制章终端、签章客户端、签章服务器。制章终端负责签章的申请、制作、销毁、更新、吊销等；签章客户端软件具体完成不同类型电子信息的签章、验证、包数字信封等的操作，与签章服务器系统具有数据通讯；电子签章服务器系统主要用于存放图章、数字签名，负责电子签章使用控制，通过签章服务器的管理终端系统管理员可进行系统用户设置，系统用户权限设置，查看日志，数据库备份等数据库管理及维护操作。系统功能架构如图4所示。

用户可以在填写数字证书申请表、安全电子签章申请表，并向所在地的授权受理点递交身份证明材料，待核准递交材料准确无误后CA制章终端为用户颁发数字证书，制章终端为用户颁发电子签章并将数字证书和图章信息等储存于一个获得国家密码办认证的USB Key中。用户将USB Key插入计算机的USB接口经过持章人启用操作后即可在应用系统中使用安全电子签章。用户无需系统建设投资和时间、无需系统维护和人员；只要拥有安全电子签章即可享有与其他持章人实现电子签章的需求。

制章终端。制章终端是一个基于数据库的制章系统，对图章的申请、审批、制作、审核、启用、销毁等进行全面的管理，用户访问图章权限控制(某一用户可根据定义的权限访问不同的图章)。主要完成几项功能：图章采集与制作；签章的更新；签章废除；签章吊销；签章挂失。

图5 电子签章服务系统总体框架图

签章客户端。安全电子签章支撑平台客户端由USB Key和软件构成，USB Key自带CPU、快速存储器和加密处理机制，用于存放单位或个人数字证书、图章信息。USB Key通过USB接口与计算机连接。

软件以第三方控件形式提供应用，可满足两项功能。

1）自动嵌入到W o r d、E x c e l、P D F、WPS，用来实现电子签章的功能，还可以根据办公软件的特性实现多人会签的功能；由电子政务、电子商务需要自行开发的应用系统，如网上报税、电子报关、网上审批等可以直接在其应用中挂接平台客户端控件，简便易用。

电子签章服务器。电子签章服务器主要用于存储图章、公钥，并提供图章下载使用的。具体使用方式根据应用系统电子签章管理机构的设置来决定部署方式、运行机制等。SDCA为签章服务器颁发Web服务器证书，下载图章时采取B/S通讯方式，采用标准的SSL安全机制，通过HTTPS协议实现，保证签章服务器与客户端间信息安全传输。下载图章的接口以ActiveX控件形式提供给应用，适合于浏览签章客户端采用C/S、B/S方式的开发。系统管理员在签章服务器管理终端可通过以下操作对电子签章服务器进行管理：增删系统用户、设置系统用户权限、系统日志操作、数据库维护等。

b）电子签章的申请。数字证书的管理由山东省数字证书颁发系统即SDCA进行数字证书的发放和销毁。SDCA制证员在制章终端处由USB Key 内自动生成密钥对，结合公钥信息形成标准的证书申请格式，发送给数字证书颁发系统请求颁发证书。将颁发出来的证书导入到USB Key中。证书制作完毕，客户通过制章终端申请电子签章。

c）系统结构。平台采用国内外普遍使用的、技术成熟、可实际使用的基于P K I 的数字签名技术，使用数字证书做整个系统的安全支撑。系统通过数字签名技术与数字水印技术的融合，实现了与传统的印章的完美结合，具有使用简单、管理方便、安全稳定、扩展性强等特点；并且为信息安全级别需求高的电子信息网上传输提供了数字信封的功能，满足了密文传输的需求。

安全电子签章支撑平台客户端以Active X形式统一层面提供给应用，能够自动嵌入到固定格式文档软件中主要应用在：如电子政务中Word、Excel公文的网上传输、网上OA内需要各部门签章的文档、电子商务中电子合同等；支持自建应用系统的应用比较广泛，主要满足多样化应用系统。如：税务系统中网上报税、工商系统网上年检等。

3 结束语

本文设计了基于PKI/CA安全体系的网络安全认证平台，保障信息传递的安全性以及人员权限管理的可操作性。平台包括了基于PMI体系的授权访问控制系统、建立可信时间戳系统、安全应用中间件、建立安全电子签章服务系统。平台采用XML、Java、Web服务等技术手段，遵循国际信息传输技术标准，有利于重构新的电子商务信任体系，有效控制了电子商务中存在的潜在风险模式。