電子政務(wù)基礎(chǔ)設(shè)施篇

1第二講根底設(shè)施篇nzhan20232主要內(nèi)容第五章網(wǎng)絡(luò)根底設(shè)施電子政務(wù)網(wǎng)絡(luò)的體系結(jié)構(gòu)電子政務(wù)的網(wǎng)絡(luò)根底設(shè)施設(shè)計(jì)電子政務(wù)的網(wǎng)絡(luò)接口設(shè)計(jì)原那么第六章網(wǎng)絡(luò)信任域根底設(shè)施網(wǎng)絡(luò)信任域技術(shù)電子政務(wù)網(wǎng)絡(luò)信任域的構(gòu)建3主要內(nèi)容第七章公鑰根底設(shè)施公鑰密碼技術(shù)公鑰根底設(shè)施PKI技術(shù)數(shù)字證書認(rèn)證中心CA的系統(tǒng)設(shè)計(jì)密鑰管理中心KM的系統(tǒng)設(shè)計(jì)數(shù)字證書審核注冊(cè)中心RA的系統(tǒng)設(shè)計(jì)密鑰和證書管理第八章授權(quán)管理根底設(shè)施授權(quán)管理根底設(shè)施PMI技術(shù)授權(quán)管理效勞系統(tǒng)授權(quán)管理中心AA的系統(tǒng)設(shè)計(jì)通用業(yè)務(wù)流程4第五章網(wǎng)絡(luò)根底設(shè)施本章主要內(nèi)容電子政務(wù)網(wǎng)絡(luò)的體系結(jié)構(gòu)電子政務(wù)的網(wǎng)絡(luò)根底設(shè)施設(shè)計(jì)電子政務(wù)的網(wǎng)絡(luò)接口設(shè)計(jì)原那么55.1電子政務(wù)網(wǎng)絡(luò)的體系結(jié)構(gòu)電子政務(wù)網(wǎng)絡(luò)的體系結(jié)構(gòu)包括外網(wǎng)Internet內(nèi)網(wǎng)公眾效勞業(yè)務(wù)網(wǎng)負(fù)責(zé)提供與統(tǒng)一的平安電子政務(wù)平臺(tái)中的電子政務(wù)效勞業(yè)務(wù)系統(tǒng)相對(duì)應(yīng)的數(shù)據(jù)效勞支持功能非涉密政府辦公網(wǎng)負(fù)責(zé)提供對(duì)局部業(yè)務(wù)數(shù)據(jù)的審批等處理涉密政府辦公網(wǎng)〔專網(wǎng)〕負(fù)責(zé)提供政府內(nèi)部辦公業(yè)務(wù)數(shù)據(jù)的流轉(zhuǎn)6電子政務(wù)網(wǎng)絡(luò)的體系結(jié)構(gòu)統(tǒng)一的平安電子政務(wù)平臺(tái)負(fù)責(zé)承載各類具體的電子政務(wù)業(yè)務(wù)系統(tǒng)并圍繞一站式電子政務(wù)效勞框架將電子政務(wù)業(yè)務(wù)系統(tǒng)連接成一個(gè)有機(jī)的整體其上提供統(tǒng)一的接入平臺(tái)統(tǒng)一的Web門戶平臺(tái)統(tǒng)一的Web效勞平臺(tái)統(tǒng)一的信息交換平臺(tái)7電子政務(wù)網(wǎng)絡(luò)的體系結(jié)構(gòu)建設(shè)內(nèi)容統(tǒng)一的平安電子政務(wù)平臺(tái)自身建設(shè)與外部的Internet、電信公網(wǎng)〔PSTN〕、短信效勞網(wǎng)絡(luò)、以及無(wú)線接入網(wǎng)絡(luò)的互聯(lián)政務(wù)內(nèi)網(wǎng)對(duì)每個(gè)政府部門分別進(jìn)行公眾效勞業(yè)務(wù)網(wǎng)絡(luò)、非涉密政府辦公網(wǎng)絡(luò)、涉密政府辦公網(wǎng)絡(luò)系統(tǒng)政務(wù)專網(wǎng)在政務(wù)內(nèi)網(wǎng)中的非涉密政府辦公網(wǎng)絡(luò)之間建立互聯(lián)的非涉密政務(wù)專網(wǎng)，而在內(nèi)部涉密政府辦公網(wǎng)絡(luò)之間那么建立互聯(lián)的涉密政務(wù)專網(wǎng)網(wǎng)絡(luò)信任域網(wǎng)絡(luò)信任域網(wǎng)絡(luò)信任域網(wǎng)絡(luò)信任域電信公網(wǎng)Internet金融機(jī)構(gòu)金融機(jī)構(gòu)金融機(jī)構(gòu)金融機(jī)構(gòu)統(tǒng)一接入平臺(tái)統(tǒng)一接入平臺(tái)統(tǒng)一接入平臺(tái)統(tǒng)一接入平臺(tái)GSMGSMGSMGSMGSMGSM涉密交換平臺(tái)涉密交換平臺(tái)涉密交換平臺(tái)涉密交換平臺(tái)電子政務(wù)網(wǎng)絡(luò)系統(tǒng)根底設(shè)施總體結(jié)構(gòu)9金融效勞系統(tǒng)統(tǒng)一的平安電子政務(wù)平臺(tái)統(tǒng)一的信息交換平臺(tái)可信的政務(wù)一站式效勞統(tǒng)一的Web門戶平臺(tái)統(tǒng)一的接入平臺(tái)金融機(jī)構(gòu)公共效勞網(wǎng)內(nèi)部辦公網(wǎng)社保公共效勞網(wǎng)內(nèi)部辦公網(wǎng)工商公共效勞網(wǎng)內(nèi)部辦公網(wǎng)稅務(wù)...涉密系統(tǒng)涉密系統(tǒng)涉密系統(tǒng)PKI/PMI國(guó)務(wù)院辦公廳涉密網(wǎng)涉密交換平臺(tái)VPN平安島網(wǎng)絡(luò)信任域電子政務(wù)網(wǎng)絡(luò)系統(tǒng)根底設(shè)施總體結(jié)構(gòu)中的網(wǎng)絡(luò)信任域結(jié)構(gòu)電信公網(wǎng)Internet10統(tǒng)一的接入平臺(tái)統(tǒng)一的Web門戶平臺(tái)統(tǒng)一的Web效勞平臺(tái)統(tǒng)一的數(shù)據(jù)交換平臺(tái)PKI/PMI可信SOAP可信SOAP業(yè)務(wù)處理其他系統(tǒng)辦公處理其他系統(tǒng)公眾效勞業(yè)務(wù)系統(tǒng)非涉密辦公網(wǎng)Data可信SOAP業(yè)務(wù)處理其他系統(tǒng)辦公處理其他系統(tǒng)公眾效勞業(yè)務(wù)系統(tǒng)非涉密辦公網(wǎng)Data可信SOAP業(yè)務(wù)處理其他系統(tǒng)辦公處理其他系統(tǒng)公眾效勞業(yè)務(wù)系統(tǒng)非涉密辦公網(wǎng)Data邏輯隔離邏輯隔離邏輯隔離工商系統(tǒng)稅務(wù)系統(tǒng)社保系統(tǒng)非涉密政務(wù)專網(wǎng)政務(wù)內(nèi)網(wǎng)的總體結(jié)構(gòu)涉密辦公網(wǎng)涉密辦公網(wǎng)涉密辦公網(wǎng)涉密政務(wù)專網(wǎng)115.2電子政務(wù)的網(wǎng)絡(luò)根底設(shè)施設(shè)計(jì)統(tǒng)一的平安電子政務(wù)平臺(tái)是整個(gè)電子政務(wù)建設(shè)的根底〔樞紐〕工程統(tǒng)一接入平臺(tái)、統(tǒng)一的Web門戶平臺(tái)、統(tǒng)一的Web效勞平臺(tái)、統(tǒng)一的信息交換平臺(tái)之間通過(guò)具有第三層交換功能的〔全雙工的冗余鏈路互聯(lián)的〕交換機(jī)設(shè)備進(jìn)行互聯(lián)，形成單點(diǎn)無(wú)破損的結(jié)構(gòu)提供對(duì)多種接入終端的支持對(duì)Internet和電信公網(wǎng)采用兩種接入方式直接接入：負(fù)責(zé)普通用戶訪問(wèn)電子政務(wù)效勞虛擬專用網(wǎng)〔VPN〕接入：負(fù)責(zé)移動(dòng)辦公和有待平安需求的用戶的平安接入12電子政務(wù)的網(wǎng)絡(luò)根底設(shè)施設(shè)計(jì)公眾效勞業(yè)務(wù)網(wǎng)絡(luò)提供各類具體的公眾政務(wù)效勞資源可以通過(guò)可信SOAP負(fù)責(zé)與統(tǒng)一的信息交換平臺(tái)相連接，作為統(tǒng)一的信息交換平臺(tái)的數(shù)據(jù)源而工作非涉密政府辦公網(wǎng)絡(luò)運(yùn)行政府部門內(nèi)部非涉密的辦公系統(tǒng)，完成日常的辦公業(yè)務(wù)處理對(duì)從統(tǒng)一的平安電子政務(wù)平臺(tái)上運(yùn)行的公眾政務(wù)效勞業(yè)務(wù)系統(tǒng)中所獲得的業(yè)務(wù)效勞請(qǐng)求進(jìn)行處理對(duì)可能涉及到的敏感信息局部，可以采用與公眾效勞業(yè)務(wù)網(wǎng)絡(luò)物理隔離措施〔網(wǎng)閘等〕13電子政務(wù)的網(wǎng)絡(luò)根底設(shè)施設(shè)計(jì)涉密政務(wù)辦公網(wǎng)絡(luò)〔即政務(wù)內(nèi)網(wǎng)〕根據(jù)國(guó)家保密局的要求必須將其與非涉密網(wǎng)絡(luò)進(jìn)行物理隔離〔完全的物理隔離，不可采用網(wǎng)閘等時(shí)斷時(shí)開措施〕網(wǎng)絡(luò)平安結(jié)構(gòu)設(shè)計(jì)對(duì)整個(gè)系統(tǒng)內(nèi)部的平安區(qū)域清晰地劃分，即與接入平臺(tái)以及Web效勞門戶系統(tǒng)直接相連的網(wǎng)絡(luò)系統(tǒng)為非平安的網(wǎng)絡(luò)，除此之外，其余的內(nèi)部網(wǎng)絡(luò)系統(tǒng)均可以視為平安的網(wǎng)絡(luò)系統(tǒng)145.3電子政務(wù)的網(wǎng)絡(luò)接口設(shè)計(jì)原那么四類接口統(tǒng)一的平安電子政務(wù)平臺(tái)的對(duì)外效勞接口面向社會(huì)提供對(duì)電子政務(wù)業(yè)務(wù)效勞的訪問(wèn)接入功能提供對(duì)GSM、Internet、電信公網(wǎng)、CDMA四種典型的接入方式公眾效勞業(yè)務(wù)網(wǎng)絡(luò)與非涉密政府辦公網(wǎng)絡(luò)的接口非涉密政府辦公網(wǎng)絡(luò)不可直接與公眾效勞業(yè)務(wù)網(wǎng)直接連接，需要采用網(wǎng)絡(luò)邏輯隔離措施提供網(wǎng)絡(luò)接入控制和配套的平安保護(hù)措施非涉密政府辦公網(wǎng)絡(luò)與涉密政府辦公網(wǎng)絡(luò)的接口兩網(wǎng)之間必須采用物理隔離〔國(guó)密辦要求〕15電子政務(wù)的網(wǎng)絡(luò)接口設(shè)計(jì)原那么四類接口統(tǒng)一的平安電子政務(wù)平臺(tái)與公眾效勞業(yè)務(wù)網(wǎng)絡(luò)的接口是對(duì)整個(gè)電子政務(wù)平臺(tái)所承載的具體電子政務(wù)應(yīng)用系統(tǒng)提供平安性保障的業(yè)務(wù)數(shù)據(jù)交換接口對(duì)應(yīng)用層的數(shù)據(jù)交換提供兩個(gè)層次的平安功能網(wǎng)絡(luò)層的平安功能通過(guò)PKI網(wǎng)關(guān)提供信息傳輸?shù)钠桨脖Ｗo(hù)，確保傳輸過(guò)程中的機(jī)密性、完整性應(yīng)用層的平安功能通過(guò)可信SOAP效勞器完成，重點(diǎn)在應(yīng)用層結(jié)合平安SOAP的訪問(wèn)控制技術(shù)和cegXML所提供的元素級(jí)平安功能提供對(duì)交換數(shù)據(jù)的平安保護(hù)16第六章網(wǎng)絡(luò)信任域根底設(shè)施本章主要內(nèi)容網(wǎng)絡(luò)信任域的體系結(jié)構(gòu)網(wǎng)絡(luò)信任域技術(shù)電子政務(wù)網(wǎng)絡(luò)信任域的構(gòu)建176.1網(wǎng)絡(luò)信任域及其體系結(jié)構(gòu)網(wǎng)絡(luò)信任域是構(gòu)建電子政務(wù)網(wǎng)絡(luò)根底設(shè)施的關(guān)鍵技術(shù)之一區(qū)別傳統(tǒng)的Internet對(duì)等的、無(wú)中心的、無(wú)管理的網(wǎng)絡(luò)信任域可管理的、有中心的通過(guò)下面三個(gè)層面的平安措施確保數(shù)據(jù)的機(jī)密性、完整性、身份認(rèn)證、不可抵賴性、授權(quán)效勞終端設(shè)備的平安可信接入采用接入認(rèn)證交換機(jī)網(wǎng)絡(luò)設(shè)備的平安可信管理采用PKI網(wǎng)關(guān)〔此為構(gòu)建網(wǎng)絡(luò)信任域的關(guān)鍵機(jī)制〕數(shù)據(jù)信息的平安可信傳輸采用信任域管理效勞平臺(tái)PKI網(wǎng)關(guān)網(wǎng)絡(luò)信任域管理服務(wù)平臺(tái)網(wǎng)絡(luò)信任域1平安可信接入接入認(rèn)證交換機(jī)終端設(shè)備終端設(shè)備終端設(shè)備終端設(shè)備網(wǎng)絡(luò)信任域管理服務(wù)平臺(tái)網(wǎng)絡(luò)信任域2平安可信接入接入認(rèn)證交換機(jī)終端設(shè)備終端設(shè)備終端設(shè)備終端設(shè)備PKI網(wǎng)關(guān)…………平安可信通信更高一級(jí)的網(wǎng)絡(luò)信任域網(wǎng)絡(luò)信任域管理服務(wù)平臺(tái)網(wǎng)絡(luò)信任域的組織示意圖196.2構(gòu)建網(wǎng)絡(luò)信任域的核心技術(shù)1.基于PKI〔PublicKeyInfrastructure〕的身份認(rèn)證為網(wǎng)絡(luò)信任域中的所有用戶和設(shè)備頒發(fā)PKC〔PublicKeyCertificate〕網(wǎng)絡(luò)信任域可以采用基于PKI的雙密鑰對(duì)機(jī)制，采用符合ITU-TX.509V4標(biāo)準(zhǔn)的證書格式結(jié)合IPSec協(xié)議，以加密密文的形式進(jìn)行信息傳輸“一人一證，一機(jī)一證〞解決網(wǎng)絡(luò)中“你是誰(shuí)〞的問(wèn)題20構(gòu)建網(wǎng)絡(luò)信任域的核心技術(shù)2.基于PMI〔PrivilegeManagementInfrastructure〕的授權(quán)效勞向用戶和應(yīng)用程序提供授權(quán)管理效勞提供用戶身份到應(yīng)用授權(quán)的映射功能可以采用基于PMI的屬性證書機(jī)制，對(duì)用戶、設(shè)備的身份及其權(quán)限和許可信息進(jìn)行綁定解決網(wǎng)絡(luò)中“你能做什么〞的問(wèn)題21構(gòu)建網(wǎng)絡(luò)信任域的核心技術(shù)3.基于硬件形式的證書存儲(chǔ)將用戶、設(shè)備的數(shù)字證書存儲(chǔ)在客戶端的實(shí)體鑒別密碼器中，因此提高了系統(tǒng)的平安級(jí)別此外還提供密鑰的生成和管理、實(shí)體鑒別、數(shù)字簽名的生成和驗(yàn)證、以及證書管理和密碼運(yùn)算等功能4.基于PKI和IEEE802.1X標(biāo)準(zhǔn)的可信接入實(shí)現(xiàn)“基于端口的網(wǎng)絡(luò)接入控制〞，對(duì)以端對(duì)端方式連接到網(wǎng)絡(luò)端口的設(shè)備進(jìn)行認(rèn)證和核準(zhǔn)，以阻止非法用戶接入該端口22構(gòu)建網(wǎng)絡(luò)信任域的核心技術(shù)5.基于PKI的可信傳輸網(wǎng)絡(luò)信任域提供了構(gòu)建VPN的設(shè)備〔PKI網(wǎng)關(guān)〕，其認(rèn)證和加密都基于PKI技術(shù) 系統(tǒng)通過(guò)采用PKI身份證書來(lái)實(shí)現(xiàn)對(duì)PKI網(wǎng)關(guān)的運(yùn)行、管理、配置以及VPN虛擬專網(wǎng)的動(dòng)態(tài)構(gòu)建通過(guò)PKI身份證書的認(rèn)證機(jī)制來(lái)實(shí)現(xiàn)對(duì)終端用戶的身份鑒別，基于PKI的VPN也能夠提供對(duì)用戶數(shù)據(jù)的保護(hù)功能因此，基于PKI技術(shù)就可以在兩個(gè)PKI網(wǎng)關(guān)之間構(gòu)建一個(gè)端對(duì)端的加密平安通道23構(gòu)建網(wǎng)絡(luò)信任域的核心技術(shù)6.基于PKI的信任域綜合管理系統(tǒng)是網(wǎng)絡(luò)信任域的管理操作平臺(tái)，負(fù)責(zé)對(duì)網(wǎng)絡(luò)信任域內(nèi)的用戶和網(wǎng)元進(jìn)行設(shè)置和信息提取，并負(fù)責(zé)對(duì)整個(gè)網(wǎng)絡(luò)信任域環(huán)境的平安運(yùn)行進(jìn)行檢測(cè)和管理，使網(wǎng)絡(luò)信任域得以實(shí)現(xiàn)的支撐管理系統(tǒng)采用基于SNMP〔SimpleNetworkManagementProtocol，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議〕協(xié)議的操作接口，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)信任域中的設(shè)備管理配置，以及監(jiān)控?cái)?shù)據(jù)和業(yè)務(wù)數(shù)據(jù)的采集采用基于PKI技術(shù)實(shí)現(xiàn)信任域管理功能對(duì)環(huán)境內(nèi)的所有設(shè)備進(jìn)行基于PKI身份證書的驗(yàn)證和管理，確保網(wǎng)絡(luò)元素的可信接入通過(guò)PKI技術(shù)，為環(huán)境中的所有信息提供平安通道24構(gòu)建網(wǎng)絡(luò)信任域的核心技術(shù)6.基于PKI的信任域綜合管理系統(tǒng)(續(xù))網(wǎng)絡(luò)信任域管理的核心思想基于統(tǒng)一的PKI機(jī)制，建立分布式的、逐級(jí)可信的信任域管理。采用策略一致的PKI證書發(fā)布及認(rèn)證機(jī)制，協(xié)調(diào)管理員可以根據(jù)網(wǎng)絡(luò)的規(guī)模的網(wǎng)絡(luò)的分布狀況，為整個(gè)系統(tǒng)建立多級(jí)信任域管理的分層模型，并為每個(gè)信任域架構(gòu)效勞于本信任域的信任域綜合管理系統(tǒng)位于系統(tǒng)上層的信任域可以接收下層信任域采集的業(yè)務(wù)數(shù)據(jù)，負(fù)責(zé)對(duì)下層的信任域提供系統(tǒng)管理和信任效勞，通過(guò)分層管理可以構(gòu)建范圍更廣的網(wǎng)絡(luò)信任域25接入認(rèn)證交換機(jī)為了實(shí)現(xiàn)網(wǎng)絡(luò)信任域的可信接入，首先應(yīng)對(duì)接入認(rèn)證交換機(jī)和認(rèn)證效勞器進(jìn)行身份認(rèn)證。接入認(rèn)證交換機(jī)和認(rèn)證效勞器采用內(nèi)置PKI證書方式進(jìn)行唯一的身份標(biāo)識(shí)，在接入認(rèn)證交換機(jī)后端的認(rèn)證效勞器進(jìn)行信息交互時(shí)必須進(jìn)行交互身份認(rèn)證，從而確保雙方身份的真實(shí)性。為接入認(rèn)證交換機(jī)對(duì)接入設(shè)備的認(rèn)證通過(guò)了可信的根底，同時(shí)通過(guò)交互式身份驗(yàn)證，為交換機(jī)與認(rèn)證效勞器之間的信息及交互提供了加密的通道〔采用UDP協(xié)議〕，確保了認(rèn)證信息的平安傳輸26接入終端設(shè)備網(wǎng)絡(luò)信任域的可信接入是終端設(shè)備/用戶的可信接入。基于802.1x標(biāo)準(zhǔn)，接入交換機(jī)的每個(gè)端口為接入設(shè)備提供了一個(gè)物理網(wǎng)絡(luò)端口上的兩個(gè)邏輯端口：帶接入控制開關(guān)的受控端口，該端口與后端的業(yè)務(wù)資源系統(tǒng)相連不帶控制開關(guān)的非受控端口，該端口與交換機(jī)內(nèi)部負(fù)責(zé)執(zhí)行802.1x協(xié)議的認(rèn)證端口接入模塊〔PortAccessEntity,PAE〕相連。非受控端口接入單元將作為接入設(shè)備的認(rèn)證代理，負(fù)責(zé)與后端的認(rèn)證效勞器進(jìn)行交互，共同完成對(duì)接入設(shè)備的認(rèn)證過(guò)程，并根據(jù)認(rèn)證的結(jié)果控制受控端口的接入控制開關(guān)，確保只有合法的設(shè)備和用戶才可以接入網(wǎng)絡(luò)的業(yè)務(wù)資源，而非法用戶或未通過(guò)認(rèn)證的用戶將從鏈路層上與網(wǎng)絡(luò)隔離，從而極大地保證了網(wǎng)絡(luò)環(huán)境的平安型和可控制性基于端口的網(wǎng)絡(luò)接入控制的實(shí)現(xiàn)機(jī)制結(jié)構(gòu)框圖硬件證書接入終端客戶端PAE受控端口非受控端口認(rèn)證方PAE端口接入控制開關(guān)認(rèn)證控制認(rèn)證效勞器網(wǎng)絡(luò)業(yè)務(wù)資源核心交換平臺(tái)認(rèn)證效勞系統(tǒng)內(nèi)含身份證書的接入認(rèn)證交換機(jī)端口訪問(wèn)實(shí)體：〔PAE，PortAccessingEntity〕

網(wǎng)絡(luò)訪問(wèn)技術(shù)的核心局部是PAE〔端口訪問(wèn)實(shí)體〕。在訪問(wèn)控制流程中，端口訪問(wèn)實(shí)體包含3局部：認(rèn)證者--對(duì)接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口；請(qǐng)求者--被認(rèn)證的用戶/設(shè)備；認(rèn)證效勞器--根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問(wèn)網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。28網(wǎng)絡(luò)信任域小結(jié)基于先進(jìn)的PKI及PMI技術(shù)以PKI身份認(rèn)證為根底，以基于網(wǎng)元的設(shè)備認(rèn)證為手段，以“可信接入、可信傳輸〞為具體實(shí)現(xiàn)，以網(wǎng)絡(luò)信任域綜合管理系統(tǒng)為核心，構(gòu)建全網(wǎng)一致可信的網(wǎng)絡(luò)信任環(huán)境，為網(wǎng)絡(luò)提供“可管理、可控制〞的平安網(wǎng)絡(luò)環(huán)境支撐296.3電子政務(wù)網(wǎng)絡(luò)信任域的構(gòu)建構(gòu)建網(wǎng)絡(luò)信任域的關(guān)鍵設(shè)備網(wǎng)絡(luò)接入認(rèn)證交換機(jī)PKI網(wǎng)關(guān)網(wǎng)絡(luò)信任域管理平臺(tái)多證書實(shí)體鑒別密碼器30電子政務(wù)網(wǎng)絡(luò)信任域的構(gòu)建主要解決電子政務(wù)專網(wǎng)和電子政務(wù)內(nèi)網(wǎng)在終端設(shè)備的平安可信接入、設(shè)備的平安可信管理和數(shù)據(jù)信息的平安可信傳輸?shù)确矫娴膯?wèn)題。具體而言內(nèi)網(wǎng)通過(guò)網(wǎng)絡(luò)接入認(rèn)證交換機(jī)在網(wǎng)絡(luò)層提供系統(tǒng)合法的受控接入功能，對(duì)接入系統(tǒng)的設(shè)備進(jìn)行有效的管理可控制，進(jìn)一步防止內(nèi)部的惡意破壞和攻擊專網(wǎng)通過(guò)PKI網(wǎng)關(guān)在網(wǎng)絡(luò)層提供數(shù)據(jù)加密通信環(huán)境，防止信息被非法竊取和篡改管理平臺(tái)對(duì)信任域內(nèi)的接入設(shè)備進(jìn)行管理，確保信任域內(nèi)的所有設(shè)備都是平安可信的一級(jí)網(wǎng)絡(luò)信任域管理平臺(tái)終端設(shè)備終端設(shè)備PKI網(wǎng)關(guān)接入認(rèn)證交換機(jī)政府內(nèi)網(wǎng)1…..一級(jí)網(wǎng)絡(luò)信任域管理平臺(tái)PKI網(wǎng)關(guān)接入認(rèn)證交換機(jī)政府內(nèi)網(wǎng)N…..終端設(shè)備終端設(shè)備…PKI網(wǎng)關(guān)PKI網(wǎng)關(guān)政府專網(wǎng)二級(jí)網(wǎng)絡(luò)信任域管理平臺(tái)電子政務(wù)網(wǎng)絡(luò)信任域的結(jié)構(gòu)示意圖32平安可信的逐級(jí)分布式網(wǎng)絡(luò)信任域管理平臺(tái)分布式網(wǎng)絡(luò)信任域管理平臺(tái)采用統(tǒng)一發(fā)證、分布式逐級(jí)管理的模式來(lái)組織統(tǒng)一發(fā)證建立統(tǒng)一的電子政務(wù)設(shè)備證書認(rèn)證管理中心，負(fù)責(zé)簽發(fā)電子政務(wù)系統(tǒng)中設(shè)備的數(shù)字證書〔PKC〕，即構(gòu)建設(shè)備信任效勞系統(tǒng)分布式逐級(jí)管理網(wǎng)絡(luò)信任域按照實(shí)際的責(zé)任和管理范圍來(lái)劃分，每個(gè)政務(wù)內(nèi)網(wǎng)為一個(gè)根本信任域，每個(gè)根本信任域都有自己的網(wǎng)絡(luò)信任域管理平臺(tái)，負(fù)責(zé)本信任域的管理，而根本信任域平臺(tái)那么由上一級(jí)電子政務(wù)網(wǎng)絡(luò)信任域管理平臺(tái)負(fù)責(zé)管理，從而構(gòu)成一個(gè)責(zé)任明確、管理方便、覆蓋全系統(tǒng)的平安可信的網(wǎng)絡(luò)信任域管理體系業(yè)務(wù)管理新業(yè)務(wù)開發(fā)管理知識(shí)管理客戶管理資源管理系統(tǒng)維護(hù)管理系統(tǒng)平安管理監(jiān)控管理策略配置管理審計(jì)管理計(jì)費(fèi)管理業(yè)務(wù)管理系統(tǒng)資源管理網(wǎng)絡(luò)信任域監(jiān)控管理計(jì)費(fèi)帳務(wù)證書申請(qǐng)BOS監(jiān)控BOS調(diào)度BOS證書數(shù)據(jù)設(shè)備數(shù)據(jù)系統(tǒng)數(shù)據(jù)TrustManager網(wǎng)絡(luò)信任域綜合業(yè)務(wù)管理層應(yīng)用子層業(yè)務(wù)處理子層數(shù)據(jù)子層接入認(rèn)證交換機(jī)用戶接入認(rèn)證層用戶層中間件信任與授權(quán)效勞層AA系統(tǒng)CA系統(tǒng)網(wǎng)絡(luò)信任域管理平臺(tái)的體系結(jié)構(gòu)示意圖34本章思考題什么是網(wǎng)絡(luò)信任域概念？構(gòu)建網(wǎng)絡(luò)信任域的核心技術(shù)有哪些？35第七章公鑰根底設(shè)施〔PKI〕本章主要內(nèi)容公鑰根底設(shè)施PKI技術(shù)信任效勞體系數(shù)字證書認(rèn)證中心CA的系統(tǒng)設(shè)計(jì)密鑰管理中心KM的系統(tǒng)設(shè)計(jì)數(shù)字證書審核注冊(cè)中心RA的系統(tǒng)設(shè)計(jì)密鑰和證書管理367.1公鑰根底設(shè)施PKI技術(shù)PKI是以公開密鑰技術(shù)為根底，以數(shù)據(jù)的機(jī)密性、完整性、不可抵賴性為平安目的而構(gòu)建的認(rèn)證、授權(quán)、加密等硬件、軟件的綜合設(shè)施PKI平安平臺(tái)能夠提供智能化的信任與有效授權(quán)效勞。其中信任效勞：要解決在茫茫網(wǎng)海中如何確定“你是你，我是我，他是他〞的問(wèn)題授權(quán)效勞：要解決網(wǎng)絡(luò)中“每個(gè)實(shí)體能干什么〞的問(wèn)題37PKI技術(shù)概述國(guó)家標(biāo)準(zhǔn)技術(shù)局NIST認(rèn)為，在網(wǎng)絡(luò)通信和網(wǎng)絡(luò)交易中，特別是在電子政務(wù)和電子商務(wù)業(yè)務(wù)中，最需要的平安保證包括四個(gè)方面：身份標(biāo)識(shí)和認(rèn)證保密或隱私數(shù)據(jù)完整性不可否認(rèn)性PKI可以提供上面四個(gè)方面的保障可以將一個(gè)無(wú)政府的網(wǎng)絡(luò)社會(huì)改造成一個(gè)有政府的、有管理的、可以追究責(zé)任的社會(huì)，從而杜絕黑客在網(wǎng)絡(luò)上肆無(wú)忌憚的攻擊目前，許多網(wǎng)站、電子政務(wù)、平安E-mail系統(tǒng)等均采用PKI技術(shù)38PKI技術(shù)概述PKI提供的效勞1.認(rèn)證傳統(tǒng)的認(rèn)證方式：兩人事前進(jìn)行協(xié)商，確定一個(gè)秘密，然后再依此秘密進(jìn)行相互認(rèn)證網(wǎng)絡(luò)上的認(rèn)證方式：事前的兩兩協(xié)商幾乎不可能，密鑰管理中心甚至可能成為網(wǎng)絡(luò)通信的瓶頸PKI通過(guò)證書進(jìn)行認(rèn)證認(rèn)證時(shí)對(duì)方知道“你就是你〞，但卻無(wú)法知道“你為什么是你〞通過(guò)證書提供一個(gè)可信的第三方證明，以防對(duì)方假冒39PKI技術(shù)概述PKI提供的效勞2.密鑰管理通過(guò)加密證書，通信雙方可以協(xié)商一個(gè)秘密，該秘密可以作為通信加密的密鑰PKI具有良好的密鑰恢復(fù)能力，提供可信的、可管理的密鑰恢復(fù)機(jī)制，以保證網(wǎng)絡(luò)上活動(dòng)的健康有序開展40PKI技術(shù)概述PKI提供的效勞3.完整性與不可否認(rèn)性〔是PKI提供的最根本的效勞〕在通過(guò)雙方協(xié)商一個(gè)秘密來(lái)解決的完整性情況下，如果一方有意抵賴時(shí)，那么無(wú)法接受第三方的仲裁PKI提供的完整性是可以通過(guò)第三方仲裁的例如：張三發(fā)送一個(gè)合約給李四，李四可以要求張三進(jìn)行數(shù)字簽名，簽名后的合約不僅李四可以驗(yàn)證其完整性，其他人也可以驗(yàn)證該合約確實(shí)是張三發(fā)簽發(fā)的。而所有人，包括李四，都沒(méi)有模仿張三簽署該合約的能力不可否認(rèn)即通過(guò)這樣的PKI簽名機(jī)制來(lái)提供效勞的當(dāng)法律允許時(shí)，該“不可否認(rèn)性〞可以作為法律依據(jù)〔依照?數(shù)字簽名法?〕41PKI技術(shù)的意義1.通過(guò)PKI可以建立一個(gè)可管、可控、平安的互聯(lián)網(wǎng)絡(luò)傳統(tǒng)的互聯(lián)網(wǎng)是盡力而為〔“Best-effort〞〕的網(wǎng)絡(luò)，口令已經(jīng)不能滿足平安需要國(guó)際電信聯(lián)盟〔ITU〕、國(guó)際標(biāo)準(zhǔn)化組織〔ISO〕、國(guó)際電工會(huì)〔IEC〕、互聯(lián)網(wǎng)任務(wù)工作組〔IETF〕等已經(jīng)制定了一系列有關(guān)PKI的技術(shù)標(biāo)準(zhǔn)通過(guò)認(rèn)證機(jī)制，建立證書效勞系統(tǒng)通過(guò)證書綁定每個(gè)網(wǎng)絡(luò)實(shí)體的公鑰，使網(wǎng)絡(luò)的每個(gè)實(shí)體均可識(shí)別，從而解決網(wǎng)絡(luò)上“你是誰(shuí)〞的問(wèn)題將互聯(lián)網(wǎng)在一定的平安域內(nèi)變成一個(gè)可控、可管、平安的網(wǎng)絡(luò)42PKI技術(shù)的意義2.通過(guò)PKI可以在Internet中構(gòu)建一個(gè)完整的授權(quán)效勞體系PKI通過(guò)對(duì)數(shù)字證書進(jìn)行擴(kuò)展，在公鑰證書的根底上，給特定的網(wǎng)絡(luò)實(shí)體簽發(fā)屬性證書，用以表征實(shí)體的角色和屬性的權(quán)利，從而解決在大規(guī)模的網(wǎng)絡(luò)應(yīng)用中“你能干什么〞的授權(quán)問(wèn)題注意Administrator與PKI授權(quán)的區(qū)別通過(guò)私鑰的唯一性保證有權(quán)限的人才能做某事通過(guò)公鑰的公開性去驗(yàn)證某信息出自何手43PKI技術(shù)的意義3.通過(guò)PKI可以建設(shè)一個(gè)普適性好、平安性高的統(tǒng)一平臺(tái)遵循一套完整的國(guó)際技術(shù)標(biāo)準(zhǔn)，可以對(duì)物理層、網(wǎng)絡(luò)層和應(yīng)用層進(jìn)行系統(tǒng)的平安結(jié)構(gòu)設(shè)計(jì)，構(gòu)建統(tǒng)一的平安域采用基于擴(kuò)展XML標(biāo)準(zhǔn)的元素級(jí)細(xì)粒度平安機(jī)制，即可以在元素級(jí)實(shí)現(xiàn)簽名和加密等功能〔這有別于“門衛(wèi)式〞平安系統(tǒng)〕底層的中間件屏蔽了具體的實(shí)現(xiàn)細(xì)節(jié)，以防止非法惡意攻擊采用Java技術(shù)解決了應(yīng)用系統(tǒng)代碼的跨平臺(tái)和移植問(wèn)題通過(guò)采用XML技術(shù)解決業(yè)務(wù)數(shù)據(jù)的跨平臺(tái)和移植問(wèn)題447.2信任效勞體系概述是為網(wǎng)絡(luò)信息空間提供一個(gè)信任的基準(zhǔn)，即在虛擬實(shí)體和虛擬網(wǎng)絡(luò)空間中的用戶角色之間建立一種映射關(guān)系，以便能夠?qū)F(xiàn)實(shí)物理世界中的信任關(guān)系移植到虛擬網(wǎng)絡(luò)空間中去目前關(guān)鍵技術(shù)主要是PKI技術(shù)通過(guò)公鑰密碼體制中用戶私鑰的機(jī)密性來(lái)提供用戶身份的唯一性驗(yàn)證通過(guò)公鑰數(shù)字證書為每個(gè)合法用戶的公鑰提供一個(gè)合法性的證明，從而建立了從用戶公鑰到證書ID號(hào)之間的唯一映射關(guān)系在身份驗(yàn)證的過(guò)程中必須通過(guò)公鑰與私鑰之間的唯一映射關(guān)系〔由公鑰加密體制自身提供保證〕來(lái)間接建立用戶私鑰〔用戶身份〕和證書ID號(hào)之間的映射關(guān)系在統(tǒng)一的PKI信息平安平臺(tái)實(shí)現(xiàn)中，用戶的私鑰是存放在實(shí)體鑒別密碼器中的，因此，私鑰與用戶身份之間的映射關(guān)系又多了實(shí)體鑒別密碼器這一物理實(shí)體層的機(jī)制45信任效勞體系概述在多信任域的系統(tǒng)結(jié)構(gòu)下，同一信任域內(nèi)頒發(fā)的數(shù)字證書將遵循相同的證書策略，而不同的信任域之間可能存在策略上的差異46電子政務(wù)信任效勞體系的需求分析業(yè)務(wù)流程的多重審核支持電子政務(wù)信任體系中的用戶角色是直接和用戶的權(quán)限相關(guān)的，因此，在用戶角色的分配過(guò)程中，一般需要進(jìn)行多重的審核程序。對(duì)應(yīng)到電子政務(wù)信任效勞體系，那么要求其證書申請(qǐng)流程應(yīng)提供對(duì)多重審核機(jī)制的支持，而且需要將審核與注冊(cè)的過(guò)程相別離。主要包括以下兩點(diǎn)：47電子政務(wù)信任效勞體系的需求分析業(yè)務(wù)流程的多重審核支持1。電子政務(wù)信任效勞系統(tǒng)的業(yè)務(wù)流程〔包括證書申請(qǐng)、證書更新、證書撤銷等根本的操作操作流程〕都必須支持分布式的操作審核功能，允許不同的業(yè)務(wù)主管部門根據(jù)其職責(zé)分工，分別對(duì)效勞請(qǐng)求進(jìn)行審核，待各步驟地審核全部通過(guò)之后，常規(guī)的信任效勞業(yè)務(wù)流程才能繼續(xù)2。必須對(duì)多重審核過(guò)程的所有操作提供痕跡保存和驗(yàn)證支持，以便將審核管理職能同相應(yīng)的管理職責(zé)相聯(lián)系起來(lái)，提供對(duì)責(zé)任的追查能力48電子政務(wù)信任效勞體系的需求分析信任域的結(jié)構(gòu)問(wèn)題電子政務(wù)信任效勞系統(tǒng)與一般的商務(wù)信任效勞系統(tǒng)不同主要表達(dá)在信任效勞系統(tǒng)與授權(quán)效勞系統(tǒng)之間的關(guān)聯(lián)性上：商務(wù)信任效勞系統(tǒng)：聯(lián)系較弱、單一化，各信任效勞提供商根據(jù)自己的信任效勞策略提供通用的信任效勞49電子政務(wù)信任效勞體系的需求分析信任域的結(jié)構(gòu)問(wèn)題(續(xù))電子政務(wù)的信任效勞系統(tǒng)：較復(fù)雜，與授權(quán)效勞系統(tǒng)結(jié)合相對(duì)較緊密，而每個(gè)具體的信任域又和特定的管理職能和管理權(quán)限分配機(jī)制相對(duì)應(yīng)。因此整個(gè)信任效勞系統(tǒng)將呈現(xiàn)與具體的管理職能劃分相對(duì)應(yīng)的多信任域結(jié)構(gòu)。自然人、法人等信任效勞體系是信任效勞的基準(zhǔn)，而其余的信任效勞那么通過(guò)與授權(quán)效勞系統(tǒng)的有機(jī)結(jié)合來(lái)實(shí)現(xiàn)，這樣便徹底將信任效勞與授權(quán)效勞相剝離這種結(jié)構(gòu)的電子政務(wù)信任域能夠有效地降低整個(gè)電子政務(wù)信任效勞體系的復(fù)雜度，并可在基準(zhǔn)信任效勞級(jí)別上實(shí)現(xiàn)與商用信任效勞體系的業(yè)務(wù)關(guān)聯(lián)50雙證書機(jī)制電子政務(wù)信任域效勞系統(tǒng)采用雙證書機(jī)制，即將用戶的簽名密鑰對(duì)與加密密鑰對(duì)相別離出于密鑰管理和國(guó)家平安的需要，強(qiáng)制要求對(duì)加密密鑰進(jìn)行托管，以便授權(quán)的政府部門在緊急情況下對(duì)加密的信息進(jìn)行恢復(fù)，而密鑰一旦被托管就增加了被竊取的可能性，因此，傳統(tǒng)的對(duì)加密和簽名使用同一密鑰對(duì)的證書機(jī)制無(wú)法提供對(duì)用戶隱私〔簽名權(quán)〕的保護(hù)。雙證書機(jī)制將加密密鑰對(duì)進(jìn)行托管，而對(duì)簽名密鑰那么不予托管為方便使用，雙證書機(jī)制將兩個(gè)證書封裝在一起，但在邏輯上仍可解析為兩個(gè)獨(dú)立的用戶證書51PKI的體系結(jié)構(gòu)信任效勞體系的信任鏈結(jié)構(gòu)對(duì)于整個(gè)國(guó)家的信任效勞體系而言，信任效勞的基準(zhǔn)體系將包括自然人證書認(rèn)證體系、機(jī)構(gòu)證書認(rèn)證體系和設(shè)備證書認(rèn)證體系，需要由國(guó)家有關(guān)部門統(tǒng)一規(guī)劃和建設(shè)，相互間需要通過(guò)國(guó)家電子政務(wù)認(rèn)證和管理中心來(lái)建立信任鏈的互聯(lián)，以滿足國(guó)家電子政務(wù)所涉及到的不同職能部門之間的縱向業(yè)務(wù)體系的信任關(guān)系和橫向行政管理體系中的信任關(guān)系。每個(gè)具體的基準(zhǔn)信任效勞體系為一個(gè)樹狀信任鏈結(jié)構(gòu)：根CA：是提供本基準(zhǔn)效勞體系的信任源點(diǎn)業(yè)務(wù)CA：提供本基準(zhǔn)信任效勞體系的信任效勞數(shù)字證書審核注冊(cè)機(jī)構(gòu)：提供本基準(zhǔn)信任效勞體系內(nèi)的證書受理審核和注冊(cè)效勞，是業(yè)務(wù)CA的擴(kuò)展效勞機(jī)構(gòu)證書受理核發(fā)點(diǎn)：是本基準(zhǔn)信任效勞體系的最終面向用戶的效勞受理和證書載體的合法工作點(diǎn)52PKI的體系結(jié)構(gòu)全網(wǎng)一致的策略管理通過(guò)國(guó)家電子政務(wù)認(rèn)證和管理中心來(lái)實(shí)現(xiàn)，由該中心負(fù)責(zé)設(shè)計(jì)整個(gè)國(guó)家的電子政務(wù)信任效勞體系結(jié)構(gòu)，制定數(shù)字身份證書策略的框架，并指導(dǎo)各級(jí)業(yè)務(wù)CA的工作。對(duì)下屬各基準(zhǔn)信任效勞體系的CA中心，其策略的制定將按照國(guó)家電子政務(wù)認(rèn)證和管理中心所制定的證書策略來(lái)制定本信任子系統(tǒng)內(nèi)部適用的證書策略，從而保證整個(gè)信任效勞體系所采用的信任策略的一致性53PKI的體系結(jié)構(gòu)信任效勞子體系結(jié)構(gòu)依照信任效勞體系的信任鏈的4級(jí)進(jìn)行組織1.國(guó)家電子政務(wù)認(rèn)證和管理中心是整個(gè)信任效勞體系的源點(diǎn)，是信任效勞體系的信任基準(zhǔn)點(diǎn)，也是整個(gè)信任效勞體系的最終信任源和最高管理機(jī)構(gòu)職責(zé)：證書策略的管理、CA根證書的發(fā)放與管理、下級(jí)CA的設(shè)立審核及管理、信任效勞體系業(yè)務(wù)的標(biāo)準(zhǔn)化管理等54PKI的體系結(jié)構(gòu)信任效勞子體系結(jié)構(gòu)依照信任效勞體系的信任鏈的4級(jí)進(jìn)行組織2.CA中心是信任效勞體系中的核心業(yè)務(wù)點(diǎn)職責(zé)：數(shù)字證書的申請(qǐng)注冊(cè)、證書簽發(fā)和管理、證書撤銷列表管理、下級(jí)RA的設(shè)立審核及管理等是PKI的核心執(zhí)行機(jī)構(gòu)55PKI的體系結(jié)構(gòu)信任效勞子體系結(jié)構(gòu)依照信任效勞體系的信任鏈的4級(jí)進(jìn)行組織3.RA中心是信任效勞體系中的核心業(yè)務(wù)節(jié)點(diǎn)的附屬效勞節(jié)點(diǎn)，是與具體的電子政務(wù)應(yīng)用系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)邏輯密切相關(guān)的效勞節(jié)點(diǎn)職責(zé)：證書申請(qǐng)的受理、證書申請(qǐng)的初級(jí)審核、業(yè)務(wù)受理點(diǎn)的設(shè)立審核及管理等56PKI的體系結(jié)構(gòu)信任效勞子體系結(jié)構(gòu)依照信任效勞體系的信任鏈的4級(jí)進(jìn)行組織4.CA業(yè)務(wù)受理核發(fā)點(diǎn)是信任效勞體系的用戶代理節(jié)點(diǎn)，是與最終電子政務(wù)應(yīng)用用戶的接口職責(zé)：證書請(qǐng)求的接收、用戶資料的初級(jí)審核與提交、用戶證書的物理介質(zhì)制作等數(shù)字證書認(rèn)證和管理中心自然人證書認(rèn)證CA中心機(jī)構(gòu)證書認(rèn)證CA中心設(shè)備證書認(rèn)證CA中心證書審核注冊(cè)RA中心證書審核注冊(cè)RA中心業(yè)務(wù)受理點(diǎn)業(yè)務(wù)受理點(diǎn)業(yè)務(wù)受理點(diǎn)業(yè)務(wù)受理點(diǎn)信任策略效勞LDAP效勞時(shí)間戳效勞證書管理層證書效勞層證書應(yīng)用層網(wǎng)絡(luò)效勞體系總體結(jié)構(gòu)示意圖58密鑰管理技術(shù)國(guó)家電子政務(wù)應(yīng)建立一個(gè)統(tǒng)一的密鑰管理體系，針對(duì)不同的證書認(rèn)證系統(tǒng)建設(shè)不同的密鑰管理中心，如國(guó)家級(jí)根CA密鑰管理中心自然人CA密鑰管理中心設(shè)備CA密鑰管理中心機(jī)構(gòu)CA密鑰管理中心。。。密鑰管理體系要素密鑰的生成：采用密鑰池預(yù)生成技術(shù)密鑰的備份與恢復(fù)密鑰的更新密鑰歷史檔案國(guó)家級(jí)根CA密鑰管理中心自然人CA密鑰管理中心設(shè)備CA密鑰管理中心機(jī)構(gòu)CA密鑰管理中心國(guó)家級(jí)根CA自然人CA設(shè)備CA機(jī)構(gòu)CA密鑰管理體系密鑰管理中心系統(tǒng)體系結(jié)構(gòu)示意圖607.3數(shù)字證書認(rèn)證中心CA的系統(tǒng)設(shè)計(jì)數(shù)字認(rèn)證中心CA〔CertificateAuthority,證書認(rèn)證機(jī)構(gòu)〕是信任效勞體系的核心業(yè)務(wù)節(jié)點(diǎn)和根本單元，其典型的系統(tǒng)結(jié)構(gòu)如下圖。其組成要素Web效勞模塊目錄效勞模塊證書業(yè)務(wù)處理模塊證書簽發(fā)效勞模塊網(wǎng)絡(luò)平安支撐系統(tǒng)。。。PKI網(wǎng)關(guān)PKI網(wǎng)關(guān)Web效勞單元*n監(jiān)控效勞單元*n可信日志效勞單元簽名效勞單元*n信任效勞根底平臺(tái)目錄效勞單元*n智能查詢證書狀態(tài)效勞單元*n監(jiān)控效勞單元可信日志效勞單元簽名效勞單元*n信任效勞根底平臺(tái)接入平臺(tái)目錄效勞系統(tǒng)入侵檢測(cè)漏洞掃描平安審計(jì)病毒防治目錄效勞單元*n智能查詢證書狀態(tài)效勞單元*n監(jiān)控效勞單元可信日志效勞單元簽名效勞單元*n信任效勞根底平臺(tái)數(shù)字證書認(rèn)證中心證書簽發(fā)效勞系統(tǒng)數(shù)據(jù)庫(kù)效勞單元*n證書管理效勞單元*n監(jiān)控效勞單元可信日志效勞單元簽名效勞單元*n密碼效勞單元(S型)*n證書業(yè)務(wù)管理及處理系統(tǒng)管理座席核心交換平臺(tái)PKI網(wǎng)關(guān)PKI網(wǎng)關(guān)PKI網(wǎng)關(guān)PKI網(wǎng)關(guān)時(shí)間效勞器100MB100MB100MB1000MB1000MB1000MB防火墻防火墻1000MBCA業(yè)務(wù)效勞單元*n策略效勞單元Web效勞單元*n信任效勞根底平臺(tái)區(qū)域數(shù)字證書審核注冊(cè)中心區(qū)域數(shù)字證書審核注冊(cè)中心國(guó)家授時(shí)中心數(shù)字證書認(rèn)證和管理中心密鑰管理中心Internet防火墻防火墻62CA的系統(tǒng)設(shè)計(jì)1.效勞結(jié)構(gòu)設(shè)計(jì)主導(dǎo)思想：主要根據(jù)CA中心的具體業(yè)務(wù)流程和業(yè)務(wù)量水平來(lái)確定核心效勞設(shè)備的效勞能力等級(jí)，并相應(yīng)地確定對(duì)應(yīng)的效勞能力的冗余設(shè)備和性能可擴(kuò)展方案，確保整個(gè)CA中心的效勞能力具有較好的業(yè)務(wù)量適應(yīng)能力和平滑擴(kuò)展性結(jié)構(gòu)設(shè)計(jì)：將根據(jù)各CA中心的具體功能和效勞對(duì)象而定，典型的結(jié)構(gòu)主要包括證書簽發(fā)效勞、證書撤銷列表CRL〔CertificateRevocationList〕發(fā)布效勞證書狀態(tài)查詢效勞、證書存儲(chǔ)效勞、控制臺(tái)及受理審核效勞等63CA的系統(tǒng)設(shè)計(jì)2.平安結(jié)構(gòu)設(shè)計(jì)主導(dǎo)思想CA中心的內(nèi)部網(wǎng)絡(luò)系統(tǒng)與外部的電子政務(wù)網(wǎng)絡(luò)之間需要通過(guò)跨邊界網(wǎng)絡(luò)實(shí)現(xiàn)平安互聯(lián)網(wǎng)絡(luò)邊界的根本功能有與外部電子政務(wù)網(wǎng)絡(luò)的平安連接在連接時(shí)提供信任效勞核心設(shè)備的平安保護(hù)，并提供對(duì)來(lái)自外部電子政務(wù)網(wǎng)絡(luò)的常見網(wǎng)絡(luò)攻擊的防護(hù)功能在內(nèi)部網(wǎng)絡(luò)采用獨(dú)立網(wǎng)絡(luò)編址時(shí)，邊界網(wǎng)絡(luò)還需要提供與外部電子政務(wù)網(wǎng)絡(luò)系統(tǒng)地址空間的雙向轉(zhuǎn)換信任效勞的平安接入對(duì)CA中心的核心效勞設(shè)備提供訪問(wèn)時(shí)的平安接入功能，確保效勞過(guò)程及效勞數(shù)據(jù)流的平安性64CA的系統(tǒng)設(shè)計(jì)2.平安結(jié)構(gòu)設(shè)計(jì)(續(xù))CA中心系統(tǒng)內(nèi)部的平安機(jī)制主要包括：平安域劃分應(yīng)根據(jù)其業(yè)務(wù)流程和業(yè)務(wù)量的需要進(jìn)行平安域的劃分，并對(duì)各平安域制定相應(yīng)的平安策略，以確保核心效勞設(shè)備的平安運(yùn)行環(huán)境信任效勞的平安審計(jì)對(duì)CA中心內(nèi)部核心效勞設(shè)備的運(yùn)行進(jìn)行全程的平安審計(jì)，并根據(jù)審計(jì)結(jié)果的反響情況對(duì)平安域的平安策略進(jìn)行相應(yīng)的調(diào)整物理平安設(shè)計(jì)對(duì)CA中心的機(jī)房，將根據(jù)有關(guān)的國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)進(jìn)行建設(shè)，從而確保CA中心物理運(yùn)行環(huán)境的平安性，對(duì)信任效勞提供可信度保證65CA的系統(tǒng)設(shè)計(jì)3.效勞器設(shè)計(jì)1)證書簽發(fā)效勞器是CA中心提供信任效勞的核心效勞設(shè)備，只接收CA業(yè)務(wù)管理效勞器的業(yè)務(wù)請(qǐng)求主要功能所有自用和用戶證書的簽發(fā)代表用戶向KM〔KeyManager〕發(fā)出密鑰產(chǎn)生、恢復(fù)請(qǐng)求CA簽名根私鑰和根證書的管理，其中根私鑰保存在PKI信任效勞根底平臺(tái)中，為以后所簽發(fā)的用戶證書進(jìn)行數(shù)字簽名注意：CA與KM之間的通信必須用通信證書來(lái)保證其平安性〔通信證書是認(rèn)證機(jī)構(gòu)與密鑰管理中心之間、上下級(jí)認(rèn)證機(jī)構(gòu)之間進(jìn)行通信時(shí)使用的設(shè)備證書〕66CA的系統(tǒng)設(shè)計(jì)3.效勞器設(shè)計(jì)(續(xù))2)CA業(yè)務(wù)管理效勞器是CA中心提供用戶管理、操作員管理、證書管理等CA業(yè)務(wù)管理范圍的核心效勞設(shè)備它只接收Web效勞器的業(yè)務(wù)請(qǐng)求，同時(shí)向證書效勞器提出業(yè)務(wù)請(qǐng)求主要功能：用戶信息管理內(nèi)部證書管理用戶證書管理證據(jù)管理實(shí)現(xiàn)交叉認(rèn)證操作員管理日志管理67CA的系統(tǒng)設(shè)計(jì)3.效勞器設(shè)計(jì)(續(xù))3)數(shù)據(jù)庫(kù)效勞器負(fù)責(zé)存儲(chǔ)用戶信息、用戶證書信息、操作員信息操作策略、操作日志等關(guān)鍵數(shù)據(jù)。要考慮備份需要是CA中心證書庫(kù)的數(shù)據(jù)源〔源LDAP〕4)Web效勞器是認(rèn)證機(jī)構(gòu)與CA中心和RA中心之間進(jìn)行數(shù)據(jù)交換的唯一途徑RA中心通過(guò)Web效勞器將用戶的注冊(cè)信息上報(bào)給CA中心，用戶通過(guò)Web效勞器向CA中心申請(qǐng)使用各種證書效勞〔如證書申請(qǐng)、撤銷、密鑰恢復(fù)等〕Web效勞器與CA中心業(yè)務(wù)務(wù)管理效勞器之間采用專用的消息格式和協(xié)議以及專用的可信通道進(jìn)行通信主要功能信息加解密、信息完整性驗(yàn)證、身份鑒別、訪問(wèn)控制等平安信息效勞，發(fā)布CA中心的有關(guān)信息68CA的系統(tǒng)設(shè)計(jì)3.效勞器設(shè)計(jì)(續(xù))5)LDAP〔Light-weightDirectoryAccessProtocol，輕量級(jí)目錄訪問(wèn)協(xié)議〕效勞器是認(rèn)證機(jī)構(gòu)發(fā)布其證書庫(kù)和證書撤銷列表CRL的效勞器它只接收CA效勞器所發(fā)布的證書和CRL數(shù)據(jù)，同時(shí)接受所有證書使用者的查詢是CA數(shù)據(jù)庫(kù)效勞器中相關(guān)數(shù)據(jù)的映射6)OCSP〔OnlineCertificateStatusProtocol，在線證書狀態(tài)協(xié)議〕效勞器是面向PKI體系提供證書發(fā)布信息的在線查詢效勞器主要功能提供遵循OSCP協(xié)議的證書狀態(tài)的在線查詢提供對(duì)查詢效勞處理模塊管理與任務(wù)調(diào)度功能697.4密鑰管理中心KM的系統(tǒng)設(shè)計(jì)密鑰管理中心(KM,KeyManager)的系統(tǒng)結(jié)構(gòu)KM的作用負(fù)責(zé)提供密鑰的產(chǎn)生、登記、認(rèn)證、注銷、分發(fā)、歸檔、撤銷、銷毀等效勞KM的構(gòu)成要素密鑰生成效勞器密鑰數(shù)據(jù)庫(kù)效勞器密鑰管理效勞器。。。PKI網(wǎng)關(guān)PKI網(wǎng)關(guān)防火墻入侵檢測(cè)漏洞掃描平安審計(jì)病毒防治Web效勞單元*n信任效勞根底平臺(tái)Web對(duì)外效勞系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)單元*n證書管理服務(wù)單元*n監(jiān)控服務(wù)單元可信日志服務(wù)單元簽名服務(wù)單元*n密碼服務(wù)單元(S型)*n信任服務(wù)基礎(chǔ)平臺(tái)密鑰管理系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)單元*n證書管理服務(wù)單元*n監(jiān)控服務(wù)單元可信日志服務(wù)單元簽名服務(wù)單元*n密碼服務(wù)單元(S型)*nCA業(yè)務(wù)服務(wù)單元*n策略服務(wù)單元信任服務(wù)基礎(chǔ)平臺(tái)密鑰管理系統(tǒng)核心交換平臺(tái)CA中心密鑰管理中心KM密鑰管理中心系統(tǒng)體系結(jié)構(gòu)示意圖71KM的構(gòu)成要素1.密鑰生成效勞器生成密鑰對(duì)，供CA中心認(rèn)證系統(tǒng)使用構(gòu)成要素隨機(jī)數(shù)發(fā)生器、密碼設(shè)備等密鑰生成后，存放在密鑰池內(nèi)72KM的構(gòu)成要素2.密鑰數(shù)據(jù)庫(kù)效勞器由一個(gè)效勞器群組成，主要有三個(gè)庫(kù)后備庫(kù)即密鑰池：將預(yù)先由密鑰生成效勞器生成的密鑰對(duì)保存在密鑰池內(nèi)，多個(gè)密鑰池組成密鑰后備庫(kù)當(dāng)前庫(kù)記錄正在使用的數(shù)據(jù)，包括已經(jīng)分配的密鑰池和密鑰對(duì)數(shù)據(jù)、用戶的應(yīng)急恢復(fù)密鑰等所有托管密鑰均必須以分割和加密的方式保存在密鑰數(shù)據(jù)庫(kù)效勞器中歷史庫(kù)保存用戶過(guò)期和注銷的加密密鑰，便于對(duì)加密保存的信息進(jìn)行解密73KM的構(gòu)成要素3.密鑰管理效勞器是密鑰管理機(jī)構(gòu)的核心效勞器負(fù)責(zé)運(yùn)行管理程序、接受相應(yīng)的操作請(qǐng)求、進(jìn)行處理后結(jié)果的輸出它只接收與密鑰管理機(jī)構(gòu)相關(guān)聯(lián)的認(rèn)證機(jī)構(gòu)的數(shù)字證書效勞器的密鑰請(qǐng)求74KM效勞結(jié)構(gòu)設(shè)計(jì)主要根據(jù)各種密鑰管理模塊的具體業(yè)務(wù)流程和業(yè)務(wù)量水平來(lái)確定核心效勞設(shè)備的效勞能力等級(jí)，并相應(yīng)地確定對(duì)應(yīng)的效勞能力的冗余設(shè)備和性能可擴(kuò)展方案，確保整個(gè)KM的效勞能力具有較好的業(yè)務(wù)量適應(yīng)能力和平滑擴(kuò)展性其效勞機(jī)構(gòu)將根據(jù)具體的功能和效勞對(duì)象而定，典型的效勞結(jié)構(gòu)主要包括 密鑰生成、密鑰存儲(chǔ)、密鑰恢復(fù)、密鑰歷史記錄管理、控制臺(tái)及受理審核功能等75KM平安結(jié)構(gòu)設(shè)計(jì)主導(dǎo)思想KM內(nèi)部網(wǎng)絡(luò)系統(tǒng)與外部的電子政務(wù)網(wǎng)絡(luò)之間需要通過(guò)邊界網(wǎng)絡(luò)實(shí)現(xiàn)平安互聯(lián)網(wǎng)絡(luò)邊界的根本功能有與外部電子政務(wù)網(wǎng)絡(luò)的平安連接在連接時(shí)為密鑰核心效勞設(shè)備提供平安的訪問(wèn)接入功能，確保效勞過(guò)程及效勞數(shù)據(jù)流的平安在內(nèi)部網(wǎng)絡(luò)采用獨(dú)立網(wǎng)絡(luò)編址時(shí)，邊界網(wǎng)絡(luò)還需要提供與外部電子政務(wù)網(wǎng)絡(luò)系統(tǒng)地址空間的雙向轉(zhuǎn)換密鑰效勞管理的平安接入對(duì)KM中心的核心效勞設(shè)備提供訪問(wèn)時(shí)的平安接入功能，確保效勞過(guò)程及效勞數(shù)據(jù)流的平安性76KM平安結(jié)構(gòu)設(shè)計(jì)KM心系統(tǒng)內(nèi)部的平安機(jī)制主要包括：平安域劃分應(yīng)根據(jù)其業(yè)務(wù)流程和業(yè)務(wù)量的需要進(jìn)行平安域的劃分，并對(duì)各平安域制定相應(yīng)的平安策略，以確保核心效勞設(shè)備的平安運(yùn)行環(huán)境密鑰效勞管理的平安審計(jì)對(duì)KM中心內(nèi)部核心效勞設(shè)備的運(yùn)行進(jìn)行全程的平安審計(jì)，并根據(jù)審計(jì)結(jié)果的反響情況對(duì)平安域的平安策略進(jìn)行相應(yīng)的調(diào)整物理平安設(shè)計(jì)對(duì)KM中心的機(jī)房，將根據(jù)有關(guān)的國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)進(jìn)行建設(shè)，從而確保KM中心物理運(yùn)行環(huán)境的平安性，對(duì)密鑰效勞提供平安保證777.5數(shù)字證書審核注冊(cè)中心RA系統(tǒng)設(shè)計(jì)RA(注冊(cè)審核中心，RegistrationAuthority)RA是信任效勞體系的重要節(jié)點(diǎn)是國(guó)家電子政務(wù)信任效勞體系的用戶注冊(cè)審核機(jī)構(gòu)，由CA中心授權(quán)運(yùn)作RA是證書認(rèn)證系統(tǒng)的用戶注冊(cè)審核機(jī)構(gòu)管理用戶資料，接受用戶受理，提供相關(guān)的用戶效勞RA的根本組成如下圖，RA中心由RA業(yè)務(wù)管理效勞器、LDAP效勞器、OCSP效勞器、Web效勞器和數(shù)據(jù)庫(kù)效勞器等功能模塊組成RA的設(shè)計(jì)方法與CA中心類似Web效勞單元*n監(jiān)控效勞效勞單元目錄效勞單元*n證書狀態(tài)智能查詢效勞單元*n可信日志效勞單元簽名效勞單元*n信任效勞根底平臺(tái)Web對(duì)內(nèi)效勞效勞單元*n業(yè)務(wù)處理效勞單元*n數(shù)據(jù)庫(kù)效勞單元*n監(jiān)控效勞單元可信日志效勞單元簽名效勞單元*n信任效勞根底平臺(tái)業(yè)務(wù)處理系統(tǒng)數(shù)字證書審核注冊(cè)中心RA核心交換平臺(tái)入侵檢測(cè)漏洞掃描平安審計(jì)病毒防治操作座席互聯(lián)網(wǎng)自然人數(shù)字證書認(rèn)證中心機(jī)構(gòu)數(shù)字證書認(rèn)證中心設(shè)備數(shù)字證書認(rèn)證中心數(shù)字證書核發(fā)受理點(diǎn)……..PKI網(wǎng)關(guān)接入平臺(tái)數(shù)字證書審核注冊(cè)中心RA的系統(tǒng)結(jié)構(gòu)示意圖RA79RA的設(shè)計(jì)方法1.RA業(yè)務(wù)管理效勞器是審核注冊(cè)機(jī)構(gòu)提供效勞、操作員管理等RA業(yè)務(wù)管理范圍的核心效勞請(qǐng)求它只接收平安Web效勞器的業(yè)務(wù)請(qǐng)求主要功能用戶信息管理內(nèi)部證書管理用戶證書管理證據(jù)管理操作員管理日志管理80RA的設(shè)計(jì)方法2.RA數(shù)據(jù)庫(kù)效勞器是提供用戶信息、用戶證書信息、操作員信息、操作策略和操作日志等關(guān)鍵數(shù)據(jù)的效勞器要考慮備份需要3.Web效勞器是注冊(cè)機(jī)構(gòu)與認(rèn)證機(jī)構(gòu)之間進(jìn)行數(shù)據(jù)交換的唯一途徑注冊(cè)機(jī)構(gòu)通過(guò)Web效勞器將用戶的注冊(cè)信息上報(bào)給認(rèn)證機(jī)構(gòu)，用戶通過(guò)Web效勞器相認(rèn)證機(jī)構(gòu)申請(qǐng)使用各種證書效勞Web效勞器與RA業(yè)務(wù)效勞器之間采用專用的消息格式和協(xié)議以及專用的可信的通道進(jìn)行通信，以保證RA效勞器的平安Web效勞器具有信息加解密、信息完整性驗(yàn)證、身份鑒別和訪問(wèn)控制等功能，此外，還為用戶提供一些信息平安效勞及公布一些效勞信息81RA的設(shè)計(jì)方法4.LDAP效勞器是認(rèn)證機(jī)構(gòu)發(fā)布其證書庫(kù)和證書撤銷列表CRL的效勞器LDAP目錄效勞器同步CA中心LDAP目錄效勞器中所發(fā)布的證書和CRL數(shù)據(jù)，同時(shí)接受證書使用者的查詢LDAP效勞器上的所有證書和CRL數(shù)據(jù)只是CA中心LDAP目錄效勞器中相關(guān)數(shù)據(jù)的映射，以保證數(shù)據(jù)恢復(fù)能力5.OSCP效勞器與LDAP目錄效勞器相配合，同步CA中心LDAP目錄效勞器中所發(fā)布的證書和CRL數(shù)據(jù)，提供證書狀態(tài)在線查詢及證書狀態(tài)只能查詢效勞的管理功能827.6密鑰和證書管理密鑰的生成和托管在國(guó)家信息平安根底設(shè)施NISI中，公鑰根底設(shè)施PKI采用雙證書體系，公鑰算法支持RSA和ECC〔EllipticCurvesCryptography，橢圓曲線密碼編碼學(xué)〕兩種算法，對(duì)稱密碼算法支持國(guó)密辦指定的加密算法密鑰對(duì)分為加密密鑰對(duì)和簽名密鑰對(duì)加密密鑰對(duì)在密鑰管理中心KM生成和托管，并由KM經(jīng)CA中心發(fā)給用戶，并自動(dòng)導(dǎo)入PKI實(shí)體鑒別密碼器中簽名密鑰對(duì)在用戶端的PKI實(shí)體鑒別密碼器中生成，密鑰不離開PKI實(shí)體鑒別密碼器產(chǎn)生簽名密鑰對(duì)驗(yàn)證申請(qǐng)人身份退出驗(yàn)證通過(guò)產(chǎn)生加密密鑰對(duì)密鑰歸檔、托管密鑰信息加密簽名簽發(fā)證書解密私鑰和證書寫入實(shí)體鑒別密碼器申請(qǐng)成功YN12345雙證書的密鑰生成及托管的具體流程示意圖返回錯(cuò)誤信息證書請(qǐng)求密鑰請(qǐng)求KMCA用戶端84密鑰的生成和托管流程步驟1.用戶終端在PKI實(shí)體鑒別密碼器中生成簽名密鑰對(duì)，并向CA中心發(fā)出證書請(qǐng)求，該請(qǐng)求含有驗(yàn)證簽名的公鑰，并且使用CA中心的公鑰進(jìn)行加密2.CA中心通過(guò)實(shí)體鑒別密碼器的ID驗(yàn)證用戶的身份，如果用戶的身份合法，那么CA中心西那個(gè)KM中心發(fā)出用戶加密密鑰對(duì)請(qǐng)求，該請(qǐng)求由CA只能關(guān)心簽名，其中含有用戶驗(yàn)證簽名的公鑰3.KM中心接收到CA中心發(fā)來(lái)的用戶加密密鑰對(duì)生成后，根據(jù)請(qǐng)求中的簽名信息驗(yàn)證CA中心身份。如果CA中心的身份驗(yàn)證通過(guò)，那么KM中心在密鑰生成效勞器為用戶生成加密密鑰對(duì)，或從備份密鑰庫(kù)中為用戶取出一個(gè)新的加密密鑰對(duì)。然后用用戶的驗(yàn)證簽名的公鑰對(duì)加密密鑰對(duì)進(jìn)行加密，并用KM中心資深的私鑰簽名，再把經(jīng)加密簽名的信息傳給CA中心4.CA中心驗(yàn)證該信息的有效性后再傳給用戶5.用戶端收到CA中心傳來(lái)的信息并驗(yàn)證解密后，把解密私鑰寫入PKI實(shí)體鑒別密碼器中CA中心KM中心〔1〕密鑰恢復(fù)請(qǐng)求，NROT〔2〕密鑰信息〔3〕NRDT密鑰的恢復(fù)過(guò)程示意圖步驟1.用戶向CA中心提出密鑰恢復(fù)申請(qǐng)，后者接收到該申請(qǐng)后，將此申請(qǐng)轉(zhuǎn)發(fā)給KM2.KM根據(jù)接收到的該請(qǐng)求，從其所存入的密鑰庫(kù)中恢復(fù)其所需要的應(yīng)急恢復(fù)密鑰記錄，并用用戶實(shí)體的簽名公鑰加密后返回CA中心，由CA中心再將其返還用戶實(shí)體3.CA中心收到KM的響應(yīng)后返回給KM一個(gè)確認(rèn)用戶密鑰管理中心KM〔2〕〔1〕〔3〕密鑰查詢的具體過(guò)程示意圖步驟1.用戶向KM發(fā)出密鑰查詢索取請(qǐng)求，包括：有效的證件和證明，所要查詢用戶密鑰對(duì)應(yīng)的序列號(hào)以及證書屬主的有關(guān)信息〕2.KM驗(yàn)證用戶身份，然后由兩名以上的操作員功能共同進(jìn)行密鑰查詢和導(dǎo)出操作3.KM平安地向用戶返回查詢結(jié)果87密鑰的銷毀指不再需要的密鑰平安地銷毀刪除該密鑰管理信息客體的所有記錄銷毀所有已經(jīng)備份的文檔銷毀之后將不再有任何信息可以用來(lái)恢復(fù)88證書效勞PKI數(shù)字證書采用標(biāo)準(zhǔn)的X.509V4格式，證書效勞主要包括證書申請(qǐng)證書簽發(fā)證書更新。。。證書/CRL存儲(chǔ)/發(fā)布管理系統(tǒng)證書簽發(fā)系統(tǒng)證書管理系統(tǒng)本地注冊(cè)系統(tǒng)遠(yuǎn)程注冊(cè)系統(tǒng)密鑰管理系統(tǒng)平安管理系統(tǒng)發(fā)布/查詢系統(tǒng)終端實(shí)體終端實(shí)體網(wǎng)絡(luò)證書效勞系統(tǒng)的邏輯結(jié)構(gòu)圖90證書的申請(qǐng)和簽發(fā)實(shí)體鑒別密碼器生成簽名密鑰對(duì)本地保存簽名私鑰對(duì)CA中心對(duì)用戶信息及簽名和加密公鑰簽名，生成證書KM中心取出加密密鑰對(duì)加密私鑰用簽名公鑰加密托管加密私鑰LDAP實(shí)體鑒別密碼器下載證書和經(jīng)過(guò)簽名公鑰加密的加密私鑰將用戶信息及簽名公鑰提交CA中心將用戶信息及簽名公鑰提交KM中心經(jīng)加密的加密私鑰和加密公鑰下發(fā)給CA發(fā)布證書12345691證書的申請(qǐng)與簽發(fā)流程步驟1.用戶申請(qǐng)雙證書時(shí)，首先在PKI實(shí)體鑒別密碼器中生成簽名密鑰對(duì)，在本地保存簽名私鑰，將簽名公鑰及用戶信息提交CA中心2.CA中心收到用戶的證書申請(qǐng)后，向KM中心發(fā)出密鑰請(qǐng)求，并將用戶的簽名公鑰一同交給KM中心3.KM中心從備份庫(kù)中取出一對(duì)加密密鑰對(duì)，并將加密私鑰用用戶的簽名公鑰進(jìn)行加密后某一同交給CA中心4.CA中心對(duì)用戶信息及簽名和加密公鑰一起簽名后，即得到所需要的證書注意：用戶可通過(guò)不同途徑從CA中心獲得證書和經(jīng)簽名公鑰加密過(guò)的加密私鑰92證書的發(fā)布數(shù)字證書一經(jīng)產(chǎn)生，其證書直接由CA中心發(fā)布在LDAP目錄效勞器上，便于用戶和訪問(wèn)同時(shí)可以通過(guò)OCSP效勞，保證用戶能夠?qū)崟r(shí)在線查詢證書的狀態(tài)93證書的更新證書的生命周期由CA中心定義一個(gè)有效期，并小于CA中心根證書的有效期證書持有者的證書過(guò)期時(shí)，可通過(guò)RA或以在線方式更新期證書通過(guò)RA申請(qǐng)的證書仍通過(guò)RA中心更新，通過(guò)在線方式申請(qǐng)的證書可通過(guò)在線方式更新CA中心進(jìn)行必要的審核后向證書的持有者發(fā)放新的證書證書的更換流程與證書的申請(qǐng)流程根本一致94證書的撤銷CA中心可以在證書到期之前撤銷證書。其原因可以是實(shí)體私有密鑰的損壞或泄露實(shí)體請(qǐng)求撤銷實(shí)體隸屬關(guān)系的改變實(shí)體終止CA中心根私密鑰的損壞CA中心的終止等CA中心通過(guò)其所要提供的證書撤銷列表CRL來(lái)平安地實(shí)現(xiàn)撤銷證書CRL中包括一個(gè)帶有時(shí)間標(biāo)記的順序表或數(shù)字證書標(biāo)示符表，以表示由CA中心撤銷的數(shù)字證書兩種時(shí)間標(biāo)記CA中心公布撤銷的日期和時(shí)間或疑心泄露的日期和時(shí)間CRL應(yīng)該由CA中心注明日期和簽名，從而保證實(shí)體能夠確認(rèn)該表的完整性，并確定分發(fā)日期，并且由CA中心定期發(fā)布95本章思考題建立信任效勞體系的關(guān)鍵技術(shù)是什么？什么是雙證書機(jī)制？96第八章授權(quán)管理根底設(shè)施本章主要內(nèi)容授權(quán)管理根底設(shè)施PMI技術(shù)授權(quán)管理效勞系統(tǒng)授權(quán)管理中心AA的系統(tǒng)設(shè)計(jì)通用業(yè)務(wù)流程97PMI概述授權(quán)管理根底設(shè)施PMI是國(guó)家信息平安根底設(shè)施的一個(gè)重要組成局部，其目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)管理效勞提供用戶身份到應(yīng)用授權(quán)的映射功能提供與實(shí)際應(yīng)用處理模式相應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無(wú)關(guān)的授權(quán)和訪問(wèn)控制機(jī)制，簡(jiǎn)化具體應(yīng)用系統(tǒng)的開發(fā)與維護(hù)988.1授權(quán)管理根底設(shè)施PMI技術(shù)以資源管理為中心，將對(duì)資源的訪問(wèn)控制權(quán)統(tǒng)一交給授權(quán)機(jī)構(gòu)進(jìn)行管理與PKI的區(qū)別PKI證明用戶是誰(shuí)，并由各類應(yīng)用共同信任的有關(guān)機(jī)構(gòu)提供統(tǒng)一的管理PMI證明這個(gè)用戶有何權(quán)限，能干什么，并且各類應(yīng)用各自提供相對(duì)獨(dú)立的授權(quán)管理，相互之間的權(quán)限資源獨(dú)立PMI需要PKI為其提供身份認(rèn)證效勞99電子政務(wù)授權(quán)效勞的需求分析多授權(quán)模型的支持授權(quán)模型是對(duì)一般授權(quán)管理機(jī)制的抽象授權(quán)模型與具體的電子政務(wù)應(yīng)用相關(guān)，不同的業(yè)務(wù)處理流程的差異性決定了授權(quán)模型的多樣化在授權(quán)時(shí)，首先要在確定所采用的授權(quán)模型之間達(dá)成一致100電子政務(wù)授權(quán)效勞的需求分析多級(jí)平安控制機(jī)制的支持電子政務(wù)的數(shù)據(jù)資源是通過(guò)多級(jí)平安控制模型加以控制的對(duì)不同的平安需求，要求采用不同級(jí)別的平安機(jī)制，不同平安機(jī)制又需要采用相應(yīng)的平安模型在不同平安級(jí)別的業(yè)務(wù)或數(shù)據(jù)交換中，需要進(jìn)行平安機(jī)制的協(xié)商以及必要的平安參數(shù)轉(zhuǎn)換101基于PMI技術(shù)的授權(quán)管理新模式授權(quán)效勞體系要與信任效勞體系協(xié)同工作，才能完成從特定用戶的現(xiàn)實(shí)空間身份到特定應(yīng)用系統(tǒng)中的具體操作授權(quán)之間的轉(zhuǎn)換作為授權(quán)效勞體系的關(guān)鍵技術(shù)，PMI通過(guò)數(shù)字證書機(jī)制來(lái)管理用戶的授權(quán)信息，并將授權(quán)管理功能從傳統(tǒng)的應(yīng)用系統(tǒng)中別離出來(lái)，以獨(dú)立效勞的方式向應(yīng)用系統(tǒng)提供授權(quán)管理效勞基于PMI的授權(quán)管理模式的優(yōu)點(diǎn)授權(quán)管理的靈活性授權(quán)操作與業(yè)務(wù)操作相別離多授權(quán)模型的靈活支持102有關(guān)屬性證書方面的幾點(diǎn)說(shuō)明在授權(quán)效勞體系中，利用屬性證書作為存放用戶授權(quán)信息的載體，并以公開的方式對(duì)外發(fā)布因?yàn)閷傩宰C書不提供用戶身份的鑒別功能，因此屬性證書中不包含用戶的公鑰信息，但考慮到PKI和PMI兩個(gè)體系之間的密切聯(lián)系，屬性證書中應(yīng)包含與之相關(guān)聯(lián)的用戶公鑰證書的ID號(hào)，以便將特定的用戶角色綁定到對(duì)應(yīng)的用戶上屬性證書可以采用X.509證書格式屬性證書不采用雙證機(jī)制103電子政務(wù)授權(quán)效勞系統(tǒng)的架構(gòu)信任源點(diǎn)SOA資源管理中心RM資源管理中心RM授權(quán)效勞中心AA授權(quán)效勞中心AA授權(quán)效勞中心AA業(yè)務(wù)受理點(diǎn)業(yè)務(wù)受理點(diǎn)業(yè)務(wù)受理點(diǎn)平安策略效勞LDAP效勞操作授權(quán)效勞證書應(yīng)用層證書效勞層證書管理層授權(quán)范圍體系的總體架構(gòu)示意圖104電子政務(wù)授權(quán)效勞系統(tǒng)的架構(gòu)1.信任源點(diǎn)SOA是整個(gè)授權(quán)管理體系的中心業(yè)務(wù)節(jié)點(diǎn)，也是整個(gè)PMI的最終信任源和最高管理機(jī)構(gòu)主要職責(zé)授權(quán)管理策略的管理應(yīng)用授權(quán)管理AA〔AttributeAuthority，屬性權(quán)威機(jī)構(gòu)〕中心的設(shè)立審核及管理授權(quán)體系業(yè)務(wù)的標(biāo)準(zhǔn)化105電子政務(wù)授權(quán)效勞系統(tǒng)的架構(gòu)2.屬性效勞中心AA〔AttributeAuthority〕是PMI的核心效勞節(jié)點(diǎn)，是對(duì)于具體應(yīng)用系統(tǒng)的授權(quán)管理分系統(tǒng)，由具有設(shè)立AA中心業(yè)務(wù)需求的各應(yīng)用單位負(fù)責(zé)建設(shè)，并與SOA中心通過(guò)業(yè)務(wù)協(xié)議達(dá)成相互的信任關(guān)系主要職責(zé)應(yīng)用授權(quán)受理屬性證書的發(fā)放和管理AA代理點(diǎn)的設(shè)立審核和管理106電子政務(wù)授權(quán)效勞系統(tǒng)的架構(gòu)3.授權(quán)效勞代理點(diǎn)是PMI的用戶代理節(jié)點(diǎn)，即資源管理中心，是與具體應(yīng)用用戶的接口，是對(duì)應(yīng)AA中心的附屬機(jī)構(gòu)，接受AA中心的直接管理，由各AA中心負(fù)責(zé)建設(shè)，經(jīng)報(bào)主管的SOA中心同意并簽發(fā)相應(yīng)的證書主要職責(zé)應(yīng)用授權(quán)效勞代理應(yīng)用授權(quán)審核代理負(fù)責(zé)對(duì)具體的用戶應(yīng)用資源進(jìn)行授權(quán)審核，并將屬性證書的操作全球提交到授權(quán)效勞中心進(jìn)行處理107電子政務(wù)授權(quán)效勞系統(tǒng)的架構(gòu)4.訪問(wèn)控制執(zhí)行者指用戶應(yīng)用系統(tǒng)中具體對(duì)授權(quán)驗(yàn)證效勞的調(diào)用模塊主要職責(zé)將最終用戶針對(duì)特定的操作所提交的授權(quán)信息〔屬性證書〕連同對(duì)應(yīng)的身份驗(yàn)證信息〔公鑰證書〕一起提交到授權(quán)效勞代理點(diǎn)，并根據(jù)授權(quán)效勞中心返回的授權(quán)結(jié)果，進(jìn)行具體的應(yīng)用授權(quán)處理1088.2授權(quán)管理效勞系統(tǒng)為應(yīng)用提供資源的授權(quán)管理及訪問(wèn)控制效勞。根據(jù)資源的具體特點(diǎn)和應(yīng)用的實(shí)際需求，提供兩種工作模式集中式授權(quán)管理效勞系統(tǒng)分布式授權(quán)管理效勞系統(tǒng)1098.2授權(quán)管理效勞系統(tǒng)1.集中式授權(quán)管理效勞系統(tǒng)通過(guò)在數(shù)字證書的擴(kuò)展項(xiàng)增加用戶的屬性或權(quán)限信息，在效勞器端構(gòu)建授權(quán)管理效勞系統(tǒng)來(lái)提供授權(quán)管理資源管理模塊授權(quán)管理模塊策略引擎密碼服務(wù)系統(tǒng)授權(quán)信息目錄服務(wù)器日志集中式授權(quán)管理服務(wù)體系結(jié)構(gòu)圖110授權(quán)管理效勞系統(tǒng)1.集中式授權(quán)管理效勞系統(tǒng)集中式授權(quán)管理效勞系統(tǒng)主要功能模塊授權(quán)管理模塊完成對(duì)資源訪問(wèn)的授權(quán)、授權(quán)的撤銷授權(quán)的委托等授權(quán)信息目錄效勞器負(fù)責(zé)發(fā)布授權(quán)信息資源管理模塊負(fù)責(zé)接收用戶請(qǐng)求，驗(yàn)證用戶的數(shù)字證書，向策略引擎發(fā)出訪問(wèn)控制判斷請(qǐng)求，將訪問(wèn)控制列表提交給策略引擎策略引擎根據(jù)資源管理模塊的請(qǐng)求，訪問(wèn)授權(quán)信息目錄效勞器，取得用戶的授權(quán)。根據(jù)資源的訪問(wèn)控制列表和用戶的授權(quán)，做出訪問(wèn)控制判斷密碼效勞系統(tǒng)負(fù)責(zé)提供最根底的平安效勞，主要包括加解密、簽名及驗(yàn)簽、數(shù)字信封效勞等111授權(quán)管理效勞系統(tǒng)2.分布式授權(quán)管理效勞系統(tǒng)通過(guò)在客戶端根據(jù)用戶的具體情況進(jìn)行個(gè)性化定制，靈活地設(shè)置有效授權(quán)信息，由資源所有者自己分配資源的訪問(wèn)權(quán)，并加以數(shù)字簽名，具有不可抵賴性電子政務(wù)客戶端授權(quán)模塊應(yīng)用資源服務(wù)器授權(quán)管理服務(wù)器密碼服務(wù)系統(tǒng)分布式授權(quán)管理服務(wù)體系結(jié)構(gòu)圖112授權(quán)管理效勞系統(tǒng)2.分布式授權(quán)管理效勞系統(tǒng)分布式授權(quán)管理效勞系統(tǒng)主要功能模塊電子政務(wù)客戶端通過(guò)授權(quán)模塊，完成用戶對(duì)資源的個(gè)性化授權(quán)并簽名應(yīng)用資源效勞器 接受訪問(wèn)請(qǐng)求，并向授權(quán)管理效勞器發(fā)出訪問(wèn)授權(quán)請(qǐng)求授權(quán)管理效勞器存儲(chǔ)資源的授權(quán)信息，接受應(yīng)用資源效勞器的請(qǐng)求，根據(jù)資源的訪問(wèn)授權(quán)，計(jì)算出訪問(wèn)權(quán)限值，返回給應(yīng)用資源效勞器，同時(shí)提供相應(yīng)的資源管理功能密碼效勞系統(tǒng)提供最根底的平安效勞，包括加解密、簽名、驗(yàn)簽和數(shù)字信封等效勞113功能需求集中式授權(quán)管理系統(tǒng)用戶管理審核管理資源管理角色管理操作員管理日志管理分布式授權(quán)管理系統(tǒng)資源訪問(wèn)授權(quán)授權(quán)更改授權(quán)刪除操作員管理日志管理114其他需求性能要求滿足實(shí)際的授權(quán)效勞，可根據(jù)業(yè)務(wù)量的開展動(dòng)態(tài)地、平滑地?cái)U(kuò)展接口要求授權(quán)管理中心于資源管理中心采用基于XML通信協(xié)議同步制定的角色信息遵循標(biāo)準(zhǔn)X.509V4：公鑰和屬性證書框架PKCS#6：擴(kuò)展的數(shù)字證書語(yǔ)法標(biāo)準(zhǔn)1158.3授權(quán)管理中心AA的系統(tǒng)設(shè)計(jì)AA的能力設(shè)計(jì)主要是根據(jù)業(yè)務(wù)處理流程和業(yè)務(wù)量水平來(lái)確定核心效勞設(shè)備的效勞能力等級(jí)，并相應(yīng)地確定對(duì)應(yīng)的效勞能力冗余備份和性能可擴(kuò)展性方案，以確保整個(gè)授權(quán)管理中心的效勞能力具有延續(xù)性和良好的業(yè)務(wù)量適應(yīng)能力典型的效勞結(jié)構(gòu)包括授權(quán)管理核心效勞屬性證書撤銷列表ACRL發(fā)布證書存儲(chǔ)控制臺(tái)受理審核功能。。。LDAP效勞單元LDAP效勞單元日志效勞單元信息平安效勞引擎系統(tǒng)狀態(tài)管理單元簽名效勞單元LDAP效勞單元Web效勞單元