省级计生委信息化系统安全认证电子签名应用设计.doc

省级计生委信息化系统安全认证电子签名应用设计摘 要：本方案是根据我国的《电子签名法》和SSL-VPN技术相结合设计的，以实现为我省计生系统的信息管理系统提供的一个安全、高效、简便、易用的数据传输环境 关键词：CA认证；SSL-VPN技术；安全传输 人口和计划生育信息管理系统是现代人口和计划生育工作的基础组成部分。信息化建设对人口和计划生育领域提出了新的任务和更高要求，而网络和信息数据的安全是信息管理系统的基础组成部分 2005年4月，我国颁布实施的《电子签名法》，确立了电子签名的法律效力，从而从法律制度上保障了网上业务开展的安全，为我国信息安全认证体系和网络信任体系的建立奠定了重要基础 通过电子认证服务，可以建立有效的安全机制，保证非法用户进不来、非授权用户看不到、确认内容改不了、所做操作赖不掉。引入电子认证服务是保障人口和计划生育系统信息安全的基础工作 目前，黑龙江省人口和计划生育管理信息系统存在的安全需求如下： 1.保障登录OA系统用户的真实性 2.保障人口信息数据在应用系统中传输过程的安全性、机密性、完整性。为办公操作 提供责任认定。实现图形化、可视化的电子签章功能 本设计方案以国家相关法律法规为根据，以黑龙江省人口计生委信息化现状为出发点，引入电子认证服务及相关的应用支撑来解决目前所面临的信息安全问题，从而切实满足上述需求 按照总体设计架构，结合省计生委信息化现状，设计如下结构： 图 1 1.在省人口计生委建设数字证书受理系统。为方便各用户数字证书的申请、发放和后期服务，须在省人口计生委设立数字证书服务系统，指定数字证书管理员和审核员，并通过数字证书服务系统实现人口和计划生育用户的数字证书生命周期管理 2.在人口和计划生育信息系统中集成数字证书登录模块 3.在人口和计划生育信息系统集成数字签名客户端，调用数字签名验证服务器，实现基于数字证书的身份认证 4.利用数字签名验证服务器和SSL VPN设备实现计生数据传输中的完整性和安全保护。通过部署数字签名验证服务器，实现重要数据管理业务环节的签名和验证，确保数据的安全、完整性 5.在人口和计划生育信息系统中集成电子签章系统。通过在人口和计划生育信息系统中集成电子签章系统，可实现电子签名的可视化显示。电子签章管理系统实现电子签章图片的生成、灌制，并与证书进行绑定 电子签章系统工作流程如下图： 图2 电子签章系统的核心设备：数字签名验证服务器。数字签名验证服务器具有数据签名、签名验证、证书验证等功能。具体功能如下： 可视化电子签章应用步骤如下： 1.数字证书管理员使用电子签章管理系统为用户生成电子签章，并将电子印章灌入证书介质并和数字证书进行有效绑定，将包括数字证书和电子签章图片的证书介质按照发放流程分配给最终用户； 2.人口和计划生育信息系统集成电子签章中间件，提供对相关数 据信息的数字签名和电子签章； 3.将带数字签名和电子签名的信息数据提交到人口和计划生育信息系统等各应用系统 电子签章应用是由电子签章管理系统、电子签章中间件组成 电子签章管理系统：电子签章图片的生成、灌制，与证书进行绑定后生命周期的管理系统 电子签章中间件：实现在人口和计划生育信息系统客户端界面上加盖签章图片的工作 电子签章管理系统对电子印章进行整个生命周期的管理，包括电子印章制作、印章信息管理、印章发放、印章挂失、印章停用、印章重新制作的全过程的管理 数字证书与SSL VPN的结合应用如下： 数字证书与SSL VPN结合应用是解决远程用户访问敏感数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的计算机都可以使用SSL VPN， 这是因为SSL就内嵌在浏览器中 从概念角度来说，SSL VPN即指采用SSL（Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。使用SSL协议进行认证和数据加密的SSL VPN，可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应性强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别 一般而言，SSL VPN必须满足最基本的两个要求： 1.使用SSL 协议进行认证和加密；没有采用SSL 协议的VPN产品不能称之为SSL VP