基于CA认证电子印章系统设计.docVIP

基于CA认证电子印章系统设计摘要：本文通过对CA认证系统的分析，采用数字认证和数字签名技术，对如何构建可靠的电子印章系统进行了一些探索 关键词：CA认证 数字签名 电子印章 中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2013）02-0147-02 1 引言 在信息时代的今天，随着电子政务应用的推进，越来越多的政府机关采用办公自动化系统办公，将公文电子化，通过网络实现电子公文的签收、处理、审批和分发，缩短了公文运行处理的时间，降低了行政成本，提高了机关的工作效率。但是，如何保证传送的公文不被篡改？如何确认发文者的身份？如何控制审批者的权限？这都是电子公文处理面临的问题。本文将电子印章和数字签名技术结合，设计一种基于内部CA认证的电子印章系统，较好地解决了以上问题。 2 总体框架设计 如图1所示： 通过CA认证系统为最终用户颁发数字证书，通过电子签章安全解决方案，解决电子文档安全需求。对于需要进行签名的电子文档、要会签的流转公文等要求实现电子签章的操作，最终用户可以从CA认证系统申请数字证书，通过电子签章工具和数字证书对电子文档进行签名。当使用者得到签名后的电子文档时，通过对电子文档中的签名进行验证，来保证电子文档的真实性、完整性，同时可以保存签名后的电子文档，作为以后抗抵赖的鉴定证据。 3 CA认证系统分析 CA是用于对最终用户进行身份确认的数字认证系统，能保证数据传输时的完整性、真实性，是文档签章时的基础设施。CA系统为最终用户签发数字证书，并保存在USB Key中，用户通过它访问网络与文档签章，完成对文档签章的验证工作。 3.1 CA认证系统模式选择 CA有第三方CA和自建型CA两种，本次系统设计采用自建型CA。采用自建型CA是考虑到政府电子公文主要在内部流转和运行，很少涉及公民、法人和其他社会组织，不需要进行第三方认证，且自建型CA使用成本较低，部署较快。自建型CA是指客户购买单独的PKI/CA软件，建设一个独立的PKI/CA系统，除了购买系统软件之外，还包括系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统和容灾备份系统等方面的建设。对于自建型CA系统，需要考虑系统的后期运营和维护，建立完整的运营管理体系，并负责系统的日常维护和升级等。可以利用第三方认证中心的运营管理、运营服务经验，来建设自己的运营管理体系。可以借助PKI/CA软件提供商提供的维护和升级服务，对系统进行日常运维。 3.2 CA认证系统架构 如图2所示，CA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等构成。 （1）CA中心。CA中心是整个CA系统的核心后台，负责签发用户证书，将它独立建设在电子签章依托的网络内部。认证中心根据CA管理员对最终用户证书申请的批准，为用户签发证书，同时提供证书吊销列表（CRL）和证书目录（LDAP）查询服务。 认证中心的硬件设备组成，包括证书管理服务器、系统管理服务器、签名服务器、密钥恢复服务器、数据库服务器、数据库、加密设备等。实现的功能包括系统管理、LDAP查询、OCSP查询、证书签名、密钥管理等工作。当需要查询数据库或进行CA签名等工作时，向签名服务器和数据库服务器发出请求。 （2）RA中心。RA中心是整个CA平台面向最终用户的前台，为最终用户提供证书管理服务，它可以CA建设在一起，也可以在专门的数字证书服务机构内。包括两个组成部分： 证书注册模块：最终用户通过证书注册模块，提交证书注册申请，获得数字证书。同时，还为最终用户提供证书查询、证书下载、证书更新和证书吊销等管理功能。 自动管理模块：自动管理模块具有对证书申请自动审批的功能。在实现自动审批时，需要连接用户数据库，通过与用户数据库中保存的信息进行自动匹配，从而验证用户的注册信息是否正确，是否具有申请证书的权限。如果验证通过，将自动批准用户的证书申请请求，提交给CA中心自动为用户签发证书，否则，自动拒绝用户的证书申请请求。通过自动管理模块的处理，可以自动实现对证书申请请求的处理，并且自动的为用户签发证书，不需要CA管理员手工干预。 （3）最终用户。最终用户包括个人用户和单位用户，他们是CA系统的最终服务对象。通过CA系统可以为最终用户颁发数字证书，将数字证书保存到USB Key中，在应用系统中使用。 4 电子印章系统性能设计 （1）合法性。系统严格遵循国家《中华人民共和国电子签名法》关于电子签名的规范，同时支持RSA算法和国秘办算法，符合国家安全标准，通过公安部信息安全产品检测，并作为电子签章产品获得公安部信息安全产品许可证。 （2）安全性。私钥