政务外网CA系统整体结构-国家电子政务外网数字证书中心.DOC

国家电子政务外网电子认证 注册服务机构建设指南 国家电子政务外网管理中心电子认证办公室 二零一一年十一月  目 录 前 言 3 1 术语说明 4 2 环境建设 5 2.1 机构名称 5 2.2 办公场地 5 2.3 机房 5 2.4 人员配置 5 2.5 人员培训 5 3 政务外网CA系统整体结构 6 3.1 CA系统总体逻辑结构 6 3.1.1 根CA 6 3.1.2 外网运行CA 6 3.1.3 CA认证体系扩展设计 7 4 节点RA 8 4.1 系统功能 8 4.2 系统结构 8 4.2.1 节点RA接入规范 9 4.3 目录服务系统规范 9 4.3.1 目录体系结构 9 4.3.2 整体目录部署 10 4.3.3 目录命名空间及目录树结构 11 4.3.4 目录数据发布 12 4.3.5 部委、省（市）级目录部署 13 5 CA综合管理平台 15 5.1 RA服务 15 5.2 LDAP服务 15 附录A：证书存贮介质技术要求 16 一、功能要求 16 二、密码算法要求 16 三、性能要求 16 四、经过测试符合政务外网要求的证书存储介质型号 16 附录B：配置RA系统软硬件设备参考 17 一、推荐配置一：小型RA系统配置 17 二、推荐配置二：中型RA系统配置 17 三、推荐办公设备 17 四、通过测试的RA产品 18 附录C：安全认证网关的技术要求 19 一、功能要求 19 二、通过测试的产品 19 附录D：签名验签服务器的技术要求 20 一、功能要求 20 二、通过测试的产品 20 前 言 国家电子政务外网作为安全基础平台，服务于整个外网，是保外网应用系统安全的基础。为了保证有序、高效运行，特制定外网）建设指南。 本指南涉及以下内容：外网CA的整体结构节点RA的系统结构目录服务体系建设规范 本指南由国家电子政务外网管理中心提出并由电子认证办公室负责解释。 本指南起草单位：国家电子政务外网管理中心电子认证办公室。 本指南主要起草人：吴亚非、任金强、郭红、罗红斌、孟凡利、李素明、王勇。 术语说明1.1 国家电子政务外网管理中心电子认证办公室（简称“认证办”）：2010年国家发展改革委人事司批准成立，负责电子政务外网数字证书认证业务的相关管理、运行和服务工作，是国家电子政务外网电子认证工作统一对外管理和服务窗口。 1.2 国家电子政务外网数字证书中心：国家电子政务外网电子认证服务工作由国家电子政务外网数字证书中心承担。 1.3 电子认证服务:为电子签名的真实性和可靠性提供证明的活动，包括签名人身份的真实性认证，电子签名过程的可靠性认证和数据电文的完整性认证三个部分，涉及数据电文的生成、传递、接收、保存、提取、鉴定各环节，涵盖电子认证专有设备提供、基础设施运营、技术产品研发、系统检测评估、专业队伍建设等各方面，是综合性高技术服务。　　.4 电子认证服务机构：作为第三方依托政务外网各级党委、人大、政府、政协、法院和检察院等政务部门开展市场监管、社会管理和公共服务提供电子签名人身份真实性、电子签名可靠性和数据电文完整性证明的服务机构。　　.5 电子签名:是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。　　.6 可靠电子签名:根据《电子签名法》规定可靠电子签名必须满足四个条件：（1）电子签名制作数据用于电子签名时，属于电子签名人专有；（2）签署时电子签名制作数据仅由电子签名人控制；（3）签署后对电子签名的任何改动能够被发现；（4）签署后对数据电文内容和形式的任何改动能够被发现。　　.7 证书策略:是一组安全规则，描述了数字证书签发和管理过程中物理安全、网络安全、审计评估、赔偿和责任等方面的规范性要求，为应用方选择证书提供可参考的标准。　　.8 认证业务规则:电子认证服务机构声明的为满足证书策略中所列各项规范性要求所采取的具体措施。　　.9 公钥基础设施（PKI）：是集机构、系统（硬件和软件）、人员、程序、策略和协议为一体，利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统，包括电子认证服务机构、注册机构、资料库等基本逻辑部件和在线证书状态协议服务等可选服务部件以及所依赖的运行环境。　　.10 椭圆曲线公钥密码算法：基于椭圆曲线在有限域上离散对数求解困难而建立的非对称密码算法。CA系统总体逻辑结构 图1：CA系统总体结构图 根CA 根CA是一个离线系统，负责生成和管理根CA密钥和根CA证书。根CA可根据电子政务外网的安全策略，签发和管理子CA证书。 外网运行CA 运行CA提供CA系统的核心服务，负责签发和管理证书。 节点RA