CA认证体系.doc

CA认证体系 数字证书集成 通过采用证书与应用系统的无缝集成，为信息门户系统提供了如下安全保障功能：身份认证，资格认证，保密性，完整性、不可抵赖性和信息的追认功能。另外，通过安全代理软件将安全强度提升到全球公认的标准。为了建立一套标准的时间，CA系统引进了时间戳来为网上报税系统提供完整的时间认定功能，避免在交易中出现由于时间带来的纠纷。 采用PKI技术后，广东省国税信息门户将得到足够的安全保障，将传统上的办税业务延伸到Internet上，为客户提供更为方便、安全的审批申请手段。 在广东省国税信息门户中，有些功能是面向全社会公开发布的，它并不需要证书来保护，如：主页信息、办事指南等，而有一些功能则需要由证书来保护，如：申报纳税、税务文书办理。因此，可利用Portal Server提供的安全机制，对广东省国税信息门户的模块进行配置，使一个应用能处理多种安全要求。通过配置需要保护的应用来保证需要访问该功能的用户必须通过认证，而其他不需要安全保护的用户则没有此限制。 当用户登陆门户应用系统时，服务器端安全代理首先判断是否有证书，如果没有，则拒绝访问；如果有，判断用户证书是否合法或是否仍然有效，如果合法，则自动读取用户唯一的证书甑别名DN，然后到广东省国税电子税务平台的LDAP目录服务器上查询用户信息（证书甑别名DN应与用户代码一致），判断用户是否是已注册的合法用户。如果是，则接收该用户的证书，准备对发送给用户的机密信息进行加密；如果建立的通道是双方认证的话，则用户端安全代理软件也进行同样的步骤来验证服务器的身份和获取服务器端的证书。 广东省国税信息门户应用系统需要建立一套用户权限对照表，通过将用户的甑别名DN和广东省国税信息门户的用户代码建立一一对应关系来标识登录到系统的用户具有何种操作权限，由此判定用户资格。当双方身份验证通过和资格认证确认后，用户Browser和服务器Web Server会采用PKI技术来建立SSL安全通道，此后，所有从浏览器发出的安全请求信息，都由用户端安全代理软件来完成。用户端安全代理软件接收到来自浏览器的安全请求后，会用用户的私钥对此信息作一次数字签名，再用服务器端的证书中的公钥对信息进行一次加密，然后通过安全通道SSL传送给服务器端安全代理软件，服务器端安全代理软件接收到该信息后，首先使用服务器端的私钥对该密文信息进行解密，然后用该用户的公钥来验证接收到的数字签名，检查是否信息是该用户发送过来的，并确认在传输过程中没有被修改。通过该过程后，把信息的明文送入Web Server，Web Server再对该信息进行相应处理。同样，当Web Server需要发送信息给用户端的时候，也采用同样的步骤来保证信息的安全和行为的不可抵赖性。这些步骤都是通过安全代理自动透明来完成的，由此大大避免了应用程序和安全处理程序之间过多的耦合过程。如果应用需要一些其他的功能而安全代理软件不能满足的话，系统会提供相应的API或其他方案来帮助应用系统来满足他们的特殊要求。 广东省国税信息门户功能还需为用户提供和地税、海关以及各下属地市进行数据交换的功能，实际上涉及到与系统之间的接口问题。因此，我们需要采用一定的技术手段来保证省国税和下属地市数据交换的安全连接。因此，可由各税务机关领取该证书完成数据交换功能。数据交换的安全是这样实现的，用户只需使用省国税指定的CA签发的证书，然后用户填写一些申报数据，然后通过用自己的证书和安全代理将该信息传给广东省国税信息门户，门户系统接到该信息后，还原该信息，并使用各下属地市认可的证书对此进行加密，密文传送给下属地市国税的业务系统，下属地市业务系统接收到该信息后，用自己的私钥对此信息进行解密和利用省国税服务器的证书公钥来验证该信息的数字签名，验证通过后，将该信息传入后台业务系统进行相应的处理，处理结果按逆方向和同样的加/解密和数字签名/验证数字签名传回广东省国税信息门户，审批完成后，最后处理结果会传回给用户浏览器。支付处理结束。 KEYNET式身份识别 广州市方欣科技有限公司在过去的多个项目中已经使用过基于USB接口的KEYNET形式的身份识别方式，最近的项目中比如广州市国家税务局网上办税系统和广东省国税信息门户系统都统一使用了广东省CA认证中心颁发的数字证书进行数字认证，为了方便用户的使用，该系统所有的用户都使用我公司为其选择的KEYNET来完成数字证书的保存和使用。 KEYNET可以使网络访问者，经过双重认证，才能获得网络访问授权。访问者首先需要把插入USB接口中，输入一个PIN值（可选择功能），进一步证实自己的身份。如果身份认证服务器不能识别访问者的身份，网络访问将被拒绝。向用户提供了比密码更方便，且安全性更高的网络身份认证机制。 每一把可以预置密值或存入数据证书，来确定用户的身份。只要把插入US