|
金保工程CA认证系统建设 石永辉
金保工程安全应用支撑平台以密码服务为基础,以数字证书技术为核心,为金保工程的各项业务系统和公共服务系统提供信任、授权及应用支撑服务。作为安全应用支撑平台重要组成部分的证书服务系统是建设重点。
金保工程CA认证系统建设, 将采用国家电子政务统一认证平台。在相应的安全支撑平台未建成前,拟考虑自建过渡性的面向劳动保障经办机构应用的行业性CA,该CA应符合国际和国家标准,并遵循国家电子政务的PKI互联互通相关标准规范。在国家电子政务外网统一安全认证平台建立后,提供自建PKI/CA系统与国家电子政务安全支撑平台的移植或桥接。以下讨论拟自建的金保工程CA认证系统。 一、总体描述 金保工程信任服务体系采用树状结构,以劳动保障部为枢纽,建立劳动和社会保障数字证书策略和管理中心以及根CA中心,并作为劳动和社会保障信任服务体系最高管理机构和信任源点。劳动保障部负责统一规划信任服务体系的密码体制,负责建立基于劳动和社会保障全系统统一的密码管理系统和信任服务体系根系统,建立劳动和社会保障行业证书认证系统,负责与劳动保障部门业务相关联的业务系统安全认证与授权管理。省市将按照劳动和社会保障部的技术规范,以劳动和社会保障部的根系统为依托,建立相应的证书服务系统。省市劳动保障证书服务系统,一般直接使用劳动和社会保障部CA中心来生产证书,只需要建立RA中心及分布式的证书查询验证服务系统即可。对于业务量大、有条件的省或直辖市可根据自己的实际情况,以劳动和社会保障根CA中心为根建立二级CA中心,为本省(市)的劳动保障业务系统服务。 劳动保障证书服务系统采用双证书(签名证书和加密证书)、双中心(证书认证中心和密钥管理中心)机制。
二、实施策略和体系结构
证书服务系统是安全支撑平台信任服务系统的核心部件,采用“集中式生产、分布式服务”模式,即证书申请、审核分别在劳动保障部、省级劳动保障厅、地市劳动保障局三级证书审核注册机构执行,证书的生产(签发、发布、管理、撤销等)集中在劳动保障部、省(市)劳动保障厅两级证书认证中心执行,证书认证由分布在各地的证书查询验证服务系统完成。
三、二级系统建设
在劳动和社会保障信任服务体系中,省(市)证书服务系统属于二级系统,包括二级证书认证(CA)中心和省市级证书审核注册机构(RA),证书查询验证服务系统、密钥管理系统、密码服务系统、可信授权服务系统。
四、CA认证系统在金保工程中的应用 (一)系统登录类的CA认证应用 1.个人数字证书的应用 由数字证书认证中心为每位系统操作人员颁发数字证书,用于操作员身份识别。同时,将系统操作权限与个人数字证书相关联,不同的数字证书有不同的操作权限。
2.服务器端对客户端的身份认证 用户在登录应用服务器时,将客户端证书、随机数、随机数签名同时发送到服务器端,由服务器端验证客户端证书。
3.客户端对服务器端的身份认证 客户端通过认证后,服务器端将服务器证书、随机数、随机数签名发送到客户端,由客户端验证服务器端证书。
(二)资料维护类的CA认证应用 根据操作对象的不同,资料维护可分为敏感类资料维护和非敏感类资料维护。敏感类资料维护,如:对参保职工工作日期的修改,对参保职工缴费工资的修改等,这类操作的结果将直接对社保基金的征收或个人待遇的享受造成影响。非敏感类资料维护,如:参保职工所在单位编号的维护、参保单位联系电话的维护等,这类操作的结果对社保基金的征收及参保职工的待遇都不会造成影响。
(三)数字签名的应用
对于敏感类资料维护,系统往往需要记录下进行操作的经办人员,通过使用数字签名,实现操作的不可抵赖性。
金保工程信息系统是一个大型的应用系统,覆盖范围大,远距离数据传输通过政务外网传输时,为了防止在数据传输过程中对敏感数据的篡改,也需要对数据进行数字签名。
|