(整理)ESVS簽名驗簽服務器技術(shù)白皮書V11.

1、精品文檔ESVS簽名驗簽服務器 技術(shù)白皮書Versio n 1.1精品文檔中訊亞太科技有限公司目錄1 前言 12 產(chǎn)品概述 22.1 產(chǎn)品簡介 22.2 組成框圖 23 產(chǎn)品部署 34 產(chǎn)品功能 44.1 配置與管理 44.1.1 用戶管理 44.1.2 配置管理 54.1.3 服務管理 74.1.4 日志管理 74.2對外服務 84.2.1 簽名驗簽 84.2.2 制作/ 拆解數(shù)字信封 84.2.3 證書校驗 84.2.4 證書解析 84.2.5 安全通信 85 產(chǎn)品特點 96 產(chǎn)品型號及技術(shù)指標 9/、八1 前言隨著社會信息化的發(fā)展，大量傳統(tǒng)業(yè)務逐漸過渡到以計算機、互聯(lián)網(wǎng)為代 表的“電子化

2、 ”時代，為確保這些經(jīng)過 “電子化 ”后的商業(yè)或政務活動的有效性，電 子簽名應運而生。在 “電子化 ”的業(yè)務活動中，各參與方通過對應用系統(tǒng)中關(guān)鍵業(yè) 務信息進行簽名，來確保這些業(yè)務活動或業(yè)務信息的完整性和不可抵賴性。 PKI 技術(shù)是實現(xiàn)電子簽名的主要手段，隨著電子簽名需求的增多以及 PKI 技術(shù)的深 入發(fā)展，將分散在各應用系統(tǒng)中實現(xiàn)電子簽名的模塊獨立出來形成公用的電子簽 名服務平臺， 逐漸成為各級管理人員、 開發(fā)人員的共識， 簽名驗簽系統(tǒng)就是這樣 一個針對業(yè)務數(shù)據(jù)進行簽名驗簽的獨立的服務平臺。 使用簽名驗簽系統(tǒng)不但可以 有效地保障業(yè)務數(shù)據(jù)的完整性和不可抵賴性， 同時還能大大降低應用系統(tǒng)中實現(xiàn) 電

3、子簽名的復雜度，因此簽名驗簽系統(tǒng)可以被廣泛應用在電子政務、電子商務、 電子金融等各個行業(yè)中。2產(chǎn)品概述2.1產(chǎn)品簡介ESVS簽名驗簽服務器是一款支持多種算法的商用密碼應用設備，該設備主要應用在采用PKI安全體系的電子商務、電子政務系統(tǒng)和企業(yè)信息化中，為各 類系統(tǒng)提供數(shù)據(jù)簽名和驗簽、基于數(shù)字證書的身份認證、基于數(shù)字證書的加密和 解密等安全保護。2.2組成框圖簽名驗簽服務器及應用系統(tǒng)組成框圖如下:帶簽名的 業(yè)務數(shù)據(jù)I ESVS系統(tǒng)相關(guān)的部分各部分詳細描述如下:ESVS服務器（簽名驗簽服務器）ESVS服務器為一臺為不同的應用系統(tǒng)同時提供簽名驗簽服務的硬件服務器設備。它提供 Web管理界面實現(xiàn)對自身的

4、管理和審計。ESVS服務器通過請求OCSP服務器實時驗證證書狀態(tài)，或者自動下載CRL文件進行證書狀態(tài)驗證。 ESVS服務器可以與TSA服務器結(jié)合實現(xiàn)帶時間戳的數(shù)字簽名。從服務功能上劃分，ESVS服務器可分為四個大模塊：1）配置與管理模塊由ESVS管理員使用，配置ESVS服務器參數(shù)和數(shù)據(jù)同步，并對相關(guān)帳戶、權(quán)限、日志及服務進行管理。2) ESVS 主服務模塊 初始化必要的共享資源，比如共享內(nèi)存，日志服務等。3) 簽名驗簽模塊接收來自應用服務器的簽名驗簽請求， 并將簽名驗簽結(jié)果返回給應用服 務器。4) CRL 下載模塊 定期自動下載 CRL ，并更新到配置數(shù)據(jù)庫中。二、 ESVS 應用 APIES

5、VS 應用 API 為應用系統(tǒng)提供簽名驗簽服務的調(diào)用接口，它通過將簽名 驗簽請求發(fā)送給 ESVS 服務器的方式實現(xiàn)對文件、表單數(shù)據(jù)的簽名驗簽。三、 ESVS 客戶端套件ESVS 簽名控件為一個 ActiveX 控件，為客戶提供了基于瀏覽器的簽名驗簽 操作，同時，它也可以驗證來自 ESVS 服務器的簽名。簽名控件也可以支持數(shù) 據(jù)壓縮功能。3 產(chǎn)品部署在產(chǎn)品的實際使用中， ESVS 簽名驗簽服務器與業(yè)務系統(tǒng)并行部署，可以采 用內(nèi)部 CA 系統(tǒng)所簽發(fā)的證書，也支持第三方 CA 系統(tǒng)證書，產(chǎn)品部署示意圖如 下：外網(wǎng)辦公用戶外網(wǎng)辦公用戶東方中訊EZCAInternet-=、i CR列表CA服務器ESV簽

6、名驗簽服務器Iweb服務器web!艮務器內(nèi)部辦公用戶內(nèi)部辦公用戶4產(chǎn)品功能產(chǎn)品功能主要包括了系統(tǒng)的配置管理和對外服務兩部分內(nèi)容4.1配置與管理4.1.1用戶管理系統(tǒng)用戶分為超級管理員、配置管理員、業(yè)務管理員、審計管理員。其中配置管理員、業(yè)務管理員和審計管理員由超級管理員創(chuàng)建和管理。配置管理員主要 完成配置管理模塊的功能配置，業(yè)務管理員主要是對應用服務的管理， 審計管理 員主要是對系統(tǒng)和應用的日志查詢和審核。管理員通過用戶名、密碼和證書聯(lián)合認證成功才能登陸系統(tǒng)進行操作，證書存放在usbkey中保存。系統(tǒng)必須在插入操作員管理 KEY才能進入系統(tǒng)。4.1.2 配 置管理配置管理模塊必須由配置管理員登

7、陸才能進行操作， 配置管理包括服務器證 書配置、 CA 證書配置、 CRL 配置、應用信息設置、事件管理、配置信息導入導 出等功能。服務器證書配置簽名服務器可以設置多張簽名證書， 針對不同的應用可以配置使用相同或不 同的簽名證書。簽名證書對應的私鑰保存在服務器的加密卡上，通過 keyid 關(guān)聯(lián) 公鑰、私鑰以及對應的證書。服務器證書配置包括生成 P10 證書請求、導入服務器證書、導出服務器證 書、查看服務器證書及刪除服務器證書。CA 證書配置CA 證書配置用來配置簽名服務器的受信任 CA 證書（多張 CA 證書可能形 成證書鏈），受信任 CA 證書是指簽名服務器所能接受的 CA 證書，他表明了簽

8、 名服務器對那些 CA 域是信任的，只有被簽名服務器所信任的 CA 簽發(fā)的客戶證 書，才能通過簽名服務器的驗簽， 簽名服務器可以配置使用多條證書鏈， 即使用 簽名服務器的應用系統(tǒng)可以同時使用多個 CA 簽發(fā)的客戶證書。CA證書配置支持對證書的查看、CA證書的導入導出、CA的CRL和OCSP 站點的配置。CRL 配置CRL 信息的獲取可以采用自動下載和手工導入兩種方式，簽名服務器同時 支持這兩種方式。如果在 CA 證書設置中配置好 CRL 發(fā)布點，簽名服務器可以 自動下載 CRL 信息并將其導入數(shù)據(jù)庫中； 此外，管理員也可以通過 CRL 設置人 工導入 CRL 信息。支持手工導入證書吊銷列表、查

9、看被吊銷的證書信息、刪除 導入的被吊銷證書。應用配置“應用“是指使用簽名服務器簽名驗簽功能的應用系統(tǒng)，簽名服務器支持多個 應用系統(tǒng)同時調(diào)用簽名驗簽服務，這些應用系統(tǒng)可以通過不同的服務端口來區(qū) 分，它們可以使用相同或不同的服務器簽名證書。應用與服務端口、 簽名證書、時間戳服務以及受信任的證書鏈這幾者的關(guān)系總結(jié)如下:對應關(guān)系一對一一對多多對一多對多應用一服務端口VV應用一簽名證書VVVV應用一時間戳服務VV應用一受信任的證書鏈VVVV備注：一個應用可以配置一個默認的簽名證書，但是應用系統(tǒng)可以在API中指定簽名的證書。與應用系統(tǒng)相關(guān)的參數(shù)包括：1）應用名稱：標識一個應用。2）應用服務器的IP地址：可

10、用于鑒別應用。3）為應用提供簽名驗簽服務的簽名服務器 IP/PORT :簽名驗簽服務端 口。4）應用客戶證書的狀態(tài)檢查方式：包括不檢查，檢查CRL，檢查OCSP 當選擇CRL檢查時，服務器會從導入的CRL里查找證書是否已經(jīng)被吊銷； 當檢查OCSP時，服務器會通過配置的 OCSP站點信息連接到站點，通 過站點查找證書是否已被吊銷。5）簽名服務器與應用服務器之間的安全模式：包括鑒別模式，通訊保 密模式等。6） 應用使用的默認簽名證書：可以通過 API指定簽名的證書，如果在 API中沒有指定簽名證書，那么會使用默認簽名證書。7）應用使用的時間戳服務器信息：如果在 API中指定使用時間戳，那 么會向這

11、里配置的時間戳服務器發(fā)起時間戳請求。應用設置包括增加、刪除、修改應用相關(guān)的配置信息。事件與日志配置對日志記錄方式，日志產(chǎn)生事件進行設置，包括：1）日志記錄方式設置：a）本地數(shù)據(jù)庫：在SVS服務器上保存日志（保存在 MYSQL數(shù)據(jù) 庫中），默認選項。b）遠程SYSLOG :將日志發(fā)送到指定的SYSLOG服務器，選擇本 選項需要配置 SYSLOG 服務器 IP/PORT 。c）遠程服務器：指定專門的日志服務器IP/端口。2 ）選擇需要產(chǎn)生日志的事件，這些事件包括:管理員登錄退出，管理員配置， 簽名驗簽操作， 錯誤與異常等。 系統(tǒng)程序和數(shù)據(jù)庫中保存有一個事件表， 每個事 件被分配一個 ID。數(shù)據(jù)備份

12、及恢復數(shù)據(jù)備份是容災的基礎(chǔ)， 是指為防止自然或人為因素， 導致數(shù)據(jù)丟失， 而將 數(shù)據(jù)集合從簽名服務器主機的數(shù)據(jù)庫復制到其它存儲介質(zhì)的過程。數(shù)據(jù)恢復能夠在系統(tǒng)發(fā)生災難性事件后最大程度恢復還原至事發(fā)前現(xiàn)場， 保 證服務能盡快恢復運營。數(shù)據(jù)備份對簽名服務器中數(shù)據(jù)庫中的所有配置信息、 用戶信息、日志信息進 行壓縮加密存儲，通過配置的導出和導入進行數(shù)據(jù)的備份和恢復。4.1.3 服務管理業(yè)務管理員負責開啟和關(guān)閉 ESVS 主服務、 CRL 下載服務、簽名驗簽應用 服務。4.1.4 日 志管理通常情況下， 簽名服務器所進行的每一次操作 （包括管理操作和簽名驗簽操 作）均應產(chǎn)生一條或多條日志， 日志記錄了操作

13、的主體以及操作的成敗等相關(guān)信 息。簽名服務器日志記錄針對的對象是事件， 事件是簽名服務器程序在運行過程 中所經(jīng)歷的成功或者失敗的處理與操作， 每個事件都具有重要程度標識， 由高到 低，重要程度分為關(guān)鍵、重要、通知三個級別。 。日志由審計管理員進行審查，審計管理員審查每條日志都需插入所持有的 USBKEY ，審查的每條日志均由審計管理員對日志信息簽名保存。4.2 對外服務ESVS 服務器的核心價值在于對外提供多種安全服務， 主要的服務包括如下 幾個方面：4.2.1 簽 名驗簽raw 簽名/驗簽： raw 簽名包內(nèi)容就是簽名結(jié)果本身。attached 簽名/驗簽： attached 簽名包是一個包

14、含原文數(shù)據(jù)，簽名者信息等 相關(guān)簽名驗簽信息在內(nèi)的標準的 PKCS#7 簽名包。detached 簽名/驗簽： detached 簽名包格式與 attached 簽名包格式類似， 區(qū)別在于 attached 包中包括了原文，但 detached 包中不包括原文。4.2.2 制 作 /拆解數(shù)字信封數(shù)字信封分為兩類：普通的數(shù)字信封和帶簽名的數(shù)字信封。普通數(shù)字信封 ：是一個標準的 PKCS#7 數(shù)字信封。帶簽名的數(shù)字信封 ：帶簽名的數(shù)字信封實際上可以看作是 attached 簽名包 與數(shù)字信封的結(jié)合。4.2.3 證 書校驗驗證證書有效期、簽名驗證、狀態(tài)、使用策略。4.2.4 證 書解析根據(jù)解析出的證書信息查詢數(shù)據(jù)庫中的證書，并匹配出加密卡中的私鑰4.2.5 安 全通信ESVS 服務器的通訊安全設計包括通訊雙方身份鑒別，通訊數(shù)據(jù)的保密性 / 完整性和抗重播等5產(chǎn)品特點（1）安全性高支持管