2023年6月27日发(作者：)

电⼦政务数字证书RA系统建设⽅案详细电⼦政务数字证书RA系统建设⽅案⽬录概述 (3)第⼀章为什么要在各地市建RA系统 (4)⼀、需求分析 (4)⼆、⽅案可⾏性 (5)三、在全省建⽴RA对信息化建设的意义 (7)第⼆章建设什么样的RA系统 (8)⼀、RA系统介绍 (8)⼆、系统运⾏环境 (15)第三章各地市信息办公室怎样建设RA系统 (17)⼀、确定需求 (17)⼆、签署协议 (17)三、RA系统建设实施 (17)四、RA系统测试 (17)五、RA系统验收 (17)六、⽂档评审 (17)七、系统上线 (18)第四章RA系统的运营模式 (19)⼀、推⼴⽅式 (19)⼆、运营⽅式 (20)附件RA系统管理制度 (21)概述为解决Internet的应⽤安全问题,世界各国对其进⾏了多年的研究，初步形成了⼀套完整的Internet安全解决⽅案，即⽬前被⼴泛采⽤的PKI技术(Public Key Infrastructure ),PKI(公钥基础设施)技术采⽤证书管理公钥，通过第三⽅的可信任机构即CA(Certificate Authority)机构，把⽤户的公钥和⽤户的其它标识信息(如名称、e-mail、⾝份证号等)捆绑在⼀起，在Internet⽹上验证⽤户的⾝份。⽬前,通⽤的办法是采⽤建⽴在PKI基础之上的数字证书,通过把要传输的数字信息进⾏加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从⽽保证信息的安全传输。RA (Registration Authority)即数字证书注册审批机构，它是CA机构的重要组成部分，它⾯向终端⽤户，接受⽤户的证书申请信息、审核信息以及制作发放证书，并具有注销⽤户证书的功能。河南省数字证书认证中⼼（简称HNCA)是经信息产业部、国家密码管理局及河南省⼈民政府批准成⽴，在省⼯业和信息化厅（原信息产业厅）、省国家密码管理局等有关部门领导的亲切关怀下发展起来的，是我省惟⼀依法成⽴的专门负责为政府、企业和个⼈提供⽹上⾝份认证和信息安全服务的第三⽅权威电⼦认证机构。与HNCA合作在全省各地信办建⽴⼏家RA机构，作为区域性的认证服务中⼼，对我省信息化⽹络信任体系的布局是必要的，可⾏的，也是⾮常有意义的。第⼀章为什么要在各地市建RA系统⼀、需求分析随着我省电⼦认证服务业务的发展，数字证书在各个领域的推⼴应⽤在不断创新，各地对数字证书的服务要求越来越迫切，所有这些应⽤都与当地政府的⽀持密不可分，政府在其中充当了服务的⾓⾊。为使政府的服务意识更加深⼊民⼼，在信息化⽹络安全领域⽅⾯，建⽴RA就是为了便于为百姓服务，并对信息化的推⼴起到保驾护航的作⽤。在应⽤软件系统使⽤数字证书保障⽹络安全的体系中，涉及的⾓⾊⼀般有⼆⽅。⽤户⽅即证书持有者（机构或个⼈）、管理⽤户⽅(发证⽅)，下⾯就⼆⽅对建⽴RA的需求进⾏分析：1、⽤户需要在本地制证发证的需求证书⽤户要求在当地直接办理业务，使办理证书各种业务⽅便、快捷，直接。如果当地没有RA 机构，所有证书业务都必须由CA 中⼼集中处理，这需要⼀定的时间进⾏处理。2、证书业务推⼴宣传的需要在⼀个地区如果有专门的RA服务机构，就可以向更多的领域进⾏数字证书的推⼴，并给当地的市场带来更加直观的⽹络安全服务机构，增强⼈们对⽹络安全的信⼼。3、证书业务服务的需要当证书应⽤在各个领域时，在⼀个地市就需要有⼀个区域中⼼来整合集中进⾏服务，可以节约业务成本。形成证书规模效益。4、⼤宗⽤户需要对证书实时控制和管理的需求有的⼤宗⽤户需要对所发放的所有证书进⾏实时的管理和控制，这样才可以更加有效的从管理的⾓度上来确保业务应⽤系统运⾏和操作的安全。⽽对证书的管理和控制，在CA 认证系统针对应⽤的建⽴平台中却仅仅解决了证书应⽤的问题，⽽对证书的管理和控制却没有集成有相应的系统。因此，需要对发放的证书进⾏实时控制和管理，建⽴RA的⽅式是⼀个选择。⼆、⽅案可⾏性RA作为CA重要组成部分之⼀，其建设的依据可遵循CA的政策进⾏。所有针对CA电⼦认证服务的法律都适⽤于RA。1、电⼦签名法《电⼦签名法》第⼗六条规定：电⼦签名需要第三⽅认证的，由依法设⽴的电⼦认证服务提供者提供认证服务。第⼆⼗九条规定：未经许可提供电⼦认证服务的，由国务院信息产业主管部门责令停⽌违法⾏为；有违法所得的，没收违法所得；违法所得三⼗万元以上的，处违法所得⼀倍以上三倍以下的罚款；没有违法所得或者违法所得不⾜三⼗万元的；处⼗万元以上三⼗万元以下的罚款。河南省数字证书认证中⼼（简称HNCA)是经信息产业部、国家密码管理局及河南省⼈民政府批准成⽴，在省⼯业和信息化厅（原信息产业厅）、省国家密码管理局等有关部门领导的亲切关怀下发展起来的，是我省惟⼀依法成⽴的专门负责为政府、企业和个⼈提供⽹上⾝份认证和信息安全服务的第三⽅权威电⼦认证机构。作为HNCA在当地的注册机构RA对公众进⾏认证服务，完全符合法定要求。2、国家信息化领导⼩组《关于我国电⼦政务建设指导意见》电⼦政务建设将是今后⼀个时期我国信息化⼯作的重点，⽽电⼦政务建设将主要围绕“1个政府门户⽹络、2个电⼦政务⽹络平台、4个基础数据库和12⼤重点信息化⼯程”开展。数字证书中⼼即是为了保障诸如电⼦政务外⽹平台和重点信息化⼯程的安全正常运转⽽构建的基础系统。如政府⽹上招标采购、企业⽹上报税、报关、⽹上⼯商登记和年检、⽹上联合审批等应⽤，必须以数字证书系统作为安全保障。3、河南省电⼦政务发展规划(2009—2012年)构建信息保证体系原⽂“信息安全保障体系。整合构建安全⽀撑平台,完善信息⽹络、重要信息系统的安全防护和管理措施,加强信息安全内容管理和对抗能⼒建设。建⽴以密码技术为基础,以⾝份认证、授权管理、责任认定为主要内容的⽹络信任体系,推进以涉密、敏感信息加密保护、电⼦认证、电⼦政务密钥管理基础设施和电⼦政务密码应⽤⽀撑平台等为主要内容的密码保障体系建设。建⽴容灾备份中⼼和计算机病毒防治、应急处置、安全通报中⼼。建设⽹络侦控、密钥管理和信息安全测评系统,创新信息安全技术和产品,为全省电⼦政务系统提供统⼀的⼊侵防御、漏洞扫描、病毒防护、内容过滤等信息安全服务,提⾼对⽹络攻击、病毒⼊侵、⽹络失窃密事件的防范能⼒。”4、河南省信息化⼯作简报（30期2010-3-23）河南CA相关段落原⽂“省信息化⼯作办公室对河南CA所做的⼯作及取得的成绩给予了充分肯定。认为河南CA的发展不但在信息安全中发挥了重要作⽤，⽽且对全省的信息化建设也做出了重要贡献，省信息化⼯作办公室将进⼀步重视和⽀持河南CA的发展。⼀是要加强联系与指导。与河南CA⼯作对接由省信息化办电⼦政务与信息安全处负责，保持经常联系，细化⼯作责任，明确责任⼈，尽⼒为河南CA反映情况和解决问题创造条件；⼆是抓紧协调推动《河南省数字证书使⽤管理办法》的制定⼯作，规范全省电⼦认证体系建设；三是依托全省信息化部门和机构，建⽴全省电⼦认证服务体系，组成⼀个完整的服务⽹络，做到省有CA，市有RA，县有受理点。同时要使上下建⽴起科学完整的法律关系、业务关系和利益关系；四是推动电⼦认证在⼀些重点领域的应⽤。要制定长远、中期、近期相结合的发展⽬标，先易后难，近期能完成的就尽快落实，需长期协调跟进的应持续关注，从⽽全⾯发展我省电⼦认证体系。”三、在全省建⽴RA对信息化建设的意义1、政府信办在全省信息化安全的⽀撑需要河南省数字证书认证中⼼的PKI安全体系是⼀个安全⽀撑平台,对完善信息⽹络、重要信息系统的安全防护和管理措施,加强信息安全内容管理和对抗能⼒有这基础性的作⽤。因此⾮常适合作为政府信办在全省信息化安全的⽀撑业务平台。也能够建⽴以密码技术为基础,以⾝份认证、授权管理、责任认定为主要内容的⽹络信任体系,推进以涉密、敏感信息加密保护、电⼦认证、电⼦政务密钥管理基础设施和电⼦政务密码应⽤⽀撑平台等为主要内容的密码保障体系建设。2、当地信息建设保驾护航，并增强当地的信息化安全意识的意义各地市信息化办公室建设了河南省数字证书认证中⼼的RA系统，就会形成以数字证书为基础的安全⽀撑平台，就解决了政府内外⽹应⽤的信息安全问题。能够很好的为当地信息化建设保驾护航，同时能够相应的扩⼤信息化的影响⼒,增加各地市及基层单位的信息化安全意识。3、社会效益随着⼈们对数字证书的认知程度的加深,以及需求的依赖.数字证书应⽤的领域越来越⼴泛,社会公众对证书这种安全服务越来越认可.因此在各地建⽴的RA系统可以与各社会上需要信息安全服务的社会公众，体现政府的服务职能，同时与社会公众建⽴有效的沟通和联系。产⽣出较为可观的社会效益和经济效益。第⼆章建设什么样的RA系统⼀、RA系统介绍RA客户端系统和RA中⼼。RA客户端系统负责申请注册、审核、证书发放，主要功能包括：证书申请、证书审核、证书发放、证书撤消申请、证书恢复申请、证书查询以及审核员管理等功能。RA中⼼负责与CA的安全通信、汇总统计、审计等⼯作。采⽤的是局域⽹应⽤程序，主要功能包括：申请资料录⼊、本地审核、⽤户管理、⽇志审计、证书发放、证书撤消、证书恢复、CA安全通信、系统初始化和系统设定等。CA中⼼只负责为电⼦政务环境中各个实体颁发数字证书，以证明各实体⾝份的真实性，并负责在电⼦政务系统使⽤者中检验和管理证书；它是电⼦政务的权威性、可信赖性及公正性的第三⽅机构，并不参与⾝份⼈证的真实过程。CA的主要职责归纳起来有：确保CA ⽤于签名证书的⾮对称密钥的质量、确保整个签证过程的安全性,确保私钥的安全性、证书材料信息（包括公钥证书序列号、CA标识等）的管理、确定并检查证书的有效期限、确保证书主体标识的唯⼀性,防⽌重名;发布并维护作废证书表、对整个证书签发过程做⽇志记录。整个系统采⽤国际通⽤的PKI技术，为⼴⼤证书使⽤者提供安全快捷的签名及加密⽹上电⼦政务服务，真正做到电⼦政务系统运⾏的不可抵赖性。证书吊销⽀持LDAP协议，通过在线更新证书吊销列表来充分满⾜电⼦政务系统的安全性。1、系统业务流程1.1 证书的申请和下载1.⽤户信息注册⽤户携带⾝份证、要求携带的相关证件及复印件到指定地点（制证终端）办理申请数字证书。制证终端负责接收⽤户申请，并对申请进⾏审核和制证。2.制证终端初步审核并提交申请制证终端操作员对⽤户提交的资料进⾏初步审核，检查是否数字证书认证中⼼对办理数字证书所需相关资料的要求。对符合条件的⽤户依照数字证书规定的格式对⽤户信息进⾏填写，并设定数字证书的起始时间和有效期。制证⼈员提交填写好的证书申请。服务器审核申请按照证书模板的设定，可以允许制证终端操作员直接对申请进⾏审核或者系统⾃动审核。如果为了控制对终端操作员的⾏为，可以对其提交的申请进⾏远程⼈⼯审核，因此只有审核通过者才能继续将信息提交⾄认证中⼼CA服务器。CA服务器接受申请为⽤户制作证书，并将信息反馈到RA服务器，由RA服务器将证书相关信息发给制证终端。4.制证终端为⽤户进⾏制作证书制证终端操作⼈员根据RA服务器反馈的信息，插⼊证书硬件存储介质。点击“制证”，直⾄提⽰成功。⽤户数字证书制作完毕。⽤户可以持数字证书登陆电⼦政务系统服务器，在验证通过后即可进⾏相关业务。制证受理点制作证书流程如下：1.2证书的吊销和更新⽤户申请吊销和更新证书有2种⽅式：1、⽤户到RA客户端受理点填写申请表，由录⼊操作员录⼊数据，审核操作员根据⽤户的资料进⾏审查，将通过审查的资料向CA提交。2、⽤户直接⾄河南省数字证书认证中⼼，填写吊销或更新申请表，由录⼊操作员录⼊数据，审核操作员根据⽤户的资料进⾏审查，直接吊销或更新。1.3证书的使⽤客户端使⽤数字证书进⾏登录，⼤致的流程如下：当⽤户选择使⽤证书登录时，则点击客户端程序的“证书登录”选项卡，此时客户端登录程序⾃动选择能够⽀持证书登录验证的可⽤服务器列表(也可与密码登录模式共⽤同⼀服务器)；若此时⽤户已将含有数字证书的电⼦钥匙连接到计算机上，点击“登录”按钮则将开始进⾏证书登录操作，客户端程序将尝试从电⼦钥匙中读取证书信息，并进⾏签名操作，出于安全性考虑，此时⽤户会被要求输⼊电⼦钥匙的访问密码（初始密码通常是6个“1”，可由⽤户⾃⾏进⾏更改），以确认⽤户对该数字证书的访问权限，如下图所⽰：出于安全需要，也可将⽤户名和密码在客户端使⽤证书进⾏加密后再发送，加密操作需要在建⽴连接前将接收者(服务器)的公钥证书从服务器端下载⾄客户端。2、⽹上证书申请安全⽅案2.1⽹络拓扑图2.2加密通道数据流程图客户端与RA服务器之间的通信采⽤了SPKM协议进⾏数据传输，从⽽保证客户端与服务器交互的所有的业务数据都经过⾼强度的加密算法加密，保证数据的安全性。3、系统性能3.1系统基于PKI机制，信息传输采⽤SPKM协议。3.2电⼦政务系统使⽤的安全性⾼、不可抵赖性；实现了和电⼦政务系统的⽆缝衔接，电⼦政务系统证书使⽤者所使⽤的CA证书要求和证书使⽤者的⾝份有⼀⼀对应关系，并能在系统使⽤中进⾏管理和监控3.3使⽤⽅便、具有良好的系统可扩展性；实现了客户端的零管理，电⼦政务系统专⽤的电⼦政务系统客户端就会⾃动判断证书是否存在。3.4严格的后台操作管理和审计、完整的安全⽇志；系统设计时充分考虑了CA、RA系统作为电⼦政务系统的权威性、可信赖性及公正性的第三⽅机构的特点，⽽提供了全⽅位的安全解决⽅案，并通过⽇志记录为事后的追查提供了数据依据。3.5认证快速；增加证书的认证过程完全不影响原来的电⼦政务系统运⾏，并且在速度上没有任何的延迟。4、系统功能注册⼦系统RA是河南CA电⼦证书认证系统的另⼀重要⼦系统，它是由配置向导、注册服务器、系统管理控制台、业务管理控制台、业务处理控制台和审计控制台组成的，⽤于负责对⽤户注册信息等进⾏管理，可提供证书申请、注册、注销、更新、业务审计和制做等业务，⽤于构建数字认证中⼼的对外业务窗⼝。注册服务器注册服务器的主要功能是为其它客户端提供服务。服务是对于某种业务或管理请求进⾏相关的处理产⽣结果的过程。注册服务器提供了如下相关服务，⽤以实现注册⼦系统的各项功能。这些服务包括：●系统管理控制台注册⼦系统系统管理控制台的操作⼈员是注册⼦系统的超级管理员，系统采⽤了MofN验证机制验证超级管理员的⾝份，注册⼦系统系统管理控制台提供了对超级管理员⾝份的有效验证。注册⼦系统系统管理控制台为注册⼦系统超级管理员提供与服务器本⾝以及业务数据相关的系统管理服务，如注册服务器配置、注册服务器业务服务的启动和停⽌、业务数据安全管理等；●业务管理控制台注册⼦系统业务管理终端负责对注册服务器的各项⼯作进⾏管理，维护整个审核系统的安全性和完整性，主要对证书模板、权限模板、终端管理员、业务受理点和下级RA等进⾏管理和维护，保障整个系统安全运营，并且对多级审核服务器进⾏维护。●审计控制台注册⼦系统审计控制台是注册⼦系统中的⼀个重要组件。作为注册⼦系统的审计控制台,负责对注册服务器的操作历史和现状进⾏及时监查和审计，是注册⼦系统不可或缺的组件。●业务处理控制台注册⼦系统证书业务处理控制台是河南CA电⼦证书认证系统的注册⼦系统的重要组成部分，主要负责处理⽇常证书业务，⾯对⾯地处理⽤户的证书申请、注销、恢复、更新以及证书授权码发放和证书制作等证书业务。5、系统特点