[整理]ESVS簽名驗(yàn)簽服務(wù)器技術(shù)白皮書V11.

1、ESVS簽名驗(yàn)簽服務(wù)器 技術(shù)白皮書Versio n 1.1中訊亞太科技有限公司目錄1 前言 12 產(chǎn)品概述 22.1 產(chǎn)品簡(jiǎn)介 22.2 組成框圖 23 產(chǎn)品部署 34 產(chǎn)品功能 44.1 配置與管理 44.1.1 用戶管理 44.1.2 配置管理 54.1.3 服務(wù)管理 74.1.4 日志管理 74.2對(duì)外服務(wù) 84.2.1 簽名驗(yàn)簽 84.2.2 制作/ 拆解數(shù)字信封 84.2.3 證書校驗(yàn) 84.2.4 證書解析 84.2.5 安全通信 85 產(chǎn)品特點(diǎn) 96 產(chǎn)品型號(hào)及技術(shù)指標(biāo) 9/、八1 前言隨著社會(huì)信息化的發(fā)展，大量傳統(tǒng)業(yè)務(wù)逐漸過渡到以計(jì)算機(jī)、互聯(lián)網(wǎng)為代 表的“電子化”時(shí)代，為確保這

2、些經(jīng)過 “電子化 ”后的商業(yè)或政務(wù)活動(dòng)的有效性，電 子簽名應(yīng)運(yùn)而生。在 “電子化 ”的業(yè)務(wù)活動(dòng)中，各參與方通過對(duì)應(yīng)用系統(tǒng)中關(guān)鍵業(yè) 務(wù)信息進(jìn)行簽名，來確保這些業(yè)務(wù)活動(dòng)或業(yè)務(wù)信息的完整性和不可抵賴性。 PKI 技術(shù)是實(shí)現(xiàn)電子簽名的主要手段，隨著電子簽名需求的增多以及 PKI 技術(shù)的深 入發(fā)展，將分散在各應(yīng)用系統(tǒng)中實(shí)現(xiàn)電子簽名的模塊獨(dú)立出來形成公用的電子簽 名服務(wù)平臺(tái)， 逐漸成為各級(jí)管理人員、 開發(fā)人員的共識(shí)， 簽名驗(yàn)簽系統(tǒng)就是這樣 一個(gè)針對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行簽名驗(yàn)簽的獨(dú)立的服務(wù)平臺(tái)。 使用簽名驗(yàn)簽系統(tǒng)不但可以 有效地保障業(yè)務(wù)數(shù)據(jù)的完整性和不可抵賴性， 同時(shí)還能大大降低應(yīng)用系統(tǒng)中實(shí)現(xiàn) 電子簽名的復(fù)雜度，因

3、此簽名驗(yàn)簽系統(tǒng)可以被廣泛應(yīng)用在電子政務(wù)、電子商務(wù)、 電子金融等各個(gè)行業(yè)中。2產(chǎn)品概述2.1產(chǎn)品簡(jiǎn)介ESVS簽名驗(yàn)簽服務(wù)器是一款支持多種算法的商用密碼應(yīng)用設(shè)備，該設(shè)備主要應(yīng)用在采用PKI安全體系的電子商務(wù)、電子政務(wù)系統(tǒng)和企業(yè)信息化中，為各 類系統(tǒng)提供數(shù)據(jù)簽名和驗(yàn)簽、基于數(shù)字證書的身份認(rèn)證、基于數(shù)字證書的加密和 解密等安全保護(hù)。2.2組成框圖簽名驗(yàn)簽服務(wù)器及應(yīng)用系統(tǒng)組成框圖如下:帶簽名的 業(yè)務(wù)數(shù)據(jù)I ESVS系統(tǒng)相關(guān)的部分各部分詳細(xì)描述如下：一、ESVS服務(wù)器（簽名驗(yàn)簽服務(wù)器）ESVS服務(wù)器為一臺(tái)為不同的應(yīng)用系統(tǒng)同時(shí)提供簽名驗(yàn)簽服務(wù)的硬件服務(wù) 器設(shè)備。它提供 Web管理界面實(shí)現(xiàn)對(duì)自身的管理和審計(jì)。

4、 ESVS服務(wù)器通過請(qǐng) 求OCSP服務(wù)器實(shí)時(shí)驗(yàn)證證書狀態(tài)，或者自動(dòng)下載CRL文件進(jìn)行證書狀態(tài)驗(yàn)證。 ESVS服務(wù)器可以與TSA服務(wù)器結(jié)合實(shí)現(xiàn)帶時(shí)間戳的數(shù)字簽名。從服務(wù)功能上劃分，ESVS服務(wù)器可分為四個(gè)大模塊：1）配置與管理模塊由ESVS管理員使用，配置ESVS服務(wù)器參數(shù)和數(shù)據(jù)同步，并對(duì)相關(guān)帳戶、權(quán)限、日志及服務(wù)進(jìn)行管理。2) ESVS 主服務(wù)模塊 初始化必要的共享資源，比如共享內(nèi)存，日志服務(wù)等。3) 簽名驗(yàn)簽?zāi)K接收來自應(yīng)用服務(wù)器的簽名驗(yàn)簽請(qǐng)求， 并將簽名驗(yàn)簽結(jié)果返回給應(yīng)用服 務(wù)器。4) CRL 下載模塊 定期自動(dòng)下載 CRL ，并更新到配置數(shù)據(jù)庫(kù)中。二、ESVS 應(yīng)用 APIESVS 應(yīng)用

5、 API 為應(yīng)用系統(tǒng)提供簽名驗(yàn)簽服務(wù)的調(diào)用接口，它通過將簽名 驗(yàn)簽請(qǐng)求發(fā)送給 ESVS 服務(wù)器的方式實(shí)現(xiàn)對(duì)文件、表單數(shù)據(jù)的簽名驗(yàn)簽。三、ESVS 客戶端套件ESVS 簽名控件為一個(gè) ActiveX 控件，為客戶提供了基于瀏覽器的簽名驗(yàn)簽 操作，同時(shí)，它也可以驗(yàn)證來自 ESVS 服務(wù)器的簽名。簽名控件也可以支持?jǐn)?shù) 據(jù)壓縮功能。3 產(chǎn)品部署在產(chǎn)品的實(shí)際使用中， ESVS 簽名驗(yàn)簽服務(wù)器與業(yè)務(wù)系統(tǒng)并行部署，可以采 用內(nèi)部 CA 系統(tǒng)所簽發(fā)的證書，也支持第三方 CA 系統(tǒng)證書，產(chǎn)品部署示意圖如 下：外網(wǎng)辦公用戶外網(wǎng)辦公用戶東方中訊EZCAInternet-=、i CR列表CA服務(wù)器ESV簽名驗(yàn)簽服務(wù)器

6、Iweb服務(wù)器web!艮務(wù)器內(nèi)部辦公用戶內(nèi)部辦公用戶4產(chǎn)品功能產(chǎn)品功能主要包括了系統(tǒng)的配置管理和對(duì)外服務(wù)兩部分內(nèi)容4.1配置與管理4.1.1用戶管理系統(tǒng)用戶分為超級(jí)管理員、配置管理員、業(yè)務(wù)管理員、審計(jì)管理員。其中配置管理員、業(yè)務(wù)管理員和審計(jì)管理員由超級(jí)管理員創(chuàng)建和管理。配置管理員主要 完成配置管理模塊的功能配置，業(yè)務(wù)管理員主要是對(duì)應(yīng)用服務(wù)的管理， 審計(jì)管理 員主要是對(duì)系統(tǒng)和應(yīng)用的日志查詢和審核。管理員通過用戶名、密碼和證書聯(lián)合認(rèn)證成功才能登陸系統(tǒng)進(jìn)行操作，證書存放在usbkey中保存。系統(tǒng)必須在插入操作員管理KEY才能進(jìn)入系統(tǒng)4.1.2 配 置管理配置管理模塊必須由配置管理員登陸才能進(jìn)行操作，

7、 配置管理包括服務(wù)器證 書配置、 CA 證書配置、 CRL 配置、應(yīng)用信息設(shè)置、事件管理、配置信息導(dǎo)入導(dǎo) 出等功能。服務(wù)器證書配置簽名服務(wù)器可以設(shè)置多張簽名證書， 針對(duì)不同的應(yīng)用可以配置使用相同或不 同的簽名證書。簽名證書對(duì)應(yīng)的私鑰保存在服務(wù)器的加密卡上，通過 keyid 關(guān)聯(lián) 公鑰、私鑰以及對(duì)應(yīng)的證書。服務(wù)器證書配置包括生成 P10 證書請(qǐng)求、導(dǎo)入服務(wù)器證書、導(dǎo)出服務(wù)器證 書、查看服務(wù)器證書及刪除服務(wù)器證書。CA 證書配置CA 證書配置用來配置簽名服務(wù)器的受信任 CA 證書（多張 CA 證書可能形 成證書鏈），受信任 CA 證書是指簽名服務(wù)器所能接受的 CA 證書，他表明了簽 名服務(wù)器對(duì)那些

8、 CA 域是信任的，只有被簽名服務(wù)器所信任的 CA 簽發(fā)的客戶證 書，才能通過簽名服務(wù)器的驗(yàn)簽， 簽名服務(wù)器可以配置使用多條證書鏈， 即使用 簽名服務(wù)器的應(yīng)用系統(tǒng)可以同時(shí)使用多個(gè) CA 簽發(fā)的客戶證書。CA證書配置支持對(duì)證書的查看、CA證書的導(dǎo)入導(dǎo)出、CA的CRL和OCSP 站點(diǎn)的配置。CRL 配置CRL 信息的獲取可以采用自動(dòng)下載和手工導(dǎo)入兩種方式，簽名服務(wù)器同時(shí) 支持這兩種方式。如果在 CA 證書設(shè)置中配置好 CRL 發(fā)布點(diǎn)，簽名服務(wù)器可以 自動(dòng)下載 CRL 信息并將其導(dǎo)入數(shù)據(jù)庫(kù)中； 此外，管理員也可以通過 CRL 設(shè)置人 工導(dǎo)入 CRL 信息。支持手工導(dǎo)入證書吊銷列表、查看被吊銷的證書信

9、息、刪除 導(dǎo)入的被吊銷證書。應(yīng)用配置“應(yīng)用“是指使用簽名服務(wù)器簽名驗(yàn)簽功能的應(yīng)用系統(tǒng)，簽名服務(wù)器支持多個(gè) 應(yīng)用系統(tǒng)同時(shí)調(diào)用簽名驗(yàn)簽服務(wù)，這些應(yīng)用系統(tǒng)可以通過不同的服務(wù)端口來區(qū) 分，它們可以使用相同或不同的服務(wù)器簽名證書。應(yīng)用與服務(wù)端口、 簽名證書、時(shí)間戳服務(wù)以及受信任的證書鏈這幾者的關(guān)系總結(jié)如下:對(duì)應(yīng)關(guān)系一對(duì)一一對(duì)多多對(duì)一多對(duì)多應(yīng)用一服務(wù)端口VV應(yīng)用一簽名證書VVVV應(yīng)用一時(shí)間戳服務(wù)VV應(yīng)用一受信任的證書鏈VVVV備注：一個(gè)應(yīng)用可以配置一個(gè)默認(rèn)的簽名證書，但是應(yīng)用系統(tǒng)可以在API中指定簽名的證書。與應(yīng)用系統(tǒng)相關(guān)的參數(shù)包括：1）應(yīng)用名稱：標(biāo)識(shí)一個(gè)應(yīng)用。2）應(yīng)用服務(wù)器的IP地址：可用于鑒別應(yīng)用。3

10、）為應(yīng)用提供簽名驗(yàn)簽服務(wù)的簽名服務(wù)器 IP/PORT :簽名驗(yàn)簽服務(wù)端 口。4）應(yīng)用客戶證書的狀態(tài)檢查方式：包括不檢查，檢查CRL，檢查OCSP 當(dāng)選擇CRL檢查時(shí)，服務(wù)器會(huì)從導(dǎo)入的CRL里查找證書是否已經(jīng)被吊銷； 當(dāng)檢查OCSP時(shí)，服務(wù)器會(huì)通過配置的 OCSP站點(diǎn)信息連接到站點(diǎn)，通 過站點(diǎn)查找證書是否已被吊銷。5）簽名服務(wù)器與應(yīng)用服務(wù)器之間的安全模式：包括鑒別模式，通訊保 密模式等。6） 應(yīng)用使用的默認(rèn)簽名證書：可以通過 API指定簽名的證書，如果在 API中沒有指定簽名證書，那么會(huì)使用默認(rèn)簽名證書。7）應(yīng)用使用的時(shí)間戳服務(wù)器信息：如果在 API中指定使用時(shí)間戳，那 么會(huì)向這里配置的時(shí)間戳服

11、務(wù)器發(fā)起時(shí)間戳請(qǐng)求。應(yīng)用設(shè)置包括增加、刪除、修改應(yīng)用相關(guān)的配置信息。事件與日志配置對(duì)日志記錄方式，日志產(chǎn)生事件進(jìn)行設(shè)置，包括：1）日志記錄方式設(shè)置：a）本地?cái)?shù)據(jù)庫(kù)：在SVS服務(wù)器上保存日志（保存在 MYSQL數(shù)據(jù) 庫(kù)中），默認(rèn)選項(xiàng)。b）遠(yuǎn)程SYSLOG :將日志發(fā)送到指定的SYSLOG服務(wù)器，選擇本 選項(xiàng)需要配置 SYSLOG 服務(wù)器 IP/PORT 。c）遠(yuǎn)程服務(wù)器：指定專門的日志服務(wù)器IP/端口。2 ）選擇需要產(chǎn)生日志的事件，這些事件包括:管理員登錄退出，管理員配置， 簽名驗(yàn)簽操作， 錯(cuò)誤與異常等。 系統(tǒng)程序和數(shù)據(jù)庫(kù)中保存有一個(gè)事件表， 每個(gè)事 件被分配一個(gè) ID。數(shù)據(jù)備份及恢復(fù)數(shù)據(jù)備份是

12、容災(zāi)的基礎(chǔ)， 是指為防止自然或人為因素， 導(dǎo)致數(shù)據(jù)丟失， 而將 數(shù)據(jù)集合從簽名服務(wù)器主機(jī)的數(shù)據(jù)庫(kù)復(fù)制到其它存儲(chǔ)介質(zhì)的過程。數(shù)據(jù)恢復(fù)能夠在系統(tǒng)發(fā)生災(zāi)難性事件后最大程度恢復(fù)還原至事發(fā)前現(xiàn)場(chǎng)， 保 證服務(wù)能盡快恢復(fù)運(yùn)營(yíng)。數(shù)據(jù)備份對(duì)簽名服務(wù)器中數(shù)據(jù)庫(kù)中的所有配置信息、 用戶信息、日志信息進(jìn) 行壓縮加密存儲(chǔ)，通過配置的導(dǎo)出和導(dǎo)入進(jìn)行數(shù)據(jù)的備份和恢復(fù)。4.1.3 服務(wù)管理業(yè)務(wù)管理員負(fù)責(zé)開啟和關(guān)閉 ESVS 主服務(wù)、 CRL 下載服務(wù)、簽名驗(yàn)簽應(yīng)用 服務(wù)。4.1.4 日 志管理通常情況下， 簽名服務(wù)器所進(jìn)行的每一次操作 （包括管理操作和簽名驗(yàn)簽操 作）均應(yīng)產(chǎn)生一條或多條日志， 日志記錄了操作的主體以及操作的

13、成敗等相關(guān)信 息。簽名服務(wù)器日志記錄針對(duì)的對(duì)象是事件， 事件是簽名服務(wù)器程序在運(yùn)行過程 中所經(jīng)歷的成功或者失敗的處理與操作， 每個(gè)事件都具有重要程度標(biāo)識(shí)， 由高到 低，重要程度分為關(guān)鍵、重要、通知三個(gè)級(jí)別。 。日志由審計(jì)管理員進(jìn)行審查，審計(jì)管理員審查每條日志都需插入所持有的USBKEY ，審查的每條日志均由審計(jì)管理員對(duì)日志信息簽名保存4.2 對(duì)外服務(wù)ESVS 服務(wù)器的核心價(jià)值在于對(duì)外提供多種安全服務(wù)， 主要的服務(wù)包括如下 幾個(gè)方面：4.2.1 簽 名驗(yàn)簽raw 簽名/驗(yàn)簽： raw 簽名包內(nèi)容就是簽名結(jié)果本身。attached 簽名/驗(yàn)簽： attached 簽名包是一個(gè)包含原文數(shù)據(jù)，簽名者信

14、息等 相關(guān)簽名驗(yàn)簽信息在內(nèi)的標(biāo)準(zhǔn)的 PKCS#7 簽名包。detached 簽名/驗(yàn)簽： detached 簽名包格式與 attached 簽名包格式類似， 區(qū)別在于 attached 包中包括了原文，但 detached 包中不包括原文。4.2.2 制 作 /拆解數(shù)字信封數(shù)字信封分為兩類：普通的數(shù)字信封和帶簽名的數(shù)字信封。普通數(shù)字信封 ：是一個(gè)標(biāo)準(zhǔn)的 PKCS#7 數(shù)字信封。帶簽名的數(shù)字信封 ：帶簽名的數(shù)字信封實(shí)際上可以看作是 attached 簽名包 與數(shù)字信封的結(jié)合。4.2.3 證 書校驗(yàn)驗(yàn)證證書有效期、簽名驗(yàn)證、狀態(tài)、使用策略。4.2.4 證 書解析根據(jù)解析出的證書信息查詢數(shù)據(jù)庫(kù)中的證書，并匹配出加密卡中的私鑰4.2.5 安 全通信ESVS 服務(wù)器的通訊安全設(shè)計(jì)包括通訊雙方身份鑒別，通訊數(shù)據(jù)的保密性 / 完整性和抗重播等5產(chǎn)品特點(diǎn)（1）安全性高支持管理