xxXX市地方税务局CA中心解决方案

XXXXX市地方税务局CA建设方案建议Version 1.01 背景随着计算机技术特别是互联网技术的高速发展，人们的生活方式发生了前所未有的翻天变化，各企业/单位为了满意客户及提高办公效率而不断尝试使用计算机技术带来的新方法和新手段，向客户提供优质的产品和服务。近年来，大众对计算机和网络的认识逐渐加深，出现了许多的网络安全问题。截获网络数据、使用工具进行恶意攻击、非法冒充等现象常有发生，给社会的发展造成巨大危害及经济损失。如何保证网络接入、内部电子化办公的安全，如何保证人员身份的安全确认，如何有效防止敏感信息的泄密等已经成为现代信息网络社会发展的一个重要环节。基于CA认证技术的数字证书可以成功地解决网上用户身份识别、数据传递的安全性、完整性、不可抵赖性等安全问题，为税务信息门户提供了可靠安全的保障。针对税务机关建设税务信息门户、网上办税等对外纳税服务系统的相关安全需求，我们推荐把CA技术应用于此类系统，以确保其身份确认性及数据机密性，典型网络结构如下图所示：2 CA技术方案数字认证目前典型的实现方式有两种途径，一种是由权威的第三方独立认证机构为纳税人用户颁发数字证书，另一种是使用被认可的技术平台自行搭建一套专用的内部CA系统，并自行向用户签发数字证书。两种途径都采用权威的独立认证机构的根认证以保证证书的通用性。一般对此的选择主要基于投入回报的分析和业务管理的需要综合考虑。以下是两种方式的特点：n 第三方认证机构颁发证书为了确保税务信息门户的安全性，使用政府认可的权威CA中心的数字证书，纳税人的网上的商业活动才能收到法律的保护，而直接由第三方认证机构颁发证书更具有以下优点：1、第三方认证机构可以选用政府认可的专业权威认证机构，在运营方面有丰富的经验。2、可以省去购买软、硬件及专用线路的庞大开支。3、可以获得第三方认证机构全面的技术支持，只需提供一两个管理人员进行身份审核等工作。n 自建CA中心颁发证书税务信息门户也可根据自身的需求建设独立的CA中心，灵活性强，但应和第三方数字认证中心达成协议，XXXXX地税承担一定的法律责任，由XXXXX地税自行签发数字证书，证书的根仍属于第三方数字认证中心。与选用第三方认证机构颁发数字证书方式比较，自建CA中心颁发证书具有如下特点：1、向第三方数字认证中心购买独立的CA系统，可进行独立运作，一次性付款不需要支付年费。2、除了配置软件外，还要购买硬件，（如购买微机、服务器、加密机、加密卡、防火墙等），还应按照国际标准进行机房建设。2.1 第三方认证机构颁发证书2.1.1 原理以上图为例，企业和用户通过第三方权威CA认证机构广东CA建立信任关系，广东CA确保企业和用户双方身份的真实性，并为此做出承诺。利用这种关系无论企业还是用户都可放心地在网上进行交易，无需担心上当受骗。2.1.2 普通证书申请流程如果XXXXX地税选择第三方证书颁发机构，XXXXX地税只需和第三方数字认证中心签订RA代理协议为最终用户进行身份审核，其操作流程如上图所示。2.2 XXXXX地税自建CAXXXXX地税内部CA系统是一种设计灵活、功能强大的小型CA系统，用户可以根据不同的需求实现不同功能模块的定制。通过建设XXXXX地税内部CA系统，可以在系统内部实现自己维护管理CA系统，根据自己的业务需求签发数字证书。本CA系统可以通过专线直接接入到XXXXX地税，为纳税用户颁发数字证书。2.2.1 CA系统体系设计企业CA根证书：是企业CA的根结点，由SuperOrgCA签发，负责签发企业的各种证书。企业证书：是专门为用户提供的数字证书，以帮助用户在网络上表明身份、进行安全事务处理和安全交易操作。管理员证书：是专门为管理员提供的数字证书，以证明管理员的身份以及对管理员的操作进行签名。2.2.2 网络结构设计根据CA系统实际的需要，本方案采用防火墙与企业内部网隔离，以保证CA中心的数据安全，防火墙内需要部署以下的机器：数据库服务器：CA中心的应用系统是分布于不同的服务器中。由于数据库涉及到的数据运算量特别大，所以机器本身要采用双CPU的配置方式;考虑到数据库服务器的重要性，机器上的硬盘采用Raid1磁盘冗余阵列，预防硬件故障带来的灾难性后果；利用SQL Server 2000的备份功能实现每日的数据自动备份到硬盘上，实现阶段性数据的定期保存，不容易出现整个CA应用系统数据丢失的灾难性后果。加密机：用于存放CA密钥。CA控制台：通过网络与加密机通信，可以命令加密机利用其中的密钥签发各种不同的证书。业务统计服务器：向用户提供业务统计功能，需要结合数据库服务器一同工作。管理客户端：提供数据库、防火墙等的客户端功能。以上机器均不对本系统外的任何机器开放，以确保CA应用系统的安全性。CA和RA WEB服务器：向企业用户提供证书申请注册服务以及CRL下载，同时向企业RA点提供各种RA业务服务，需要结合数据库服务器一同工作。为提高稳定性和可用性，机器采用Raid1磁盘冗余。CA和RA服务器为实际对外服务用机，需对本系统外的任何机器开放。RA客户端：为用户提供RA服务。2.2.3 系统实现的功能接收并处理普通用户的X.509格式证书申请（PKCS10及Netscape KEYGEN标签格式）；支持多种审核策略（人工审核和在线审核）；证书管理，包括签发各类格式证书（支持X.509证书扩展域定制服务）、证书发布等；更新或废除证书，发布CRL；支持软硬件加密逻辑，提供强加密服务；证书查询下载服务；证书验证服务；业务统计服务：提供目前CA系统中各种业务数据。另外，为了加强对操作员的控制，系统集成了IC卡技术，在服务器端提供对系统管理员的认证和操作控制，加强了对管理环节的控制；在客户端提供以IC卡作为存储和保护数字证书以及敏感信息的载体，用户可以使用IE、Netscape等浏览器直接下载证书到卡中，在应用上支持SSL、S/MIME、软件签名、文档签名等多种安全Web应用。2.2.4 通用证书流程对不同的目标用户（如IE 客户端SSL证书用户、IIS服务器端SSL证书用户等）的整个申请、审批、查询、下载流程进行分析，可以确定系统的要素。一般来说，一个证书从申请到使用的流程如下：1、用户提交证书申请；2、RA管理员对用户审查，从而批准或拒绝用户申请；3、CA对已批准的用户申请签发证书；4、用户查询和下载证书。图：证书生命周期证书受理业务流程（供参考）：3 典型案例XXXXX科技具有丰富的CA集成经验，主要项目和合作CA如下：广东省国税信息门户（广东省数字认证中心）广州市国税网上办税（广东省数字认证中心）广州市地税网上办税（广东省数字认证中心）广州开发区一站式服务（广州市电子商务认证中心）江西省国税发票认证（江西省CA认证中心）武汉市地税网上办税（武汉CA认证中心）