1、精品文檔ESVS簽名驗簽服務器 技術白皮書Versio n 1.1精品文檔中訊亞太科技有限公司目錄1 前言 12 產品概述 22.1 產品簡介 22.2 組成框圖 23 產品部署 34 產品功能 44.1 配置與管理 44.1.1 用戶管理 44.1.2 配置管理 54.1.3 服務管理 74.1.4 日志管理 74.2對外服務 84.2.1 簽名驗簽 84.2.2 制作/ 拆解數字信封 84.2.3 證書校驗 84.2.4 證書解析 84.2.5 安全通信 85 產品特點 96 產品型號及技術指標 9/、八1 前言隨著社會信息化的發展，大量傳統業務逐漸過渡到以計算機、互聯網為代 表的“電子化

2、 ”時代，為確保這些經過 “電子化 ”后的商業或政務活動的有效性，電 子簽名應運而生。在 “電子化 ”的業務活動中，各參與方通過對應用系統中關鍵業 務信息進行簽名，來確保這些業務活動或業務信息的完整性和不可抵賴性。 PKI 技術是實現電子簽名的主要手段，隨著電子簽名需求的增多以及 PKI 技術的深 入發展，將分散在各應用系統中實現電子簽名的模塊獨立出來形成公用的電子簽 名服務平臺， 逐漸成為各級管理人員、 開發人員的共識， 簽名驗簽系統就是這樣 一個針對業務數據進行簽名驗簽的獨立的服務平臺。 使用簽名驗簽系統不但可以 有效地保障業務數據的完整性和不可抵賴性， 同時還能大大降低應用系統中實現 電

3、子簽名的復雜度，因此簽名驗簽系統可以被廣泛應用在電子政務、電子商務、 電子金融等各個行業中。2產品概述2.1產品簡介ESVS簽名驗簽服務器是一款支持多種算法的商用密碼應用設備，該設備主要應用在采用PKI安全體系的電子商務、電子政務系統和企業信息化中，為各 類系統提供數據簽名和驗簽、基于數字證書的身份認證、基于數字證書的加密和 解密等安全保護。2.2組成框圖簽名驗簽服務器及應用系統組成框圖如下:帶簽名的 業務數據I ESVS系統相關的部分各部分詳細描述如下:ESVS服務器（簽名驗簽服務器）ESVS服務器為一臺為不同的應用系統同時提供簽名驗簽服務的硬件服務器設備。它提供 Web管理界面實現對自身的

4、管理和審計。ESVS服務器通過請求OCSP服務器實時驗證證書狀態，或者自動下載CRL文件進行證書狀態驗證。 ESVS服務器可以與TSA服務器結合實現帶時間戳的數字簽名。從服務功能上劃分，ESVS服務器可分為四個大模塊：1）配置與管理模塊由ESVS管理員使用，配置ESVS服務器參數和數據同步，并對相關帳戶、權限、日志及服務進行管理。2) ESVS 主服務模塊 初始化必要的共享資源，比如共享內存，日志服務等。3) 簽名驗簽模塊接收來自應用服務器的簽名驗簽請求， 并將簽名驗簽結果返回給應用服 務器。4) CRL 下載模塊 定期自動下載 CRL ，并更新到配置數據庫中。二、 ESVS 應用 APIES

5、VS 應用 API 為應用系統提供簽名驗簽服務的調用接口，它通過將簽名 驗簽請求發送給 ESVS 服務器的方式實現對文件、表單數據的簽名驗簽。三、 ESVS 客戶端套件ESVS 簽名控件為一個 ActiveX 控件，為客戶提供了基于瀏覽器的簽名驗簽 操作，同時，它也可以驗證來自 ESVS 服務器的簽名。簽名控件也可以支持數 據壓縮功能。3 產品部署在產品的實際使用中， ESVS 簽名驗簽服務器與業務系統并行部署，可以采 用內部 CA 系統所簽發的證書，也支持第三方 CA 系統證書，產品部署示意圖如 下：外網辦公用戶外網辦公用戶東方中訊EZCAInternet-=、i CR列表CA服務器ESV簽

6、名驗簽服務器Iweb服務器web!艮務器內部辦公用戶內部辦公用戶4產品功能產品功能主要包括了系統的配置管理和對外服務兩部分內容4.1配置與管理4.1.1用戶管理系統用戶分為超級管理員、配置管理員、業務管理員、審計管理員。其中配置管理員、業務管理員和審計管理員由超級管理員創建和管理。配置管理員主要 完成配置管理模塊的功能配置，業務管理員主要是對應用服務的管理， 審計管理 員主要是對系統和應用的日志查詢和審核。管理員通過用戶名、密碼和證書聯合認證成功才能登陸系統進行操作，證書存放在usbkey中保存。系統必須在插入操作員管理 KEY才能進入系統。4.1.2 配 置管理配置管理模塊必須由配置管理員登

7、陸才能進行操作， 配置管理包括服務器證 書配置、 CA 證書配置、 CRL 配置、應用信息設置、事件管理、配置信息導入導 出等功能。服務器證書配置簽名服務器可以設置多張簽名證書， 針對不同的應用可以配置使用相同或不 同的簽名證書。簽名證書對應的私鑰保存在服務器的加密卡上，通過 keyid 關聯 公鑰、私鑰以及對應的證書。服務器證書配置包括生成 P10 證書請求、導入服務器證書、導出服務器證 書、查看服務器證書及刪除服務器證書。CA 證書配置CA 證書配置用來配置簽名服務器的受信任 CA 證書（多張 CA 證書可能形 成證書鏈），受信任 CA 證書是指簽名服務器所能接受的 CA 證書，他表明了簽

8、 名服務器對那些 CA 域是信任的，只有被簽名服務器所信任的 CA 簽發的客戶證 書，才能通過簽名服務器的驗簽， 簽名服務器可以配置使用多條證書鏈， 即使用 簽名服務器的應用系統可以同時使用多個 CA 簽發的客戶證書。CA證書配置支持對證書的查看、CA證書的導入導出、CA的CRL和OCSP 站點的配置。CRL 配置CRL 信息的獲取可以采用自動下載和手工導入兩種方式，簽名服務器同時 支持這兩種方式。如果在 CA 證書設置中配置好 CRL 發布點，簽名服務器可以 自動下載 CRL 信息并將其導入數據庫中； 此外，管理員也可以通過 CRL 設置人 工導入 CRL 信息。支持手工導入證書吊銷列表、查

9、看被吊銷的證書信息、刪除 導入的被吊銷證書。應用配置“應用“是指使用簽名服務器簽名驗簽功能的應用系統，簽名服務器支持多個 應用系統同時調用簽名驗簽服務，這些應用系統可以通過不同的服務端口來區 分，它們可以使用相同或不同的服務器簽名證書。應用與服務端口、 簽名證書、時間戳服務以及受信任的證書鏈這幾者的關系總結如下:對應關系一對一一對多多對一多對多應用一服務端口VV應用一簽名證書VVVV應用一時間戳服務VV應用一受信任的證書鏈VVVV備注：一個應用可以配置一個默認的簽名證書，但是應用系統可以在API中指定簽名的證書。與應用系統相關的參數包括：1）應用名稱：標識一個應用。2）應用服務器的IP地址：可

10、用于鑒別應用。3）為應用提供簽名驗簽服務的簽名服務器 IP/PORT :簽名驗簽服務端 口。4）應用客戶證書的狀態檢查方式：包括不檢查，檢查CRL，檢查OCSP 當選擇CRL檢查時，服務器會從導入的CRL里查找證書是否已經被吊銷； 當檢查OCSP時，服務器會通過配置的 OCSP站點信息連接到站點，通 過站點查找證書是否已被吊銷。5）簽名服務器與應用服務器之間的安全模式：包括鑒別模式，通訊保 密模式等。6） 應用使用的默認簽名證書：可以通過 API指定簽名的證書，如果在 API中沒有指定簽名證書，那么會使用默認簽名證書。7）應用使用的時間戳服務器信息：如果在 API中指定使用時間戳，那 么會向這

11、里配置的時間戳服務器發起時間戳請求。應用設置包括增加、刪除、修改應用相關的配置信息。事件與日志配置對日志記錄方式，日志產生事件進行設置，包括：1）日志記錄方式設置：a）本地數據庫：在SVS服務器上保存日志（保存在 MYSQL數據 庫中），默認選項。b）遠程SYSLOG :將日志發送到指定的SYSLOG服務器，選擇本 選項需要配置 SYSLOG 服務器 IP/PORT 。c）遠程服務器：指定專門的日志服務器IP/端口。2 ）選擇需要產生日志的事件，這些事件包括:管理員登錄退出，管理員配置， 簽名驗簽操作， 錯誤與異常等。 系統程序和數據庫中保存有一個事件表， 每個事 件被分配一個 ID。數據備份

12、及恢復數據備份是容災的基礎， 是指為防止自然或人為因素， 導致數據丟失， 而將 數據集合從簽名服務器主機的數據庫復制到其它存儲介質的過程。數據恢復能夠在系統發生災難性事件后最大程度恢復還原至事發前現場， 保 證服務能盡快恢復運營。數據備份對簽名服務器中數據庫中的所有配置信息、 用戶信息、日志信息進 行壓縮加密存儲，通過配置的導出和導入進行數據的備份和恢復。4.1.3 服務管理業務管理員負責開啟和關閉 ESVS 主服務、 CRL 下載服務、簽名驗簽應用 服務。4.1.4 日 志管理通常情況下， 簽名服務器所進行的每一次操作 （包括管理操作和簽名驗簽操 作）均應產生一條或多條日志， 日志記錄了操作

13、的主體以及操作的成敗等相關信 息。簽名服務器日志記錄針對的對象是事件， 事件是簽名服務器程序在運行過程 中所經歷的成功或者失敗的處理與操作， 每個事件都具有重要程度標識， 由高到 低，重要程度分為關鍵、重要、通知三個級別。 。日志由審計管理員進行審查，審計管理員審查每條日志都需插入所持有的 USBKEY ，審查的每條日志均由審計管理員對日志信息簽名保存。4.2 對外服務ESVS 服務器的核心價值在于對外提供多種安全服務， 主要的服務包括如下 幾個方面：4.2.1 簽 名驗簽raw 簽名/驗簽： raw 簽名包內容就是簽名結果本身。attached 簽名/驗簽： attached 簽名包是一個包

14、含原文數據，簽名者信息等 相關簽名驗簽信息在內的標準的 PKCS#7 簽名包。detached 簽名/驗簽： detached 簽名包格式與 attached 簽名包格式類似， 區別在于 attached 包中包括了原文，但 detached 包中不包括原文。4.2.2 制 作 /拆解數字信封數字信封分為兩類：普通的數字信封和帶簽名的數字信封。普通數字信封 ：是一個標準的 PKCS#7 數字信封。帶簽名的數字信封 ：帶簽名的數字信封實際上可以看作是 attached 簽名包 與數字信封的結合。4.2.3 證 書校驗驗證證書有效期、簽名驗證、狀態、使用策略。4.2.4 證 書解析根據解析出的證書信息查詢數據庫中的證書，并匹配出加密卡中的私鑰4.2.5 安 全通信ESVS 服務器的通訊安全設計包括通訊雙方身份鑒別，通訊數據的保密性 / 完整性和抗重播等5產品特點（1）安全性高支持管