人力资源和社会保障省级RA系统——支持第三代社保卡证书发放建设方案

发布日期：2020-11-01　来源：惟望科技　浏览次数：2707

【导读】：省级电子认证系统建设（RA模式），主要包括证书注册管理系统（RA）、在线证书状态查询系统（OCSP）、目录服务系统（LDAP）、密码机、证书注册管理前置机，证书在线自助服务系统、统一验证系统等，为该辖区内的用户和应用系统提供数字证书的申请注册、审核、下载、注销、统计、管理等服务。

第1章建设目标与任务

1.1 建设任务

1.省级电子认证系统建设。严格以人力资源社会保障电子认证根系统为行业信任源点，建设省级电子认证系统，实现与部电子认证系统的统一规范建设。

2.电子认证应用集成。对所有使用数字证书的业务系统，完成基于SM2算法数字证书集成应用改造，为业务系统提供身份认证、签名验签和数据加解密等应用安全支撑，积极推动国产密码算法在人力资源社会保障业务中的应用。

第2章总体设计

2.1 总体布局

人力资源社会保障电子认证系统由部、省级两级电子认证系统组成，总体布局如下图所示。

图 1 人力资源社会保障电子认证系统总体布局

2.2 逻辑结构

省级电子认证系统建设（RA模式），主要包括证书注册管理系统（RA）、在线证书状态查询系统（OCSP）、目录服务系统（LDAP）、密码机、证书注册管理前置机，以及证书在线自助服务系统、统一验证系统等（各系统的功能和组成详见第4章），为该辖区内的用户和应用系统提供数字证书的申请注册、审核、下载、注销、统计、管理等服务。

证书注册管理系统软件和数据库分别部署在不同的服务器上，在线证书状态查询系统软件及其数据库部署在同一台服务器上，目录服务系统部署在一台服务器上；证书在线自助服务系统以及统一验证系统的软件和数据库分别部署在不同的服务器上。

省级电子认证系统网络拓扑结构如下图所示：

图 2 省级电子认证系统网络拓扑结构

第3章证书应用集成

3.1 证书应用安全策略

证书应用集成是电子认证体系建设的一项关键内容，重点应对人力资源社会保障重要信息系统提供应用安全支撑，包括身份认证、数据加密解密、基于数字签名验签的防抵赖等基本证书应用安全功能。具体策略为：

1.对重要应用系统应提供数字证书身份认证功能。

2.对公共服务网业务应用系统，服务对象为特定用户，应提供数据加密解密功能。

3.对于业务模式为交易类和报送业务类的重要应用系统，应提供基于签名验签的防抵赖功能。

3.2 证书应用集成总体技术框架

证书应用集成的总体框架如下图所示。

图 3 人力资源社会保障证书应用总体技术框架

人力资源社会保障应用系统通过调用高级应用接口，与密码设备交互，以完成基于数字证书的安全应用。

3.3 证书应用集成方式

证书应用集成指的是，根据应用系统的安全需求，对人力资源社会保障应用系统软件进行二次开发，并在服务端和客户端部署相应的控件库和设备驱动，以实现证书应用安全功能。

服务器端和客户端证书应用接口应符合《人力资源和社会保障电子认证体系第4部分：证书应用管理规范》（LD/T 30.4-2009）。

3.3.1 证书应用集成方式一

根据服务器端证书应用安全服务的提供方式，可分为直接调用应用密码机和调用统一验证系统两种情况。其中，第三代社保卡证书应用主要通过调用统一验证系统的方式实现。

（1）应用密码机方式

基于应用密码机的电子认证集成结构如图 4所示。

图 4 应用集成结构一（应用密码机方式）

此应用集成方式，具体的安装配置内容如下所示。

1）证书客户端

证书客户端应安装客户端控件和证书载体USBKey驱动程序。客户端控件是基于基础安全接口开发的高级接口包，主要为客户端软件提供读取证书载体中信息和调用密码运算的功能。

2）应用服务器

应用服务器上安装证书认证软件包（服务端证书应用接口软件）及CRL同步程序，并存储CA证书和设备证书。证书认证软件包主要为嵌入在应用系统的证书应用模块提供身份认证、加密解密和签名验签的功能调用，以及访问应用密码设备的密码运算服务, 形态上分为C语言的动态库文件或Java语言的Jar包。CRL同步程序定时从证书发布及状态查询系统下载CRL文件。

3）应用密码机

应用密码机中存储应用服务器的设备私钥，为应用服务器提供密码运算服务，与应用服务器应部署在同一网段。

（2）统一验证系统方式

基于统一验证系统的电子认证集成结构如图 5所示。