| 出版日期:2000-12-25 总期号:984 本年期号:96 |
|
 |
安全系统:提供保障
一、安全方案简介 为了保障系统的安全,第五次全国人口普查数据处理系统采用了基于PKI体系结构的证书认证技术和SSL(Security Socket Layer)安全套接字技术,完成对系统用户的身份认证和网络传输数据的加密。数字证书认证,是指利用非对称密码技术对用户身份进行验证。SSL安全连接为用户和系统提供基于数字证书的双向身份认证和数据加密功能。 国家统计局设立CA(Certificate Authority)数字证书认证中心系统,省级统计局部署RA(Register Authority)系统,省级用户在访问人口普查数据处理网站之前,需要由本省统计机构填表注册,经省统计局确认身份后由国家统计局人口普查CA中心发放数字证书。国家统计局CA中心在数据处理正式开始之前为每个用户产生数字证书,并将证书保存在身份认证设备中,通过省、地市逐级发放到用户手中。用户在收到带有本人数字证书的身份认证设备之后,应首先在PC上安装身份认证设备和驱动程序,并在访问人口普查网站时插入本人的身份认证设备。安装在人口普查网站Web服务器上的SSL安全代理软件利用身份认证设备上的数字证书对用户进行身份验证,并在服务器和浏览器之间建立SSL安全通道,在安全通道中传输的数据都被加密。SSL代理服务器还提供权限控制功能,经过设置以后,省级用户只能访问本省的人口普查网站。安全系统数据示意图见图3。 二、数字证书和证书认证系统 数字证书 是用于验证信息传输各方身份的有效证明,同时也用于加密数据、防止抵赖和篡改。它通过证书验证和授权机构对证书持有人及其公开密钥的签名有效地建立关联。由于采用对称密码技术,利用同一套证书认证系统,可实现从PC登录、网络登录、网站访问、邮件系统访问到其他各种平台上应用系统的身份识别和权限控制,目前大部分架构在Internet平台上的应用系统都采用了证书认证系统。 证书认证系统结构 国家统计局证书认证系统是两级证书系统,即根CA和二级CA系统。根CA是所有应用的信任根,它负责为二级CA系统签发CA证书;二级CA系统负责给网站和用户签发数字证书,人口普查CA系统是第二级CA系统。整个证书认证系统包括CA服务器和RA服务器两部分。CA服务器用于根据用户的请求生成用户数字证书。RA服务器用于批准证书申请用户,在具体应用中,RA对用户的验证方式有所不同,所以RA系统与应用的关系十分密切。在人口普查数据处理系统中,CA服务器安装在国家统计局,各省RA管理员相应管理各省已经建立的RA服务器。 三、国家级安全系统结构 在国家统计局部署的安全系统主要包括CA服务器、国家级RA服务器、批量发证工具和SSL代理系统(见图4)。 图中:人口普查CA服务器是国家统计系统证书认证系统的二级CA系统,专门用于为人口普查数据处理系统的网站和用户签发数字证书。 国家级RA服务器用于省级管理员和不属于各省的用户的注册批准。 批量发证工具为每个用户产生数字证书并签发到身份认证设备中。 SS代理服务器用于在用户和国家级人口普查数据处理网站的安全连接。 四、省级安全系统结构 省级网络安全管理员使用RA服务器进行用户注册,并为数据处理系统安装配置,安装SSL代理系统。其应用关系见图5。 图中:RA服务器是省级管理员用于对用户身份进行注册验证的系统。省级管理员在对用户的真实身份进行验证后,通过RA系统将用户信息上报到设立在国家统计局的CA系统。 SSL安全代理服务器为Web服务器提供用户身份验证和数据加密。 在人口普查的安全系统中,最终用户可以通过浏览器访问人口普查网站,进行查询和数据处理。由于系统对用户基于数字证书的身份认证,所以用户必须使用身份认证设备并申请数字证书,才能访问人口普查数据处理网站。身份认证设备是用于保存用户的数字证书和私有密钥的可携带的小型硬件装置,主要有IC卡和iKey两种。在国家统计局系统中,IC卡采用的是Gemplus公司的GPK8000,并采用GemPC410读卡器。
|
|||||||||||||||||||||||||||||||||||||||||
