文档介绍：该【全国移动警务PKI空中发证技术方案 】是由【1781111****】上传分享，文档一共【19】页，该文档可以免费在线阅读，需要了解更多关于【全国移动警务PKI空中发证技术方案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..全国移动警务PKI空中发证技术方案1页|共19页:..录一、前言...............................................................................................3二、目标任务..........................................................................................................................................................................................................................................................4三、总体设计.............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................9四、功能设计.....................................................................................................................................................................................................................................................................................................................................................................................................................17五、运维管理.....................................................................................172页|共19页:..各地现有移动警务PKI系统在进行证书管理时,终端密码模块以加密TF卡为主,普遍采用集中人工手动管理方式进行,移动警务数字证书制发管理流程复杂,特别是在进行证书申请、更新、延期等操作时,问题尤为突出。随着新一代移动警务PKI系统的部省两级架构和终端内置密码芯片等新型终端密码产品的出现,给证书和终端密码产品的管理带来了更大的挑战。为解决上述问题,根据公安部《全国公安移动警务建设总体技术方案(2016版)》和《新一代公安移动警务PKI系统建设方案》中的相关要求,鉴于新一代公安移动警务PKI体系需要实现全国统一管理,针对数字证书管理过程中面临的实际问题,特制定本方案对空中发证技术方案进行统一规范。二、目标任务总体目标根据公安部《全国公安移动警务建设总体技术方案(2016版)》和《新一代公安移动警务PKI系统建设方案》中构建全国“统一架构、统一标准、统一管理”新一代公安移动警务PKI体系的要求,规范数字证书在线管理流程,实现移动警务证书的在线制发和管理,建立快捷、安全的移动警务证书制发体系,确保移动警务数字证书在线管理安全。3页|共19页:..(1)规范移动警务PKI空中发证系统的技术实现。对移动警务PKI空中发证系统的组成、网络部署、空中发证流程和系统的安全性设计等进行统一规范和要求,保障空中发证系统的可用性和安全性。(2)建设新一代移动警务PKI空中发证系统。依托公安移动信息网和部、省两级的公安移动警务PKI系统,建设新一代移动警务PKI空中发证系统,实现对移动警务数字证书的在线管理。(3)升级改造移动警务PKI系统。对已有和在建的移动警务PKI系统进行升级改造,增加对移动警务PKI空中发证系统的支持。、管理,提供快捷、安全的移动警务证书制发能力。本方案主要围绕移动警务警员PKI空中发证进行说明。移动警务辅警的PKI空中发证,待移动警务辅警PKI体系建设成熟后,可参照移动警务警员PKI空中发证建设。、空中发证服务、身份识别认证服务器组成,结合位于公安信息网的移动警务PKI系统和终端的密码模块,实现高效的移动警务证书管理。4页|共19页:..1所示。空中发证空中发证客户端服务PKI系统身份识别终端密码模块认证服务图1移动警务PKI空中发证系统示意图空中发证客户端负责采集用户与终端信息、发起证书操作请求、解析证书操作响应和调用密码模块实现移动警务证书的各项管理功能等。空中发证服务提供接收空中移动警务证书操作请求、调用身份识别认证服务实现对用户真实身份的识别认证,与移动警务PKI系统通信实现证书的各项管理功能。身份识别认证服务提供人员的身份识别认证接口,基于居民身份证和人像等生物特征实现人员身份的识别和认证功能,和实现对终端的认证(可由移动警务平台中的其他组成部分完成对终端合法性的认证,如终端可信系统、终端管控系统和网络接入控制系统等)。认证信息的来源包括单独建立和维护的用于存储人员信息、终端信息、SIM卡等信息的信息库,或警务平台已有的各类信息库等。移动警务PKI系统提供在线证书管理接口供空中发证服务使用,实现证书的管理和警务人员证书申请权限的管理维护等。5页|共19页:..为空中发证客户端软件提供各项密码功能,实现证书和密钥的安全存储与使用。其中,一般受控终端应配备基于硬件密码产品或基于TEE(可信执行环境)技术的安全软件密码产品;增强受控终端应基于硬件密码产品实现各类密码功能。网络部署移动警务PKI空中发证系统部署区域涉及移动警务移动终端、公安移动信息网和公安信息网。具体的网络部署位置,如表1所示。表1网络部署表系统组件部署区域通信关联空中发证移动警务终使用终端本地接口调用终端密码模块;通客户端端过专用APN接入点,访问空中发证服务终端密码移动警务终对外提供接口供空中发证客户端软件使模块端用。空中发证公安移动信经过APN向空中发证客户端软件提供服服务息网务;跨区域访问移动警务PKI系统;与身份识别认证服务器实现互联访问。身份识别公安移动信提供身份识别认证接口供空中发证服务认证服务息网访问。移动警务公安信息网提供证书管理接口供空中发证服务访问。PKI系统6页|共19页:..PKI空中发证系统的各组成部分涉及多个网络,相互之间的通信需要经过多个网络安全设备,部署时需要在相关的终端、服务器和网络设备上进行必要配置,实现通信时需要经过网络接入控制、边界隔离防护等安全防护设备的认证和管控。系统的逻辑网络示意图,如图2所示。户端VPDN专网身份识别认边界防移动警务防火墙护设备证服务器PKI系统统一认证授权通信保护设备密码模块空中发证服务器/,数字证书的申请和签发依照国密局相关标准执行。本章节主要考虑对空中发证业务中存在的安全风险进行安全防护,解决空中发证带来的身份识别认证和数据通信安全问题。身份识别认证,空中发证系统应有效识别和认证使用空中发证客户端软件进行证书操作的人员的真实身份。在配合终端可信、终端管控和网络接入控制等系统保证移动警务终端合法性的同时,对人员的7页|共19页:..,以保证只有合法的人员使用合法的终端才能进行证书操作。数据通信安全,空中发证服务部署在公安移动信息网,因此需要保证空中发证服务与空中发证客户端之间、空中发证服务与移动警务PKI系统之间的通信数据的安全性。安全机制人员远程身份识别认证,相关人员使用空中发证客户端软件向空中发证服务发起证书申请、更新等操作时,应进行远程身份认证。当终端不具备合法数字证书时,远程身份认证应使用居民身份证、人像等生物特征识别技术组合实现,对居民身份证信息的采集宜采用读取身份证芯片的方式实现,保证证件的真实合法性。当终端具备合法数字证书时,可基于数字证书实现远程身份认证。人员本地身份识别认证,相关人员对已下发的证书进行证书更新、证书废弃和其他管理操作时,应进行本地身份识别认证。人员本地身份识别认证使用PIN码、图形密码或指纹等生物特征识别技术中的一种或多种实现。通信数据保护,空中发证系统各组件之间的通信数据应进行加密传输,通信过程中禁止传输签名私钥,证书请求等应使用签名私钥进行签名保证数据的完整性和不可抵赖性,加密私钥的下发应使用终端公钥和临时通信密钥进行加密保护。8页|共19页:..、SM3、SM1/SM4等算法。以上述算法为基础,系统支持签名验签、加解密和数据校验等功能。SM1/SM4算法用于保护通信双方之间的各类敏感数据和密钥信息等;SM2算法主要用于实现签名/验签、对称密钥保护和数字信封等功能;SM3算法可生成数据摘要,用于消息完整性认证和供数字签名使用等。上述算法主要在公安移动警务PKI系统和移动终端密码模块中使用,用于签名密钥对生成、加密密钥对生成、通信密钥生成、数字签名验签和加解密等。,在实现过程中使用到了大量不同类型的密钥。密钥的类型包括非对称密钥和对称密钥,其中非对称密钥主要有移动警务CA签名密钥对、服务器签名密钥对、移动警务终端签名密钥对和加密密钥对;对称密钥主要是临时通信密钥。系统中涉及到的各类密钥除临时通信密钥外,其使用范围不限于本系统内使用,将用于保护后续开展的各类移动警务业务。以上密钥的管理应按照国密局数字证书相关标准进行维护管理。9页|共19页:..公安移动警务PKI空中发证系统为了能够满足各项安全需求,提供密码计算、保证密钥的安全性等,使用到了大量的密码产品。系统中可能涉及到的商用密码产品主要有:数字证书系统、加密卡、加密机、密码芯片、加密TF卡、智能密码钥匙、加密IC智能卡和其他密码模块等。以上商用密码产品应采用经国密局批准的密码产品,并根据具体的移动警务安全需求分别采用不同级别和类型的密码产品。相关密码产品的具体使用要求如下:服务器及后台系统中的密码产品应根据公安移动信息网、公安信息网的安全等级要求和实际的业务需要,采用相应的硬件或软件密码产品,私钥应实现安全生成、存储、管理、使用和销毁,临时对称密钥应使用后即销毁。移动警务终端应根据不同安全级别和所访问服务及网络的级别,采用相应的密码产品实现对密钥的安全生成、存储、管理、使用和销毁:一般受控终端应基于硬件密码产品或基于TEE(可信执行环境)技术的安全软件密码产品,实现各类密码功能,私钥应在硬件或TEE内安全存储和使用;增强受控终端应基于硬件密码产品实现各类密码功能,私钥应在硬件密码产品中存储和使用。10页|共19页:..移动警务PKI空中发证系统实现了移动警务证书的在线管理,提供了快捷、安全的移动警务证书制发能力。系统提供的主要功能包括:(1)证书申请:指用户通过空中发证客户端软件发起证书的申请操作,请求系统签发用户证书。当用户尚未申请证书、用户证书已过期或用户证书被吊销废弃后,可进行数字证书申请操作,当用户证书丢失时,应首先通知管理员进行证书吊销废弃操作后,才能进行证书申请;(2)证书更新:指用户通过空中发证客户端软件发起证书的更新操作,请求系统签发新的用户证书替换原有证书。当用户证书临近有效期时,可进行证书更新操作,用户原有证书过期后,不能进行证书更新操作。此外,空中发证系统还可以根据实际情况,有条件的支持证书吊销废弃申请、证书信息更新申请等操作。上述功能的发起由用户使用空中发证客户端软件实现,在进行操作时,客户端软件应首先采用人员本地认证机制对用户的身份进行认证,包括要求用户输入PIN码、图形密码或指纹等生物特征信息,只有认证通过后,用户才能发起上述空中发证系统的各项功能。、用户证书已过期或用户证书被吊销废弃后,11页|共19页:..证书申请操作是空中发证系统最主要的功能之一,是用户首次获取证书和证书无效后再次获取证书时,应进行的操作。(1)证书申请的一般流程证书申请的实现过程涉及的对象包括:移动终端上的空中发证客户端和密码模块、移动警务平台侧的空中发证服务、身份认证服务器和移动警务PKI系统,涉及的网络包括运营商的APN无线专用链路、公安移动信息网和公安信息网。证书申请的具体流程,如图3所示:包含密码模块的定制移动警务终端公安移动信息网(II类)类)操作空中发证客终端密码模空中发证身份认证识移动警务户端块服务别服务PKI系统警务人员1--、身份证终端信息申请权限和人像等生等3--,认证空中发证系统身份,发送证书申请(包含身份证和生物特征信息).返回用户证书(包含受保护的加密私钥)(包含受保护的加密私钥)、密钥图3移动警务PKI空中发证系统证书申请制发流程1)移动警务PKI空中发证系统管理员将人员终端等信息导入系统,并审批和设置警务人员的证书申请权限;2)移动警务终端侧的空中发证客户端采集身份证信息、人像等生物特征和终端信息等;3)空中发证客户端调用终端的密码模块请求生成签名密钥对后,12页|共19页:..4)移动警务终端通过移动警务专线接入公安移动信息网,空中发证客户端发送证书请求消息(消息中包含步骤2采集的身份证信息、人像等生物特征信息等信息,以及步骤3中生成的证书申请);5)空中发证服务调用身份认证识别服务对收到的身份证信息和人像等生物特征信息进行识别认证,确认证书申请者的真实身份;6)空中发证服务请求移动警务PKI对本次证书申请操作进行审核,如果用户具有申请移动警务数字证书的权限,则批准本次证书申请;7)空中发证服务器提交证书申请至公安信息网的移动警务PKI系统;8)移动警务PKI生成加密密钥对和对应的加密数字证书,并按国密局相关标准要求对加密私钥进行加密保护,生成移动警务签名数字证书和加密数字证书,组成并返回最终的证书响应消息至空中发证服务器;9)空中发证服务器将证书响应(包含签名证书和加密证书,受保护的加密密钥对)发送至空中发证客户端;10)空中发证客户端解析证书响应,将得到的签名证书、加密证书和受保护的加密密钥对导入终端密码模块,密码模块对导入的证书和密钥对进行认证,认证成功后保存在终端密码模块中,并返回结果至空中发证客户端,流程结束。13页|共19页:..密证书等信息存储在终端密码模块中(一般受控终端存储在硬件密码产品或基于TEE的安全软件密码产品内;增强受控终端存储在硬件密码产品内)。(2)证书申请的身份识别与认证当系统接收到证书申请的请求消息时,首先应进行身份认证,身份认证识别服务器根据用户身份证信息、用户的活体人像等生物特征识别信息对用户真实身份进行识别认证,只有通过身份认证识别服务器的识别认证,确认人证信息一致后,才能进行移动警务数字证书的申请。确保只有合法的用户使用合法的终端获得与用户信息一致的证书。(3)证书申请过程中的消息保护证书申请过程中的主要消息包括:证书申请消息和用户证书响应消息。证书申请过程中的通信消息应实现加密传输,保证通信过程中信息的安全性,防止用户信息泄露。证书申请消息和证书响应消息及通信流程应符合国密局关于证书认证系统的相关规定和公安部关于移动警务PKI系统的规定,包括:签名私钥不能导出、证书申请消息需采用签名私钥签名、证书响应消息应包含双证(签名证书和加密证书)、证书响应消息中携带的加密私钥应采用签名公钥和临时对称密钥进行加密保护等。14页|共19页:..当用户的移动警务数字证书临近有效期时,应进行数字证书的更新操作。证书更新操作是空中发证系统最主要的功能之一,是用户获取证书经过正常使用一定时间后再次获取证书时,应进行的操作。(1)证书更新的一般流程证书更新的实现过程涉及的对象包括:移动终端上的空中发证客户端和密码模块、移动警务平台侧的空中发证服务和移动警务PKI系统,涉及的网络包括运营商的APN无线专用链路、公安移动信息网和公安信息网。证书更新的具体流程,如图4所示:包含密码模块的定制移动警务终端公安移动信息网(II类)类),实现双方的身份认证,,-,(包户签名证书和含受保护的加密密钥对)(包含受保护的加密密钥对)(包括导入受保护的加密密钥对)图4移动警务PKI空中发证系统证书更新流程1)空中发证客户端与空中发证服务器建立安全连接保证后续通信的私密性和完整性,安全连接建立过程中,客户端和服务15页|共19页:..2)空中发证客户端调用终端密码模块生成新的签名密钥对,获取签名公钥信息;3)空中发证客户端组装生成符合国密局要求的证书更新请求消息,生成过程中调用终端密码模块使用签名私钥进行签名;4)移动警务终端发送证书更新请求消息至空中发证服务器;5)空中发证服务请求移动警务PKI对本次证书更新操作进行审核,如果用户具有更新证书的权限,则批准本次证书申请;6)空中发证服务器提交证书更新请求至公安信息网的移动警务PKI系统;7)移动警务PKI生成加密密钥对和对应的加密数字证书,并按国密局相关标准要求对加密私钥进行加密保护,生成移动警务签名数字证书和加密数字证书,组成最终的证书响应消息;8)移动警务PKI系统返回证书响应消息至空中发证服务器;9)空中发证服务器将证书响应(包含签名证书和加密证书,受保护的加密密钥对)发送至空中发证客户端;10)空中发证客户端解析证书响应,将得到的签名证书、加密证书和受保护的加密密钥对导入终端密码模块,密码模块对导入的证书和密钥对进行认证,认证成功后保存在终端密码模块中,销毁原有证书和密钥对,并返回结果至空中发证客户端,流程结束。证书更新流程结束后,最新的证书和密钥对等信息存储在终端密码模块内(一般受控终端存储在硬件密码产品或基于TEE的安全软16页|共19页:..。(2)证书更新的安全设计证书更新过程中的消息保护和安全管控与证书申请过程类似,消息及通信流程应符合国密局关于证书认证系统的相关规定和公安部关于移动警务PKI系统的规定。证书更新流程中的身份认证通过验证数字证书的合法性实现,只有具备合法证书才能完成身份认证,进行证书更新,由空中发证系统生成并签发新的用户证书。其他功能证书废弃申请、证书信息更新申请等管理功能的实现流程可参照证书更新流程实现,也应具备相关的安全设计。证书废弃操作完成后,如用户后续重新需要使用数字证书,应进行证书申请操作完成数字证书的获取。此外,当用户证书发生丢失等异常情况时,应及时通知系统管理员对证书进行手动吊销废弃后,进行证书申请操作完成数字证书的再次获取。(1)管理体系移动警务数字证书空中发证系统的管理权限应实施分级管理,向证书申请的各级单位的证书管理人员进行分级授权,各级单位的证书17页|共19页:..负责导入维护证书管理所需的各类信息,并保证信息的准确性、完整性;负责进行各类请求的人工审核和审批;负责实施证书的人工手动冻结、解冻和吊销废弃等操作。移动警务数字证书空中发证系统应实现对管理人员的身份认证功能和权限管理,在管理人员登录系统时,对管理人员的身份进行有效认证和操作权限管理,防止出现身份伪装、***或越权操作等攻击;系统应实现管理过程中通信的安全性,保证通信过程中的内容不被窃取、伪造或重放攻击等。在实现空中发证时,可根据需要将证书与用户姓名、身份证号、手机串号、SIM卡号、手机号码和密码安全模块标识等信息进行关联绑定管理。(2)访问安全管控移动警务数字证书空中发证系统应应加入必要的安全管控机制,防止系统资源被非法占用和恶意攻击等。通过安全管控,动态识别证书请求中的非法请求、异常请求和恶意请求,并进行有效拦截,保证空中发证系统的正常运行。(3)运行监控和异常告警移动警务数字证书空中发证系统应具备运行监控和异常告警能力。系统应能够监控自身的运行状态,配合网络中的外部运行监控系统,当运行出现故障或异常时,能够及时报告;在发生异常需要人工干预时,系统应能够根据管理配置信息,向系统管理员发送告警信息,请求人工介入。18页|共19页:..应及时对系统的运行状态进行检查,根据系统运维手册进行必要的维护或联系厂家尽快实施检修。(4)系统日志与安全审计移动警务数字证书空中发证系统访问必须具备安全审计功能。系统中保存的移动警务数字证书制发、更新、废弃等操作记录和访问认证记录,用户及管理员的访问和操作行为等日志信息留存时间不得少于三年。(5)安全和操作培训移动警务数字证书空中发证系统使用之前,应对参与运维管理的各单位的相关管理人员进行上岗前的专门安全和操作培训;各单位的管理人员应对系统的普通用户(通过系统进行空中证书管理的警员等)进行上岗前专门安全和操作培训。(6)机构人员信息对接移动警务发证系统应实现与组织机构、人员信息管理等库的对接,在机构、人员发生变化时,及时冻结、吊销废弃用户证书,并及时通知用户进行更新等操作;在证书签发时,应与组织机构、人员库对比,拒绝非法的证书请求。19页|共19页