一、需求分析

     近几年来，随着我国信息化建设的快速发展，各级党政机关的办公网络和电子政务网络建设初具规模，各类应用、管理软件日趋丰富、完善，通过网络处理的各类信息越来越多。在这些信息通过各种专用网络或公用网络传输处理过程中，信息的机密性、真实性、完整性、不可抵赖性等问题就显得越来越重要。
    在党政机关的办公网络和电子政务建设中，普遍存在着：资金少、人员少、终端节点分布地域广等问题。为了实现联网，传统县和乡镇、部门的办公网络大部分情况下采用了速度较慢的电话拨号、或费用较高的专线方式实现，虽然在一定程度上解决了一些网络安全问题，但是缺点是显而易见的，不是使用费用高就是网络速度低。尽管目前县、乡各级党委、政府和所属部门单位基本实现了互联网络的接入，可以用较低的费用提供较高速率的物理链路，但是作为办公网络使用则存在着安全的问题。
    在非涉密电子政务网络应用中使用商密产品，为解决电子政务网络安全通信提供了一种新的安全解决方案。在利用现有互联网链路的基础上通过商密产品对传输的数据进行加密、签名，既解决了网络链路费用和速度的问题，又提高了网络通信的安全性，并可以彻底解决传输信息的机密性、真实性、完整性和不可抵赖性。
    我们在公司原有电子政务系统和电报处理系统等软件产品的基础上，通过增加密钥管理子系统，利用商用密码产品提供的数据加密、数字签名、验证等功能，开发了一套可以利用互联网络作为物理链路的实现加密通讯、完成信息安全传输的安全通信系统。
    该系统在方案设计过程中充分考虑了县乡实际应用环境特点，体现了安全性、易用性、先进性、高效性、适用性、完善性、扩展性、开放性等设计原则，在满足目前电子政务安全通信基本需求的基础上，构建了一个功能完善、具有良好扩展能力和适应能力的安全通信支撑平台。

    该系统已通过国密局鉴定，产品型号为：SJY125县乡公文传输系统。

二、系统特点

（一）安全可靠
1、安全的密钥管理方案
    基于PKI技术的密钥管理方案，通过引入离线运行（物理隔离）的密钥管理子系统，在密钥管理中心和安全通信中心采用相对独立的密码钥匙（SSIK和SAUK）、在客户端采用了双密钥机制的方案，大大提高了系统的安全性。
2、安全、合理的密码应用方案
    系统中采用了安全、合理的密码应用方案，在信息传输中灵活运用数据加密、签名和数字信封等技术，实现了信息的安全传输和安全保存，保证所传输信息的机密性、完整性、真实性和抗抵赖性。
3、合法的加密算法和硬件
系统中全部采用国密办认可的算法和硬件密码设备，保证了加密的有效性和合法性。
4、离线处理信息明文
    考虑到数据安全性和操作的方便性，系统提供了自动离线、上线功能。在处理信息明文时，系统自动将客户端与网络逻辑断开，处理完毕后自动恢复连接。
5、综合安全防护体系
    通过服务器端和客户端配置软件或硬件的防火墙、防病毒、服务器存储加密数据、所有客户端私钥不可导出智能密码钥匙等措施，提供了一个完整的安全通信平台。
（二）简便易用
1、安装简便
    由于客户端为纯网页应用，客户端的安装维护简便，而且使用习惯和浏览普通网页完全相同，客户端的维护工作量非常小。
2、操作简便
    整个应用系统的界面设计和通常的Web电子邮件非常相似，友好的界面和方便的操作结合，最大限度地降低对客户端用户的操作难度。
3、管理简便
    通过采用简化的CA密钥管理方案，在保证系统安全性、不增加中心用户管理工作量的基础上，提供了完整的、安全的、灵活的密钥管理中心功能。
4、密钥升级简便
    为了解决客户端的信息和加密密钥更新问题，系统提供了操作便捷、安全可靠的网上更新功能，大大减轻了客户端密钥更新的工作量，提高了系统的安全性。
5、应用升级简便
    由于整个应用代码驻留在服务器上，可以方便的通过升级服务器应用使所有客户端自动升级。
6、手机短信催收
    对于所发信息系统可以根据管理员根据不同紧急程度设定的催收策略进行手机短信催收，管理员可以灵活定义多种手机催收策略和催收间隔。
（三）技术先进
    先进的多层应用体系结构，支持.Net应用技术架构。在增强了系统扩展能力和适应能力的基础上，大大降低了终端客户操作使用和维护的难度，也为系统功能扩展留下巨大空间。
    支持面向服务的应用架构协议（SOAP），支持XML方式的数据交换、数据验证、元数据存贮等功能。
（四）高效性能
1、高效的密钥管理
    通过引入专门设计的密钥管理子系统，通过在客户端智能密码钥匙中写入多个对不同范围信息进行绑定的数字签名，可以满足多种签名验证的需求，避免由于单一数字证书带来的公钥传输效率问题和各种数字签名验证效率问题。
2、高效的数据存贮和分发
    由于采用了数据库方式存贮加密数据，在解决一对多的数据发送时，可以采用一份加密数据和多份密钥数字信封结合的方法解决多方接收数据的问题，避免了电子邮件系统将加密数据也复制多份的数据冗余，提高了数据存贮的效率。
3、高效的加解密性能
    通过引入高速智能密码钥匙，可以高速完成RSA、SCB2等算法。采用SCB2加解密数据的速度高达1M比特/秒。
（五）功能完善
1、实时通信
    采用了基于数据库存贮的信息发送接收方式，具有良好的实时性能，彻底避免了电子邮件系统传输的延迟和误差。
2、实时完善的监控、统计功能
    对于所发信息可以进行实时监控，查看签收情况；基于数据库系统的统计功能，可以方便统计指定时间内的发送、签收、签收延误时间等数据。
3、网络安全存储
    作为扩展功能，可以为每个用户在服务器上提供可控容量的安全存储空间，用户可以将个人敏感数据加密保存在服务器上。由于服务器上可以提供完善的Raid、UPS、磁带备份等硬件冗余技术，可以大大减轻客户端数据备份的负担。
4、数据统计检索
    由于采用数据库存贮的方式，大大提高了数据统计和查询功能，完成高效、准确的数据统计、数据检索功能。
5、严格的身份认证
    使用基于PKI技术的数字签名技术进行身份认证，保证了客户端和服务器端的双向安全认证，彻底避免了非法用户入侵的可能性。
6、严密、安全的审计功能
对所有用户的操作进行详细登记，可以对用户操作行为进行查询和验证。
（六）适用广泛
1、良好的网络适应能力
    系统运行在TCP/IP网络中，可以支持因特网、专线网、拨号网等各种网络环境下。
2、良好的软件适应能力
    客户端可以运行在现有所有的Windows操作系统下，包括Windows 98/Me/2000/XP/2003等操作系统。
3、良好的硬件适应能力
    客户端对运行环境的硬件没有任何特殊要求，具有良好的适应性。尤其对硬件配置的宽松要求，可以大大降低应用系统的推广难度。
（七）扩展灵活
1、良好的伸缩性
    由于采用了三层的BS结构，可以方便的根据需要将系统扩展到多个物理服务器上，增强服务器的负载能力。
2、支持省市县多级联网
    整体系统的结构设计上考虑了县与县之间横向交流的需求，可以在现有各县应用不作改变的前提下，通过增加各级密钥管理中心的方法，方便的实现不同县内乡镇部门用户之间直接交流信息的需求，实现全省乡镇用户的加密通信。
3、业务模块扩展
    整个系统设计采用了开放的结构，可以根据用户需求增加新的电子政务模块，包括：网站架构、公文处理、信息处理、督查处理等许多业务模块，也可以方便的和第三方应用模块挂接。
    （八）开放架构
    开放的系统架构。系统设计架构采用了开放的架构、开发的标准，通过XML、SOAP、WSDL等技术标准的支持，可以方便的进行功能、模块的扩展，同时也可以方便的和第三方系统进行衔接，具有良好的开放性。

三、系统结构

（一） 系统结构
    整个系统由密钥管理子系统（密钥管理中心，KMC）和安全通信子系统两部分组成。其中，安全通信子系统由安全通信中心（Security Communication Center, SCC)和安全通信客户端组成。系统中服务器端和客户端均使用智能密码钥匙作为密码运算设备。

1、密钥管理子系统
    密钥管理子系统可以单机、或者在独立的局域网中以C/S方式运行，与安全通信子系统所在网络必须物理隔离。密钥管理子系统负责完成安全通信子系统中服务器端和客户端密钥的生成、分发、备份、恢复等管理任务（密钥载体选用得安公司的SZD13-B智能密码钥匙）。
    密钥管理子系统需要有密钥管理中心密码钥匙（SSIK）才能登录使用。SSIK中含有签名密钥对(SSIKP)，该密钥对是系统初始化时产生的，需要脱机备份并妥善保管；为了方便起见，其中的公钥在下文中统称为KMC签名公钥。
    密钥管理子系统在县级中心运行。
2、安全通信子系统
    安全通信子系统是整个系统的功能子系统，由安全通信中心和安全通信客户端两部分组成。具体实现了安全通信功能，包括：身份认证、信息加密、签名、发送、接收、验证、解密、统计、查询、网络加密存储等。该子系统采用了BS架构设计，客户端使用微软IE6.0以上版本浏览器。
    （1）安全通信中心
    安全通信中心在县级中心运行，逻辑上可分为Web服务器和数据库服务器两部分组成，在实际应用中，可以根据用户规模大小和业务需求，部署在一个或多个物理服务器上。Web服务器上包含有应用程序代码，完成服务器端代码的运行，数据库服务器负责加密数据的存贮。
    安全通信服务中心Web服务器（简称安全通信服务器，SCCS），需要使用服务器密码钥匙(SAUK)才能运行，SAUK由密钥管理中心初始化并生成有关信息，包括服务器认证密钥对(SAUKP)，该密钥对中的公钥简称为服务器认证公钥。安全通信服务器（SCCS）是整个系统的功能核心，利用服务器密码钥匙（SAUK）完成安全通信客户端的身份认证，以及信息发送、信息请求的验证等操作。
    （2）安全通信客户端
    安全通信客户端主要由驱动程序和安全接口控件构成,通过浏览器运行从服务器下载的代码网页模块，实现客户端所有的应用功能。在运行过程中，必须使用密码钥匙作为身份识别和密码运算的硬件设备，客户端密码钥匙中含有客户身份信息、客户端签名和加密密钥对、KMC签名公钥、服务器认证公钥等内容，同时还包含对上述部分信息的签名和对全部信息的签名。这些信息和签名都是由KMC在进行客户端钥匙初始化时写入的。
    为了保证数字签名的唯一性，本系统采用了双密钥的方式。安全通信客户端密码钥匙（CK）中包含有两对密钥对，分别称作：客户端签名密钥对(CSIKP)和客户端加密密钥对(CECKP)。KMC在初始化客户端密码钥匙时，客户端签名密钥（CSIKP）是在密码钥匙内部产生，私钥保存在密码钥匙内，公钥导给KMC备份；加密密钥对（CECKP）则由KMC产生后灌入客户端密码钥匙，同时进行了备份。
    （3）其他说明
    由于采用了BS结构，所有的应用代码均保存在Web服务器上，客户端仅需要安装必要的密码钥匙驱动和安全接口控件即可，其应用功能代码则是通过浏览器实时下载到客户端浏览器内运行，大大减轻了客户端的管理、维护、升级的工作量，提高了系统的安全性。
    在完成发送、接收、统计等客户端操作时，县级中心客户端和乡镇、部门处于同等的地位，通过相同流程步骤进行信息的发送和接收操作。
    此外，在县级安全通信中心配有专门的系统管理模块，该模块负责安全通信子系统的参数设置、客户端密码钥匙登记注册等功能，只有通过登记注册的客户端才能正常使用本系统。
    （二） 其他安全措施
    由于服务器和互联网络有物理连接，服务器和互联网之间必须采取必要的逻辑隔离措施，比如防火墙等软硬件；也必须考虑病毒防护、黑客木马程序的防护等问题。因此建议在服务器端增加硬件防火墙作为逻辑隔离手段，而客户端通过软件或硬件防火墙作为逻辑隔离；同时客户端建议安装目前主流的能够自动升级病毒代码的防病毒软件，同时为了便于管理，建议防病毒软件由中心统一部署。
    为了防止服务器的硬件意外失效，还需要定期对服务器中的数据库进行备份。由于备份的数据均为加密存贮，所以可以在线存放在普通的工作站中即可。此时备份的主要目的是防备硬盘失效、误操作、病毒等带来的数据物理损害。

四、软件功能

    整个系统采用了BS架构，大大减轻了客户端软件的安装配置工作量，只要通过设置web服务器就可以完成系统的安装，未来的调试、应用升级非常方便。
    客户端采用浏览器使用系统，像正常浏览网页一样就可以进行数据收发。
    基本实现了客户端不需安装即可使用，由于采用了密码钥匙作为身份认证载体，整个系统的安全性、可靠性也大大提高。
   （一）身份认证
    客户端使用加密硬件进行系统登录，加密硬件本身使用PIN码保护，加密硬件中包含有用户信息，通过一个挑战码双向验证过程，客户端和服务器完成相互的身份识别和认证。只有认证通过的用户才能使用系统的其他功能。
    用户的PIN码可以根据需要进行修改。
    由于采用了此认证模式，从结构上保证了整个系统的安全性，只有通过认证的用户才能进行后续的操作。
    （二）签名和加密
    客户端采用了双密钥的形式，将签名密钥对和加密密钥对相对独立，保证了数据的安全性和签名的唯一性。发送的信息均经过用户的签名私钥签名，并使用随机产生的报文密钥进行加密，报文密钥使用接收方的加密公钥加密后，随同加密报文一并传送，保证了数据的机密性、完整性和抗抵赖性。
    （三）信息发送
    通过认证的用户可以方便地将现有的文档、或扫描所获得的图像、传真等格式的文件发送给网络内部用户或用户组，由于通过数据库方式存贮，稳定性、存储效率和数据安全性大大提高，每次发送的数据或文件占用的空间和所发送的范围大小无关，避免了电子邮件系统中公文群发时在服务器上占用空间较大的缺点。
    （四）信息签收
    提供了使用方便的签收功能，用户可以签收新收到的数据，也可以随时根据需要查询老的数据，并可以在签收时进行文字回复。
    签收过的信息可以随时访问，提供了直接打开和保存在本地两种功能。
    （五）催收、监控
    对于发送单位，可以随时监控已经发送数据的签收情况，并对未签收单位进行催收。
    接收单位签收公文后，系统自动记录签收情况，并为发送方形成反馈信息。
    通过增加短信发送硬件设备，系统可提供手机短信催收的功能，系统可以自动发送手机短信进行信息催收。
    系统也可以设置自动催收，对于未签收的不同紧急程度的公文信息，自动按照管理员指定的不同间隔时间进行催收，直到用户签收为止，防止重要公文签收、办理的延误。
    （六）网络安全存储
    系统为所有用户在服务器上的提供容量可控的物理存储空间，用户根据需要可以将个人敏感数据加密保存在服务器上，可以充分利用服务器的性能、容量、可靠性等优势，为客户端提供方便、安全、可靠的网络数据存储空间。
    （七）收发统计
    每个用户可以对指定时间范围内的收发情况进行统计，形成收发登记薄。
    也可以根据制定的计分原则，对一段时间内的其他用户的签收延时情况进行统计、计分量化。
    统计结果可以根据需要转化为Excel格式进行进一步打印。
    （八）用户管理
    提供了方便的用户管理功能，并可以进行严格的操作权限分配，支持角色、组织结构管理，管理员可以方便地定义用户组和组织结构，支持多级组织结构，方便日常的发送操作和用户管理操作。

    （九）系统审计
    系统对所有用户的操作进行了准备详细的记录，每个用户可以查看自身的操作记录，而系统管理员可以查看所有用户的操作记录。
    （十）其他功能模块扩展
    由于安全通信子系统是盈佳电子政务系统的一个通信子模块和安全子系统，可以方便的根据用户需要添加其他办公自动化、电子政务模块，让系统发挥更大的作用。
 
五、具体设计方案

    使用SJY125安全公文传输系统可以根据用户的联网规模、管理模式和应用模式，灵活构建多种不同类型的具体设计方案。具体说明如下：
以区县为单位的设计方案是最为常见的一种应用模式，即每个县配备一个密钥管理中心和安全通信中心，所有乡镇和部门均由县级中心直接管理。

    中心端配置要求

    中心需要配备中档或低档服务器一台，密钥管理中心工作站一台（采取一定措施后可以和其它计算机合用），中心端客户工作站一台，服务器端智能密码钥匙二个，宽带防火墙一台（可选），如果电源不是很稳定，建议配备在线式UPS一台。
    服务器的配置要求不高，现有主流的中低端PC服务器的基本配置就可以满足要求，建议服务器配置：

 CPU P4 3.0G或双核至强
 1024M内存或更高
 73Gx2 SCSI硬盘镜像或三块以上Raid5

    密钥管理中心工作站和中心端客户工作站采用目前主流计算机即可，对硬件配置没有特殊要求。计算机设备使用较为紧张的县市，可以采用将密钥管理中心安装在移动硬盘上的方式，即在使用移动硬盘上的密钥管理中心程序时，将计算机和网络物理隔离分发密码钥匙，使用完毕后，直接将移动硬盘拆下就可以将计算机用作其它用途，不影响密钥管理中心的安全性。

    客户端配置要求

    客户端对硬件基本没有特殊要求，只要具有IE6浏览器软件、能上网浏览网页即可，目前主流的操作系统Windows98、2000、Me、XP均可使用。
    客户端需要配备智能密码钥匙一个和相应的客户端驱动软件一套，如果上网要和其他机器共享宽带连接，需要配备宽带防火墙路由器一台，同时起到防火墙的作用。如果可能，可以为每台终端机器统一安装病毒防护软件，防止意外的计算机病毒侵害。

    中心端和客户端其他计算机硬件设备，用户可以根据自身情况适当选用，具体请与公司接洽。