【正文】 ................. 53 證書廢除流程 ................................................................ 54 系統(tǒng)運營管理安全 ............................................................... 55 運營管理規(guī)范 ................................................................ 55 安全應急處理管理規(guī)范 ................................................... 56 系統(tǒng)建設相關文檔 ......................................................... 58 人員管理安全 ................................................................ 58 8 關鍵技術及創(chuàng)新點 ........................................................................... 60 關鍵技術 ............................................................................ 60 EC 基礎庫 .................................................................... 60 新算法的嵌入 ................................................................ 60 多加密機的處理 ............................................................. 60 多類型密鑰的 處理 ......................................................... 61 創(chuàng)新點 ................................................................................ 62 多密鑰的支持 ................................................................ 62 多功能報表支持 ............................................................. 62 支持中國國家標準算法 SM2 ........................................... 62 自建 CA解決方案 6 1 綜述 背景 在 Inter 技術迅速發(fā)展的今天， 公司 面臨著如何利用 Inter 這一資源，為用戶提供全面的、個性化的 證券 服務的問題，在這一環(huán)境下應運如生，目前世界上許多 公司 都紛紛推出了基于 Inter 的服務。在國內也有不少成功的品牌推出。 業(yè)務在蘊藏著無限商機的同時也帶來了風險，對于開設服務 的 公司 業(yè)者來說，當務之急就是要解決安全問題。 公司 如何為用戶提供更加方便、穩(wěn)定、安全的 公司 業(yè)務服務？上海格爾軟件股份有限公司從國內 大中型 公司 的實際出發(fā)，充分考慮到國內 大中型 公司 的管理機構設置、現(xiàn)有信息系統(tǒng)架構和業(yè)務對安全的具體需求，總結多年的金融信息安全建設經(jīng)驗，提出了基于 PKI 體系架構，以自建 CA 簽發(fā)的數(shù)字證書為媒介的系統(tǒng)安全解決方案。 該方案采用國際通用的信息安全技術，在保證物理安全與網(wǎng)絡安全的基礎上，加強交易的安全管理，提供統(tǒng)一的身份認證、安全的數(shù)據(jù)傳輸機制、數(shù)字簽名驗證機制和訪問控制機制，確保各種交易 的數(shù)據(jù)完整性、保密性和交易的不可否認性，保證系統(tǒng)運行的高效、安全和穩(wěn)定。 產品 概述 格爾橢圓曲線算法數(shù)字證書認證系統(tǒng) (以下簡稱為 ECPKI)是上海格爾軟件有限公司基于國家橢圓曲線算法標準 (SM2)與格爾 SRQ15 產品基礎上開發(fā)的數(shù)字認證系統(tǒng)新產品，它可以同時支持 RSA 和 SM2 兩種非對稱算法，可以簽發(fā)基于 RSA 密鑰和 SM2 密鑰的數(shù)字證書。 自建 CA解決方案 7 ECPKI 包含三個主要子系統(tǒng)，分別為用戶注冊管理系統(tǒng) (以下簡稱 RA 系統(tǒng) )、數(shù)字證書認證系統(tǒng) (以下簡稱 CA 系統(tǒng) )。 RA 系統(tǒng)實現(xiàn)用戶證書的申請、審核及證書的介質安裝； CA 系統(tǒng)對 證書的整個生命周期進行管理中，實現(xiàn)證書的簽發(fā)、更新、恢復、廢除及證書吊銷列表 (以下簡稱 CRL 證書 )生成。 ECPKI 系統(tǒng)全部采用 B/S 架構，服務端使用 JAVA 開發(fā)，提供良好的跨平臺性，系統(tǒng)管理員通過瀏覽器登錄系統(tǒng)進行系統(tǒng)管理。管理員登錄支持MOfN 多人制，管理員使用數(shù)字證書與服務端進行安全訪問。登錄客戶端支持Windows20 WindowsXP 及 Vista 操作系統(tǒng)。 ECPKI 子系統(tǒng)間采用基于證書互信與 SPKM 規(guī)范的安全通訊協(xié)議，保證跨區(qū)域間子系統(tǒng)的通訊安全。 SPKM 協(xié)議對稱算法支持國家標準密碼算法SM1 算法及 SSF33 算法。 ECPKI 系統(tǒng) 屬于信息安全領域，主要應用于網(wǎng)上銀行、電子政務、網(wǎng)上辦公的 安全 應用。 在介質存儲空間及運算能力受限的應用場合，通過 ECPKI系統(tǒng)生成的 ECC 密鑰證書具有明顯優(yōu)勢。 名詞解釋 本文檔使用的術語如下表： 術語 解釋 ECC Elliptic Curve Cryptosystems 橢圓曲線加密系統(tǒng) (算法 ) RSA RSA 加密算法 （ RivestShamirAdleman Encryption） CA 證書管理系統(tǒng)（ Certificate Authority），也稱 認證中心 RA 證書注冊系統(tǒng)（ Register Authority） KM 密鑰管理系統(tǒng) (Key Management) 自建 CA解決方案 8 SRQ15 格爾公司在國密辦注冊的電子證書認證系統(tǒng)的產品名稱，包括 RA、 CA、 KM 等子系統(tǒng)。 EMEngine 格爾開發(fā)的加密機連接引擎，可支持多種加密機的使用 CBB 共用軟件模塊 ECDH Elliptic Curve DiffieHellman Key Exchange 基于橢圓曲線算法的 DiffieHellman 密鑰交換 ECDSA Elliptic Curve Data Signature Algorithm 基于橢圓曲線的數(shù)據(jù)簽名算法，定義在 ANSI ECIES Elliptic Curve Integrated Encryption Scheme 橢圓曲線加密體制 NIST 美國技術標準協(xié)會 NID_WAPI 中國無線局域網(wǎng)標準中的曲線類型 NID_NISTP256 NIST 的素域 256 曲線類型 NID_GB192 中國國家標準的 192 位曲線類型 NID_GB256 中國國家標準的 256 位曲線類型 SSF33 中國國家標準的對稱加 密算法 SM1 中國國家標準的對稱加密算法 SM2 基于 ECC 的中國國家標準算法 自建 CA解決方案 9 2 系統(tǒng)安全需求 從應用的角度來看， PKI 體系建設 的安全需求包括以下幾個方面： 身份認證（ Authentication） 由于互聯(lián)網(wǎng)的特殊性，交易的雙方可能彼此都無法確認對方的真實身份，因此交易迫切需要解決 “ 你是誰 ” 的問題。 身份認證一般基于以下幾種因素來進行身份的確認： 1. 你知道什么（ something you know）：比如用戶名 /口令、個人識別碼（ PIN）等 2. 你擁有什么（ something you have）： 比如智能卡（ smart card）、 USB key 等 3. 生理特征（ something you are, or a physical characteristic）：比如指紋、面部特征等 口令可以被猜出，卡有可能丟失，指紋系統(tǒng)驗證可能會有較高的誤判率；很顯然，如果結合兩種以上的因素來進行身份的認證，認證可以獲得更高的強度。公鑰基礎設施（ PKI）通過物理身份（公民身份證）和數(shù)字身份（數(shù)字證書）的綁定，將數(shù)字證書保存到智能卡或者 USB key 中的方式， 很好的解決了 “ 身份確認 ” 的問題。 通信的保密性（ Confidentiality） 用戶通過 Inter 訪問 Web 服務器，如果不采取特殊手段，在 Inter上的信息傳輸是明文方式，由此很容易導致用戶帳戶信息的泄露，從而造成用自建 CA解決方案 10 戶資產和 公司 信譽的損失。為了彌補這個安全漏洞，有必要對通信信道進行加密。 目前國際上通行的方法是通過標準的 SSL 協(xié)議，使用 SSL 安全網(wǎng)關保護Web 通信的安全。通信雙方通過數(shù)字證書實現(xiàn)了身份的認證，通過對稱加密技術實現(xiàn)了傳輸數(shù)據(jù)的加密。 SSL 安全網(wǎng)關應能夠信任多種證書體系（如自建 CA 系統(tǒng)），支持證書狀態(tài)的驗證，支持客戶端 IP 地址獲取，支持訪問信息監(jiān)控、審計，支持負載均衡等需求。 數(shù)據(jù)完整性（ Integrity） 為了確保信息在存儲、使用、傳輸過程中不被非授權用戶篡改，同時也為了防止被授權用戶不適當?shù)拇鄹?，保持信息內外部的一致性，需要通過數(shù)字簽名技術來保證數(shù)據(jù)的完整性。 交易的不可否認性（ NonRepudiation） 在交易過程中和交易完成后交易雙方可能會發(fā)生糾紛，為了防止任何一方對交易過程和交易后果的無理抵賴和否認，需要保存交易憑證或憑據(jù)，以備第三方的權威認證和責任認定。 訪問控制（ Access Control） 訪問控制就是滿足 “ 最小授權 ” 原 則，防止未授權用戶訪問未授予其權限的資源，以確保信息的保密性和完整性。 訪問控制按照層次劃分，可以分為： ? 物理層的訪問控制，如通過門禁系統(tǒng)來禁止某些人物理上接觸某些系統(tǒng)或者設備。 ? 網(wǎng)絡層的訪問控制，如通過防火墻的策略，禁止開放某些資源或者服務。 自建 CA解決方案 11 ? 主機或系統(tǒng)層的訪問控制，通過操作系統(tǒng)的授權機制來禁止或者允許對某些資源的訪問。 ? 應用層的訪問控制，如通過應用訪問控制系統(tǒng)來禁止或者允許用戶對某些業(yè)務資源的訪問。 系統(tǒng)可用性（ Availability） 所謂可用性就是要確保授權用戶或者實體對信息或者資源的正常使用不會 被拒絕，能夠可靠而及時地訪問信息和資源。簡單的講就是 “ 業(yè)務服務不宕機，用戶訪問響應及時、快速 ” 。 數(shù)據(jù)備份與恢復（ Recovery） 為了防止可能發(fā)生的災難（如地震、火災、戰(zhàn)爭）或者操作不當引起的事故對數(shù)據(jù)的損害，需要及時地備份數(shù)據(jù)和恢復系統(tǒng)的正常運營，以盡可能地降低損失，需要對系統(tǒng)及數(shù)據(jù)庫及時備份。 3 PKI 體系建設說明 PKI 體系建設說明 PKI 是 “ Public Key Infrastructure” 的縮寫，意為 “ 公鑰基礎設施 ” ，是一個用非對稱密碼算法原理和技術實現(xiàn)的、具有通用性的安全基礎設施。 PKI利用 數(shù)字證書標識密鑰持有人的身份， 通過對密鑰的規(guī)范化管理，為組織機構建立和維護一個可信賴的系統(tǒng)環(huán)境， 透明地為應用系統(tǒng)提供身份認證、數(shù)據(jù)保密性和完整性、抗抵賴等各種 必要的安全保障 ，滿足各種應用系統(tǒng)的安全需求。 自建 CA解決方案 12 數(shù)字認證信任管理模式 信任是安全的基礎，在缺乏信任的環(huán)境下，實現(xiàn)信息系統(tǒng)的安全是不可想象的。在 中，是如下定義信任的： “ 通常來講，一個實體設想另一個實體的行為會是他所期望的，則可以稱為第一個實體是信任第二個實體的。 ” （ Generally, an entity can be said to “ trust” a second entity when it (the first entity) makes the assumption that the second entity will behave exactly as the first entity expects） 。任何安全系統(tǒng)的建立都依賴于系統(tǒng)用戶之間存在的各種信任形式，在信息系統(tǒng)中，要實現(xiàn)有效可靠的信任關系，主要是通過以下三種手段的結合：身份認證、數(shù)據(jù)秘密性和完整性、不可抵賴性。 要建立信任，首先要確認信任參與者的身份。例如：兩個人第一次見 面，A 就要把一個重要的信息傳遞給 B，首先， A 要確認 B 是這一信息所期望的接受者，而不能是其它人冒名頂替； B 也要確認 A 確實是這一信息的傳送者，而不是其它