【正文】 誤和異常； ? 將日志簽名后發(fā)送到日志審計系統(tǒng)。 自建 CA解決方案 36 操作認(rèn)證管理 在用戶注冊系統(tǒng)中，所有用戶注冊中心操作員必須都持有數(shù)字證書。實體證書支持 RSA、 ECC 兩種密鑰格式，密鑰格式在 RA 系統(tǒng)部署時指定。 ? 證書恢復(fù)申請 當(dāng)用 戶證書設(shè)備損壞或丟失時需要繼續(xù)恢復(fù)當(dāng)前證書時，可以向系統(tǒng)提交證書恢復(fù)審核申請，該申請由密鑰管理系統(tǒng)進(jìn)行審核。 ? 證書更新 更新審核同意后，系統(tǒng)支持以在線或離線的方式進(jìn)行證書自建 CA解決方案 35 更新下載，將證書安裝到證書設(shè)備中。 ? 證書申請審核 用戶注冊系統(tǒng)操作員對用戶信息、企業(yè)信息或設(shè)備信息進(jìn)行審核，同意或拒絕證書發(fā)放申請。 ? 用戶查詢 用戶注冊系統(tǒng)操作員可以根據(jù)用戶的多項參數(shù)對系統(tǒng)中的用戶進(jìn)行查詢，并查看其詳細(xì)信息。 系統(tǒng)審計模塊 系統(tǒng)審計模塊提供 CA 系統(tǒng)的日志統(tǒng)計、分析功能。 RA 接入控制模塊 RA 接入控制模塊 提供 CA 系統(tǒng)對 RA 的接入控制功能，本模塊提供 RA站點添加、刪除，只有添加成功的 RA 站點才能使用 CA 證書服務(wù)。定義好的模板可以指定給運營 CA，為 CA 系統(tǒng)的證書服務(wù)提供良好的擴展性。證書服務(wù)支持單證書及雙證書簽發(fā)，雙證書簽發(fā)時加密密鑰從 KM 獲取，加密密鑰使用國密局指定的對稱算法加密，實現(xiàn)密鑰不落地功能 。運營 CA 在簽發(fā)成功后，需要分配證書策略才可以提供證書服務(wù)。 CA 證書的密鑰對通過加密機引擎從硬件加密機獲取，在加密機內(nèi)部完成私鑰簽名。 6) KM 返回加密私鑰數(shù)字信封到 CA 系統(tǒng) 7) CA 系統(tǒng)根據(jù)模板策略構(gòu)造待簽名數(shù)據(jù) 8) CA 系統(tǒng)發(fā)送待簽名數(shù)據(jù)到硬件加密機，硬件加密機完成簽名運算后將簽名值返回到 CA 系統(tǒng)。 自建 CA解決方案 30 1) EC 介質(zhì)設(shè)備生成一對簽名密鑰，私鑰不可導(dǎo)出，生成的公鑰封裝成CMP 格式請求，并發(fā)送到 RA 系統(tǒng)。 8) 介質(zhì)設(shè)備解析 CMP 響應(yīng)并安裝證書。 2) 將預(yù)先注冊好的用戶信息和 CMP 請求的公鑰一起構(gòu)造成 CMP 格式證書請求。 6) 硬件加密機在內(nèi)部完成對數(shù)據(jù)的簽名運算，完成后將簽名返回到自建 CA解決方案 28 CA 系統(tǒng)。 2) CA 系統(tǒng) 向硬件加密機發(fā)送導(dǎo)出指定位置內(nèi)部密鑰對公鑰的請求。在 ECPKI 系統(tǒng)中，密鑰包括客戶端產(chǎn)生的簽名 密鑰、硬件加密機生成的內(nèi)部密鑰及 KM 生成的加密密鑰三種類型，其中內(nèi)部密鑰用于構(gòu)建 CA 證書和 CA 私鑰簽名，對應(yīng)于這三種密鑰類型， ECPKI 系統(tǒng)有 CA 證書簽發(fā)、簽名證書簽發(fā)及加密證書簽發(fā)三種密鑰使用場景。 CA 系統(tǒng)通過支持多個加密機配置的方式來實現(xiàn)多種密鑰的證書服務(wù)，可以對管理根、 RSA、 ECC、安全 通訊協(xié)議模塊分別配置加密機。 CA 系統(tǒng)采用 J2EE 架構(gòu)，使用 C/S 模式進(jìn)行系統(tǒng)管理，提供 CA 證 書簽發(fā)、 CA 證書更新、 CA 證書吊銷、 CA 策略管理、證書模板管理、 CRL 策略管理、 RA 管理等功能。ECPKI 系統(tǒng)使用 JAVA 開發(fā)，采用 J2EE 系統(tǒng)架構(gòu)， 使用 C/S(客戶端 /服務(wù)端 )方式進(jìn)行系統(tǒng)管理。 ? 標(biāo)準(zhǔn)化建設(shè)：包括系統(tǒng)建設(shè)標(biāo)準(zhǔn)化、系統(tǒng)管理標(biāo)準(zhǔn)化、運營管理標(biāo)準(zhǔn)化等等。 ? CA 運營管理規(guī)范：主要包括系統(tǒng)操作、安全策略、授權(quán)管理、證書管理、用戶管理等各個方面的規(guī)范化、制度化。數(shù)字簽名客戶端控件負(fù)責(zé)對交易中的關(guān)鍵數(shù)據(jù)進(jìn)行數(shù)字簽名；簽名驗證服務(wù)器主要負(fù)責(zé)對交易過程中關(guān)鍵數(shù)據(jù)的簽名進(jìn)行驗證，保證交易的不可否認(rèn)性和數(shù)據(jù)的完整性。 CSP 密碼模塊鑲嵌在瀏覽器中，提供符合國家密碼部門要求的密碼算法與服務(wù)器端 SSL 安全網(wǎng)關(guān)系統(tǒng)建立 SSL 安全連接，實現(xiàn)交易雙方的身份認(rèn)證、保證數(shù)據(jù)傳輸?shù)陌踩浴?證書發(fā)布與查詢系統(tǒng)主要提供 LDAP 服務(wù) ，即通過 LDAP 服務(wù)軟件 提供證書和 CRL 的目錄瀏覽服務(wù)。 ? RA 證書注冊服務(wù)系統(tǒng) 。 綜上，整體 CA 系統(tǒng) 的分層邏輯框架圖如下： 圖表 1 CA 系統(tǒng) 建設(shè)分層邏輯 結(jié)構(gòu) 根據(jù)上面的證書安全應(yīng)用平臺建設(shè)分層邏輯結(jié)構(gòu)及 PKI 系統(tǒng)的基本組成，針對于本次 “ 安全證書項目 ” 建設(shè)的重點，上海格爾軟件股份有限公司提供如下的證書相關(guān)安全系統(tǒng)建設(shè)： 1. PKI 基礎(chǔ) 安全 服務(wù) 體系 建設(shè) ? CA 證書認(rèn)證系統(tǒng) 。在硬件和系統(tǒng)軟件選型配制上 充分考慮到系統(tǒng)可靠性的需求，在關(guān)鍵部分采用“雙機熱備”系統(tǒng)和磁盤鏡像技術(shù)，保證系統(tǒng)得不間斷運行和在線故障修復(fù)，在線系統(tǒng)升級。系統(tǒng)應(yīng)能夠在不影響現(xiàn)有業(yè)務(wù)的情況下，一旦需要時可以平滑地升級過渡到新（版本）系統(tǒng)。 5）標(biāo)準(zhǔn)化原則。采用先進(jìn)技術(shù)，緊跟國際前沿技術(shù)，可以同時支持 RSA、EC 兩種密鑰格式。配制完善的安全技術(shù)和管理系統(tǒng)，采用自主研發(fā)的密碼產(chǎn)品，設(shè)置可靠的網(wǎng)絡(luò)安全保護系統(tǒng)，建造安全的運行環(huán)境。 采用安全管理與審計系統(tǒng)來實現(xiàn)業(yè)務(wù)系統(tǒng)的日常運行監(jiān)控、管理與審計，提高事故處理響應(yīng)速度，提高業(yè)務(wù)服務(wù)水平，提升客戶滿意度。 通過建立完善的管理制度和標(biāo)準(zhǔn)化建設(shè)，為 PKI 安全體系創(chuàng)造一個安全可靠的運行環(huán)境，從管理上和技術(shù)上全面地保證系統(tǒng)的正常運營。 ? 應(yīng)急管理規(guī)范：解決 PKI安全體系在正常工作中發(fā)生的各類異常情況、安全事件、安全事故。 系統(tǒng)安全管理建設(shè) PKI 安全體系建設(shè)的目的是為應(yīng)用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運行的保障。 證書發(fā)布與查詢系統(tǒng)的建設(shè) 發(fā)布與查詢系統(tǒng)是數(shù)字認(rèn)證中心安全體系中的一個重要組成部分。 LRA 面向最終用戶，負(fù)責(zé)對用戶提交的申請資料進(jìn)行錄入、審核和證書制 作。 RA 注冊審核機構(gòu)設(shè)置 從廣義上講， RA 是 CA 的一個組成部分，主要負(fù)責(zé)數(shù)字證書的申請、審核和注冊。根 CA 是整個 CA 體系的信任源，負(fù)責(zé)整個 CA 體系的管理，簽發(fā)并管理下級 CA 證書。系統(tǒng)應(yīng)用接口一般采用 API、 JavaBean、 COM 等多種形式。它是 CA 認(rèn)證中心的延伸，在邏輯上 RA 和 CA 是一個整體，主要 負(fù)責(zé)提供證書注冊、審核以及發(fā)證功能。在本方案設(shè)計的建行認(rèn)證中心（ CA）系統(tǒng)將基于 PKI 技術(shù)進(jìn)行合理的定制優(yōu)化與拓展，使其最大限度的符合建設(shè)銀行信息系統(tǒng)中對安全應(yīng)用的需求。在信息系統(tǒng)中，也是如此，但是與現(xiàn)實生活中不同的是，信息系統(tǒng)中對不可抵賴性的要求更高，由于自建 CA解決方案 13 參與信息交換的各方的不確定性，所造成的損失難以估量，因此，對不可抵賴性要求從 “ 事后 ” 提前到了 “ 事先 ” ，也就是說，在行為發(fā)生前，就必需對該行為的不可抵賴性作出約束。因此，可以想像的結(jié)果是，由于擔(dān)心 C 的竊聽， A 不敢或者無法把信息傳遞給 B。 要建立信任，首先要確認(rèn)信任參與者的身份。 自建 CA解決方案 12 數(shù)字認(rèn)證信任管理模式 信任是安全的基礎(chǔ)，在缺乏信任的環(huán)境下，實現(xiàn)信息系統(tǒng)的安全是不可想象的。簡單的講就是 “ 業(yè)務(wù)服務(wù)不宕機，用戶訪問響應(yīng)及時、快速 ” 。 ? 網(wǎng)絡(luò)層的訪問控制，如通過防火墻的策略，禁止開放某些資源或者服務(wù)。 數(shù)據(jù)完整性（ Integrity） 為了確保信息在存儲、使用、傳輸過程中不被非授權(quán)用戶篡改，同時也為了防止被授權(quán)用戶不適當(dāng)?shù)拇鄹?，保持信息?nèi)外部的一致性，需要通過數(shù)字簽名技術(shù)來保證數(shù)據(jù)的完整性。為了彌補這個安全漏洞，有必要對通信信道進(jìn)行加密。 EMEngine 格爾開發(fā)的加密機連接引擎，可支持多種加密機的使用 CBB 共用軟件模塊 ECDH Elliptic Curve DiffieHellman Key Exchange 基于橢圓曲線算法的 DiffieHellman 密鑰交換 ECDSA Elliptic Curve Data Signature Algorithm 基于橢圓曲線的數(shù)據(jù)簽名算法，定義在 ANSI ECIES Elliptic Curve Integrated Encryption Scheme 橢圓曲線加密體制 NIST 美國技術(shù)標(biāo)準(zhǔn)協(xié)會 NID_WAPI 中國無線局域網(wǎng)標(biāo)準(zhǔn)中的曲線類型 NID_NISTP256 NIST 的素域 256 曲線類型 NID_GB192 中國國家標(biāo)準(zhǔn)的 192 位曲線類型 NID_GB256 中國國家標(biāo)準(zhǔn)的 256 位曲線類型 SSF33 中國國家標(biāo)準(zhǔn)的對稱加 密算法 SM1 中國國家標(biāo)準(zhǔn)的對稱加密算法 SM2 基于 ECC 的中國國家標(biāo)準(zhǔn)算法 自建 CA解決方案 9 2 系統(tǒng)安全需求 從應(yīng)用的角度來看， PKI 體系建設(shè) 的安全需求包括以下幾個方面： 身份認(rèn)證（ Authentication） 由于互聯(lián)網(wǎng)的特殊性，交易的雙方可能彼此都無法確認(rèn)對方的真實身份，因此交易迫切需要解決 “ 你是誰 ” 的問題。 SPKM 協(xié)議對稱算法支持國家標(biāo)準(zhǔn)密碼算法SM1 算法及 SSF33 算法。 ECPKI 系統(tǒng)全部采用 B/S 架構(gòu)，服務(wù)端使用 JAVA 開發(fā)，提供良好的跨平臺性，系統(tǒng)管理員通過瀏覽器登錄系統(tǒng)進(jìn)行系統(tǒng)管理。 該方案采用國際通用的信息安全技術(shù)，在保證物理安全與網(wǎng)絡(luò)安全的基礎(chǔ)上，加強交易的安全管理，提供統(tǒng)一的身份認(rèn)證、安全的數(shù)據(jù)傳輸機制、數(shù)字簽名驗證機制和訪問控制機制，確保各種交易 的數(shù)據(jù)完整性、保密性和交易的不可否認(rèn)性，保證系統(tǒng)運行的高效、安全和穩(wěn)定。 內(nèi)部 自建 CA 解決方案 上海格爾軟件股份有限公司 2020 年 8 月 自建 CA解決方案 2 目 錄 1 綜述 ................................................................................................. 6 背景 ..................................................................................... 6 產(chǎn)品概述 .............................................................................. 6 名詞解釋 .............................................................................. 7 2 系統(tǒng)安全需求 ................................................................................... 9 身份認(rèn)證（ Authentication） ................................................... 9 通信的保密性（ Confidentiality） ............................................ 9 數(shù)據(jù)完整性（ Integrity） ....................................................... 10 交易的不可否認(rèn)性（ NonRepudiation） ............................... 10 訪問控制（ Access Control） ............................................... 10 系統(tǒng)可用性（ Availability） ................................................... 11 數(shù)據(jù)備份與恢復(fù)（ Recovery） .............................................. 11 3 PKI 體系建設(shè)說明 ........................................................................... 11 PKI 體系建設(shè)說明 ................................................................ 11 數(shù)字認(rèn)證信任管理模式 ........................................................ 12 PKI 系統(tǒng)基本組成 ................................................................ 13 PKI 信任體系的建立 ......