【正文】 A 開發(fā)，采用 J2EE 系統(tǒng)架構(gòu)， 使用 C/S(客戶端 /服務(wù)端 )方式進(jìn)行系統(tǒng)管理。 ? CA 運(yùn)營管理規(guī)范：主要包括系統(tǒng)操作、安全策略、授權(quán)管理、證書管理、用戶管理等各個(gè)方面的規(guī)范化、制度化。 CSP 密碼模塊鑲嵌在瀏覽器中，提供符合國家密碼部門要求的密碼算法與服務(wù)器端 SSL 安全網(wǎng)關(guān)系統(tǒng)建立 SSL 安全連接，實(shí)現(xiàn)交易雙方的身份認(rèn)證、保證數(shù)據(jù)傳輸?shù)陌踩浴? ? RA 證書注冊(cè)服務(wù)系統(tǒng) 。在硬件和系統(tǒng)軟件選型配制上 充分考慮到系統(tǒng)可靠性的需求，在關(guān)鍵部分采用“雙機(jī)熱備”系統(tǒng)和磁盤鏡像技術(shù)，保證系統(tǒng)得不間斷運(yùn)行和在線故障修復(fù)，在線系統(tǒng)升級(jí)。 5）標(biāo)準(zhǔn)化原則。配制完善的安全技術(shù)和管理系統(tǒng)，采用自主研發(fā)的密碼產(chǎn)品，設(shè)置可靠的網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，建造安全的運(yùn)行環(huán)境。 通過建立完善的管理制度和標(biāo)準(zhǔn)化建設(shè)，為 PKI 安全體系創(chuàng)造一個(gè)安全可靠的運(yùn)行環(huán)境，從管理上和技術(shù)上全面地保證系統(tǒng)的正常運(yùn)營。 系統(tǒng)安全管理建設(shè) PKI 安全體系建設(shè)的目的是為應(yīng)用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運(yùn)行的保障。 LRA 面向最終用戶，負(fù)責(zé)對(duì)用戶提交的申請(qǐng)資料進(jìn)行錄入、審核和證書制 作。根 CA 是整個(gè) CA 體系的信任源，負(fù)責(zé)整個(gè) CA 體系的管理，簽發(fā)并管理下級(jí) CA 證書。它是 CA 認(rèn)證中心的延伸，在邏輯上 RA 和 CA 是一個(gè)整體，主要 負(fù)責(zé)提供證書注冊(cè)、審核以及發(fā)證功能。在信息系統(tǒng)中，也是如此，但是與現(xiàn)實(shí)生活中不同的是，信息系統(tǒng)中對(duì)不可抵賴性的要求更高，由于自建 CA解決方案 13 參與信息交換的各方的不確定性，所造成的損失難以估量，因此，對(duì)不可抵賴性要求從 “ 事后 ” 提前到了 “ 事先 ” ，也就是說，在行為發(fā)生前，就必需對(duì)該行為的不可抵賴性作出約束。 要建立信任，首先要確認(rèn)信任參與者的身份。簡單的講就是 “ 業(yè)務(wù)服務(wù)不宕機(jī)，用戶訪問響應(yīng)及時(shí)、快速 ” 。 數(shù)據(jù)完整性（ Integrity） 為了確保信息在存儲(chǔ)、使用、傳輸過程中不被非授權(quán)用戶篡改，同時(shí)也為了防止被授權(quán)用戶不適當(dāng)?shù)拇鄹?，保持信息?nèi)外部的一致性，需要通過數(shù)字簽名技術(shù)來保證數(shù)據(jù)的完整性。 EMEngine 格爾開發(fā)的加密機(jī)連接引擎，可支持多種加密機(jī)的使用 CBB 共用軟件模塊 ECDH Elliptic Curve DiffieHellman Key Exchange 基于橢圓曲線算法的 DiffieHellman 密鑰交換 ECDSA Elliptic Curve Data Signature Algorithm 基于橢圓曲線的數(shù)據(jù)簽名算法，定義在 ANSI ECIES Elliptic Curve Integrated Encryption Scheme 橢圓曲線加密體制 NIST 美國技術(shù)標(biāo)準(zhǔn)協(xié)會(huì) NID_WAPI 中國無線局域網(wǎng)標(biāo)準(zhǔn)中的曲線類型 NID_NISTP256 NIST 的素域 256 曲線類型 NID_GB192 中國國家標(biāo)準(zhǔn)的 192 位曲線類型 NID_GB256 中國國家標(biāo)準(zhǔn)的 256 位曲線類型 SSF33 中國國家標(biāo)準(zhǔn)的對(duì)稱加 密算法 SM1 中國國家標(biāo)準(zhǔn)的對(duì)稱加密算法 SM2 基于 ECC 的中國國家標(biāo)準(zhǔn)算法 自建 CA解決方案 9 2 系統(tǒng)安全需求 從應(yīng)用的角度來看， PKI 體系建設(shè) 的安全需求包括以下幾個(gè)方面： 身份認(rèn)證（ Authentication） 由于互聯(lián)網(wǎng)的特殊性，交易的雙方可能彼此都無法確認(rèn)對(duì)方的真實(shí)身份，因此交易迫切需要解決 “ 你是誰 ” 的問題。 ECPKI 系統(tǒng)全部采用 B/S 架構(gòu)，服務(wù)端使用 JAVA 開發(fā)，提供良好的跨平臺(tái)性，系統(tǒng)管理員通過瀏覽器登錄系統(tǒng)進(jìn)行系統(tǒng)管理。 內(nèi)部 自建 CA 解決方案 上海格爾軟件股份有限公司 2020 年 8 月 自建 CA解決方案 2 目 錄 1 綜述 ................................................................................................. 6 背景 ..................................................................................... 6 產(chǎn)品概述 .............................................................................. 6 名詞解釋 .............................................................................. 7 2 系統(tǒng)安全需求 ................................................................................... 9 身份認(rèn)證（ Authentication） ................................................... 9 通信的保密性（ Confidentiality） ............................................ 9 數(shù)據(jù)完整性（ Integrity） ....................................................... 10 交易的不可否認(rèn)性（ NonRepudiation） ............................... 10 訪問控制（ Access Control） ............................................... 10 系統(tǒng)可用性（ Availability） ................................................... 11 數(shù)據(jù)備份與恢復(fù)（ Recovery） .............................................. 11 3 PKI 體系建設(shè)說明 ........................................................................... 11 PKI 體系建設(shè)說明 ................................................................ 11 數(shù)字認(rèn)證信任管理模式 ........................................................ 12 PKI 系統(tǒng)基本組成 ................................................................ 13 PKI 信任體系的建立 ............................................................ 15 CA 證書簽發(fā)管理機(jī)構(gòu)設(shè)置 ............................................. 15 RA 注冊(cè)審核機(jī)構(gòu)設(shè)置 .................................................... 16 KMC 密鑰管理中心的建設(shè) .............................................. 16 證 書發(fā)布與查詢系統(tǒng)的建設(shè) ............................................ 17 自建 CA解決方案 3 系統(tǒng)安全管理建設(shè) ......................................................... 17 4 PKI CA 系統(tǒng)設(shè)計(jì) ............................................................................ 18 總體建設(shè)目標(biāo) ...................................................................... 18 設(shè)計(jì)原則 ............................................................................ 19 總體安全框架設(shè)計(jì) ............................................................... 19 5 整體建設(shè) ........................................................................................ 23 系統(tǒng)架構(gòu) ............................................................................ 24 密鑰的使用 ......................................................................... 26 CA 證書簽發(fā) ................................................................. 27 簽名證書簽發(fā) ................................................................ 28 加密證書簽發(fā) ................................................................ 29 CA 系統(tǒng)結(jié)構(gòu) ....................................................................... 31 CA 管理模塊 ................................................................. 31 證書策略模塊 ................................................................ 31 證書服務(wù)模塊 ................................................................ 32 策略模板管理模塊 ......................................................... 32 加密機(jī)管理模塊 ............................................................. 32 RA 接入控制模塊 .......................................................... 33 系統(tǒng)管理模塊 ................................................................ 33 系統(tǒng)審計(jì)模塊 ................................................................ 33 RA 系統(tǒng)結(jié)構(gòu) ....................................................................... 34 用戶管理功能 ................................................................ 34 自建 CA解決方案 4 證書管理功能 ................................................................ 34 機(jī)構(gòu)管理 ....................................................................... 35 操作認(rèn)證管理 ................................................................ 36 日志服務(wù)功能 ................................................................ 36 統(tǒng)計(jì)功能 ....................................................................... 36 管理員管理 ...........................................................