【正文】 A 開發(fā)，采用 J2EE 系統(tǒng)架構， 使用 C/S(客戶端 /服務端 )方式進行系統(tǒng)管理。 ? CA 運營管理規(guī)范：主要包括系統(tǒng)操作、安全策略、授權管理、證書管理、用戶管理等各個方面的規(guī)范化、制度化。 CSP 密碼模塊鑲嵌在瀏覽器中，提供符合國家密碼部門要求的密碼算法與服務器端 SSL 安全網(wǎng)關系統(tǒng)建立 SSL 安全連接，實現(xiàn)交易雙方的身份認證、保證數(shù)據(jù)傳輸?shù)陌踩浴? ? RA 證書注冊服務系統(tǒng) 。在硬件和系統(tǒng)軟件選型配制上 充分考慮到系統(tǒng)可靠性的需求，在關鍵部分采用“雙機熱備”系統(tǒng)和磁盤鏡像技術，保證系統(tǒng)得不間斷運行和在線故障修復，在線系統(tǒng)升級。 5）標準化原則。配制完善的安全技術和管理系統(tǒng)，采用自主研發(fā)的密碼產(chǎn)品，設置可靠的網(wǎng)絡安全保護系統(tǒng)，建造安全的運行環(huán)境。 通過建立完善的管理制度和標準化建設，為 PKI 安全體系創(chuàng)造一個安全可靠的運行環(huán)境，從管理上和技術上全面地保證系統(tǒng)的正常運營。 系統(tǒng)安全管理建設 PKI 安全體系建設的目的是為應用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運行的保障。 LRA 面向最終用戶，負責對用戶提交的申請資料進行錄入、審核和證書制 作。根 CA 是整個 CA 體系的信任源，負責整個 CA 體系的管理，簽發(fā)并管理下級 CA 證書。它是 CA 認證中心的延伸，在邏輯上 RA 和 CA 是一個整體，主要 負責提供證書注冊、審核以及發(fā)證功能。在信息系統(tǒng)中，也是如此，但是與現(xiàn)實生活中不同的是，信息系統(tǒng)中對不可抵賴性的要求更高，由于自建 CA解決方案 13 參與信息交換的各方的不確定性，所造成的損失難以估量，因此，對不可抵賴性要求從 “ 事后 ” 提前到了 “ 事先 ” ，也就是說，在行為發(fā)生前，就必需對該行為的不可抵賴性作出約束。 要建立信任，首先要確認信任參與者的身份。簡單的講就是 “ 業(yè)務服務不宕機，用戶訪問響應及時、快速 ” 。 數(shù)據(jù)完整性（ Integrity） 為了確保信息在存儲、使用、傳輸過程中不被非授權用戶篡改，同時也為了防止被授權用戶不適當?shù)拇鄹?，保持信息內外部的一致性，需要通過數(shù)字簽名技術來保證數(shù)據(jù)的完整性。 EMEngine 格爾開發(fā)的加密機連接引擎，可支持多種加密機的使用 CBB 共用軟件模塊 ECDH Elliptic Curve DiffieHellman Key Exchange 基于橢圓曲線算法的 DiffieHellman 密鑰交換 ECDSA Elliptic Curve Data Signature Algorithm 基于橢圓曲線的數(shù)據(jù)簽名算法，定義在 ANSI ECIES Elliptic Curve Integrated Encryption Scheme 橢圓曲線加密體制 NIST 美國技術標準協(xié)會 NID_WAPI 中國無線局域網(wǎng)標準中的曲線類型 NID_NISTP256 NIST 的素域 256 曲線類型 NID_GB192 中國國家標準的 192 位曲線類型 NID_GB256 中國國家標準的 256 位曲線類型 SSF33 中國國家標準的對稱加 密算法 SM1 中國國家標準的對稱加密算法 SM2 基于 ECC 的中國國家標準算法 自建 CA解決方案 9 2 系統(tǒng)安全需求 從應用的角度來看， PKI 體系建設 的安全需求包括以下幾個方面： 身份認證（ Authentication） 由于互聯(lián)網(wǎng)的特殊性，交易的雙方可能彼此都無法確認對方的真實身份，因此交易迫切需要解決 “ 你是誰 ” 的問題。 ECPKI 系統(tǒng)全部采用 B/S 架構，服務端使用 JAVA 開發(fā)，提供良好的跨平臺性，系統(tǒng)管理員通過瀏覽器登錄系統(tǒng)進行系統(tǒng)管理。 內部 自建 CA 解決方案 上海格爾軟件股份有限公司 2020 年 8 月 自建 CA解決方案 2 目 錄 1 綜述 ................................................................................................. 6 背景 ..................................................................................... 6 產(chǎn)品概述 .............................................................................. 6 名詞解釋 .............................................................................. 7 2 系統(tǒng)安全需求 ................................................................................... 9 身份認證（ Authentication） ................................................... 9 通信的保密性（ Confidentiality） ............................................ 9 數(shù)據(jù)完整性（ Integrity） ....................................................... 10 交易的不可否認性（ NonRepudiation） ............................... 10 訪問控制（ Access Control） ............................................... 10 系統(tǒng)可用性（ Availability） ................................................... 11 數(shù)據(jù)備份與恢復（ Recovery） .............................................. 11 3 PKI 體系建設說明 ........................................................................... 11 PKI 體系建設說明 ................................................................ 11 數(shù)字認證信任管理模式 ........................................................ 12 PKI 系統(tǒng)基本組成 ................................................................ 13 PKI 信任體系的建立 ............................................................ 15 CA 證書簽發(fā)管理機構設置 ............................................. 15 RA 注冊審核機構設置 .................................................... 16 KMC 密鑰管理中心的建設 .............................................. 16 證 書發(fā)布與查詢系統(tǒng)的建設 ............................................ 17 自建 CA解決方案 3 系統(tǒng)安全管理建設 ......................................................... 17 4 PKI CA 系統(tǒng)設計 ............................................................................ 18 總體建設目標 ...................................................................... 18 設計原則 ............................................................................ 19 總體安全框架設計 ............................................................... 19 5 整體建設 ........................................................................................ 23 系統(tǒng)架構 ............................................................................ 24 密鑰的使用 ......................................................................... 26 CA 證書簽發(fā) ................................................................. 27 簽名證書簽發(fā) ................................................................ 28 加密證書簽發(fā) ................................................................ 29 CA 系統(tǒng)結構 ....................................................................... 31 CA 管理模塊 ................................................................. 31 證書策略模塊 ................................................................ 31 證書服務模塊 ................................................................ 32 策略模板管理模塊 ......................................................... 32 加密機管理模塊 ............................................................. 32 RA 接入控制模塊 .......................................................... 33 系統(tǒng)管理模塊 ................................................................ 33 系統(tǒng)審計模塊 ................................................................ 33 RA 系統(tǒng)結構 ....................................................................... 34 用戶管理功能 ................................................................ 34 自建 CA解決方案 4 證書管理功能 ................................................................ 34 機構管理 ....................................................................... 35 操作認證管理 ................................................................ 36 日志服務功能 ................................................................ 36 統(tǒng)計功能 ....................................................................... 36 管理員管理 ...........................................................