【正文】 ................................... 38 多人制技術(shù) ......................................................................... 38 密鑰不落地機(jī)制 .................................................................. 40 證書服務(wù)原理 ...................................................................... 41 密鑰管理服務(wù) ...................................................................... 41 證書管理服務(wù) ...................................................................... 42 7 主要工作流程 ................................................................................. 43 CA 系統(tǒng)工作流程 ................................................................ 43 系統(tǒng)初始化流程 ............................................................. 43 CA 證書簽發(fā)流程 .......................................................... 43 用戶證書簽發(fā)流程 ......................................................... 44 用戶證書更新流程 ......................................................... 46 用戶證書吊銷流程 ......................................................... 48 RA 系統(tǒng)工作流程 ................................................................ 50 自建 CA解決方案 5 系統(tǒng)初始化流程 ............................................................. 50 注冊申請流程 ................................................................ 50 操作審核流程 ................................................................ 51 證書下載流程 ................................................................ 52 證書更新流程 ................................................................ 53 證書廢除流程 ................................................................ 54 系統(tǒng)運(yùn)營管理安全 ............................................................... 55 運(yùn)營管理規(guī)范 ................................................................ 55 安全應(yīng)急處理管理規(guī)范 ................................................... 56 系統(tǒng)建設(shè)相關(guān)文檔 ......................................................... 58 人員管理安全 ................................................................ 58 8 關(guān)鍵技術(shù)及創(chuàng)新點(diǎn) ........................................................................... 60 關(guān)鍵技術(shù) ............................................................................ 60 EC 基礎(chǔ)庫 .................................................................... 60 新算法的嵌入 ................................................................ 60 多加密機(jī)的處理 ............................................................. 60 多類型密鑰的 處理 ......................................................... 61 創(chuàng)新點(diǎn) ................................................................................ 62 多密鑰的支持 ................................................................ 62 多功能報(bào)表支持 ............................................................. 62 支持中國國家標(biāo)準(zhǔn)算法 SM2 ........................................... 62 自建 CA解決方案 6 1 綜述 背景 在 Inter 技術(shù)迅速發(fā)展的今天， 公司 面臨著如何利用 Inter 這一資源，為用戶提供全面的、個性化的 證券 服務(wù)的問題，在這一環(huán)境下應(yīng)運(yùn)如生，目前世界上許多 公司 都紛紛推出了基于 Inter 的服務(wù)。 EMEngine 格爾開發(fā)的加密機(jī)連接引擎，可支持多種加密機(jī)的使用 CBB 共用軟件模塊 ECDH Elliptic Curve DiffieHellman Key Exchange 基于橢圓曲線算法的 DiffieHellman 密鑰交換 ECDSA Elliptic Curve Data Signature Algorithm 基于橢圓曲線的數(shù)據(jù)簽名算法，定義在 ANSI ECIES Elliptic Curve Integrated Encryption Scheme 橢圓曲線加密體制 NIST 美國技術(shù)標(biāo)準(zhǔn)協(xié)會 NID_WAPI 中國無線局域網(wǎng)標(biāo)準(zhǔn)中的曲線類型 NID_NISTP256 NIST 的素域 256 曲線類型 NID_GB192 中國國家標(biāo)準(zhǔn)的 192 位曲線類型 NID_GB256 中國國家標(biāo)準(zhǔn)的 256 位曲線類型 SSF33 中國國家標(biāo)準(zhǔn)的對稱加 密算法 SM1 中國國家標(biāo)準(zhǔn)的對稱加密算法 SM2 基于 ECC 的中國國家標(biāo)準(zhǔn)算法 自建 CA解決方案 9 2 系統(tǒng)安全需求 從應(yīng)用的角度來看， PKI 體系建設(shè) 的安全需求包括以下幾個方面： 身份認(rèn)證（ Authentication） 由于互聯(lián)網(wǎng)的特殊性，交易的雙方可能彼此都無法確認(rèn)對方的真實(shí)身份，因此交易迫切需要解決 “ 你是誰 ” 的問題。簡單的講就是 “ 業(yè)務(wù)服務(wù)不宕機(jī)，用戶訪問響應(yīng)及時、快速 ” 。在信息系統(tǒng)中，也是如此，但是與現(xiàn)實(shí)生活中不同的是，信息系統(tǒng)中對不可抵賴性的要求更高，由于自建 CA解決方案 13 參與信息交換的各方的不確定性，所造成的損失難以估量，因此，對不可抵賴性要求從 “ 事后 ” 提前到了 “ 事先 ” ，也就是說，在行為發(fā)生前，就必需對該行為的不可抵賴性作出約束。根 CA 是整個 CA 體系的信任源，負(fù)責(zé)整個 CA 體系的管理，簽發(fā)并管理下級 CA 證書。 系統(tǒng)安全管理建設(shè) PKI 安全體系建設(shè)的目的是為應(yīng)用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運(yùn)行的保障。配制完善的安全技術(shù)和管理系統(tǒng)，采用自主研發(fā)的密碼產(chǎn)品，設(shè)置可靠的網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，建造安全的運(yùn)行環(huán)境。在硬件和系統(tǒng)軟件選型配制上 充分考慮到系統(tǒng)可靠性的需求，在關(guān)鍵部分采用“雙機(jī)熱備”系統(tǒng)和磁盤鏡像技術(shù)，保證系統(tǒng)得不間斷運(yùn)行和在線故障修復(fù)，在線系統(tǒng)升級。 CSP 密碼模塊鑲嵌在瀏覽器中，提供符合國家密碼部門要求的密碼算法與服務(wù)器端 SSL 安全網(wǎng)關(guān)系統(tǒng)建立 SSL 安全連接，實(shí)現(xiàn)交易雙方的身份認(rèn)證、保證數(shù)據(jù)傳輸?shù)陌踩?。ECPKI 系統(tǒng)使用 JAVA 開發(fā)，采用 J2EE 系統(tǒng)架構(gòu)， 使用 C/S(客戶端 /服務(wù)端 )方式進(jìn)行系統(tǒng)管理。 2) CA 系統(tǒng) 向硬件加密機(jī)發(fā)送導(dǎo)出指定位置內(nèi)部密鑰對公鑰的請求。 自建 CA解決方案 30 1) EC 介質(zhì)設(shè)備生成一對簽名密鑰，私鑰不可導(dǎo)出，生成的公鑰封裝成CMP 格式請求，并發(fā)送到 RA 系統(tǒng)。證書服務(wù)支持單證書及雙證書簽發(fā)，雙證書簽發(fā)時加密密鑰從 KM 獲取，加密密鑰使用國密局指定的對稱算法加密，實(shí)現(xiàn)密鑰不落地功能 。 ? 用戶查詢 用戶注冊系統(tǒng)操作員可以根據(jù)用戶的多項(xiàng)參數(shù)對系統(tǒng)中的用戶進(jìn)行查詢，并查看其詳細(xì)信息。實(shí)體證書支持 RSA、 ECC 兩種密鑰格式，密鑰格式在 RA 系統(tǒng)部署時指定。在業(yè)務(wù)數(shù)據(jù)項(xiàng)發(fā)生變化的情況下，只需要修改 JSP 頁面和數(shù)據(jù)庫字段，這類工作甚至系統(tǒng)管理員就可以完成。超級管理員和審計(jì)管理員采用的是 M 選 N 登錄機(jī)制，即部署時生成 M 個管理員，只有 N 個管理員全部登錄成功 (M 選 N 需要滿足條件 N ?M， N 大于等于 2)后，才能使用系統(tǒng)，通過這種約束機(jī)制保證了高級操作的安全性。其它角色為了操作方便，單人登錄即可操作。如：證書的廢除原來可以直接執(zhí)行，現(xiàn)在需要改為申請－ 審核 執(zhí)行的過程，這可以非常簡單的通過修改兩個配置文件（證書狀態(tài)機(jī)配置文件和證書業(yè)務(wù)配置文件）來實(shí)現(xiàn)。 ? 證書廢除 吊銷實(shí)體證書，可以由 RA 中心發(fā)起，也可以由擁有該證書的用戶直接發(fā)起。 自建 CA解決方案 34 RA 系統(tǒng)結(jié)構(gòu) 用戶管理功能 ? 用戶注冊 用戶信息、企業(yè)信息或設(shè)備信息通過在線或離線的方式完成注冊并記錄入系統(tǒng)數(shù)據(jù)庫。 證書服務(wù)模塊 證書服務(wù)模塊 是 CA 系統(tǒng)的核心系統(tǒng)，本模塊為 RA 提供證書簽發(fā)、證書更新、證書恢復(fù)、證書吊銷等證書功能。由于加密數(shù)據(jù)需要長期保存并隨機(jī)可以解密，所以不能使用簽名證書進(jìn)行加密，否則當(dāng)保存簽名證書的介質(zhì)損壞或丟失時，會導(dǎo)致加密數(shù)據(jù)無法解密。 流程說明 : 1) 首先，由硬件控制面板或后臺系統(tǒng)生成一定數(shù)量的內(nèi)部密鑰對。 5 整體 建設(shè) 格爾數(shù)字認(rèn)證系統(tǒng) (ECPKI)是一套數(shù)字證書管理平臺，該系統(tǒng)在格爾公司SRQ15 產(chǎn)品上進(jìn)行功能性擴(kuò)展，在保留對 RSA 密鑰格式支持的基礎(chǔ)上，新增加了對中國國家標(biāo)準(zhǔn)算法 SM2 的支持，可以簽發(fā)、管理符合國家標(biāo)準(zhǔn) SM2密鑰存儲與傳遞格式規(guī)范 的 ECC 密鑰證書。 2. 業(yè)務(wù)安全服務(wù)平臺 ? SSL 安 全通道系統(tǒng) 。充分考慮系統(tǒng)復(fù)雜的特點(diǎn)，保證系統(tǒng)安全有效的運(yùn)行、數(shù)據(jù)有效的保護(hù)、設(shè)計(jì)功能可以充分的實(shí)現(xiàn)、操作方便等。在系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)中要充分體現(xiàn)我國現(xiàn)行的密碼管理政策，確保相關(guān)密碼設(shè)備和密鑰可管可控。證書和 CRL 采用標(biāo)準(zhǔn)的 LDAP 協(xié)議發(fā)布到 LDAP 服務(wù)器上，應(yīng)用程序可以通過發(fā)布系統(tǒng)發(fā)布的信息驗(yàn)證用戶證書的合法性； OCSP 提供證書狀態(tài)的實(shí)時在線查詢功能。 PKI 信任體系的建立 PKI 體系的建設(shè)是一個大型系統(tǒng)工程，可根據(jù)實(shí)際的建設(shè)模式定位為多級的信任模式，并根據(jù) PKI 體系的基本組成部分進(jìn)行具體的設(shè)計(jì)實(shí)現(xiàn)，下圖的CA 信任體系描述了 PKI 安全體系的分布式結(jié)構(gòu)，具體結(jié)構(gòu)形式如圖所示。 最后， “ 信任 ” 的一個關(guān)鍵因素：不可抵賴性。 ? 應(yīng)用層的訪問控制，如通過應(yīng)用訪問控制系統(tǒng)來禁止或者允許用戶對某些業(yè)務(wù)資源的訪問。 在介質(zhì)存儲空間及運(yùn)算能力受限的應(yīng)用場合，通過 ECPKI系統(tǒng)生成的 ECC 密鑰證書具有明顯優(yōu)勢。在國內(nèi)也有不少成功的品牌推出。 身份認(rèn)證一般基于以下幾種因素來進(jìn)行身份的確認(rèn)： 1. 你知道什么（ something you know）：比如用戶名 /口令、個人識別碼（ PIN）