【文章內(nèi)容簡(jiǎn)介】 是國(guó)家實(shí)施信息化戰(zhàn)略的一項(xiàng)基礎(chǔ)工作。目前，我國(guó)正在推進(jìn)網(wǎng)絡(luò)實(shí)名制、網(wǎng)絡(luò)信任體系建設(shè)等相關(guān)工作，需要通過電子認(rèn)證來(lái)確定網(wǎng)絡(luò)中行為主體的真實(shí)身份，進(jìn)而控制權(quán) 限和認(rèn)定責(zé)任，保證信息資源真實(shí)性與可靠性，為建立網(wǎng)絡(luò)誠(chéng)信奠定良好基礎(chǔ)。電子認(rèn)證是網(wǎng) 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 11－ 絡(luò)信任體系的基礎(chǔ)和核心，是政務(wù)部門有效實(shí)施社會(huì)管理、提供公共服務(wù)的重要安全保障手段，大力推進(jìn)電子認(rèn)證工作是建設(shè)誠(chéng)信社會(huì)的必然要求。 應(yīng)用是電子認(rèn)證服務(wù)業(yè)發(fā)展的驅(qū)動(dòng)力。作為信息化的支撐和保障，電子認(rèn)證服務(wù)業(yè)只有深入到應(yīng)用中，才能獲得大發(fā)展。目前，隨著我國(guó)信息化的積極推進(jìn)，各行業(yè)和各領(lǐng)域的安全需求日益突出，這為產(chǎn)業(yè)發(fā)展提供了廣闊的市場(chǎng)空間。據(jù)了解，國(guó)外電子認(rèn)證服務(wù)已經(jīng)覆蓋了電子商務(wù)、電子政務(wù)、企業(yè)信息化、科學(xué)研究等領(lǐng)域和金融、財(cái)會(huì) 、保險(xiǎn)、教育、醫(yī)藥、食品等多個(gè)行業(yè)，呈現(xiàn)出跨行業(yè)、跨地域和多樣性的特點(diǎn)。我國(guó)目前電子認(rèn)證的應(yīng)用市場(chǎng)還相當(dāng)有限，主要集中在電子政務(wù)、電子商務(wù)等部分市場(chǎng)，應(yīng)用市場(chǎng)開發(fā)滯后。因此，開發(fā)應(yīng)用市場(chǎng)、提高產(chǎn)品易用性，是未來(lái)我國(guó)產(chǎn)業(yè)發(fā)展的重要趨勢(shì)。為開發(fā)應(yīng)用市場(chǎng)，電子認(rèn)證服務(wù)機(jī)構(gòu)必將創(chuàng)新業(yè)務(wù)模式，深入研究各行業(yè)的應(yīng)用需求特點(diǎn)，開發(fā)出適合行業(yè)需求的應(yīng)用產(chǎn)品。 項(xiàng)目建設(shè)的依據(jù) 本項(xiàng)目 建設(shè)的 基于 SM2 算法的 電子認(rèn)證系統(tǒng)，是我省“數(shù)字安徽”和網(wǎng)絡(luò)信任體系建設(shè)的重要內(nèi)容，是為我省電子政務(wù)、電子商務(wù)依法提供有效電子認(rèn)證服務(wù)的 統(tǒng)一平臺(tái)。 目前，我公司 現(xiàn)采用的電子認(rèn)證系統(tǒng)由格爾軟件開發(fā)的 SRQ05 系列產(chǎn)品，其公鑰算法為 1024 位 RSA 密碼算法。 2020 年 10 月， 我公司 在格爾軟件的配合下，在 公司 機(jī)房成功部署，并于 2020 年底通過國(guó)家密碼管理局專家組織的安全性審查和技 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 12－ 術(shù)鑒定， 2020 年 2 月獲得由國(guó)家密碼管理局頒發(fā)的《電子認(rèn)證服務(wù)使用密碼許可證》， 2020 年 10 月獲得由工業(yè)和信息化部頒發(fā)的《電子認(rèn)證服務(wù)許可證》。 2020 年 10 月至 2020 年 5 月， 我公司 累計(jì)發(fā)放各類證書超 10 萬(wàn)張，目前電子認(rèn)證系統(tǒng)運(yùn)行正常。 2020 年初，國(guó)家密碼管理局發(fā)出 通知，要求各電子認(rèn)證機(jī)構(gòu)必須于 2020 年 6 月 30 前將現(xiàn)有基于 RSA 的電子認(rèn)證系統(tǒng) 建設(shè) 為支持 SM2橢圓曲線密碼算法的電子認(rèn)證系統(tǒng)。為落實(shí)國(guó)家密碼管理局相關(guān)要求，我公司 結(jié)合自身情況，計(jì)劃于 2020 年 6 月前完成基于 SM2 算法的電子認(rèn)證系統(tǒng)建設(shè) 工作。 建設(shè)內(nèi)容主要包括：機(jī)房結(jié)構(gòu)調(diào)整、電子認(rèn)證系統(tǒng)軟件部署、硬件配套設(shè)施購(gòu)置以及原 RSA 項(xiàng)目、證書和產(chǎn)品的更換。 需求分析 大力推進(jìn)信息化，是覆蓋我國(guó)現(xiàn)代化建設(shè)全局的戰(zhàn)略舉措，是貫徹落實(shí)科學(xué)發(fā)展觀、全面建設(shè)小康社會(huì)、構(gòu)建社會(huì)主義和諧社會(huì)和建設(shè)創(chuàng)新型國(guó)家的迫切需要和必然 選擇。隨著我國(guó)信息化建設(shè)的不斷推進(jìn)，電子政務(wù)、電子商務(wù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用普及程度大幅提高，向更廣領(lǐng)域和更深層面拓展。人們對(duì)網(wǎng)絡(luò)依賴程度越來(lái)越高，網(wǎng)絡(luò)已經(jīng)成為繼陸地、海洋、天空和太空領(lǐng)域之后新戰(zhàn)略空間。美國(guó)、歐盟等西方國(guó)家為搶占網(wǎng)絡(luò)空間戰(zhàn)略制高點(diǎn)，紛紛出臺(tái)新的網(wǎng)絡(luò)信息安全戰(zhàn)略，保障其自身利益和提升國(guó)際競(jìng)爭(zhēng)力，重點(diǎn)加強(qiáng)其主動(dòng)攻擊能力，對(duì)我國(guó)信息安全帶來(lái)嚴(yán)峻挑戰(zhàn)?！熬S基揭秘”、“伊朗核設(shè)施網(wǎng)絡(luò)泄密” 等事件，警示我們要高度重視網(wǎng)絡(luò)安全管控。實(shí)現(xiàn)網(wǎng)絡(luò)的安全可信、 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 13－ 可管、可控，就要求我們要加強(qiáng)電子認(rèn)證工作，建立有效的 數(shù)字身份管理機(jī)制，解決信息的防失竊、防篡改、防偽造和防抵賴等安全風(fēng)險(xiǎn)，切實(shí)提升信息安全支撐能力。 由于網(wǎng)絡(luò)環(huán)境的開放性、網(wǎng)絡(luò)行為的跨國(guó)界性、人員身份的虛擬性，帶來(lái)網(wǎng)絡(luò)誠(chéng)信問題的復(fù)雜性。建立網(wǎng)絡(luò)誠(chéng)信，維護(hù)網(wǎng)絡(luò)空間的有序運(yùn)轉(zhuǎn)是國(guó)家實(shí)施信息化戰(zhàn)略的一項(xiàng)基礎(chǔ)工作。目前，我國(guó)正在推進(jìn)網(wǎng)絡(luò)實(shí)名制、網(wǎng)絡(luò)信任體系建設(shè)等相關(guān)工作，需要通過電子認(rèn)證來(lái)確定網(wǎng)絡(luò)中行為主體的真實(shí)身份，進(jìn)而控制權(quán)限和認(rèn)定責(zé)任，保證信息資源真實(shí)性與可靠性，為建立網(wǎng)絡(luò)誠(chéng)信奠定良好基礎(chǔ)。電子認(rèn)證是網(wǎng)絡(luò)信任體系的基礎(chǔ)和核心，是政務(wù)部門有效實(shí)施社會(huì)管理、提供公 共服務(wù)的重要安全保障手段，大力推進(jìn)電子認(rèn)證工作是建設(shè)誠(chéng)信社會(huì)的必然要求。 業(yè)務(wù)需求 應(yīng)用是電子認(rèn)證服務(wù)業(yè)發(fā)展的驅(qū)動(dòng)力。作為信息化的支撐和保障，電子認(rèn)證服務(wù)業(yè)只有深入到應(yīng)用中，才能獲得大發(fā)展。目前，隨著我國(guó)信息化的積極推進(jìn)，各行業(yè)和各領(lǐng)域的安全需求日益突出，這為產(chǎn)業(yè)發(fā)展提供了廣闊的市場(chǎng)空間。據(jù)了解，國(guó)外電子認(rèn)證服務(wù)已經(jīng)覆蓋了電子商務(wù)、電子政務(wù)、企業(yè)信息化、科學(xué)研究等領(lǐng)域和金融、財(cái)會(huì)、保險(xiǎn)、教育、醫(yī)藥、食品等多個(gè)行業(yè)，呈現(xiàn)出跨行業(yè)、跨地域和多樣性的特點(diǎn)。我國(guó)目前電子認(rèn)證的應(yīng)用市場(chǎng)還相當(dāng)有限，主要集中 在電子政務(wù)、電子商務(wù)等部分市場(chǎng)，應(yīng)用市場(chǎng)開發(fā)滯后。因此，開 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 14－ 發(fā)應(yīng)用市場(chǎng)、提高產(chǎn)品易用性，是未來(lái)我國(guó)產(chǎn)業(yè)發(fā)展的重要趨勢(shì)。為開發(fā)應(yīng)用市場(chǎng)，電子認(rèn)證服務(wù)機(jī)構(gòu)必將創(chuàng)新業(yè)務(wù)模式，深入研究各行業(yè)的應(yīng)用需求特點(diǎn)，開發(fā)出適合行業(yè)需求的應(yīng)用產(chǎn)品。 我省各級(jí)政府對(duì)電子商務(wù)工作十分重視。 2020 年《“數(shù)字安徽”建設(shè)五年規(guī)劃綱要（ 20202020 年）》中就明確提出“按照市場(chǎng)經(jīng)濟(jì)規(guī)律，分類別、分層次推進(jìn)電子商務(wù)，初步建立與我省經(jīng)濟(jì)發(fā)展相適應(yīng)的電子商務(wù)運(yùn)作環(huán)境”、“積極推進(jìn)電子商務(wù)，優(yōu)化資源配置”，并把“電子商務(wù)示范工程”列為 15 項(xiàng)重 點(diǎn)示范工程之一。在省政府的推動(dòng)下，各級(jí)政府以“電子政務(wù)”、“電子商務(wù)”為主要內(nèi)容的信息化建設(shè)逐年邁上新臺(tái)階。 隨著電子商務(wù)、電子政務(wù)應(yīng)用的深入， 作為電子認(rèn)證服務(wù)業(yè)的主要用戶群體，黨政機(jī)關(guān)、企事業(yè)單位、個(gè)人在 未來(lái)幾年 的應(yīng)用將更為廣泛， 我國(guó)電子認(rèn)證服務(wù)業(yè)將獲得高增長(zhǎng)，在信息化中發(fā)揮更大的保障和支撐作用。據(jù)統(tǒng)計(jì)， 2020 年電子認(rèn)證服務(wù)和軟硬件市場(chǎng)規(guī)模已超過 20 億 元 ，到 2020 年達(dá)到 30 億元，電子認(rèn)證機(jī)構(gòu)簽發(fā)的證書總量 2020 年將突破 1500 萬(wàn)張， 2020 年將達(dá)到 3800 萬(wàn)張。 2020 年我省電子認(rèn)證服務(wù)和軟硬件市 場(chǎng)規(guī)模已超 7000 萬(wàn)元， 到 2020 年，我省電子認(rèn)證市場(chǎng)規(guī)模預(yù)計(jì)將超過 1 億元。 我省電子商務(wù)的蓬勃發(fā)展和行業(yè)信息化的不斷深入應(yīng)用，需要建立一個(gè)安全可信的網(wǎng)絡(luò)安全服務(wù)平臺(tái)來(lái)支撐電子商務(wù)和行業(yè)信息化的健康發(fā)展。建立科學(xué)、規(guī)范的電子認(rèn)證系統(tǒng)，為我省的電子商務(wù)和信息化建設(shè)搭建網(wǎng)絡(luò)信任體系就顯得十分迫切。 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 15－ 由于我國(guó)電子認(rèn)證服務(wù)業(yè)起步相對(duì)較晚，目前全國(guó)范圍內(nèi)的電子認(rèn)證系統(tǒng)使用的主要為 RSA1024 位密碼算法， RSA1024 無(wú)論從算法安全性還是密鑰長(zhǎng)度在可預(yù)見的時(shí)間里已無(wú)法保證業(yè)務(wù)系統(tǒng)及數(shù)據(jù)的安全性。因某些泄密事件的發(fā)生， 美國(guó)已棄用 RSA 算法。作為目前應(yīng)用最為廣泛的公鑰算法，一旦安全性無(wú)法保證，則對(duì)國(guó)家安全，社會(huì)穩(wěn)定起到無(wú)法估計(jì)的負(fù)面影響，因此算法的及時(shí)更換是大勢(shì)所趨，國(guó)家對(duì)系統(tǒng)算法更換成 SM2 的態(tài)度是堅(jiān)決且明確的。因此， 該項(xiàng)目重點(diǎn)解決的是電子認(rèn)證系統(tǒng)的安全性問題，其安全程度要遠(yuǎn)超過原 RSA1024 電子認(rèn)證系統(tǒng)。重新建設(shè)高安全性的 電子認(rèn)證系統(tǒng)，對(duì)提升我省 信息化的安全性、提高社會(huì)認(rèn)知，形成健全、有序的社會(huì)網(wǎng)絡(luò)信任體系，不僅十分必要，而且非常緊迫。 功能需求 ? 證書服務(wù)功能 ? 證書簽發(fā) 系統(tǒng)可簽發(fā)各種實(shí)體證書 ? 證書更新 根據(jù)要求，實(shí)現(xiàn)證書的更新。包括證書用戶信息更新，用戶的密鑰的更新等。 ? 證書的凍結(jié)和解凍 該功能主要由管理方（ RA 操作員、 CA 中心管理員等）發(fā)起，對(duì)證書進(jìn)行凍結(jié)，使證書列入黑名單，暫時(shí)因?yàn)槭Ф鵁o(wú)法使 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 16－ 用；同時(shí)，管理方也可對(duì)被凍結(jié)的證書進(jìn)行解凍操作，使該證書恢復(fù)正常的使用功能。 ? 密鑰恢復(fù) 提供被托管的用戶加密證書密鑰恢復(fù)的功能。 ? 證書廢除 吊銷實(shí)體證書，分為 CA 中心強(qiáng)制廢除和用戶申請(qǐng)廢除。 ? ECC 根簽發(fā) ? 證書和 CRL 的在線服務(wù)功能 ? 證書的在線發(fā)布 CA 系統(tǒng)可以對(duì)證書進(jìn)行在線發(fā)布。每當(dāng)簽發(fā)服務(wù)器在簽發(fā)一個(gè)用戶證書 完成后，簽發(fā)服務(wù)器會(huì)同時(shí)將證書放入目錄服務(wù)器中，以供用戶查詢。因此，用戶在下載證書時(shí)可以使用在線的方式獲取自己的證書，同時(shí)可以在 CA 中心對(duì)外服務(wù)的目錄服務(wù)器中查詢其他用戶的證書。 ? 證書的在線查詢 CA 系統(tǒng)的證書查詢功能主要采用 LDAP 協(xié)議。 CA 系統(tǒng)簽發(fā)證書后，將用戶的證書發(fā)布到系統(tǒng)的主目錄服務(wù)器中，然后利用目錄服務(wù)器的自動(dòng)映射功能，將用戶的證書發(fā)布到從目錄服務(wù)器中，以供用戶在線查詢證書。同時(shí)提供方便的 Web 查詢證書方式。 ? CRL 的在線查詢 CA 系統(tǒng)在目錄服務(wù)器系統(tǒng)中發(fā)布 CRL，因此用戶可以通過在 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 17－ 線方式實(shí)現(xiàn) 對(duì) CRL 的查詢。我們的系統(tǒng)中采用了 CRL 分布點(diǎn)技術(shù)，當(dāng)用戶選擇下載 CRL 進(jìn)行查詢時(shí)，查詢的信息并不是CA 系統(tǒng) CRL 的全部，只是其中的一個(gè)子集，這樣就大大地減少了信息量，提高了查詢的速度，降低了網(wǎng)絡(luò)的負(fù)擔(dān)。 ? 證書在線狀態(tài)查詢 由于 CA 注銷表是周期性簽發(fā)，并非是實(shí)時(shí)的，即使其周期特別短，在對(duì)證書狀態(tài)實(shí)時(shí)性要求比較高的應(yīng)用中， CRL 驗(yàn)證并不能夠滿足需求。 CA 系統(tǒng)提供對(duì)證書在線狀態(tài)查詢協(xié)議的支持，用戶可以通過標(biāo)準(zhǔn)的證書狀態(tài)查詢接口來(lái)獲取證書有效性的檢查結(jié)果，任何證書的作廢應(yīng)能夠即時(shí)反映到在線證書查詢中。 ? CA 管理功能 ? 整個(gè) CA 系統(tǒng)的初始化，包括 CA 證書的生成等。 ? CA 的日常管理，包括 CA 證書的管理、策略的管理等 ? 數(shù)據(jù)安全管理 ? 目錄服務(wù)器數(shù)據(jù)同步， CA 系統(tǒng)可自動(dòng)記錄未發(fā)布的數(shù)據(jù)，在下一次發(fā)布的時(shí)候重新發(fā)布，直到發(fā)布成功為止。 ? 目錄服務(wù)器數(shù)據(jù)重新發(fā)布， CA 系統(tǒng)可在數(shù)據(jù)庫(kù)根據(jù)指定查詢條件重新發(fā)布證書到目錄服務(wù)器。 ? 數(shù)據(jù)歸檔，系統(tǒng)提供證書和日志的數(shù)據(jù)歸檔功能。管理員可以按照過期時(shí)間對(duì)證書庫(kù)進(jìn)行歸檔，將過期證書從當(dāng)前證書庫(kù)中轉(zhuǎn)移到證書歷史庫(kù)中。 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 18－ ? 管理其它運(yùn)行的子系統(tǒng)，包括運(yùn)行日志的管理等。 ? 證書及策略服務(wù)功能 ? 證書模板 管理 用戶可通過證書模板管理功能自定義證書的格式和內(nèi)容，以滿足不同組織的證書應(yīng)用需求。 證書模板根據(jù)定制策略來(lái)生成，需提供的定制策略項(xiàng)包括：證書類型、是否發(fā)布、有效起始日期、有效期限、主題字符串類型、密鑰是否加密傳輸?shù)然镜哪０鎸傩?，同時(shí)還對(duì)不同密鑰用法的擴(kuò)展策略項(xiàng)選擇提供支持，這包括：對(duì)數(shù)字簽名、防抵賴、密鑰加密、數(shù)字加密、密鑰協(xié)商等密鑰用法的支持。證書模板還可以對(duì)自定義的證書擴(kuò)展域進(jìn)行管理。 用戶可以在證書模板制作中，確定上述內(nèi)容， CA 系統(tǒng)保存證書策略模板，并在具體的證書簽發(fā)中，選用模版中的具體策略實(shí)現(xiàn) 證書簽發(fā)。證書模板策略可以進(jìn)行添加、刪除、修改等管理。 格爾數(shù)字認(rèn)證中心系統(tǒng)提供內(nèi)置的系統(tǒng)模板制定規(guī)則，可以屏蔽系統(tǒng)管理員在證書模板制作中可能造成的沖突操作。 ? 證書擴(kuò)展域管理 系統(tǒng)允許 CA 中心管理員根據(jù)特殊應(yīng)用目的和實(shí)現(xiàn)多用途的驗(yàn)證服務(wù)模式需求，來(lái)定義附加的 ”私人 ”擴(kuò)展項(xiàng)。系統(tǒng)提供了修改、增減、重新定義證書擴(kuò)展項(xiàng)的能力。系統(tǒng)可通過對(duì)擴(kuò)展項(xiàng)的重新定義功能制定詳細(xì)的制定規(guī)則和規(guī)范，以保證 CA 中心 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 19－ 管理員能夠合理、有效的進(jìn)行證書的擴(kuò)展，盡可能避免由于操作不規(guī)范而導(dǎo)致的信任管理體系的混亂。 ? 系統(tǒng)策略管理 ? 證書發(fā)布策略 ? 證書有效期策略 ? CRL 簽發(fā)、發(fā)布策略 ? 證書擴(kuò)展項(xiàng)策略 ? 邏輯 CA 管理 格爾 CA 能夠在同一個(gè) CA 系統(tǒng)軟硬件平臺(tái)和同一個(gè)共享的數(shù)據(jù)庫(kù)、 LDAP 服務(wù)器環(huán)境上，運(yùn)行多個(gè)邏輯 CA，擁有各自的密鑰和策略，獨(dú)立地為不同的用戶群簽發(fā)和管理證書，滿足 CA 托管運(yùn)行的需求。 ? 用戶服務(wù)功能 ? 個(gè)人證書管理服務(wù) 本系統(tǒng)可向用戶提供用于個(gè)人證書管理的客戶端軟件，能幫助用戶管理和維護(hù)自己的數(shù)字證書，同時(shí)能提供個(gè)人證書定制服務(wù)；并且，軟件的管理界面友好、操作簡(jiǎn)單，方便用戶使用。 ? 用戶證書查詢服務(wù) 可對(duì)用戶證書基本信息、附加信息、自定義擴(kuò)展 項(xiàng)信息等進(jìn)行查詢，查詢支持海量數(shù)據(jù)分頁(yè)處理。 ? 用戶服務(wù)功能的擴(kuò)展 本系統(tǒng)可根據(jù) CA 系統(tǒng)業(yè)務(wù)需求以及用戶個(gè)性化需求，方便的 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 20－ 增加新的服務(wù)功能模塊。 ? 日志服務(wù)功能 ? 記錄管理員和操作員的所有動(dòng)作； ? 記錄整個(gè)證書認(rèn)證系統(tǒng)中各子系統(tǒng)的內(nèi)部運(yùn)行錯(cuò)誤和異常； ? 對(duì)整個(gè) CA 體系的發(fā)卡數(shù)量做統(tǒng)計(jì)和分析； ? 日志提供查詢、分析和審計(jì)管理