【文章內(nèi)容簡介】 是國家實施信息化戰(zhàn)略的一項基礎(chǔ)工作。目前，我國正在推進網(wǎng)絡(luò)實名制、網(wǎng)絡(luò)信任體系建設(shè)等相關(guān)工作，需要通過電子認證來確定網(wǎng)絡(luò)中行為主體的真實身份，進而控制權(quán) 限和認定責任，保證信息資源真實性與可靠性，為建立網(wǎng)絡(luò)誠信奠定良好基礎(chǔ)。電子認證是網(wǎng) 安徽省信息化專項 資金申報項目可行性 研究 報告 － 11－ 絡(luò)信任體系的基礎(chǔ)和核心，是政務(wù)部門有效實施社會管理、提供公共服務(wù)的重要安全保障手段，大力推進電子認證工作是建設(shè)誠信社會的必然要求。 應(yīng)用是電子認證服務(wù)業(yè)發(fā)展的驅(qū)動力。作為信息化的支撐和保障，電子認證服務(wù)業(yè)只有深入到應(yīng)用中，才能獲得大發(fā)展。目前，隨著我國信息化的積極推進，各行業(yè)和各領(lǐng)域的安全需求日益突出，這為產(chǎn)業(yè)發(fā)展提供了廣闊的市場空間。據(jù)了解，國外電子認證服務(wù)已經(jīng)覆蓋了電子商務(wù)、電子政務(wù)、企業(yè)信息化、科學研究等領(lǐng)域和金融、財會 、保險、教育、醫(yī)藥、食品等多個行業(yè)，呈現(xiàn)出跨行業(yè)、跨地域和多樣性的特點。我國目前電子認證的應(yīng)用市場還相當有限，主要集中在電子政務(wù)、電子商務(wù)等部分市場，應(yīng)用市場開發(fā)滯后。因此，開發(fā)應(yīng)用市場、提高產(chǎn)品易用性，是未來我國產(chǎn)業(yè)發(fā)展的重要趨勢。為開發(fā)應(yīng)用市場，電子認證服務(wù)機構(gòu)必將創(chuàng)新業(yè)務(wù)模式，深入研究各行業(yè)的應(yīng)用需求特點，開發(fā)出適合行業(yè)需求的應(yīng)用產(chǎn)品。 項目建設(shè)的依據(jù) 本項目 建設(shè)的 基于 SM2 算法的 電子認證系統(tǒng)，是我省“數(shù)字安徽”和網(wǎng)絡(luò)信任體系建設(shè)的重要內(nèi)容，是為我省電子政務(wù)、電子商務(wù)依法提供有效電子認證服務(wù)的 統(tǒng)一平臺。 目前，我公司 現(xiàn)采用的電子認證系統(tǒng)由格爾軟件開發(fā)的 SRQ05 系列產(chǎn)品，其公鑰算法為 1024 位 RSA 密碼算法。 2020 年 10 月， 我公司 在格爾軟件的配合下，在 公司 機房成功部署，并于 2020 年底通過國家密碼管理局專家組織的安全性審查和技 安徽省信息化專項 資金申報項目可行性 研究 報告 － 12－ 術(shù)鑒定， 2020 年 2 月獲得由國家密碼管理局頒發(fā)的《電子認證服務(wù)使用密碼許可證》， 2020 年 10 月獲得由工業(yè)和信息化部頒發(fā)的《電子認證服務(wù)許可證》。 2020 年 10 月至 2020 年 5 月， 我公司 累計發(fā)放各類證書超 10 萬張，目前電子認證系統(tǒng)運行正常。 2020 年初，國家密碼管理局發(fā)出 通知，要求各電子認證機構(gòu)必須于 2020 年 6 月 30 前將現(xiàn)有基于 RSA 的電子認證系統(tǒng) 建設(shè) 為支持 SM2橢圓曲線密碼算法的電子認證系統(tǒng)。為落實國家密碼管理局相關(guān)要求，我公司 結(jié)合自身情況，計劃于 2020 年 6 月前完成基于 SM2 算法的電子認證系統(tǒng)建設(shè) 工作。 建設(shè)內(nèi)容主要包括：機房結(jié)構(gòu)調(diào)整、電子認證系統(tǒng)軟件部署、硬件配套設(shè)施購置以及原 RSA 項目、證書和產(chǎn)品的更換。 需求分析 大力推進信息化，是覆蓋我國現(xiàn)代化建設(shè)全局的戰(zhàn)略舉措，是貫徹落實科學發(fā)展觀、全面建設(shè)小康社會、構(gòu)建社會主義和諧社會和建設(shè)創(chuàng)新型國家的迫切需要和必然 選擇。隨著我國信息化建設(shè)的不斷推進，電子政務(wù)、電子商務(wù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用普及程度大幅提高，向更廣領(lǐng)域和更深層面拓展。人們對網(wǎng)絡(luò)依賴程度越來越高，網(wǎng)絡(luò)已經(jīng)成為繼陸地、海洋、天空和太空領(lǐng)域之后新戰(zhàn)略空間。美國、歐盟等西方國家為搶占網(wǎng)絡(luò)空間戰(zhàn)略制高點，紛紛出臺新的網(wǎng)絡(luò)信息安全戰(zhàn)略，保障其自身利益和提升國際競爭力，重點加強其主動攻擊能力，對我國信息安全帶來嚴峻挑戰(zhàn)?！熬S基揭秘”、“伊朗核設(shè)施網(wǎng)絡(luò)泄密” 等事件，警示我們要高度重視網(wǎng)絡(luò)安全管控。實現(xiàn)網(wǎng)絡(luò)的安全可信、 安徽省信息化專項 資金申報項目可行性 研究 報告 － 13－ 可管、可控，就要求我們要加強電子認證工作，建立有效的 數(shù)字身份管理機制，解決信息的防失竊、防篡改、防偽造和防抵賴等安全風險，切實提升信息安全支撐能力。 由于網(wǎng)絡(luò)環(huán)境的開放性、網(wǎng)絡(luò)行為的跨國界性、人員身份的虛擬性，帶來網(wǎng)絡(luò)誠信問題的復雜性。建立網(wǎng)絡(luò)誠信，維護網(wǎng)絡(luò)空間的有序運轉(zhuǎn)是國家實施信息化戰(zhàn)略的一項基礎(chǔ)工作。目前，我國正在推進網(wǎng)絡(luò)實名制、網(wǎng)絡(luò)信任體系建設(shè)等相關(guān)工作，需要通過電子認證來確定網(wǎng)絡(luò)中行為主體的真實身份，進而控制權(quán)限和認定責任，保證信息資源真實性與可靠性，為建立網(wǎng)絡(luò)誠信奠定良好基礎(chǔ)。電子認證是網(wǎng)絡(luò)信任體系的基礎(chǔ)和核心，是政務(wù)部門有效實施社會管理、提供公 共服務(wù)的重要安全保障手段，大力推進電子認證工作是建設(shè)誠信社會的必然要求。 業(yè)務(wù)需求 應(yīng)用是電子認證服務(wù)業(yè)發(fā)展的驅(qū)動力。作為信息化的支撐和保障，電子認證服務(wù)業(yè)只有深入到應(yīng)用中，才能獲得大發(fā)展。目前，隨著我國信息化的積極推進，各行業(yè)和各領(lǐng)域的安全需求日益突出，這為產(chǎn)業(yè)發(fā)展提供了廣闊的市場空間。據(jù)了解，國外電子認證服務(wù)已經(jīng)覆蓋了電子商務(wù)、電子政務(wù)、企業(yè)信息化、科學研究等領(lǐng)域和金融、財會、保險、教育、醫(yī)藥、食品等多個行業(yè)，呈現(xiàn)出跨行業(yè)、跨地域和多樣性的特點。我國目前電子認證的應(yīng)用市場還相當有限，主要集中 在電子政務(wù)、電子商務(wù)等部分市場，應(yīng)用市場開發(fā)滯后。因此，開 安徽省信息化專項 資金申報項目可行性 研究 報告 － 14－ 發(fā)應(yīng)用市場、提高產(chǎn)品易用性，是未來我國產(chǎn)業(yè)發(fā)展的重要趨勢。為開發(fā)應(yīng)用市場，電子認證服務(wù)機構(gòu)必將創(chuàng)新業(yè)務(wù)模式，深入研究各行業(yè)的應(yīng)用需求特點，開發(fā)出適合行業(yè)需求的應(yīng)用產(chǎn)品。 我省各級政府對電子商務(wù)工作十分重視。 2020 年《“數(shù)字安徽”建設(shè)五年規(guī)劃綱要（ 20202020 年）》中就明確提出“按照市場經(jīng)濟規(guī)律，分類別、分層次推進電子商務(wù)，初步建立與我省經(jīng)濟發(fā)展相適應(yīng)的電子商務(wù)運作環(huán)境”、“積極推進電子商務(wù)，優(yōu)化資源配置”，并把“電子商務(wù)示范工程”列為 15 項重 點示范工程之一。在省政府的推動下，各級政府以“電子政務(wù)”、“電子商務(wù)”為主要內(nèi)容的信息化建設(shè)逐年邁上新臺階。 隨著電子商務(wù)、電子政務(wù)應(yīng)用的深入， 作為電子認證服務(wù)業(yè)的主要用戶群體，黨政機關(guān)、企事業(yè)單位、個人在 未來幾年 的應(yīng)用將更為廣泛， 我國電子認證服務(wù)業(yè)將獲得高增長，在信息化中發(fā)揮更大的保障和支撐作用。據(jù)統(tǒng)計， 2020 年電子認證服務(wù)和軟硬件市場規(guī)模已超過 20 億 元 ，到 2020 年達到 30 億元，電子認證機構(gòu)簽發(fā)的證書總量 2020 年將突破 1500 萬張， 2020 年將達到 3800 萬張。 2020 年我省電子認證服務(wù)和軟硬件市 場規(guī)模已超 7000 萬元， 到 2020 年，我省電子認證市場規(guī)模預計將超過 1 億元。 我省電子商務(wù)的蓬勃發(fā)展和行業(yè)信息化的不斷深入應(yīng)用，需要建立一個安全可信的網(wǎng)絡(luò)安全服務(wù)平臺來支撐電子商務(wù)和行業(yè)信息化的健康發(fā)展。建立科學、規(guī)范的電子認證系統(tǒng)，為我省的電子商務(wù)和信息化建設(shè)搭建網(wǎng)絡(luò)信任體系就顯得十分迫切。 安徽省信息化專項 資金申報項目可行性 研究 報告 － 15－ 由于我國電子認證服務(wù)業(yè)起步相對較晚，目前全國范圍內(nèi)的電子認證系統(tǒng)使用的主要為 RSA1024 位密碼算法， RSA1024 無論從算法安全性還是密鑰長度在可預見的時間里已無法保證業(yè)務(wù)系統(tǒng)及數(shù)據(jù)的安全性。因某些泄密事件的發(fā)生， 美國已棄用 RSA 算法。作為目前應(yīng)用最為廣泛的公鑰算法，一旦安全性無法保證，則對國家安全，社會穩(wěn)定起到無法估計的負面影響，因此算法的及時更換是大勢所趨，國家對系統(tǒng)算法更換成 SM2 的態(tài)度是堅決且明確的。因此， 該項目重點解決的是電子認證系統(tǒng)的安全性問題，其安全程度要遠超過原 RSA1024 電子認證系統(tǒng)。重新建設(shè)高安全性的 電子認證系統(tǒng)，對提升我省 信息化的安全性、提高社會認知，形成健全、有序的社會網(wǎng)絡(luò)信任體系，不僅十分必要，而且非常緊迫。 功能需求 ? 證書服務(wù)功能 ? 證書簽發(fā) 系統(tǒng)可簽發(fā)各種實體證書 ? 證書更新 根據(jù)要求，實現(xiàn)證書的更新。包括證書用戶信息更新，用戶的密鑰的更新等。 ? 證書的凍結(jié)和解凍 該功能主要由管理方（ RA 操作員、 CA 中心管理員等）發(fā)起，對證書進行凍結(jié)，使證書列入黑名單，暫時因為失效而無法使 安徽省信息化專項 資金申報項目可行性 研究 報告 － 16－ 用；同時，管理方也可對被凍結(jié)的證書進行解凍操作，使該證書恢復正常的使用功能。 ? 密鑰恢復 提供被托管的用戶加密證書密鑰恢復的功能。 ? 證書廢除 吊銷實體證書，分為 CA 中心強制廢除和用戶申請廢除。 ? ECC 根簽發(fā) ? 證書和 CRL 的在線服務(wù)功能 ? 證書的在線發(fā)布 CA 系統(tǒng)可以對證書進行在線發(fā)布。每當簽發(fā)服務(wù)器在簽發(fā)一個用戶證書 完成后，簽發(fā)服務(wù)器會同時將證書放入目錄服務(wù)器中，以供用戶查詢。因此，用戶在下載證書時可以使用在線的方式獲取自己的證書，同時可以在 CA 中心對外服務(wù)的目錄服務(wù)器中查詢其他用戶的證書。 ? 證書的在線查詢 CA 系統(tǒng)的證書查詢功能主要采用 LDAP 協(xié)議。 CA 系統(tǒng)簽發(fā)證書后，將用戶的證書發(fā)布到系統(tǒng)的主目錄服務(wù)器中，然后利用目錄服務(wù)器的自動映射功能，將用戶的證書發(fā)布到從目錄服務(wù)器中，以供用戶在線查詢證書。同時提供方便的 Web 查詢證書方式。 ? CRL 的在線查詢 CA 系統(tǒng)在目錄服務(wù)器系統(tǒng)中發(fā)布 CRL，因此用戶可以通過在 安徽省信息化專項 資金申報項目可行性 研究 報告 － 17－ 線方式實現(xiàn) 對 CRL 的查詢。我們的系統(tǒng)中采用了 CRL 分布點技術(shù)，當用戶選擇下載 CRL 進行查詢時，查詢的信息并不是CA 系統(tǒng) CRL 的全部，只是其中的一個子集，這樣就大大地減少了信息量，提高了查詢的速度，降低了網(wǎng)絡(luò)的負擔。 ? 證書在線狀態(tài)查詢 由于 CA 注銷表是周期性簽發(fā)，并非是實時的，即使其周期特別短，在對證書狀態(tài)實時性要求比較高的應(yīng)用中， CRL 驗證并不能夠滿足需求。 CA 系統(tǒng)提供對證書在線狀態(tài)查詢協(xié)議的支持，用戶可以通過標準的證書狀態(tài)查詢接口來獲取證書有效性的檢查結(jié)果，任何證書的作廢應(yīng)能夠即時反映到在線證書查詢中。 ? CA 管理功能 ? 整個 CA 系統(tǒng)的初始化，包括 CA 證書的生成等。 ? CA 的日常管理，包括 CA 證書的管理、策略的管理等 ? 數(shù)據(jù)安全管理 ? 目錄服務(wù)器數(shù)據(jù)同步， CA 系統(tǒng)可自動記錄未發(fā)布的數(shù)據(jù)，在下一次發(fā)布的時候重新發(fā)布，直到發(fā)布成功為止。 ? 目錄服務(wù)器數(shù)據(jù)重新發(fā)布， CA 系統(tǒng)可在數(shù)據(jù)庫根據(jù)指定查詢條件重新發(fā)布證書到目錄服務(wù)器。 ? 數(shù)據(jù)歸檔，系統(tǒng)提供證書和日志的數(shù)據(jù)歸檔功能。管理員可以按照過期時間對證書庫進行歸檔，將過期證書從當前證書庫中轉(zhuǎn)移到證書歷史庫中。 安徽省信息化專項 資金申報項目可行性 研究 報告 － 18－ ? 管理其它運行的子系統(tǒng)，包括運行日志的管理等。 ? 證書及策略服務(wù)功能 ? 證書模板 管理 用戶可通過證書模板管理功能自定義證書的格式和內(nèi)容，以滿足不同組織的證書應(yīng)用需求。 證書模板根據(jù)定制策略來生成，需提供的定制策略項包括：證書類型、是否發(fā)布、有效起始日期、有效期限、主題字符串類型、密鑰是否加密傳輸?shù)然镜哪０鎸傩?，同時還對不同密鑰用法的擴展策略項選擇提供支持，這包括：對數(shù)字簽名、防抵賴、密鑰加密、數(shù)字加密、密鑰協(xié)商等密鑰用法的支持。證書模板還可以對自定義的證書擴展域進行管理。 用戶可以在證書模板制作中，確定上述內(nèi)容， CA 系統(tǒng)保存證書策略模板，并在具體的證書簽發(fā)中，選用模版中的具體策略實現(xiàn) 證書簽發(fā)。證書模板策略可以進行添加、刪除、修改等管理。 格爾數(shù)字認證中心系統(tǒng)提供內(nèi)置的系統(tǒng)模板制定規(guī)則，可以屏蔽系統(tǒng)管理員在證書模板制作中可能造成的沖突操作。 ? 證書擴展域管理 系統(tǒng)允許 CA 中心管理員根據(jù)特殊應(yīng)用目的和實現(xiàn)多用途的驗證服務(wù)模式需求，來定義附加的 ”私人 ”擴展項。系統(tǒng)提供了修改、增減、重新定義證書擴展項的能力。系統(tǒng)可通過對擴展項的重新定義功能制定詳細的制定規(guī)則和規(guī)范，以保證 CA 中心 安徽省信息化專項 資金申報項目可行性 研究 報告 － 19－ 管理員能夠合理、有效的進行證書的擴展，盡可能避免由于操作不規(guī)范而導致的信任管理體系的混亂。 ? 系統(tǒng)策略管理 ? 證書發(fā)布策略 ? 證書有效期策略 ? CRL 簽發(fā)、發(fā)布策略 ? 證書擴展項策略 ? 邏輯 CA 管理 格爾 CA 能夠在同一個 CA 系統(tǒng)軟硬件平臺和同一個共享的數(shù)據(jù)庫、 LDAP 服務(wù)器環(huán)境上，運行多個邏輯 CA，擁有各自的密鑰和策略，獨立地為不同的用戶群簽發(fā)和管理證書，滿足 CA 托管運行的需求。 ? 用戶服務(wù)功能 ? 個人證書管理服務(wù) 本系統(tǒng)可向用戶提供用于個人證書管理的客戶端軟件，能幫助用戶管理和維護自己的數(shù)字證書，同時能提供個人證書定制服務(wù)；并且，軟件的管理界面友好、操作簡單，方便用戶使用。 ? 用戶證書查詢服務(wù) 可對用戶證書基本信息、附加信息、自定義擴展 項信息等進行查詢，查詢支持海量數(shù)據(jù)分頁處理。 ? 用戶服務(wù)功能的擴展 本系統(tǒng)可根據(jù) CA 系統(tǒng)業(yè)務(wù)需求以及用戶個性化需求，方便的 安徽省信息化專項 資金申報項目可行性 研究 報告 － 20－ 增加新的服務(wù)功能模塊。 ? 日志服務(wù)功能 ? 記錄管理員和操作員的所有動作； ? 記錄整個證書認證系統(tǒng)中各子系統(tǒng)的內(nèi)部運行錯誤和異常； ? 對整個 CA 體系的發(fā)卡數(shù)量做統(tǒng)計和分析； ? 日志提供查詢、分析和審計管理