【導(dǎo)讀】?jī)?nèi)部自建CA解決方案。上海格爾軟件股份有限公司

　　

【正文】 32 理模式，用戶證書的策略在 CA 系統(tǒng)中統(tǒng)一管理，以保證用 戶證書的統(tǒng)一性及規(guī)范性。運(yùn)營(yíng) CA 在簽發(fā)成功后，需要分配證書策略才可以提供證書服務(wù)。證書策略包含有證書有效期、證書 DN 字符串屬性、證書基本密鑰用法、證書擴(kuò)展密鑰用法、證書自定義擴(kuò)展項(xiàng)等證書屬性。 證書服務(wù)模塊 證書服務(wù)模塊 是 CA 系統(tǒng)的核心系統(tǒng)，本模塊為 RA 提供證書簽發(fā)、證書更新、證書恢復(fù)、證書吊銷等證書功能。證書服務(wù)支持 ECC、 RSA 兩種密鑰格式，可以根據(jù)簽發(fā)者 CA 的密鑰格式自適應(yīng)兩種密鑰。證書服務(wù)支持單證書及雙證書簽發(fā)，雙證書簽發(fā)時(shí)加密密鑰從 KM 獲取，加密密鑰使用國(guó)密局指定的對(duì)稱算法加密，實(shí)現(xiàn)密鑰不落地功能 。 CA 系統(tǒng)和 RA 系統(tǒng)間的數(shù)據(jù)協(xié)議使用 CMP(Certification Management Protocol)協(xié)議，通訊協(xié)議使用 SPKM 安全通訊協(xié)議，保證系統(tǒng)的數(shù)據(jù)通訊安全。 策略模板管理模塊 模板管理模塊 是 CA 系統(tǒng)的輔助性功能模塊，提供證書策略的預(yù)定義、新增加、更新、刪除等功能。證書策略模塊包括有證書有效期、證書 DN 字符串屬性、證書基本密鑰用法、證書擴(kuò)展密鑰用法、證書自定義擴(kuò)展項(xiàng)等證書屬性。定義好的模板可以指定給運(yùn)營(yíng) CA，為 CA 系統(tǒng)的證書服務(wù)提供良好的擴(kuò)展性。 加密機(jī)管理模塊 加密機(jī)管理模塊 用于管理 CA 系統(tǒng)的加密機(jī)配置。 CA 系統(tǒng)同時(shí)支持 RSA、ECC、管理根、 SPKM 四個(gè)加密機(jī)， RSA 加密機(jī)用于簽發(fā) RSA 密鑰格式用戶自建 CA解決方案 33 證書， ECC 加密機(jī)密鑰格式用戶證書，管理根加密機(jī)用于簽發(fā) CA 系統(tǒng)管理員證書， SPKM 加密機(jī)用于 SPKM 安全通訊。四個(gè)加密機(jī)完全單獨(dú)配置，互不影響。 RA 接入控制模塊 RA 接入控制模塊 提供 CA 系統(tǒng)對(duì) RA 的接入控制功能，本模塊提供 RA站點(diǎn)添加、刪除，只有添加成功的 RA 站點(diǎn)才能使用 CA 證書服務(wù)。 CA 系統(tǒng)對(duì) RA 站點(diǎn)授權(quán)通過部署碼的方式來實(shí)現(xiàn)， RA 在部署時(shí)需要把 RA 站點(diǎn)的證書請(qǐng)求及證書模塊策略提交到 CA 系統(tǒng)， CA 系統(tǒng)管理員進(jìn)行合法性審核通過后，將簽發(fā)部署碼給 RA 系統(tǒng)。 RA 系統(tǒng)使用 CA 證書服務(wù)時(shí)，需要通過部署碼的特定標(biāo)識(shí)取得 CA 授權(quán)。 系統(tǒng)管理模塊 系統(tǒng)管理模塊 為 CA 系統(tǒng)的系統(tǒng)運(yùn)行參數(shù)配置模塊， CA 系統(tǒng)提供數(shù)據(jù)庫(kù)參數(shù)、證書服務(wù)參數(shù)、加密機(jī)參數(shù)配置、密鑰管理中心參數(shù)配置及日志參數(shù)配置等功能。 系統(tǒng)審計(jì)模塊 系統(tǒng)審計(jì)模塊提供 CA 系統(tǒng)的日志統(tǒng)計(jì)、分析功能。 CA 系統(tǒng)記錄管理員的操作日志及證書服務(wù)日志，操作日志記錄管理員執(zhí)行關(guān)鍵操作的時(shí)間、內(nèi)容、結(jié)果，日志包括管理員對(duì)業(yè)務(wù)操作的數(shù)據(jù)簽名，系統(tǒng)審計(jì)員可以對(duì)數(shù)據(jù)簽名進(jìn)行驗(yàn) 證，達(dá)到操作不可抵賴的目標(biāo)。 自建 CA解決方案 34 RA 系統(tǒng)結(jié)構(gòu) 用戶管理功能 ? 用戶注冊(cè) 用戶信息、企業(yè)信息或設(shè)備信息通過在線或離線的方式完成注冊(cè)并記錄入系統(tǒng)數(shù)據(jù)庫(kù)。 ? 批量注冊(cè) 系統(tǒng)以離線的方式將批量用戶信息使用指定的格式導(dǎo)入到用戶注冊(cè)系統(tǒng)中，完成注冊(cè)。 ? 用戶查詢 用戶注冊(cè)系統(tǒng)操作員可以根據(jù)用戶的多項(xiàng)參數(shù)對(duì)系統(tǒng)中的用戶進(jìn)行查詢，并查看其詳細(xì)信息。 ? 用戶變更 用戶注冊(cè)系統(tǒng)操作員可以根據(jù)對(duì)系統(tǒng)中用戶的信息進(jìn)行調(diào)整和修改，并自動(dòng)進(jìn)入待審核狀態(tài)。 ? 用戶注銷 用戶注冊(cè)系統(tǒng)操作員可以把證書已經(jīng)廢除而不再申請(qǐng)證書的用戶信息通過用戶注銷的方式將 用戶信息轉(zhuǎn)入用戶信息歷史庫(kù)中。 ? 用戶信息恢復(fù) 用戶注冊(cè)系統(tǒng)操作員可以將用戶信息歷史庫(kù)中的用戶信息恢復(fù)到當(dāng)前系統(tǒng)并重新申請(qǐng)證書 證書管理功能 ? 證書申請(qǐng) 當(dāng)用戶信息、企業(yè)信息或設(shè)備信息通過在線或離線的方式注冊(cè)完成，將向系統(tǒng)自動(dòng)提交發(fā)放證書審核申請(qǐng)。 ? 證書申請(qǐng)審核 用戶注冊(cè)系統(tǒng)操作員對(duì)用戶信息、企業(yè)信息或設(shè)備信息進(jìn)行審核，同意或拒絕證書發(fā)放申請(qǐng)。 ? 證書下載 被審核同意下載證書后，系統(tǒng)支持以在線或離線的方式進(jìn)行證書下載，將證書安裝到證書設(shè)備中。 ? 證書更新申請(qǐng) 當(dāng)用戶信息、企業(yè)信息或設(shè)備信息變更時(shí)，將向系統(tǒng)自動(dòng)提交證 書更新審核申請(qǐng)。 ? 證書更新審核 用戶注冊(cè)系統(tǒng)操作員對(duì)用戶信息、企業(yè)信息或設(shè)備信息進(jìn)行更新審核，同意或拒絕申請(qǐng)。 ? 證書更新 更新審核同意后，系統(tǒng)支持以在線或離線的方式進(jìn)行證書自建 CA解決方案 35 更新下載，將證書安裝到證書設(shè)備中。 ? 密鑰更新申請(qǐng) 當(dāng)懷疑密鑰已經(jīng)不再安全或者證書快到期時(shí)，由操作員向系統(tǒng)提交密鑰更新審核申請(qǐng)。 ? 密鑰更新審核 用戶注冊(cè)系統(tǒng)操作員對(duì)用戶信息、企業(yè)信息或設(shè)備信息進(jìn)行審核，同意或拒絕更新申請(qǐng)。 ? 密鑰更新 密鑰更新審核同意后，系統(tǒng)支持以在線或離線的方式進(jìn)行證書更新下載，將證書安裝到證書設(shè)備中。 ? 證書恢復(fù)申請(qǐng) 當(dāng)用 戶證書設(shè)備損壞或丟失時(shí)需要繼續(xù)恢復(fù)當(dāng)前證書時(shí)，可以向系統(tǒng)提交證書恢復(fù)審核申請(qǐng)，該申請(qǐng)由密鑰管理系統(tǒng)進(jìn)行審核。 ? 證書恢復(fù) 密鑰管理系統(tǒng)同意證書恢復(fù)申請(qǐng)后，管理員可以執(zhí)行證書恢復(fù)操作，將恢復(fù)的證書安裝到證書設(shè)備中。 ? 證書廢除 吊銷實(shí)體證書，可以由 RA 中心發(fā)起，也可以由擁有該證書的用戶直接發(fā)起。 實(shí)體證書包括個(gè)人用戶證書，設(shè)備證書，站點(diǎn)證書、代碼簽名證書等。實(shí)體證書支持 RSA、 ECC 兩種密鑰格式，密鑰格式在 RA 系統(tǒng)部署時(shí)指定。 機(jī)構(gòu)管理 ? 增加 RA 機(jī)構(gòu) 可以在指定的機(jī)構(gòu)下創(chuàng)建子機(jī)構(gòu)，機(jī)構(gòu)分為邏輯機(jī)構(gòu)和物理機(jī)構(gòu)。 ? 變更 RA 機(jī)構(gòu)名稱 修改 RA 機(jī)構(gòu)的名稱，但不改變其機(jī)構(gòu)代碼。 ? 刪除 RA 機(jī)構(gòu) 如果某 RA 機(jī)構(gòu)下有注冊(cè)用戶或管理員，該 RA 機(jī)構(gòu)不能被刪除。 自建 CA解決方案 36 操作認(rèn)證管理 在用戶注冊(cè)系統(tǒng)中，所有用戶注冊(cè)中心操作員必須都持有數(shù)字證書。數(shù)字證書由證書認(rèn)證系統(tǒng)自行簽發(fā)，只有操作員數(shù)字證書通過系統(tǒng)的認(rèn)證并采用安全連接才能進(jìn)行相關(guān)操作。 身份驗(yàn)證內(nèi)容包括：證書的有效性、證書的真實(shí)性、證書持有人的權(quán)限等等。 通過身份驗(yàn)證后，操作員可以進(jìn)行的操作統(tǒng)一由權(quán)限管理子系統(tǒng)進(jìn)行管理。 日志服務(wù)功能 其功能主要包括： ? 記錄管理員和操作員的所有動(dòng)作； ? 記錄 整個(gè)系統(tǒng)中各子系統(tǒng)的內(nèi)部運(yùn)行錯(cuò)誤和異常； ? 將日志簽名后發(fā)送到日志審計(jì)系統(tǒng)。 統(tǒng)計(jì)功能 用戶注冊(cè)系統(tǒng)操作員可以在管理界面上對(duì)系統(tǒng)中現(xiàn)有的用戶與證書信息進(jìn)行分類統(tǒng)計(jì)。 管理員管理 其功能 RA 管理員與操作員的發(fā)放，查詢，廢除等。 RA 管理員支持 RSA、ECC 兩種密鑰格式，具體格式在系統(tǒng)部署時(shí)指定。 “ 應(yīng)需而變 ” 的 RA 系統(tǒng)設(shè)計(jì) 本方案設(shè)計(jì)中使用的 RA 系統(tǒng)具有如下特點(diǎn)： ? 充分的用戶化定制開發(fā)能力：根據(jù)項(xiàng)目建設(shè)需求和對(duì)今后應(yīng)用前景的自建 CA解決方案 37 分析，本方案提供的 RA 系統(tǒng)具有強(qiáng)大的客戶化定制開發(fā)能力，雖然客戶化定制開發(fā)能力不是一項(xiàng) 具體的業(yè)務(wù)功能，但對(duì)于用戶來說， RA系統(tǒng)能否快速的適應(yīng)用戶的業(yè)務(wù)變化、能否顯著的縮短建設(shè)周期，將是決定業(yè)務(wù)成敗的關(guān)鍵； ? 強(qiáng)大的 RA 管理功能：包括信息統(tǒng)計(jì)、機(jī)構(gòu)管理、人員管理功能等； ? 對(duì)物理分級(jí)和邏輯分級(jí)的靈活支持：可以支持多級(jí)的物理 RA 機(jī)構(gòu)，在每個(gè)物理 RA 機(jī)構(gòu)內(nèi)部，又可以支持多級(jí)的邏輯 RA 機(jī)構(gòu)。 ? 安裝和部署過程的簡(jiǎn)化：全部安裝自動(dòng)進(jìn)行，不需要人工干預(yù)；部署過程更加簡(jiǎn)單、安全； 本方案中的 RA 系統(tǒng)架構(gòu)設(shè)計(jì)充分考慮 RA 中心多樣化的定制建設(shè)需求，從以下幾個(gè)方面實(shí)現(xiàn) “ 應(yīng)需而變 ” 的目標(biāo)： ? 業(yè)務(wù)流程定義： RA 系統(tǒng)的業(yè) 務(wù)流程是完全通過配置文件進(jìn)行定義的，在用戶業(yè)務(wù)流程發(fā)生變更的情況下，可以通過調(diào)整配置文件迅速的適應(yīng)業(yè)務(wù)流程變更。如：證書的廢除原來可以直接執(zhí)行，現(xiàn)在需要改為申請(qǐng)－ 審核 執(zhí)行的過程，這可以非常簡(jiǎn)單的通過修改兩個(gè)配置文件（證書狀態(tài)機(jī)配置文件和證書業(yè)務(wù)配置文件）來實(shí)現(xiàn)。 ? 業(yè)務(wù)數(shù)據(jù)項(xiàng)定義： RA 系統(tǒng)的業(yè)務(wù)數(shù)據(jù)項(xiàng)在只需要在系統(tǒng)的兩端進(jìn)行定義，一個(gè)是最前端的頁(yè)面，另一個(gè)是最后端的數(shù)據(jù)庫(kù)。在業(yè)務(wù)數(shù)據(jù)項(xiàng)發(fā)生變化的情況下，只需要修改 JSP 頁(yè)面和數(shù)據(jù)庫(kù)字段，這類工作甚至系統(tǒng)管理員就可以完成。 ? 用戶界面定制： RA 系統(tǒng)的用戶界面 采用了商業(yè)化的成熟的 WEB 控件。用戶界面的布局、風(fēng)格等可以通過少量的定制開發(fā)快速變更，迅速適應(yīng)用戶要求。 ? 基本業(yè)務(wù)功能定制： RA 系統(tǒng)的將基本業(yè)務(wù)功能分解為 “ 原子業(yè)務(wù) ” 。通過組合這些 “ 原子業(yè)務(wù) ” 可以快速實(shí)現(xiàn)新的基本業(yè)務(wù)，對(duì)于更特殊自建 CA解決方案 38 的業(yè)務(wù)也可以通過繼承、重載原有的 “ 原子業(yè)務(wù) ” 或增加新的 “ 原子業(yè)務(wù) ” 來實(shí)現(xiàn)。 6 技術(shù)特色 密碼技術(shù) PKI 公開密鑰體系是國(guó)際公認(rèn)的互聯(lián)網(wǎng)電子商務(wù)的安全認(rèn)證機(jī)制，它是利用現(xiàn)代密碼學(xué)中的公鑰密碼技術(shù)在開放的 Inter 網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務(wù)的統(tǒng)一技術(shù)框架。其目的是通過自動(dòng) 管理密鑰和證書，為用戶建立和維持一個(gè)令人信任的、安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使數(shù)據(jù)在傳輸過程中不被非授權(quán)者偷看、不被非法篡改、不能否認(rèn)，保障了互聯(lián)網(wǎng)電子商務(wù)中交易信息的保密性；交易信息的完整性；交易各方身份真實(shí)性；交易的不可否認(rèn)性四個(gè)方面的安全要素。 使用公開密鑰算法（又叫非對(duì)稱加密算法）的用戶同時(shí)擁有公鑰和私鑰。私鑰不能通過公鑰計(jì)算出來。私鑰由用戶自己持有，公鑰可以明文發(fā)送給任何人，公開密鑰理論解決了對(duì)稱加密系統(tǒng)的密鑰交換問題。 ECPKI 系統(tǒng)利用了公鑰體系的真實(shí)身份認(rèn)證方面的特點(diǎn)，對(duì)于申請(qǐng)加密證書的用戶，將使 用用戶的簽名公鑰來產(chǎn)生數(shù)字信封，該數(shù)字信封中保存的用戶加密密鑰只能被持有和用戶簽名公鑰所匹配的私鑰所解密，這就保證了加密密鑰的安全傳輸。 多人制技術(shù) ECPKI 管理系統(tǒng)的管理員采用分權(quán)和制衡的原則，人員分為：超級(jí)管理員、業(yè)務(wù)管理員、業(yè)務(wù)操作員、審計(jì)管理員和審計(jì)員。如下圖所示： 自建 CA解決方案 39 超級(jí)管理員和審計(jì)管理員都在部署時(shí)生成，相互獨(dú)立。由于這兩個(gè)角色的重要性，系統(tǒng)要求在登錄時(shí)，必須采用多人登錄的方式。其它角色為了操作方便，單人登錄即可操作。 超級(jí)管理員和審計(jì)管理 員一般在初始化時(shí)候創(chuàng)建，簽發(fā)授權(quán)業(yè)務(wù)管理員和審計(jì)員，此后一般就鎖入保險(xiǎn)箱不經(jīng)常使用。超級(jí)管理員和審計(jì)管理員采用的是 M 選 N 登錄機(jī)制，即部署時(shí)生成 M 個(gè)管理員，只有 N 個(gè)管理員全部登錄成功 (M 選 N 需要滿足條件 N ?M， N 大于等于 2)后，才能使用系統(tǒng)，通過這種約束機(jī)制保證了高級(jí)操作的安全性。 M 選 N 的主管理員（第一個(gè)登陸的管理員）使用 進(jìn)行登陸認(rèn)證，完成和服務(wù)器的交互認(rèn)證，只要在第一個(gè)管理員登陸成功后，副管理員才能進(jìn)行登陸?？蛻舳丝丶鶕?jù)配置會(huì)提示繼續(xù)插入管理員 KEY，然后系統(tǒng)會(huì)得到控件傳輸過來的管理員信息， 判斷其是否合法。當(dāng) N 個(gè)管理員完成進(jìn)行登陸完成后才可以進(jìn)行操作，否則即使主管理員登陸成功，仍然無法對(duì)系統(tǒng)進(jìn)行操作。 自建 CA解決方案 40 密鑰不落地機(jī)制 下圖給出了密鑰生成和傳遞的流程。 R A 服 務(wù) 器 C A 服 務(wù) 器 K M 服 務(wù) 器用 戶( 1 )( 2 )( 3 )( 7 )( 6 )( 5 )( 4 ) 流程描述： 終端通過證書介質(zhì)構(gòu)造 簽名證書的 密鑰對(duì)?？蛻舳顺绦蚴褂迷撁荑€對(duì)構(gòu)造 PKCS10 證書請(qǐng)求并發(fā)送給 RA 服務(wù)器； RA 服務(wù)器驗(yàn)證用戶合法性和用戶證書請(qǐng)求是否已獲批準(zhǔn)，然后將請(qǐng)求發(fā)送給 CA 服務(wù)器； CA 服務(wù)器驗(yàn)證該 PKCS10 證書請(qǐng)求中的簽名 ，然后根據(jù)簽名證書的策略模版 簽發(fā)該證書，此時(shí)得到雙證書的第一張證書 (簽名證書 )； 然后 CA 向密鑰管理中心請(qǐng)求生成用戶加密密鑰對(duì)； 密鑰管理中心 處理 CA 的密鑰 請(qǐng)求， 從備份密鑰庫(kù)中取出一對(duì)加密密鑰對(duì)；該密鑰對(duì)在發(fā)送前保存到在用庫(kù)，并標(biāo)記該密鑰被哪個(gè) CA 的哪個(gè)用戶使用。 KM 使用用戶簽名證書中的公鑰，把加密密鑰對(duì)做成數(shù)字信封，將該數(shù)字信封和加密密鑰的公鑰發(fā)送給 CA； CA 把加密密鑰的公鑰填入加密證書的策略模版，并簽發(fā)該證書，此時(shí)得到雙證書的第二張證書 (加密證書 )； 然后 CA 向 RA 發(fā)送這對(duì)雙證書和加密密鑰的數(shù)字信封； 自建 CA解決方案 41 RA 把這 對(duì)雙證書和加密密鑰的數(shù)字信封發(fā)送給客戶端；