【導讀】內(nèi)部自建CA解決方案。上海格爾軟件股份有限公司

　　

【正文】 32 理模式，用戶證書的策略在 CA 系統(tǒng)中統(tǒng)一管理，以保證用 戶證書的統(tǒng)一性及規(guī)范性。運營 CA 在簽發(fā)成功后，需要分配證書策略才可以提供證書服務。證書策略包含有證書有效期、證書 DN 字符串屬性、證書基本密鑰用法、證書擴展密鑰用法、證書自定義擴展項等證書屬性。 證書服務模塊 證書服務模塊 是 CA 系統(tǒng)的核心系統(tǒng)，本模塊為 RA 提供證書簽發(fā)、證書更新、證書恢復、證書吊銷等證書功能。證書服務支持 ECC、 RSA 兩種密鑰格式，可以根據(jù)簽發(fā)者 CA 的密鑰格式自適應兩種密鑰。證書服務支持單證書及雙證書簽發(fā)，雙證書簽發(fā)時加密密鑰從 KM 獲取，加密密鑰使用國密局指定的對稱算法加密，實現(xiàn)密鑰不落地功能 。 CA 系統(tǒng)和 RA 系統(tǒng)間的數(shù)據(jù)協(xié)議使用 CMP(Certification Management Protocol)協(xié)議，通訊協(xié)議使用 SPKM 安全通訊協(xié)議，保證系統(tǒng)的數(shù)據(jù)通訊安全。 策略模板管理模塊 模板管理模塊 是 CA 系統(tǒng)的輔助性功能模塊，提供證書策略的預定義、新增加、更新、刪除等功能。證書策略模塊包括有證書有效期、證書 DN 字符串屬性、證書基本密鑰用法、證書擴展密鑰用法、證書自定義擴展項等證書屬性。定義好的模板可以指定給運營 CA，為 CA 系統(tǒng)的證書服務提供良好的擴展性。 加密機管理模塊 加密機管理模塊 用于管理 CA 系統(tǒng)的加密機配置。 CA 系統(tǒng)同時支持 RSA、ECC、管理根、 SPKM 四個加密機， RSA 加密機用于簽發(fā) RSA 密鑰格式用戶自建 CA解決方案 33 證書， ECC 加密機密鑰格式用戶證書，管理根加密機用于簽發(fā) CA 系統(tǒng)管理員證書， SPKM 加密機用于 SPKM 安全通訊。四個加密機完全單獨配置，互不影響。 RA 接入控制模塊 RA 接入控制模塊 提供 CA 系統(tǒng)對 RA 的接入控制功能，本模塊提供 RA站點添加、刪除，只有添加成功的 RA 站點才能使用 CA 證書服務。 CA 系統(tǒng)對 RA 站點授權通過部署碼的方式來實現(xiàn)， RA 在部署時需要把 RA 站點的證書請求及證書模塊策略提交到 CA 系統(tǒng)， CA 系統(tǒng)管理員進行合法性審核通過后，將簽發(fā)部署碼給 RA 系統(tǒng)。 RA 系統(tǒng)使用 CA 證書服務時，需要通過部署碼的特定標識取得 CA 授權。 系統(tǒng)管理模塊 系統(tǒng)管理模塊 為 CA 系統(tǒng)的系統(tǒng)運行參數(shù)配置模塊， CA 系統(tǒng)提供數(shù)據(jù)庫參數(shù)、證書服務參數(shù)、加密機參數(shù)配置、密鑰管理中心參數(shù)配置及日志參數(shù)配置等功能。 系統(tǒng)審計模塊 系統(tǒng)審計模塊提供 CA 系統(tǒng)的日志統(tǒng)計、分析功能。 CA 系統(tǒng)記錄管理員的操作日志及證書服務日志，操作日志記錄管理員執(zhí)行關鍵操作的時間、內(nèi)容、結(jié)果，日志包括管理員對業(yè)務操作的數(shù)據(jù)簽名，系統(tǒng)審計員可以對數(shù)據(jù)簽名進行驗 證，達到操作不可抵賴的目標。 自建 CA解決方案 34 RA 系統(tǒng)結(jié)構(gòu) 用戶管理功能 ? 用戶注冊 用戶信息、企業(yè)信息或設備信息通過在線或離線的方式完成注冊并記錄入系統(tǒng)數(shù)據(jù)庫。 ? 批量注冊 系統(tǒng)以離線的方式將批量用戶信息使用指定的格式導入到用戶注冊系統(tǒng)中，完成注冊。 ? 用戶查詢 用戶注冊系統(tǒng)操作員可以根據(jù)用戶的多項參數(shù)對系統(tǒng)中的用戶進行查詢，并查看其詳細信息。 ? 用戶變更 用戶注冊系統(tǒng)操作員可以根據(jù)對系統(tǒng)中用戶的信息進行調(diào)整和修改，并自動進入待審核狀態(tài)。 ? 用戶注銷 用戶注冊系統(tǒng)操作員可以把證書已經(jīng)廢除而不再申請證書的用戶信息通過用戶注銷的方式將 用戶信息轉(zhuǎn)入用戶信息歷史庫中。 ? 用戶信息恢復 用戶注冊系統(tǒng)操作員可以將用戶信息歷史庫中的用戶信息恢復到當前系統(tǒng)并重新申請證書 證書管理功能 ? 證書申請 當用戶信息、企業(yè)信息或設備信息通過在線或離線的方式注冊完成，將向系統(tǒng)自動提交發(fā)放證書審核申請。 ? 證書申請審核 用戶注冊系統(tǒng)操作員對用戶信息、企業(yè)信息或設備信息進行審核，同意或拒絕證書發(fā)放申請。 ? 證書下載 被審核同意下載證書后，系統(tǒng)支持以在線或離線的方式進行證書下載，將證書安裝到證書設備中。 ? 證書更新申請 當用戶信息、企業(yè)信息或設備信息變更時，將向系統(tǒng)自動提交證 書更新審核申請。 ? 證書更新審核 用戶注冊系統(tǒng)操作員對用戶信息、企業(yè)信息或設備信息進行更新審核，同意或拒絕申請。 ? 證書更新 更新審核同意后，系統(tǒng)支持以在線或離線的方式進行證書自建 CA解決方案 35 更新下載，將證書安裝到證書設備中。 ? 密鑰更新申請 當懷疑密鑰已經(jīng)不再安全或者證書快到期時，由操作員向系統(tǒng)提交密鑰更新審核申請。 ? 密鑰更新審核 用戶注冊系統(tǒng)操作員對用戶信息、企業(yè)信息或設備信息進行審核，同意或拒絕更新申請。 ? 密鑰更新 密鑰更新審核同意后，系統(tǒng)支持以在線或離線的方式進行證書更新下載，將證書安裝到證書設備中。 ? 證書恢復申請 當用 戶證書設備損壞或丟失時需要繼續(xù)恢復當前證書時，可以向系統(tǒng)提交證書恢復審核申請，該申請由密鑰管理系統(tǒng)進行審核。 ? 證書恢復 密鑰管理系統(tǒng)同意證書恢復申請后，管理員可以執(zhí)行證書恢復操作，將恢復的證書安裝到證書設備中。 ? 證書廢除 吊銷實體證書，可以由 RA 中心發(fā)起，也可以由擁有該證書的用戶直接發(fā)起。 實體證書包括個人用戶證書，設備證書，站點證書、代碼簽名證書等。實體證書支持 RSA、 ECC 兩種密鑰格式，密鑰格式在 RA 系統(tǒng)部署時指定。 機構(gòu)管理 ? 增加 RA 機構(gòu) 可以在指定的機構(gòu)下創(chuàng)建子機構(gòu)，機構(gòu)分為邏輯機構(gòu)和物理機構(gòu)。 ? 變更 RA 機構(gòu)名稱 修改 RA 機構(gòu)的名稱，但不改變其機構(gòu)代碼。 ? 刪除 RA 機構(gòu) 如果某 RA 機構(gòu)下有注冊用戶或管理員，該 RA 機構(gòu)不能被刪除。 自建 CA解決方案 36 操作認證管理 在用戶注冊系統(tǒng)中，所有用戶注冊中心操作員必須都持有數(shù)字證書。數(shù)字證書由證書認證系統(tǒng)自行簽發(fā)，只有操作員數(shù)字證書通過系統(tǒng)的認證并采用安全連接才能進行相關操作。 身份驗證內(nèi)容包括：證書的有效性、證書的真實性、證書持有人的權限等等。 通過身份驗證后，操作員可以進行的操作統(tǒng)一由權限管理子系統(tǒng)進行管理。 日志服務功能 其功能主要包括： ? 記錄管理員和操作員的所有動作； ? 記錄 整個系統(tǒng)中各子系統(tǒng)的內(nèi)部運行錯誤和異常； ? 將日志簽名后發(fā)送到日志審計系統(tǒng)。 統(tǒng)計功能 用戶注冊系統(tǒng)操作員可以在管理界面上對系統(tǒng)中現(xiàn)有的用戶與證書信息進行分類統(tǒng)計。 管理員管理 其功能 RA 管理員與操作員的發(fā)放，查詢，廢除等。 RA 管理員支持 RSA、ECC 兩種密鑰格式，具體格式在系統(tǒng)部署時指定。 “ 應需而變 ” 的 RA 系統(tǒng)設計 本方案設計中使用的 RA 系統(tǒng)具有如下特點： ? 充分的用戶化定制開發(fā)能力：根據(jù)項目建設需求和對今后應用前景的自建 CA解決方案 37 分析，本方案提供的 RA 系統(tǒng)具有強大的客戶化定制開發(fā)能力，雖然客戶化定制開發(fā)能力不是一項 具體的業(yè)務功能，但對于用戶來說， RA系統(tǒng)能否快速的適應用戶的業(yè)務變化、能否顯著的縮短建設周期，將是決定業(yè)務成敗的關鍵； ? 強大的 RA 管理功能：包括信息統(tǒng)計、機構(gòu)管理、人員管理功能等； ? 對物理分級和邏輯分級的靈活支持：可以支持多級的物理 RA 機構(gòu)，在每個物理 RA 機構(gòu)內(nèi)部，又可以支持多級的邏輯 RA 機構(gòu)。 ? 安裝和部署過程的簡化：全部安裝自動進行，不需要人工干預；部署過程更加簡單、安全； 本方案中的 RA 系統(tǒng)架構(gòu)設計充分考慮 RA 中心多樣化的定制建設需求，從以下幾個方面實現(xiàn) “ 應需而變 ” 的目標： ? 業(yè)務流程定義： RA 系統(tǒng)的業(yè) 務流程是完全通過配置文件進行定義的，在用戶業(yè)務流程發(fā)生變更的情況下，可以通過調(diào)整配置文件迅速的適應業(yè)務流程變更。如：證書的廢除原來可以直接執(zhí)行，現(xiàn)在需要改為申請－ 審核 執(zhí)行的過程，這可以非常簡單的通過修改兩個配置文件（證書狀態(tài)機配置文件和證書業(yè)務配置文件）來實現(xiàn)。 ? 業(yè)務數(shù)據(jù)項定義： RA 系統(tǒng)的業(yè)務數(shù)據(jù)項在只需要在系統(tǒng)的兩端進行定義，一個是最前端的頁面，另一個是最后端的數(shù)據(jù)庫。在業(yè)務數(shù)據(jù)項發(fā)生變化的情況下，只需要修改 JSP 頁面和數(shù)據(jù)庫字段，這類工作甚至系統(tǒng)管理員就可以完成。 ? 用戶界面定制： RA 系統(tǒng)的用戶界面 采用了商業(yè)化的成熟的 WEB 控件。用戶界面的布局、風格等可以通過少量的定制開發(fā)快速變更，迅速適應用戶要求。 ? 基本業(yè)務功能定制： RA 系統(tǒng)的將基本業(yè)務功能分解為 “ 原子業(yè)務 ” 。通過組合這些 “ 原子業(yè)務 ” 可以快速實現(xiàn)新的基本業(yè)務，對于更特殊自建 CA解決方案 38 的業(yè)務也可以通過繼承、重載原有的 “ 原子業(yè)務 ” 或增加新的 “ 原子業(yè)務 ” 來實現(xiàn)。 6 技術特色 密碼技術 PKI 公開密鑰體系是國際公認的互聯(lián)網(wǎng)電子商務的安全認證機制，它是利用現(xiàn)代密碼學中的公鑰密碼技術在開放的 Inter 網(wǎng)絡環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務的統(tǒng)一技術框架。其目的是通過自動 管理密鑰和證書，為用戶建立和維持一個令人信任的、安全的網(wǎng)絡運行環(huán)境，使數(shù)據(jù)在傳輸過程中不被非授權者偷看、不被非法篡改、不能否認，保障了互聯(lián)網(wǎng)電子商務中交易信息的保密性；交易信息的完整性；交易各方身份真實性；交易的不可否認性四個方面的安全要素。 使用公開密鑰算法（又叫非對稱加密算法）的用戶同時擁有公鑰和私鑰。私鑰不能通過公鑰計算出來。私鑰由用戶自己持有，公鑰可以明文發(fā)送給任何人，公開密鑰理論解決了對稱加密系統(tǒng)的密鑰交換問題。 ECPKI 系統(tǒng)利用了公鑰體系的真實身份認證方面的特點，對于申請加密證書的用戶，將使 用用戶的簽名公鑰來產(chǎn)生數(shù)字信封，該數(shù)字信封中保存的用戶加密密鑰只能被持有和用戶簽名公鑰所匹配的私鑰所解密，這就保證了加密密鑰的安全傳輸。 多人制技術 ECPKI 管理系統(tǒng)的管理員采用分權和制衡的原則，人員分為：超級管理員、業(yè)務管理員、業(yè)務操作員、審計管理員和審計員。如下圖所示： 自建 CA解決方案 39 超級管理員和審計管理員都在部署時生成，相互獨立。由于這兩個角色的重要性，系統(tǒng)要求在登錄時，必須采用多人登錄的方式。其它角色為了操作方便，單人登錄即可操作。 超級管理員和審計管理 員一般在初始化時候創(chuàng)建，簽發(fā)授權業(yè)務管理員和審計員，此后一般就鎖入保險箱不經(jīng)常使用。超級管理員和審計管理員采用的是 M 選 N 登錄機制，即部署時生成 M 個管理員，只有 N 個管理員全部登錄成功 (M 選 N 需要滿足條件 N ?M， N 大于等于 2)后，才能使用系統(tǒng)，通過這種約束機制保證了高級操作的安全性。 M 選 N 的主管理員（第一個登陸的管理員）使用 進行登陸認證，完成和服務器的交互認證，只要在第一個管理員登陸成功后，副管理員才能進行登陸?？蛻舳丝丶鶕?jù)配置會提示繼續(xù)插入管理員 KEY，然后系統(tǒng)會得到控件傳輸過來的管理員信息， 判斷其是否合法。當 N 個管理員完成進行登陸完成后才可以進行操作，否則即使主管理員登陸成功，仍然無法對系統(tǒng)進行操作。 自建 CA解決方案 40 密鑰不落地機制 下圖給出了密鑰生成和傳遞的流程。 R A 服 務 器 C A 服 務 器 K M 服 務 器用 戶( 1 )( 2 )( 3 )( 7 )( 6 )( 5 )( 4 ) 流程描述： 終端通過證書介質(zhì)構(gòu)造 簽名證書的 密鑰對。客戶端程序使用該密鑰對構(gòu)造 PKCS10 證書請求并發(fā)送給 RA 服務器； RA 服務器驗證用戶合法性和用戶證書請求是否已獲批準，然后將請求發(fā)送給 CA 服務器； CA 服務器驗證該 PKCS10 證書請求中的簽名 ，然后根據(jù)簽名證書的策略模版 簽發(fā)該證書，此時得到雙證書的第一張證書 (簽名證書 )； 然后 CA 向密鑰管理中心請求生成用戶加密密鑰對； 密鑰管理中心 處理 CA 的密鑰 請求， 從備份密鑰庫中取出一對加密密鑰對；該密鑰對在發(fā)送前保存到在用庫，并標記該密鑰被哪個 CA 的哪個用戶使用。 KM 使用用戶簽名證書中的公鑰，把加密密鑰對做成數(shù)字信封，將該數(shù)字信封和加密密鑰的公鑰發(fā)送給 CA； CA 把加密密鑰的公鑰填入加密證書的策略模版，并簽發(fā)該證書，此時得到雙證書的第二張證書 (加密證書 )； 然后 CA 向 RA 發(fā)送這對雙證書和加密密鑰的數(shù)字信封； 自建 CA解決方案 41 RA 把這 對雙證書和加密密鑰的數(shù)字信封發(fā)送給客戶端；