【正文】 客戶端程序使用該密鑰對構造 PKCS10 證書請求并發(fā)送給 RA 服務器； RA 服務器驗證用戶合法性和用戶證書請求是否已獲批準，然后將請求發(fā)送給 CA 服務器； CA 服務器驗證該 PKCS10 證書請求中的簽名 ，然后根據簽名證書的策略模版 簽發(fā)該證書，此時得到雙證書的第一張證書 (簽名證書 )； 然后 CA 向密鑰管理中心請求生成用戶加密密鑰對； 密鑰管理中心 處理 CA 的密鑰 請求， 從備份密鑰庫中取出一對加密密鑰對；該密鑰對在發(fā)送前保存到在用庫，并標記該密鑰被哪個 CA 的哪個用戶使用。 自建 CA解決方案 40 密鑰不落地機制 下圖給出了密鑰生成和傳遞的流程?？蛻舳丝丶鶕渲脮崾纠^續(xù)插入管理員 KEY，然后系統會得到控件傳輸過來的管理員信息， 判斷其是否合法。超級管理員和審計管理員采用的是 M 選 N 登錄機制，即部署時生成 M 個管理員，只有 N 個管理員全部登錄成功 (M 選 N 需要滿足條件 N ?M， N 大于等于 2)后，才能使用系統，通過這種約束機制保證了高級操作的安全性。其它角色為了操作方便，單人登錄即可操作。如下圖所示： 自建 CA解決方案 39 超級管理員和審計管理員都在部署時生成，相互獨立。 ECPKI 系統利用了公鑰體系的真實身份認證方面的特點，對于申請加密證書的用戶，將使 用用戶的簽名公鑰來產生數字信封，該數字信封中保存的用戶加密密鑰只能被持有和用戶簽名公鑰所匹配的私鑰所解密，這就保證了加密密鑰的安全傳輸。私鑰不能通過公鑰計算出來。其目的是通過自動 管理密鑰和證書，為用戶建立和維持一個令人信任的、安全的網絡運行環(huán)境，使數據在傳輸過程中不被非授權者偷看、不被非法篡改、不能否認，保障了互聯網電子商務中交易信息的保密性；交易信息的完整性；交易各方身份真實性；交易的不可否認性四個方面的安全要素。通過組合這些 “ 原子業(yè)務 ” 可以快速實現新的基本業(yè)務，對于更特殊自建 CA解決方案 38 的業(yè)務也可以通過繼承、重載原有的 “ 原子業(yè)務 ” 或增加新的 “ 原子業(yè)務 ” 來實現。用戶界面的布局、風格等可以通過少量的定制開發(fā)快速變更，迅速適應用戶要求。在業(yè)務數據項發(fā)生變化的情況下，只需要修改 JSP 頁面和數據庫字段，這類工作甚至系統管理員就可以完成。如：證書的廢除原來可以直接執(zhí)行，現在需要改為申請－ 審核 執(zhí)行的過程，這可以非常簡單的通過修改兩個配置文件（證書狀態(tài)機配置文件和證書業(yè)務配置文件）來實現。 “ 應需而變 ” 的 RA 系統設計 本方案設計中使用的 RA 系統具有如下特點： ? 充分的用戶化定制開發(fā)能力：根據項目建設需求和對今后應用前景的自建 CA解決方案 37 分析，本方案提供的 RA 系統具有強大的客戶化定制開發(fā)能力，雖然客戶化定制開發(fā)能力不是一項 具體的業(yè)務功能，但對于用戶來說， RA系統能否快速的適應用戶的業(yè)務變化、能否顯著的縮短建設周期，將是決定業(yè)務成敗的關鍵； ? 強大的 RA 管理功能：包括信息統計、機構管理、人員管理功能等； ? 對物理分級和邏輯分級的靈活支持：可以支持多級的物理 RA 機構，在每個物理 RA 機構內部，又可以支持多級的邏輯 RA 機構。 管理員管理 其功能 RA 管理員與操作員的發(fā)放，查詢，廢除等。 日志服務功能 其功能主要包括： ? 記錄管理員和操作員的所有動作； ? 記錄 整個系統中各子系統的內部運行錯誤和異常； ? 將日志簽名后發(fā)送到日志審計系統。 身份驗證內容包括：證書的有效性、證書的真實性、證書持有人的權限等等。 自建 CA解決方案 36 操作認證管理 在用戶注冊系統中，所有用戶注冊中心操作員必須都持有數字證書。 ? 變更 RA 機構名稱 修改 RA 機構的名稱，但不改變其機構代碼。實體證書支持 RSA、 ECC 兩種密鑰格式，密鑰格式在 RA 系統部署時指定。 ? 證書廢除 吊銷實體證書，可以由 RA 中心發(fā)起，也可以由擁有該證書的用戶直接發(fā)起。 ? 證書恢復申請 當用 戶證書設備損壞或丟失時需要繼續(xù)恢復當前證書時，可以向系統提交證書恢復審核申請，該申請由密鑰管理系統進行審核。 ? 密鑰更新審核 用戶注冊系統操作員對用戶信息、企業(yè)信息或設備信息進行審核，同意或拒絕更新申請。 ? 證書更新 更新審核同意后，系統支持以在線或離線的方式進行證書自建 CA解決方案 35 更新下載，將證書安裝到證書設備中。 ? 證書更新申請 當用戶信息、企業(yè)信息或設備信息變更時，將向系統自動提交證 書更新審核申請。 ? 證書申請審核 用戶注冊系統操作員對用戶信息、企業(yè)信息或設備信息進行審核，同意或拒絕證書發(fā)放申請。 ? 用戶注銷 用戶注冊系統操作員可以把證書已經廢除而不再申請證書的用戶信息通過用戶注銷的方式將 用戶信息轉入用戶信息歷史庫中。 ? 用戶查詢 用戶注冊系統操作員可以根據用戶的多項參數對系統中的用戶進行查詢，并查看其詳細信息。 自建 CA解決方案 34 RA 系統結構 用戶管理功能 ? 用戶注冊 用戶信息、企業(yè)信息或設備信息通過在線或離線的方式完成注冊并記錄入系統數據庫。 系統審計模塊 系統審計模塊提供 CA 系統的日志統計、分析功能。 RA 系統使用 CA 證書服務時，需要通過部署碼的特定標識取得 CA 授權。 RA 接入控制模塊 RA 接入控制模塊 提供 CA 系統對 RA 的接入控制功能，本模塊提供 RA站點添加、刪除，只有添加成功的 RA 站點才能使用 CA 證書服務。 CA 系統同時支持 RSA、ECC、管理根、 SPKM 四個加密機， RSA 加密機用于簽發(fā) RSA 密鑰格式用戶自建 CA解決方案 33 證書， ECC 加密機密鑰格式用戶證書，管理根加密機用于簽發(fā) CA 系統管理員證書， SPKM 加密機用于 SPKM 安全通訊。定義好的模板可以指定給運營 CA，為 CA 系統的證書服務提供良好的擴展性。 策略模板管理模塊 模板管理模塊 是 CA 系統的輔助性功能模塊，提供證書策略的預定義、新增加、更新、刪除等功能。證書服務支持單證書及雙證書簽發(fā)，雙證書簽發(fā)時加密密鑰從 KM 獲取，加密密鑰使用國密局指定的對稱算法加密，實現密鑰不落地功能 。 證書服務模塊 證書服務模塊 是 CA 系統的核心系統，本模塊為 RA 提供證書簽發(fā)、證書更新、證書恢復、證書吊銷等證書功能。運營 CA 在簽發(fā)成功后，需要分配證書策略才可以提供證書服務。 證書策略模塊 證書策略模塊 用于管理用戶證書的簽發(fā)策略。 CA 證書的密鑰對通過加密機引擎從硬件加密機獲取，在加密機內部完成私鑰簽名。 10) RA 系統將 CMP 響應返回到介質設備 11) 介質設備使用簽名私鑰對數字信封進行 解密，最后將簽名證書、加密證書及加密私鑰一并安裝到介質。 6) KM 返回加密私鑰數字信封到 CA 系統 7) CA 系統根據模板策略構造待簽名數據 8) CA 系統發(fā)送待簽名數據到硬件加密機，硬件加密機完成簽名運算后將簽名值返回到 CA 系統。 3) RA 將 CMP 格式證書請求發(fā)送到 CA 系統。 自建 CA解決方案 30 1) EC 介質設備生成一對簽名密鑰，私鑰不可導出，生成的公鑰封裝成CMP 格式請求，并發(fā)送到 RA 系統。由于加密數據需要長期保存并隨機可以解密，所以不能使用簽名證書進行加密，否則當保存簽名證書的介質損壞或丟失時，會導致加密數據無法解密。 8) 介質設備解析 CMP 響應并安裝證書。 4) CA 根據證書模板策略，構造待簽名的數據 5) CA 將待簽發(fā)數據傳送到硬件加密機，由硬件加密機內部完成數據簽名 自建 CA解決方案 29 6) CA 將加密機返回的簽名值和待簽名數據一起構建成正確的簽名證書，并以 CMP 格式返回到 RA 系統。 2) 將預先注冊好的用戶信息和 CMP 請求的公鑰一起構造成 CMP 格式證書請求。 簽名證書簽發(fā) 簽名證書在應用系統中通常用于身份鑒別和防抵賴，因此簽名證書的密鑰對必須在硬件介質內部產生，其中的私鑰不可導出，只有擁有相應私鑰口令的用戶才能進行數據簽名操作，保證私鑰和用戶實體的唯一 綁定關系。 6) 硬件加密機在內部完成對數據的簽名運算，完成后將簽名返回到自建 CA解決方案 28 CA 系統。 4) CA 系統將公鑰、證書主題信息及其它證書項構建成待簽名的數據。 2) CA 系統 向硬件加密機發(fā)送導出指定位置內部密鑰對公鑰的請求。 流程說明 : 1) 首先，由硬件控制面板或后臺系統生成一定數量的內部密鑰對。在 ECPKI 系統中，密鑰包括客戶端產生的簽名 密鑰、硬件加密機生成的內部密鑰及 KM 生成的加密密鑰三種類型，其中內部密鑰用于構建 CA 證書和 CA 私鑰簽名，對應于這三種密鑰類型， ECPKI 系統有 CA 證書簽發(fā)、簽名證書簽發(fā)及加密證書簽發(fā)三種密鑰使用場景。 RA 系統使用三權分離的管理模式，由申請管理員負責信息的錄入、審核管理員負責信息的合法準確、操作管理員最后執(zhí)行證書安裝。 CA 系統通過支持多個加密機配置的方式來實現多種密鑰的證書服務，可以對管理根、 RSA、 ECC、安全 通訊協議模塊分別配置加密機。CA 系統和 RA 系統間使用安全通訊協議保證證書服務的安全，安全通訊協議采用國家密碼管理局批準使用的對稱算法。 CA 系統采用 J2EE 架構，使用 C/S 模式進行系統管理，提供 CA 證 書簽發(fā)、 CA 證書更新、 CA 證書吊銷、 CA 策略管理、證書模板管理、 CRL 策略管理、 RA 管理等功能。下級 CA 采用在線服務方式，可以為一個或多個 RA 同時提供證書服務。ECPKI 系統使用 JAVA 開發(fā)，采用 J2EE 系統架構， 使用 C/S(客戶端 /服務端 )方式進行系統管理。 5 整體 建設 格爾數字認證系統 (ECPKI)是一套數字證書管理平臺，該系統在格爾公司SRQ15 產品上進行功能性擴展，在保留對 RSA 密鑰格式支持的基礎上，新增加了對中國國家標準算法 SM2 的支持，可以簽發(fā)、管理符合國家標準 SM2密鑰存儲與傳遞格式規(guī)范 的 ECC 密鑰證書。 ? 標準化建設：包括系統建設標準化、系統管理標準化、運營管理標準化等等。主要包括信息系統應急 方案、電力系統故障、消防系統應急方案、病毒應急方案、系統備份應急方案、人員異動情況應急方案、安全事故處理方法、安全應急事件及事故處理的程序等等。 ? CA 運營管理規(guī)范：主要包括系統操作、安全策略、授權管理、證書管理、用戶管理等各個方面的規(guī)范化、制度化。 3. 系統安全管理建設 建立完善的管理制度，以保證整個 PKI 體系在運營過程中正常運行。數字簽名客戶端控件負責對交易中的關鍵數據進行數字簽名；簽名驗證服務器主要負責對交易過程中關鍵數據的簽名進行驗證，保證交易的不可否認性和數據的完整性。 ? 數字簽名驗證服務系統 。 CSP 密碼模塊鑲嵌在瀏覽器中，提供符合國家密碼部門要求的密碼算法與服務器端 SSL 安全網關系統建立 SSL 安全連接，實現交易雙方的身份認證、保證數據傳輸的安全性。 2. 業(yè)務安全服務平臺 ? SSL 安 全通道系統 。 證書發(fā)布與查詢系統主要提供 LDAP 服務 ，即通過 LDAP 服務軟件 提供證書和 CRL 的目錄瀏覽服務。它是 CA 認證中心的延伸，在邏輯上 RA 和 CA 是一個整體， 它向 CA 中心提交各種證書請求，接收來自 CA 的處理結果， 主要負責提供證書注冊、審核以及發(fā)證功能 ，并負責為管理員提供證書管理服務。 ? RA 證書注冊服務系統 。對于一個大型的分布式企業(yè)應用系統，可根據應用系統的分布情況和組織結構自建 CA解決方案 22 設立多級 CA 機構，包括根 CA 和各下級 CA。 綜上，整體 CA 系統 的分層邏輯框架圖如下： 圖表 1 CA 系統 建設分層邏輯 結構 根據上面的證書安全應用平臺建設分層邏輯結構及 PKI 系統的基本組成，針對于本次 “ 安全證書項目 ” 建設的重點，上海格爾軟件股份有限公司提供如下的證書相關安全系統建設： 1. PKI 基礎 安全 服務 體系 建設 ? CA 證書認證系統 。 2. 應用層安全 ? 證書認證系統 CA 提供核心的身份