【正文】 認(rèn)證系統(tǒng)部分，通過數(shù)字證書實(shí)現(xiàn)用戶物理身份與數(shù)字身份的綁定 ? 證書注冊(cè)系統(tǒng) RA 提供客戶身份信息的管理，提供靈活的、完善的、可定制的證書管理功能 ? SSL 安全通道接入 (SSL 安全網(wǎng)關(guān) ) 保護(hù)用戶數(shù)據(jù)能夠通過互聯(lián)網(wǎng)安全的傳輸，并實(shí)現(xiàn)用戶身份的確認(rèn)及SSL 安全接入的訪問控制 ? 數(shù)字簽名及驗(yàn)證系統(tǒng) 業(yè)務(wù)系統(tǒng)通過調(diào)用數(shù)字簽名驗(yàn)證接口，實(shí)現(xiàn)用戶身份確認(rèn)、保護(hù)數(shù)據(jù)完整性、保存交易憑據(jù)以實(shí)現(xiàn)事后審計(jì)及責(zé)任認(rèn)定 3. 網(wǎng)絡(luò)層安全 ? 通過防火墻、入侵檢測系統(tǒng)等實(shí)現(xiàn)網(wǎng)絡(luò)層的訪問控制 ? 通過主機(jī)系統(tǒng)加固實(shí)現(xiàn)主機(jī)系統(tǒng)的安全 ? 通過采用負(fù)載均衡設(shè)備實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)和安全接入系統(tǒng)的高可用性和較高的性能 4. 物理層安全 ? 通過門禁系統(tǒng)、監(jiān)控系統(tǒng)等防止未授權(quán)人員對(duì)物理設(shè)備、機(jī)房的訪問 5. 系統(tǒng)安全管理建設(shè) PKI 安全 體系建設(shè)的目的是為應(yīng)用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運(yùn)行的保障。在硬件和系統(tǒng)軟件選型配制上 充分考慮到系統(tǒng)可靠性的需求，在關(guān)鍵部分采用“雙機(jī)熱備”系統(tǒng)和磁盤鏡像技術(shù)，保證系統(tǒng)得不間斷運(yùn)行和在線故障修復(fù)，在線系統(tǒng)升級(jí)。充分考慮系統(tǒng)復(fù)雜的特點(diǎn)，保證系統(tǒng)安全有效的運(yùn)行、數(shù)據(jù)有效的保護(hù)、設(shè)計(jì)功能可以充分的實(shí)現(xiàn)、操作方便等。系統(tǒng)應(yīng)能夠在不影響現(xiàn)有業(yè)務(wù)的情況下，一旦需要時(shí)可以平滑地升級(jí)過渡到新（版本）系統(tǒng)。 6）可擴(kuò)展性原則。 5）標(biāo)準(zhǔn)化原則。 4）繼承與發(fā)展原則。采用先進(jìn)技術(shù)，緊跟國際前沿技術(shù)，可以同時(shí)支持 RSA、EC 兩種密鑰格式。設(shè)計(jì)的密碼產(chǎn)品選用通過國密局技術(shù)鑒定的產(chǎn)品。配制完善的安全技術(shù)和管理系統(tǒng)，采用自主研發(fā)的密碼產(chǎn)品，設(shè)置可靠的網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，建造安全的運(yùn)行環(huán)境。在系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)中要充分體現(xiàn)我國現(xiàn)行的密碼管理政策，確保相關(guān)密碼設(shè)備和密鑰可管可控。 采用安全管理與審計(jì)系統(tǒng)來實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的日常運(yùn)行監(jiān)控、管理與審計(jì)，提高事故處理響應(yīng)速度，提高業(yè)務(wù)服務(wù)水平，提升客戶滿意度。 本次項(xiàng)目中應(yīng)本著滿足現(xiàn)有 用戶規(guī)模 ，但同時(shí)應(yīng)在產(chǎn)品選擇中充分考慮業(yè)務(wù)需求和安全需求的不斷增長，提出 CA 產(chǎn)品的擴(kuò)容和性能擴(kuò)展的解決方案。 通過建立完善的管理制度和標(biāo)準(zhǔn)化建設(shè)，為 PKI 安全體系創(chuàng)造一個(gè)安全可靠的運(yùn)行環(huán)境，從管理上和技術(shù)上全面地保證系統(tǒng)的正常運(yùn)營。 ? 機(jī)房的安全建設(shè) ：全面規(guī)劃機(jī)房，針對(duì)不同安全級(jí)別劃分安全區(qū)域，建立完善的機(jī)房管理制度。 ? 應(yīng)急管理規(guī)范：解決 PKI安全體系在正常工作中發(fā)生的各類異常情況、安全事件、安全事故。 PKI 運(yùn)營 管理建設(shè)的主要內(nèi)容包括： ? 人員管理規(guī)范：根據(jù)系統(tǒng)的需要，劃分角色，配置人員，設(shè)置權(quán)限，制定相應(yīng)的人員管理制度和管理策略，保證人員管理的安全性。 系統(tǒng)安全管理建設(shè) PKI 安全體系建設(shè)的目的是為應(yīng)用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運(yùn)行的保障。證書和 CRL 采用標(biāo)準(zhǔn)的 LDAP 協(xié)議發(fā)布到 LDAP 服務(wù)器上，應(yīng)用程序可以通過發(fā)布系統(tǒng)發(fā)布的信息驗(yàn)證用戶證書的合法性； OCSP 提供證書狀態(tài)的實(shí)時(shí)在線查詢功能。 證書發(fā)布與查詢系統(tǒng)的建設(shè) 發(fā)布與查詢系統(tǒng)是數(shù)字認(rèn)證中心安全體系中的一個(gè)重要組成部分。 一般來說，每一個(gè) CA 中心都需要有一個(gè) KMC 負(fù)責(zé)該 CA 區(qū)域內(nèi)的密鑰自建 CA解決方案 17 管理任務(wù)。 LRA 面向最終用戶，負(fù)責(zé)對(duì)用戶提交的申請(qǐng)資料進(jìn)行錄入、審核和證書制 作。 RA 機(jī)構(gòu)的設(shè)置也可根據(jù)企業(yè)行政管理機(jī)構(gòu)的設(shè)立 /劃分來進(jìn)行，一個(gè) RA中心系統(tǒng)下可設(shè)立多級(jí)下屬 RA 中心或業(yè)務(wù)受理點(diǎn) LRA。 RA 注冊(cè)審核機(jī)構(gòu)設(shè)置 從廣義上講， RA 是 CA 的一個(gè)組成部分，主要負(fù)責(zé)數(shù)字證書的申請(qǐng)、審核和注冊(cè)。 根以下的其它各級(jí) CA 負(fù)責(zé)本轄區(qū)的安全，為本轄區(qū)用戶和下級(jí) CA 簽發(fā)證書，并管理所發(fā)證書。根 CA 是整個(gè) CA 體系的信任源，負(fù)責(zé)整個(gè) CA 體系的管理，簽發(fā)并管理下級(jí) CA 證書。 PKI 信任體系的建立 PKI 體系的建設(shè)是一個(gè)大型系統(tǒng)工程，可根據(jù)實(shí)際的建設(shè)模式定位為多級(jí)的信任模式，并根據(jù) PKI 體系的基本組成部分進(jìn)行具體的設(shè)計(jì)實(shí)現(xiàn)，下圖的CA 信任體系描述了 PKI 安全體系的分布式結(jié)構(gòu)，具體結(jié)構(gòu)形式如圖所示。系統(tǒng)應(yīng)用接口一般采用 API、 JavaBean、 COM 等多種形式。 LDAP 提供證書和 CRL 的目錄瀏覽服務(wù)；自建 CA解決方案 15 OCSP 提供證書狀態(tài)在線查詢服務(wù)；注冊(cè)服務(wù)為用戶提供在線注冊(cè)的功能。它是 CA 認(rèn)證中心的延伸，在邏輯上 RA 和 CA 是一個(gè)整體，主要 負(fù)責(zé)提供證書注冊(cè)、審核以及發(fā)證功能。 2． 認(rèn)證中心（ CA）系統(tǒng)： CA 認(rèn)證中心是 PKI 公鑰基礎(chǔ)設(shè)施的核心，它主要完成生成 /簽 發(fā)證書、生成 /簽發(fā)證書撤消列表（ CRL）、發(fā)布證書和 CRL 到目錄服務(wù)器、維護(hù)證書數(shù)據(jù)庫和審計(jì)日志庫等功能。在本方案設(shè)計(jì)的建行認(rèn)證中心（ CA）系統(tǒng)將基于 PKI 技術(shù)進(jìn)行合理的定制優(yōu)化與拓展，使其最大限度的符合建設(shè)銀行信息系統(tǒng)中對(duì)安全應(yīng)用的需求。它不僅僅是一個(gè)簡單的身份認(rèn)證系統(tǒng)，事實(shí)上，它可以作為提供統(tǒng)一信任管理服務(wù)的有效平臺(tái)，在系統(tǒng)與系統(tǒng)、用戶與系統(tǒng)、用戶與用戶之間建立起一種信任關(guān)系 ，從而保證了系統(tǒng)的安全性，這種信任關(guān)系不是只通過身份認(rèn)證就能夠?qū)崿F(xiàn)的，它包含了更加豐富的內(nèi)容，如數(shù)字簽名、信息加解密等。在信息系統(tǒng)中，也是如此，但是與現(xiàn)實(shí)生活中不同的是，信息系統(tǒng)中對(duì)不可抵賴性的要求更高，由于自建 CA解決方案 13 參與信息交換的各方的不確定性，所造成的損失難以估量，因此，對(duì)不可抵賴性要求從 “ 事后 ” 提前到了 “ 事先 ” ，也就是說，在行為發(fā)生前，就必需對(duì)該行為的不可抵賴性作出約束。 最后， “ 信任 ” 的一個(gè)關(guān)鍵因素：不可抵賴性。因此，可以想像的結(jié)果是，由于擔(dān)心 C 的竊聽， A 不敢或者無法把信息傳遞給 B。 其次，要保證 數(shù)據(jù)秘密性和完整性。 要建立信任，首先要確認(rèn)信任參與者的身份。 ” （ Generally, an entity can be said to “ trust” a second entity when it (the first entity) makes the assumption that the second entity will behave exactly as the first entity expects） 。 自建 CA解決方案 12 數(shù)字認(rèn)證信任管理模式 信任是安全的基礎(chǔ)，在缺乏信任的環(huán)境下，實(shí)現(xiàn)信息系統(tǒng)的安全是不可想象的。 3 PKI 體系建設(shè)說明 PKI 體系建設(shè)說明 PKI 是 “ Public Key Infrastructure” 的縮寫，意為 “ 公鑰基礎(chǔ)設(shè)施 ” ，是一個(gè)用非對(duì)稱密碼算法原理和技術(shù)實(shí)現(xiàn)的、具有通用性的安全基礎(chǔ)設(shè)施。簡單的講就是 “ 業(yè)務(wù)服務(wù)不宕機(jī)，用戶訪問響應(yīng)及時(shí)、快速 ” 。 ? 應(yīng)用層的訪問控制，如通過應(yīng)用訪問控制系統(tǒng)來禁止或者允許用戶對(duì)某些業(yè)務(wù)資源的訪問。 ? 網(wǎng)絡(luò)層的訪問控制，如通過防火墻的策略，禁止開放某些資源或者服務(wù)。 訪問控制（ Access Control） 訪問控制就是滿足 “ 最小授權(quán) ” 原 則，防止未授權(quán)用戶訪問未授予其權(quán)限的資源，以確保信息的保密性和完整性。 數(shù)據(jù)完整性（ Integrity） 為了確保信息在存儲(chǔ)、使用、傳輸過程中不被非授權(quán)用戶篡改，同時(shí)也為了防止被授權(quán)用戶不適當(dāng)?shù)拇鄹?，保持信息?nèi)外部的一致性，需要通過數(shù)字簽名技術(shù)來保證數(shù)據(jù)的完整性。通信雙方通過數(shù)字證書實(shí)現(xiàn)了身份的認(rèn)證，通過對(duì)稱加密技術(shù)實(shí)現(xiàn)了傳輸數(shù)據(jù)的加密。為了彌補(bǔ)這個(gè)安全漏洞，有必要對(duì)通信信道進(jìn)行加密。公鑰基礎(chǔ)設(shè)施（ PKI）通過物理身份（公民身份證）和數(shù)字身份（數(shù)字證書）的綁定，將數(shù)字證書保存到智能卡或者 USB key 中的方式， 很好的解決了 “ 身份確認(rèn) ” 的問題。 EMEngine 格爾開發(fā)的加密機(jī)連接引擎，可支持多種加密機(jī)的使用 CBB 共用軟件模塊 ECDH Elliptic Curve DiffieHellman Key Exchange 基于橢圓曲線算法的 DiffieHellman 密鑰交換 ECDSA Elliptic Curve Data Signature Algorithm 基于橢圓曲線的數(shù)據(jù)簽名算法，定義在 ANSI ECIES Elliptic Curve Integrated Encryption Scheme 橢圓曲線加密體制 NIST 美國技術(shù)標(biāo)準(zhǔn)協(xié)會(huì) NID_WAPI 中國無線局域網(wǎng)標(biāo)準(zhǔn)中的曲線類型 NID_NISTP256 NIST 的素域 256 曲線類型 NID_GB192 中國國家標(biāo)準(zhǔn)的 192 位曲線類型 NID_GB256 中國國家標(biāo)準(zhǔn)的 256 位曲線類型 SSF33 中國國家標(biāo)準(zhǔn)的對(duì)稱加 密算法 SM1 中國國家標(biāo)準(zhǔn)的對(duì)稱加密算法 SM2 基于 ECC 的中國國家標(biāo)準(zhǔn)算法 自建 CA解決方案 9 2 系統(tǒng)安全需求 從應(yīng)用的角度來看， PKI 體系建設(shè) 的安全需求包括以下幾個(gè)方面： 身份認(rèn)證（ Authentication） 由于互聯(lián)網(wǎng)的特殊性，交易的雙方可能彼此都無法確認(rèn)對(duì)方的真實(shí)身份，因此交易迫切需要解決 “ 你是誰 ” 的問題。 在介質(zhì)存儲(chǔ)空間及運(yùn)算能力受限的應(yīng)用場合，通過 ECPKI系統(tǒng)生成的 ECC 密鑰證書具有明顯優(yōu)勢。 SPKM 協(xié)議對(duì)稱算法支持國家標(biāo)準(zhǔn)密碼算法SM1 算法及 SSF33 算法。登錄客戶端支持Windows20 WindowsXP 及 Vista 操作系統(tǒng)。 ECPKI 系統(tǒng)全部采用 B/S 架構(gòu)，服務(wù)端使用 JAVA 開發(fā)，提供良好的跨平臺(tái)性，系統(tǒng)管理員通過瀏覽器登錄系統(tǒng)進(jìn)行系統(tǒng)管理。 自建 CA解決方案 7 ECPKI 包含三個(gè)主要子系統(tǒng)，分別為用戶注冊(cè)管理系統(tǒng) (以下簡稱 RA 系統(tǒng) )、數(shù)字證書認(rèn)證系統(tǒng) (以下簡稱 CA 系統(tǒng) )。 該方案采用國際通用的信息安全技術(shù)，在保證物理安全與網(wǎng)絡(luò)安全的基礎(chǔ)上，加強(qiáng)交易的安全管理，提供統(tǒng)一的身份認(rèn)證、安全的數(shù)據(jù)傳輸機(jī)制、數(shù)字簽名驗(yàn)證機(jī)制和訪問控制機(jī)制，確保各種交易 的數(shù)據(jù)完整性、保密性和交易的不可否認(rèn)性，保證系統(tǒng)運(yùn)行的高效、安全和穩(wěn)定。 業(yè)務(wù)在蘊(yùn)藏著無限商機(jī)的同時(shí)也帶來了風(fēng)險(xiǎn)，對(duì)于開設(shè)服務(wù) 的 公司 業(yè)者來說，當(dāng)務(wù)之急就是要解決安全問題。 內(nèi)部 自建 CA 解決方案 上海格爾軟件股份有限公司 2020 年 8 月 自建 CA解決方案 2 目 錄 1 綜述 ................................................................................................. 6 背景 ..................................................................................... 6 產(chǎn)品概述 .............................................................................. 6 名詞解釋 .............................................................................. 7 2 系統(tǒng)安全需求 ................................................................................... 9 身份認(rèn)證（ Authentication） ................................................... 9 通信的保密性（ Confidentiality） ............................................ 9 數(shù)據(jù)完整性（ Integrity） ....................................................... 10 交易的不可否認(rèn)性（ NonRepudiation） ............................... 10 訪問控制（ Access Control） ............................................... 10 系統(tǒng)可用性（ Availability） ................................................... 11 數(shù)據(jù)備份與恢復(fù)（ Recov