【正文】 系統(tǒng)的基本組成，針對于本次 “ 安全證書項目 ” 建設(shè)的重點，上海格爾軟件股份有限公司提供如下的證書相關(guān)安全系統(tǒng)建設(shè)： 1. PKI 基礎(chǔ) 安全 服務(wù) 體系 建設(shè) ? CA 證書認證系統(tǒng) 。 CA 認證機構(gòu)是數(shù)字認證中心安全 體系的核心，主要完成生成 /簽發(fā)證書、生成 /簽發(fā)證書撤消列表（ CRL）、發(fā)布證書和CRL 到目錄服務(wù)器、維護證書數(shù)據(jù)庫和審計日志庫等功能。對于一個大型的分布式企業(yè)應(yīng)用系統(tǒng)，可根據(jù)應(yīng)用系統(tǒng)的分布情況和組織結(jié)構(gòu)自建 CA解決方案 22 設(shè)立多級 CA 機構(gòu)，包括根 CA 和各下級 CA。本方案提供二級 CA 的部署結(jié)構(gòu)，一方面滿足用戶 500 萬大用戶量的系統(tǒng)擴充應(yīng)用需求，另一方面，也便于該證書應(yīng)用平臺日后支持其他業(yè)務(wù)應(yīng)用提供擴展支持。 ? RA 證書注冊服務(wù)系統(tǒng) 。 RA 注冊中心 是連接應(yīng)用系統(tǒng) /用戶與 CA 中心的紐帶， 是數(shù)字證書的申請、審核和注冊的機構(gòu)。它是 CA 認證中心的延伸，在邏輯上 RA 和 CA 是一個整體， 它向 CA 中心提交各種證書請求，接收來自 CA 的處理結(jié)果， 主要負責(zé)提供證書注冊、審核以及發(fā)證功能 ，并負責(zé)為管理員提供證書管理服務(wù)。 ? 證書發(fā)布與查詢服務(wù)系統(tǒng) 。 證書發(fā)布與查詢系統(tǒng)主要提供 LDAP 服務(wù) ，即通過 LDAP 服務(wù)軟件 提供證書和 CRL 的目錄瀏覽服務(wù)。 本方案提供針對自建 CA 的 LDAP 證書及黑名單發(fā)布，同時，部署的 LDAP 服務(wù)器需要滿足對接入銀行所頒發(fā)證書、 CRL 列表的同步鏡像支持 ，以便于使用銀行證書的用戶在登陸時可以快捷的進行證書驗證應(yīng)用 。 2. 業(yè)務(wù)安全服務(wù)平臺 ? SSL 安 全通道系統(tǒng) 。 包括客戶端 CSP 密碼模塊和 SSL 安全網(wǎng)關(guān)系統(tǒng)兩部分。 CSP 密碼模塊鑲嵌在瀏覽器中，提供符合國家密碼部門要求的密碼算法與服務(wù)器端 SSL 安全網(wǎng)關(guān)系統(tǒng)建立 SSL 安全連接，實現(xiàn)交易雙方的身份認證、保證數(shù)據(jù)傳輸?shù)陌踩?。格爾安全通道系統(tǒng)支持多種硬件密鑰載體，如 USBKEY、磁盤等。 ? 數(shù)字簽名驗證服務(wù)系統(tǒng) 。 包括簽名客戶端和簽名驗證服務(wù)器兩部分。數(shù)字簽名客戶端控件負責(zé)對交易中的關(guān)鍵數(shù)據(jù)進行數(shù)字簽名；簽名驗證服務(wù)器主要負責(zé)對交易過程中關(guān)鍵數(shù)據(jù)的簽名進行驗證，保證交易的不可否認性和數(shù)據(jù)的完整性。簽名驗證客戶端是 提供給應(yīng)用程序調(diào)用的接口軟件包，安裝在業(yè)務(wù)應(yīng)用服務(wù)器上，使應(yīng)用方便地使用簽名自建 CA解決方案 23 驗證服務(wù)器。 3. 系統(tǒng)安全管理建設(shè) 建立完善的管理制度，以保證整個 PKI 體系在運營過程中正常運行。主要內(nèi)容包括： ? 人員管理規(guī)范：根據(jù)系統(tǒng)的需要，劃分角色，配置人員，設(shè)置權(quán)限，制定相應(yīng)的人員管理制度和管理策略，保證人員管理的安全性。 ? CA 運營管理規(guī)范：主要包括系統(tǒng)操作、安全策略、授權(quán)管理、證書管理、用戶管理等各個方面的規(guī)范化、制度化。 ? 應(yīng)急管理規(guī)范：解決 PKI安全體系在正常工作中發(fā)生的各類異常情況、安全事件、安全事故。主要包括信息系統(tǒng)應(yīng)急 方案、電力系統(tǒng)故障、消防系統(tǒng)應(yīng)急方案、病毒應(yīng)急方案、系統(tǒng)備份應(yīng)急方案、人員異動情況應(yīng)急方案、安全事故處理方法、安全應(yīng)急事件及事故處理的程序等等。 ? 機房的安全建設(shè)：全面規(guī)劃機房，針對不同安全級別劃分安全區(qū)域，建立完善的機房管理制度。 ? 標準化建設(shè)：包括系統(tǒng)建設(shè)標準化、系統(tǒng)管理標準化、運營管理標準化等等。 通過建立完善的管理制度和標準化建設(shè)，為 PKI 安全體系創(chuàng)造一個安全可靠的運行環(huán)境，從管理上和技術(shù)上全面地保證系統(tǒng)的正常運營。 5 整體 建設(shè) 格爾數(shù)字認證系統(tǒng) (ECPKI)是一套數(shù)字證書管理平臺，該系統(tǒng)在格爾公司SRQ15 產(chǎn)品上進行功能性擴展，在保留對 RSA 密鑰格式支持的基礎(chǔ)上，新增加了對中國國家標準算法 SM2 的支持，可以簽發(fā)、管理符合國家標準 SM2密鑰存儲與傳遞格式規(guī)范 的 ECC 密鑰證書。 自建 CA解決方案 24 ECPKI 系統(tǒng)從上至下分劃分為四個層次，分別為硬件加密機、 CA 系統(tǒng)、RA 系統(tǒng)及證書介質(zhì)設(shè)備，其中硬件加密機負責(zé)生成 CA 密鑰、產(chǎn)生加密密鑰對及 CA 的私鑰簽名； KM 系統(tǒng)負責(zé)加密密鑰對生命周期管理； CA 系統(tǒng)負責(zé)證書生命周期管理； RA 系統(tǒng)負責(zé)用戶信息管理；介質(zhì)設(shè)備用于存放數(shù)字證書。ECPKI 系統(tǒng)使用 JAVA 開發(fā)，采用 J2EE 系統(tǒng)架構(gòu)， 使用 C/S(客戶端 /服務(wù)端 )方式進行系統(tǒng)管理。系統(tǒng)部署結(jié)構(gòu)圖如下所示： 系統(tǒng)架構(gòu) ECPKI 系統(tǒng)的證書權(quán)威系統(tǒng) (CA 系統(tǒng) )分為根 CA、下級 CA 兩部分，根CA 為離線系統(tǒng)，用于簽發(fā)自簽名 CA 及管理下級 CA。下級 CA 采用在線服務(wù)方式，可以為一個或多個 RA 同時提供證書服務(wù)。 CA 系統(tǒng)的密鑰對從硬件加密機獲取，證書簽名操作在加密機內(nèi)完成，存放于加密機的密鑰對不可導(dǎo)出，自建 CA解決方案 25 從而保證最高級別的系統(tǒng)安全。 CA 系統(tǒng)采用 J2EE 架構(gòu)，使用 C/S 模式進行系統(tǒng)管理，提供 CA 證 書簽發(fā)、 CA 證書更新、 CA 證書吊銷、 CA 策略管理、證書模板管理、 CRL 策略管理、 RA 管理等功能。使用 TCP 協(xié)議提供證書對外服務(wù)，可以支持證書簽發(fā)、證書更新、證書恢復(fù)、證書吊銷等證書功能。CA 系統(tǒng)和 RA 系統(tǒng)間使用安全通訊協(xié)議保證證書服務(wù)的安全，安全通訊協(xié)議采用國家密碼管理局批準使用的對稱算法。由于 CA 系統(tǒng)可以同時為多個 RA提供服務(wù)， CA 系統(tǒng)支持 RA 接入管理功能， CA 系統(tǒng)通過 RA 部署碼的方式為RA 系統(tǒng)的接入提供授權(quán)。 CA 系統(tǒng)通過支持多個加密機配置的方式來實現(xiàn)多種密鑰的證書服務(wù)，可以對管理根、 RSA、 ECC、安全 通訊協(xié)議模塊分別配置加密機。 ECPKI 系統(tǒng)的證書注冊系統(tǒng) (RA 系統(tǒng) )采用 J2EE 架構(gòu)，使用 C/S 方式進行系統(tǒng)管理及業(yè)務(wù)操作，提供用戶信息錄入、審核及證書介質(zhì)安裝等主要業(yè)務(wù)功能。 RA 系統(tǒng)使用三權(quán)分離的管理模式，由申請管理員負責(zé)信息的錄入、審核管理員負責(zé)信息的合法準確、操作管理員最后執(zhí)行證書安裝。 ECPKI 系統(tǒng)的整體架構(gòu)設(shè)計圖如下所示 : 自建 CA解決方案 26 S P K M 安 全 通 訊C A 系 統(tǒng) 管 理K M 系 統(tǒng)C A 證 書 管 理 模 塊 證 書 統(tǒng) 計 管 理日 志 管 理 模 塊 管 理 員 模 塊系 統(tǒng) 審 計 模 塊 證 書 策 略 管 理證 書 服 務(wù) 例 程證書簽發(fā)服務(wù)證書更新服務(wù)證書恢復(fù)服務(wù)證書廢除服務(wù)安 全 通 訊 客 戶 端證 書 模 板 管 理 證 書 模 板 管 理C A 服 務(wù) 管 理C R L 生 成 服 務(wù) 證 書 發(fā) 布 服 務(wù)數(shù)據(jù)庫模塊C A 當(dāng) 前 庫C A 歷 史 庫LDAP模塊L D A P 數(shù) 據(jù) 庫證 書 歸 檔 服 務(wù) 歸 檔 還 原 服 務(wù)加密機管理模塊R S A 加 密 機E C C 加 密 機加密機引擎管 理 根 加 密 機S P K M 加 密 機C A 系 統(tǒng)S P K M 安 全 通 訊安 全 通 訊 客 戶 端證書簽發(fā)證書更新證書恢復(fù)證書凍結(jié)證書解凍證書廢除發(fā) 卡 客 戶 端P K C S 1 1 硬 件 接 口 / C S P 接 口R S A 介 質(zhì) 設(shè) 備 E C C 介 質(zhì) 設(shè) 備數(shù)據(jù)庫模塊R A 數(shù) 據(jù) 庫R A 系 統(tǒng) 管 理R A 用 戶 管 理 R A 機 構(gòu) 管 理證 書 統(tǒng) 計 模 塊 管 理 員 模 塊系 統(tǒng) 審 計 模 塊 日 志 管 理 模 塊加 密 機 引 擎R S A / E C C 加 密 機R A 系 統(tǒng) 密鑰 的 使用 密鑰是 ECPKI 系統(tǒng)非常重要的一部分，是系統(tǒng)運行的基礎(chǔ)。在 ECPKI 系統(tǒng)中，密鑰包括客戶端產(chǎn)生的簽名 密鑰、硬件加密機生成的內(nèi)部密鑰及 KM 生成的加密密鑰三種類型，其中內(nèi)部密鑰用于構(gòu)建 CA 證書和 CA 私鑰簽名，對應(yīng)于這三種密鑰類型， ECPKI 系統(tǒng)有 CA 證書簽發(fā)、簽名證書簽發(fā)及加密證書簽發(fā)三種密鑰使用場景。下面對三種密鑰使用的過程進行描述 : 自建 CA解決方案 27 CA 證書簽發(fā) CA 證書使用的是硬件加密機的內(nèi)部密鑰對，該內(nèi)部密鑰由硬件加密機控制臺或后臺系統(tǒng)生成，其中的私鑰不可以導(dǎo)出，對私鑰的使用（如簽名）必須在加密機內(nèi)部完成。 流程說明 : 1) 首先，由硬件控制面板或后臺系統(tǒng)生成一定數(shù)量的內(nèi)部密鑰對。內(nèi)部密鑰對的私鑰不可導(dǎo)出。 2) CA 系統(tǒng) 向硬件加密機發(fā)送導(dǎo)出指定位置內(nèi)部密鑰對公鑰的請求。 3) 硬件加密機返回指定密鑰對公鑰到 CA 系統(tǒng)。 4) CA 系統(tǒng)將公鑰、證書主題信息及其它證書項構(gòu)建成待簽名的數(shù)據(jù)。 5) CA 系統(tǒng)將待簽名數(shù)據(jù)發(fā)送到硬件加密機。 6) 硬件加密機在內(nèi)部完成對數(shù)據(jù)的簽名運算，完成后將簽名返回到自建 CA解決方案 28 CA 系統(tǒng)。 7) CA 系統(tǒng)將待簽名數(shù)據(jù)和簽名值構(gòu)造成正確的 CA 證書。 簽名證書簽發(fā) 簽名證書在應(yīng)用系統(tǒng)中通常用于身份鑒別和防抵賴，因此簽名證書的密鑰對必須在硬件介質(zhì)內(nèi)部產(chǎn)生，其中的私鑰不可導(dǎo)出，只有擁有相應(yīng)私鑰口令的用戶才能進行數(shù)據(jù)簽名操作，保證私鑰和用戶實體的唯一 綁定關(guān)系。 1) EC 介質(zhì)設(shè)備生成一對簽名密鑰，私鑰不可導(dǎo)出，生成的公鑰封裝成CMP 格式請求，并發(fā)送到 RA 系統(tǒng)。 2) 將預(yù)先注冊好的用戶信息和 CMP 請求的公鑰一起構(gòu)造成 CMP 格式證書請求。 3) RA 將 CMP 格式證書請求發(fā)送到 CA 系統(tǒng)。 4) CA 根據(jù)證書模板策略，構(gòu)造待簽名的數(shù)據(jù) 5) CA 將待簽發(fā)數(shù)據(jù)傳送到硬件加密機，由硬件加密機內(nèi)部完成數(shù)據(jù)簽名 自建 CA解決方案 29 6) CA 將加密機返回的簽名值和待簽名數(shù)據(jù)一起構(gòu)建成正確的簽名證書，并以 CMP 格式返回到 RA 系統(tǒng)。 7) RA 系統(tǒng)將 CMP 響應(yīng)返回到介質(zhì)設(shè)備。 8) 介質(zhì)設(shè)備解析 CMP 響應(yīng)并安裝證書。 加密證書簽發(fā) 和簽名證書的應(yīng)用場景不同，加密證書通常用于數(shù)據(jù)的安全加密，如文檔加密保存、安全電子郵件等。由于加密數(shù)據(jù)需要長期保存并隨機可以解密，所以不能使用簽名證書進行加密，否則當(dāng)保存簽名證書的介質(zhì)損壞或丟失時，會導(dǎo)致加密數(shù)據(jù)無法解密。因此，加密證書使用由 KM 系統(tǒng)生成并管理的密鑰對，加密密鑰對在 KM 加密保存，用戶在介質(zhì)損壞或丟失時可以通過證書恢復(fù)流程從 KM 系統(tǒng)恢復(fù)加密密鑰對。 自建 CA解決方案 30 1) EC 介質(zhì)設(shè)備生成一對簽名密鑰，私鑰不可導(dǎo)出，生成的公鑰封裝成CMP 格式請求，并發(fā)送到 RA 系統(tǒng)。 2) 將預(yù)先注冊好的用戶信息和 CMP 請求的公鑰一起構(gòu) 造成 CMP 格式證書請求。 3) RA 將 CMP 格式證書請求發(fā)送到 CA 系統(tǒng)。 4) CA 向 KM 請求分發(fā)加密密鑰對 自建 CA解決方案 31 5) KM 將預(yù)產(chǎn)生的密鑰私鑰封裝成數(shù)字信封，數(shù)字信封使用簽名公鑰進行加密。 6) KM 返回加密私鑰數(shù)字信封到 CA 系統(tǒng) 7) CA 系統(tǒng)根據(jù)模板策略構(gòu)造待簽名數(shù)據(jù) 8) CA 系統(tǒng)發(fā)送待簽名數(shù)據(jù)到硬件加密機，硬件加密機完成簽名運算后將簽名值返回到 CA 系統(tǒng)。 9) CA 系統(tǒng)將待簽名數(shù)據(jù)和簽名值一并構(gòu)建簽名證書及加密證書，將兩張證書及加密私鑰數(shù)字信封以 CMP 格式響應(yīng)返回 RA 系統(tǒng)。 10) RA 系統(tǒng)將 CMP 響應(yīng)返回到介質(zhì)設(shè)備 11) 介質(zhì)設(shè)備使用簽名私鑰對數(shù)字信封進行 解密，最后將簽名證書、加密證書及加密私鑰一并安裝到介質(zhì)。 CA 系統(tǒng)結(jié)構(gòu) CA 管理模塊 CA 管理模塊 實現(xiàn) CA 證書全生命周期的管理功能，包含有根 CA 證書簽發(fā)、交叉認證證書簽發(fā)、下級 CA 證書簽發(fā)、下級 CA 證書更新、下級 CA 證書吊銷功能。 CA 證書的密鑰對通過加密機引擎從硬件加密機獲取，在加密機內(nèi)部完成私鑰簽名。 CA 證書支持 RSA、 ECC 兩種密鑰格式，簽發(fā) CA 證書時可以任何指定密鑰格式。 證書策略模塊 證書策略模塊 用于管理用戶證書的簽發(fā)策略。 CA 系統(tǒng)采用集中式策略管自建 CA解決方案