內(nèi)部自建CA解決方案(含ECC)

1、自建CA解決方案 內(nèi)部自建CA解決方案上海格爾軟件股份有限公司2010年8月目 錄1綜述61.1背景61.2產(chǎn)品概述61.3名詞解釋72系統(tǒng)安全需求92.1身份認證（Authentication）92.2通信的保密性（Confidentiality）92.3數(shù)據(jù)完整性（Integrity）102.4交易的不可否認性（Non-Repudiation）102.5訪問控制（Access Control）102.6系統(tǒng)可用性（Availability）112.7數(shù)據(jù)備份與恢復（Recovery）113PKI體系建設說明113.1PKI體系建設說明113.2數(shù)字認證信任管理模式123.3PKI系統(tǒng)基本組

2、成133.4PKI信任體系的建立153.4.1CA證書簽發(fā)管理機構設置153.4.2RA注冊審核機構設置163.4.3KMC密鑰管理中心的建設163.4.4證書發(fā)布與查詢系統(tǒng)的建設173.4.5系統(tǒng)安全管理建設174PKI CA系統(tǒng)設計184.1總體建設目標184.2設計原則194.3總體安全框架設計195整體建設235.1系統(tǒng)架構245.2密鑰的使用265.2.1CA證書簽發(fā)275.2.2簽名證書簽發(fā)285.2.3加密證書簽發(fā)295.3CA系統(tǒng)結構315.3.1CA管理模塊315.3.2證書策略模塊315.3.3證書服務模塊325.3.4策略模板管理模塊325.3.5加密機管理模塊325.3

3、.6RA接入控制模塊335.3.7系統(tǒng)管理模塊335.3.8系統(tǒng)審計模塊335.4RA系統(tǒng)結構345.4.1用戶管理功能345.4.2證書管理功能345.4.3機構管理355.4.4操作認證管理365.4.5日志服務功能365.4.6統(tǒng)計功能365.4.7管理員管理365.4.8“應需而變” 的RA系統(tǒng)設計366技術特色386.1密碼技術386.2多人制技術386.3密鑰不落地機制406.4證書服務原理416.5密鑰管理服務416.6證書管理服務427主要工作流程437.1CA系統(tǒng)工作流程437.1.1系統(tǒng)初始化流程437.1.2CA證書簽發(fā)流程437.1.3用戶證書簽發(fā)流程447.1.4用戶

4、證書更新流程467.1.5用戶證書吊銷流程487.2RA系統(tǒng)工作流程507.2.1系統(tǒng)初始化流程507.2.2注冊申請流程507.2.3操作審核流程517.2.4證書下載流程527.2.5證書更新流程537.2.6證書廢除流程547.3系統(tǒng)運營管理安全557.3.1運營管理規(guī)范557.3.2安全應急處理管理規(guī)范567.3.3系統(tǒng)建設相關文檔587.3.4人員管理安全588關鍵技術及創(chuàng)新點608.1關鍵技術608.1.1EC基礎庫608.1.2新算法的嵌入608.1.3多加密機的處理608.1.4多類型密鑰的處理618.2創(chuàng)新點628.2.1多密鑰的支持628.2.2多功能報表支持628.2.3

5、支持中國國家標準算法SM2621 綜述1.1 背景在Internet技術迅速發(fā)展的今天，公司面臨著如何利用Internet這一資源，為用戶提供全面的、個性化的證券服務的問題，在這一環(huán)境下應運如生，目前世界上許多公司都紛紛推出了基于Internet的服務。在國內(nèi)也有不少成功的品牌推出。業(yè)務在蘊藏著無限商機的同時也帶來了風險，對于開設服務的公司業(yè)者來說，當務之急就是要解決安全問題。公司如何為用戶提供更加方便、穩(wěn)定、安全的公司業(yè)務服務？上海格爾軟件股份有限公司從國內(nèi)大中型公司的實際出發(fā)，充分考慮到國內(nèi)大中型公司的管理機構設置、現(xiàn)有信息系統(tǒng)架構和業(yè)務對安全的具體需求，總結多年的金融信息安全建設經(jīng)驗，提

6、出了基于PKI體系架構，以自建CA簽發(fā)的數(shù)字證書為媒介的系統(tǒng)安全解決方案。該方案采用國際通用的信息安全技術，在保證物理安全與網(wǎng)絡安全的基礎上，加強交易的安全管理，提供統(tǒng)一的身份認證、安全的數(shù)據(jù)傳輸機制、數(shù)字簽名驗證機制和訪問控制機制，確保各種交易的數(shù)據(jù)完整性、保密性和交易的不可否認性，保證系統(tǒng)運行的高效、安全和穩(wěn)定。1.2 產(chǎn)品概述格爾橢圓曲線算法數(shù)字證書認證系統(tǒng)(以下簡稱為ECPKI)是上海格爾軟件有限公司基于國家橢圓曲線算法標準(SM2)與格爾SRQ15產(chǎn)品基礎上開發(fā)的數(shù)字認證系統(tǒng)新產(chǎn)品，它可以同時支持RSA和SM2兩種非對稱算法，可以簽發(fā)基于RSA密鑰和SM2密鑰的數(shù)字證書。ECPKI包

7、含三個主要子系統(tǒng)，分別為用戶注冊管理系統(tǒng)(以下簡稱RA系統(tǒng))、數(shù)字證書認證系統(tǒng)(以下簡稱CA系統(tǒng))。RA系統(tǒng)實現(xiàn)用戶證書的申請、審核及證書的介質安裝；CA系統(tǒng)對證書的整個生命周期進行管理中，實現(xiàn)證書的簽發(fā)、更新、恢復、廢除及證書吊銷列表(以下簡稱CRL證書)生成。ECPKI系統(tǒng)全部采用B/S架構，服務端使用JAVA開發(fā)，提供良好的跨平臺性，系統(tǒng)管理員通過瀏覽器登錄系統(tǒng)進行系統(tǒng)管理。管理員登錄支持MOfN多人制，管理員使用數(shù)字證書與服務端進行安全訪問。登錄客戶端支持Windows2000、WindowsXP及Vista操作系統(tǒng)。ECPKI子系統(tǒng)間采用基于證書互信與SPKM規(guī)范的安全通訊協(xié)議，保證

8、跨區(qū)域間子系統(tǒng)的通訊安全。SPKM協(xié)議對稱算法支持國家標準密碼算法SM1算法及SSF33算法。ECPKI系統(tǒng)屬于信息安全領域，主要應用于網(wǎng)上銀行、電子政務、網(wǎng)上辦公的安全應用。在介質存儲空間及運算能力受限的應用場合，通過ECPKI系統(tǒng)生成的ECC密鑰證書具有明顯優(yōu)勢。1.3 名詞解釋本文檔使用的術語如下表：術語解釋ECCElliptic Curve Cryptosystems 橢圓曲線加密系統(tǒng)(算法)RSARSA加密算法（Rivest-Shamir-Adleman Encryption）CA證書管理系統(tǒng)（Certificate Authority），也稱認證中心RA證書注冊系統(tǒng)（Registe

9、r Authority）KM密鑰管理系統(tǒng) (Key Management)SRQ15格爾公司在國密辦注冊的電子證書認證系統(tǒng)的產(chǎn)品名稱，包括RA、CA、KM等子系統(tǒng)。EMEngine格爾開發(fā)的加密機連接引擎，可支持多種加密機的使用CBB共用軟件模塊ECDHElliptic Curve Diffie-Hellman Key Exchange 基于橢圓曲線算法的Diffie-Hellman密鑰交換ECDSAElliptic Curve Data Signature Algorithm 基于橢圓曲線的數(shù)據(jù)簽名算法，定義在ANSI X9.63ECIESElliptic Curve Integrated

10、Encryption Scheme 橢圓曲線加密體制NIST美國技術標準協(xié)會NID_WAPI中國無線局域網(wǎng)標準中的曲線類型NID_NISTP256NIST的素域256曲線類型NID_GB192中國國家標準的192位曲線類型NID_GB256中國國家標準的256位曲線類型SSF33中國國家標準的對稱加密算法SM1中國國家標準的對稱加密算法SM2基于ECC的中國國家標準算法2 系統(tǒng)安全需求從應用的角度來看，PKI體系建設的安全需求包括以下幾個方面：2.1 身份認證（Authentication）由于互聯(lián)網(wǎng)的特殊性，交易的雙方可能彼此都無法確認對方的真實身份，因此交易迫切需要解決“你是誰”的問題。身

11、份認證一般基于以下幾種因素來進行身份的確認：1. 你知道什么（something you know）：比如用戶名/口令、個人識別碼（PIN）等2. 你擁有什么（something you have）：比如智能卡（smart card）、USB key等3. 生理特征（something you are, or a physical characteristic）：比如指紋、面部特征等口令可以被猜出，卡有可能丟失，指紋系統(tǒng)驗證可能會有較高的誤判率；很顯然，如果結合兩種以上的因素來進行身份的認證，認證可以獲得更高的強度。公鑰基礎設施（PKI）通過物理身份（公民身份證）和數(shù)字身份（數(shù)字證書）的綁定，

12、將數(shù)字證書保存到智能卡或者USB key中的方式，很好的解決了“身份確認”的問題。2.2 通信的保密性（Confidentiality）用戶通過Internet訪問Web服務器，如果不采取特殊手段，在Internet上的信息傳輸是明文方式，由此很容易導致用戶帳戶信息的泄露，從而造成用戶資產(chǎn)和公司信譽的損失。為了彌補這個安全漏洞，有必要對通信信道進行加密。目前國際上通行的方法是通過標準的SSL協(xié)議，使用SSL安全網(wǎng)關保護Web通信的安全。通信雙方通過數(shù)字證書實現(xiàn)了身份的認證，通過對稱加密技術實現(xiàn)了傳輸數(shù)據(jù)的加密。SSL安全網(wǎng)關應能夠信任多種證書體系（如自建CA系統(tǒng)），支持證書狀態(tài)的驗證，支持客戶

13、端IP地址獲取，支持訪問信息監(jiān)控、審計，支持負載均衡等需求。2.3 數(shù)據(jù)完整性（Integrity）為了確保信息在存儲、使用、傳輸過程中不被非授權用戶篡改，同時也為了防止被授權用戶不適當?shù)拇鄹?，保持信息?nèi)外部的一致性，需要通過數(shù)字簽名技術來保證數(shù)據(jù)的完整性。2.4 交易的不可否認性（Non-Repudiation）在交易過程中和交易完成后交易雙方可能會發(fā)生糾紛，為了防止任何一方對交易過程和交易后果的無理抵賴和否認，需要保存交易憑證或憑據(jù)，以備第三方的權威認證和責任認定。2.5 訪問控制（Access Control）訪問控制就是滿足“最小授權”原則，防止未授權用戶訪問未授予其權限的資源，以確保

14、信息的保密性和完整性。訪問控制按照層次劃分，可以分為：l 物理層的訪問控制，如通過門禁系統(tǒng)來禁止某些人物理上接觸某些系統(tǒng)或者設備。l 網(wǎng)絡層的訪問控制，如通過防火墻的策略，禁止開放某些資源或者服務。l 主機或系統(tǒng)層的訪問控制，通過操作系統(tǒng)的授權機制來禁止或者允許對某些資源的訪問。l 應用層的訪問控制，如通過應用訪問控制系統(tǒng)來禁止或者允許用戶對某些業(yè)務資源的訪問。2.6 系統(tǒng)可用性（Availability）所謂可用性就是要確保授權用戶或者實體對信息或者資源的正常使用不會被拒絕，能夠可靠而及時地訪問信息和資源。簡單的講就是“業(yè)務服務不宕機，用戶訪問響應及時、快速”。2.7 數(shù)據(jù)備份與恢復（Rec

15、overy）為了防止可能發(fā)生的災難（如地震、火災、戰(zhàn)爭）或者操作不當引起的事故對數(shù)據(jù)的損害，需要及時地備份數(shù)據(jù)和恢復系統(tǒng)的正常運營，以盡可能地降低損失，需要對系統(tǒng)及數(shù)據(jù)庫及時備份。3 PKI體系建設說明3.1 PKI體系建設說明PKI是“Public Key Infrastructure”的縮寫，意為“公鑰基礎設施”，是一個用非對稱密碼算法原理和技術實現(xiàn)的、具有通用性的安全基礎設施。PKI利用數(shù)字證書標識密鑰持有人的身份，通過對密鑰的規(guī)范化管理，為組織機構建立和維護一個可信賴的系統(tǒng)環(huán)境，透明地為應用系統(tǒng)提供身份認證、數(shù)據(jù)保密性和完整性、抗抵賴等各種必要的安全保障，滿足各種應用系統(tǒng)的安全需求。3

16、.2 數(shù)字認證信任管理模式信任是安全的基礎，在缺乏信任的環(huán)境下，實現(xiàn)信息系統(tǒng)的安全是不可想象的。在X.509中，是如下定義信任的：“通常來講，一個實體設想另一個實體的行為會是他所期望的，則可以稱為第一個實體是信任第二個實體的?！?（Generally, an entity can be said to “trust” a second entity when it (the first entity) makes the assumption that the second entity will behave exactly as the first entity expects）。任何安全

17、系統(tǒng)的建立都依賴于系統(tǒng)用戶之間存在的各種信任形式，在信息系統(tǒng)中，要實現(xiàn)有效可靠的信任關系，主要是通過以下三種手段的結合：身份認證、數(shù)據(jù)秘密性和完整性、不可抵賴性。要建立信任，首先要確認信任參與者的身份。例如：兩個人第一次見面，A就要把一個重要的信息傳遞給B，首先，A要確認B是這一信息所期望的接受者，而不能是其它人冒名頂替；B也要確認A確實是這一信息的傳送者，而不是其它人假冒，因為如果A是假的，那么其傳遞的信息的可靠性就無法保證。其次，要保證數(shù)據(jù)秘密性和完整性。以上面的例子為例，如果A把信息傳遞給B的時候，如果有第三者C有可能通過竊聽等手段獲得該信息，那么，即使A可以信任B，認為B的行為會是A所

18、期望的，但是A并不能保證C的行為同樣會是A所期望的，在此情況下，信息傳遞的風險將非常大。因此，可以想像的結果是，由于擔心C的竊聽，A不敢或者無法把信息傳遞給B。所謂的“信任”也失去了意義。最后，“信任”的一個關鍵因素：不可抵賴性。在現(xiàn)實生活中，如果某人總是說話不算，事后賴帳，相信誰都不會“信任”他。在信息系統(tǒng)中，也是如此，但是與現(xiàn)實生活中不同的是，信息系統(tǒng)中對不可抵賴性的要求更高，由于參與信息交換的各方的不確定性，所造成的損失難以估量，因此，對不可抵賴性要求從“事后”提前到了“事先”，也就是說，在行為發(fā)生前，就必需對該行為的不可抵賴性作出約束。對信息系統(tǒng)中所采用的相關技術，可以由下表來作個比較

19、：身份認證可靠性秘密性和完整性不可抵賴性用戶名/口令低無低生物特征識別（如指紋，虹膜等）中高（取決于現(xiàn)有技術水平）無中高（取決于現(xiàn)有技術水平）動態(tài)口令高無中PKI高高高圖表 31相關技術比較表從上面的對比可以看出，PKI技術在解決信息系統(tǒng)安全中有不可替代的優(yōu)勢。它不僅僅是一個簡單的身份認證系統(tǒng)，事實上，它可以作為提供統(tǒng)一信任管理服務的有效平臺，在系統(tǒng)與系統(tǒng)、用戶與系統(tǒng)、用戶與用戶之間建立起一種信任關系，從而保證了系統(tǒng)的安全性，這種信任關系不是只通過身份認證就能夠實現(xiàn)的，它包含了更加豐富的內(nèi)容，如數(shù)字簽名、信息加解密等。PKI體系不僅僅為建立這種信任關系提供了一個基礎設施，其建立信任關系的最終目

20、的就是為了通過這種信任關系保證應用系統(tǒng)安全。在本方案設計的建行認證中心（CA）系統(tǒng)將基于PKI技術進行合理的定制優(yōu)化與拓展，使其最大限度的符合建設銀行信息系統(tǒng)中對安全應用的需求。3.3 PKI系統(tǒng)基本組成根據(jù)PKI體系架構設計，在通常情況下的PKI數(shù)字認證系統(tǒng)建設由密鑰管理中心KMC、證書認證中心（CA）、證書注冊審核中心（RA）、證書/CRL發(fā)布及查詢系統(tǒng)以及和應用系統(tǒng)間的接口五部分組成，其功能結構如下圖所示：圖表 32格爾數(shù)字認證中心功能結構1 密鑰管理中心（KMC）：是公鑰基礎設施中的一個重要組成部分，負責為CA系統(tǒng)提供密鑰的生成、保存、備份、更新、恢復、查詢等密鑰服務，以解決分布式企業(yè)

21、應用環(huán)境中大規(guī)模密碼技術應用所帶來的密鑰管理問題。2 認證中心（CA）系統(tǒng)：CA認證中心是PKI公鑰基礎設施的核心，它主要完成生成/簽發(fā)證書、生成/簽發(fā)證書撤消列表（CRL）、發(fā)布證書和CRL到目錄服務器、維護證書數(shù)據(jù)庫和審計日志庫等功能。3 注冊中心（RA）系統(tǒng)：RA注冊中心是數(shù)字證書的申請、審核和注冊的機構。它是CA認證中心的延伸，在邏輯上RA和CA是一個整體，主要負責提供證書注冊、審核以及發(fā)證功能。4 證書發(fā)布與查詢服務系統(tǒng)：證書發(fā)布與查詢系統(tǒng)主要提供LDAP服務、OCSP服務和注冊服務。LDAP提供證書和CRL的目錄瀏覽服務；OCSP提供證書狀態(tài)在線查詢服務；注冊服務為用戶提供在線注冊

22、的功能。5 系統(tǒng)應用接口：系統(tǒng)應用接口為外界提供使用PKI安全服務的入口。系統(tǒng)應用接口一般采用API、JavaBean、COM等多種形式。以上五部分之間的配合協(xié)作，對外提供PKI信任基礎設施的安全服務。3.4 PKI信任體系的建立PKI體系的建設是一個大型系統(tǒng)工程，可根據(jù)實際的建設模式定位為多級的信任模式，并根據(jù)PKI體系的基本組成部分進行具體的設計實現(xiàn)，下圖的CA信任體系描述了PKI安全體系的分布式結構，具體結構形式如圖所示。圖表 33 CA信任體系結構根據(jù)上圖中描述的信任體系結構，PKI系統(tǒng)建設可分為如下幾個部分來進行：3.4.1 CA證書簽發(fā)管理機構設置CA認證機構是數(shù)字認證中心安全體系

23、的核心，對于一個大型的分布式企業(yè)應用系統(tǒng)，需要根據(jù)應用系統(tǒng)的分布情況和組織結構設立多級CA機構，包括根CA和各下級CA。根CA是整個CA體系的信任源，負責整個CA體系的管理，簽發(fā)并管理下級CA證書。從安全角度出發(fā)，根CA一般采用離線工作方式。根以下的其它各級CA負責本轄區(qū)的安全，為本轄區(qū)用戶和下級CA簽發(fā)證書，并管理所發(fā)證書。理論上CA體系的層數(shù)可以沒有限制的，考慮到整個體系的信任強度，在實際建設中，一般都采用兩級CA結構。3.4.2 RA注冊審核機構設置從廣義上講，RA是CA的一個組成部分，主要負責數(shù)字證書的申請、審核和注冊。除了根CA以外，每一個CA機構都包括一個RA機構，負責本級CA的證

24、書申請、審核工作。RA機構的設置也可根據(jù)企業(yè)行政管理機構的設立/劃分來進行，一個RA中心系統(tǒng)下可設立多級下屬RA中心或業(yè)務受理點LRA。受理點LRA是指本地的證書注冊審核機構，它與上級RA中心共同組成證書申請、審核、注冊系統(tǒng)的整體。LRA面向最終用戶，負責對用戶提交的申請資料進行錄入、審核和證書制作。3.4.3 KMC密鑰管理中心的建設密鑰管理中心（KMC）：密鑰管理中心向CA服務提供相關密鑰服務，如密鑰生成、密鑰存儲、密鑰備份、密鑰恢復、密鑰托管和密鑰運算等。一般來說，每一個CA中心都需要有一個KMC負責該CA區(qū)域內(nèi)的密鑰管理任務。KMC可以根據(jù)應用所需PKI規(guī)模的大小靈活設置，既可以建立單

25、獨的KMC，也可以采用鑲嵌式KMC，讓KMC模塊直接運行在CA服務器上。3.4.4 證書發(fā)布與查詢系統(tǒng)的建設發(fā)布與查詢系統(tǒng)是數(shù)字認證中心安全體系中的一個重要組成部分。它由用于發(fā)布數(shù)字證書和CRL的證書發(fā)布系統(tǒng)、在線證書狀態(tài)查詢系統(tǒng)（OCSP）。證書和CRL采用標準的LDAP協(xié)議發(fā)布到LDAP服務器上，應用程序可以通過發(fā)布系統(tǒng)發(fā)布的信息驗證用戶證書的合法性；OCSP提供證書狀態(tài)的實時在線查詢功能。發(fā)布系統(tǒng)一般要支持層次化分布式結構，使其具有很好的擴展性、靈活性和高性能，可以為企業(yè)大型應用系統(tǒng)提供方便的證書服務，能夠滿足大型應用系統(tǒng)的安全需求。3.4.5 系統(tǒng)安全管理建設PKI安全體系建設的目的是

26、為應用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運行的保障。因此，必須建立完善的管理制度，以保證整個PKI體系在運營過程中正常運行。PKI運營管理建設的主要內(nèi)容包括：l 人員管理規(guī)范：根據(jù)系統(tǒng)的需要，劃分角色，配置人員，設置權限，制定相應的人員管理制度和管理策略，保證人員管理的安全性。l CA運營管理規(guī)范：主要包括系統(tǒng)操作、安全策略、授權管理、證書管理、用戶管理等各個方面的規(guī)范化、制度化。l 應急管理規(guī)范：解決PKI安全體系在正常工作中發(fā)生的各類異常情況、安全事件、安全事故。主要包括信息系統(tǒng)應急方案、電力系統(tǒng)故障、消防系統(tǒng)應急方案、病毒應急方案、系統(tǒng)備份應急方案、人員異動情況應急方案、安全事故

27、處理方法、安全應急事件及事故處理的程序等等。l 機房的安全建設：全面規(guī)劃機房，針對不同安全級別劃分安全區(qū)域，建立完善的機房管理制度。l 標準化建設：包括系統(tǒng)建設標準化、系統(tǒng)管理標準化、運營管理標準化等等。通過建立完善的管理制度和標準化建設，為PKI安全體系創(chuàng)造一個安全可靠的運行環(huán)境，從管理上和技術上全面地保證系統(tǒng)的正常運營。4 PKI CA系統(tǒng)設計4.1 總體建設目標本次自建CA建設的總體目標是：采用符合國際標準的公鑰基礎設施PKI技術來實現(xiàn)網(wǎng)上的身份認證，確保通信的保密性和交易數(shù)據(jù)的完整性及交易的不可否認性，以數(shù)字證書為媒介，通過使用先進的數(shù)字簽名、SSL安全傳輸協(xié)議等安全技術為業(yè)務平臺提供

28、一套功能完善、安全、可靠的應用安全保障體系，保證網(wǎng)上業(yè)務的正常交易。本次項目中應本著滿足現(xiàn)有用戶規(guī)模，但同時應在產(chǎn)品選擇中充分考慮業(yè)務需求和安全需求的不斷增長，提出CA產(chǎn)品的擴容和性能擴展的解決方案。根據(jù)現(xiàn)有物理安全設備如防火墻、入侵檢測等產(chǎn)品為基礎構架完整的網(wǎng)絡層安全防御體系，保障設備和操作系統(tǒng)的整體安全。采用安全管理與審計系統(tǒng)來實現(xiàn)業(yè)務系統(tǒng)的日常運行監(jiān)控、管理與審計，提高事故處理響應速度，提高業(yè)務服務水平，提升客戶滿意度。 4.2 設計原則本項目的規(guī)模和復雜程度對項目建設提出了很高的要求，系統(tǒng)建設應遵循以下原則和建設要求：1）政策性原則。在系統(tǒng)設計實現(xiàn)中要充分體現(xiàn)我國現(xiàn)行的密碼管理政策，確

29、保相關密碼設備和密鑰可管可控。2）安全性原則。配制完善的安全技術和管理系統(tǒng)，采用自主研發(fā)的密碼產(chǎn)品，設置可靠的網(wǎng)絡安全保護系統(tǒng)，建造安全的運行環(huán)境。系統(tǒng)自身要有充分的安全性和穩(wěn)定可靠性。設計的密碼產(chǎn)品選用通過國密局技術鑒定的產(chǎn)品。3）先進性原則。采用先進技術，緊跟國際前沿技術，可以同時支持RSA、EC兩種密鑰格式。數(shù)據(jù)管理系統(tǒng)能滿足高速度、大容量的要求。4）繼承與發(fā)展原則。利用原有系統(tǒng)形成的數(shù)據(jù)，通過數(shù)據(jù)格式轉換實現(xiàn)原有成果的利用，減少重復勞動，實現(xiàn)與現(xiàn)有系統(tǒng)的平滑過渡。5）標準化原則。安全保密系統(tǒng)的設計符合國家有關政策和安全保密標準。6）可擴展性原則。系統(tǒng)設計具有很好的擴展性，在考慮到業(yè)務量

30、的大小、能滿足用戶的并發(fā)需求下，系統(tǒng)規(guī)模應具有易擴展性。系統(tǒng)應能夠在不影響現(xiàn)有業(yè)務的情況下，一旦需要時可以平滑地升級過渡到新（版本）系統(tǒng)。7）實用性原則。充分考慮系統(tǒng)復雜的特點，保證系統(tǒng)安全有效的運行、數(shù)據(jù)有效的保護、設計功能可以充分的實現(xiàn)、操作方便等。8）可靠性原則。在硬件和系統(tǒng)軟件選型配制上充分考慮到系統(tǒng)可靠性的需求，在關鍵部分采用“雙機熱備”系統(tǒng)和磁盤鏡像技術，保證系統(tǒng)得不間斷運行和在線故障修復，在線系統(tǒng)升級。4.3 總體安全框架設計按照需求分析的要求，我們可以按照層次對安全體系建設做如下劃分：1. 業(yè)務層安全通過安全接入通道提供的用戶身份信息，結合客戶管理系統(tǒng)，實現(xiàn)業(yè)務系統(tǒng)的訪問控制，

31、實現(xiàn)業(yè)務層的安全。2. 應用層安全l 證書認證系統(tǒng)CA提供核心的身份認證系統(tǒng)部分，通過數(shù)字證書實現(xiàn)用戶物理身份與數(shù)字身份的綁定l 證書注冊系統(tǒng)RA提供客戶身份信息的管理，提供靈活的、完善的、可定制的證書管理功能l SSL安全通道接入(SSL安全網(wǎng)關)保護用戶數(shù)據(jù)能夠通過互聯(lián)網(wǎng)安全的傳輸，并實現(xiàn)用戶身份的確認及SSL安全接入的訪問控制l 數(shù)字簽名及驗證系統(tǒng)業(yè)務系統(tǒng)通過調(diào)用數(shù)字簽名驗證接口，實現(xiàn)用戶身份確認、保護數(shù)據(jù)完整性、保存交易憑據(jù)以實現(xiàn)事后審計及責任認定3. 網(wǎng)絡層安全l 通過防火墻、入侵檢測系統(tǒng)等實現(xiàn)網(wǎng)絡層的訪問控制l 通過主機系統(tǒng)加固實現(xiàn)主機系統(tǒng)的安全l 通過采用負載均衡設備實現(xiàn)業(yè)務系統(tǒng)

32、和安全接入系統(tǒng)的高可用性和較高的性能4. 物理層安全l 通過門禁系統(tǒng)、監(jiān)控系統(tǒng)等防止未授權人員對物理設備、機房的訪問5. 系統(tǒng)安全管理建設PKI安全體系建設的目的是為應用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運行的保障。因此，必須建立完善的管理制度，以保證整個PKI體系在運營過程中正常運行。綜上，整體CA系統(tǒng)的分層邏輯框架圖如下：圖表 1 CA系統(tǒng)建設分層邏輯結構根據(jù)上面的證書安全應用平臺建設分層邏輯結構及PKI系統(tǒng)的基本組成，針對于本次“安全證書項目”建設的重點，上海格爾軟件股份有限公司提供如下的證書相關安全系統(tǒng)建設：1. PKI基礎安全服務體系建設u CA證書認證系統(tǒng)。CA認證機構是數(shù)

33、字認證中心安全體系的核心，主要完成生成/簽發(fā)證書、生成/簽發(fā)證書撤消列表（CRL）、發(fā)布證書和CRL到目錄服務器、維護證書數(shù)據(jù)庫和審計日志庫等功能。對于一個大型的分布式企業(yè)應用系統(tǒng)，可根據(jù)應用系統(tǒng)的分布情況和組織結構設立多級CA機構，包括根CA和各下級CA。本方案提供二級CA的部署結構，一方面滿足用戶500萬大用戶量的系統(tǒng)擴充應用需求，另一方面，也便于該證書應用平臺日后支持其他業(yè)務應用提供擴展支持。u RA證書注冊服務系統(tǒng)。RA注冊中心是連接應用系統(tǒng)/用戶與CA中心的紐帶，是數(shù)字證書的申請、審核和注冊的機構。它是CA認證中心的延伸，在邏輯上RA和CA是一個整體，它向CA中心提交各種證書請求，接

34、收來自CA的處理結果，主要負責提供證書注冊、審核以及發(fā)證功能，并負責為管理員提供證書管理服務。u 證書發(fā)布與查詢服務系統(tǒng)。證書發(fā)布與查詢系統(tǒng)主要提供LDAP服務，即通過LDAP服務軟件提供證書和CRL的目錄瀏覽服務。本方案提供針對自建CA的LDAP證書及黑名單發(fā)布，同時，部署的LDAP服務器需要滿足對接入銀行所頒發(fā)證書、CRL列表的同步鏡像支持，以便于使用銀行證書的用戶在登陸時可以快捷的進行證書驗證應用。2. 業(yè)務安全服務平臺u SSL安全通道系統(tǒng)。包括客戶端CSP密碼模塊和SSL安全網(wǎng)關系統(tǒng)兩部分。CSP密碼模塊鑲嵌在瀏覽器中，提供符合國家密碼部門要求的密碼算法與服務器端SSL安全網(wǎng)關系統(tǒng)建

35、立SSL安全連接，實現(xiàn)交易雙方的身份認證、保證數(shù)據(jù)傳輸?shù)陌踩?。格爾安全通道系統(tǒng)支持多種硬件密鑰載體，如USB-KEY、磁盤等。u 數(shù)字簽名驗證服務系統(tǒng)。包括簽名客戶端和簽名驗證服務器兩部分。數(shù)字簽名客戶端控件負責對交易中的關鍵數(shù)據(jù)進行數(shù)字簽名；簽名驗證服務器主要負責對交易過程中關鍵數(shù)據(jù)的簽名進行驗證，保證交易的不可否認性和數(shù)據(jù)的完整性。簽名驗證客戶端是提供給應用程序調(diào)用的接口軟件包，安裝在業(yè)務應用服務器上，使應用方便地使用簽名驗證服務器。3. 系統(tǒng)安全管理建設建立完善的管理制度，以保證整個PKI體系在運營過程中正常運行。主要內(nèi)容包括：l 人員管理規(guī)范：根據(jù)系統(tǒng)的需要，劃分角色，配置人員，設置

36、權限，制定相應的人員管理制度和管理策略，保證人員管理的安全性。l CA運營管理規(guī)范：主要包括系統(tǒng)操作、安全策略、授權管理、證書管理、用戶管理等各個方面的規(guī)范化、制度化。l 應急管理規(guī)范：解決PKI安全體系在正常工作中發(fā)生的各類異常情況、安全事件、安全事故。主要包括信息系統(tǒng)應急方案、電力系統(tǒng)故障、消防系統(tǒng)應急方案、病毒應急方案、系統(tǒng)備份應急方案、人員異動情況應急方案、安全事故處理方法、安全應急事件及事故處理的程序等等。l 機房的安全建設：全面規(guī)劃機房，針對不同安全級別劃分安全區(qū)域，建立完善的機房管理制度。l 標準化建設：包括系統(tǒng)建設標準化、系統(tǒng)管理標準化、運營管理標準化等等。通過建立完善的管理制

37、度和標準化建設，為PKI安全體系創(chuàng)造一個安全可靠的運行環(huán)境，從管理上和技術上全面地保證系統(tǒng)的正常運營。5 整體建設格爾數(shù)字認證系統(tǒng)(ECPKI)是一套數(shù)字證書管理平臺，該系統(tǒng)在格爾公司SRQ15產(chǎn)品上進行功能性擴展，在保留對RSA密鑰格式支持的基礎上，新增加了對中國國家標準算法SM2的支持，可以簽發(fā)、管理符合國家標準<<SM2密鑰存儲與傳遞格式規(guī)范>>的ECC密鑰證書。ECPKI系統(tǒng)從上至下分劃分為四個層次，分別為硬件加密機、CA系統(tǒng)、RA系統(tǒng)及證書介質設備，其中硬件加密機負責生成CA密鑰、產(chǎn)生加密密鑰對及CA的私鑰簽名；KM系統(tǒng)負責加密密鑰對生命周期管理；CA系統(tǒng)負責

38、證書生命周期管理；RA系統(tǒng)負責用戶信息管理；介質設備用于存放數(shù)字證書。ECPKI系統(tǒng)使用JAVA開發(fā)，采用J2EE系統(tǒng)架構，使用C/S(客戶端/服務端)方式進行系統(tǒng)管理。系統(tǒng)部署結構圖如下所示：5.1 系統(tǒng)架構ECPKI系統(tǒng)的證書權威系統(tǒng)(CA系統(tǒng))分為根CA、下級CA兩部分，根CA為離線系統(tǒng)，用于簽發(fā)自簽名CA及管理下級CA。下級CA 采用在線服務方式，可以為一個或多個RA同時提供證書服務。CA系統(tǒng)的密鑰對從硬件加密機獲取，證書簽名操作在加密機內(nèi)完成，存放于加密機的密鑰對不可導出，從而保證最高級別的系統(tǒng)安全。CA系統(tǒng)采用J2EE架構，使用C/S模式進行系統(tǒng)管理，提供CA證書簽發(fā)、CA證書更新

39、、CA證書吊銷、CA策略管理、證書模板管理、CRL策略管理、RA管理等功能。使用TCP協(xié)議提供證書對外服務，可以支持證書簽發(fā)、證書更新、證書恢復、證書吊銷等證書功能。CA系統(tǒng)和RA系統(tǒng)間使用安全通訊協(xié)議保證證書服務的安全，安全通訊協(xié)議采用國家密碼管理局批準使用的對稱算法。由于CA系統(tǒng)可以同時為多個RA提供服務，CA系統(tǒng)支持RA接入管理功能，CA系統(tǒng)通過RA部署碼的方式為RA系統(tǒng)的接入提供授權。CA系統(tǒng)通過支持多個加密機配置的方式來實現(xiàn)多種密鑰的證書服務，可以對管理根、RSA、ECC、安全通訊協(xié)議模塊分別配置加密機。ECPKI系統(tǒng)的證書注冊系統(tǒng)(RA系統(tǒng))采用J2EE架構，使用C/S方式進行系統(tǒng)

40、管理及業(yè)務操作，提供用戶信息錄入、審核及證書介質安裝等主要業(yè)務功能。RA系統(tǒng)使用三權分離的管理模式，由申請管理員負責信息的錄入、審核管理員負責信息的合法準確、操作管理員最后執(zhí)行證書安裝。ECPKI系統(tǒng)的整體架構設計圖如下所示:5.2 密鑰的使用密鑰是ECPKI系統(tǒng)非常重要的一部分，是系統(tǒng)運行的基礎。在ECPKI系統(tǒng)中，密鑰包括客戶端產(chǎn)生的簽名密鑰、硬件加密機生成的內(nèi)部密鑰及KM生成的加密密鑰三種類型，其中內(nèi)部密鑰用于構建CA證書和CA私鑰簽名，對應于這三種密鑰類型，ECPKI系統(tǒng)有CA證書簽發(fā)、簽名證書簽發(fā)及加密證書簽發(fā)三種密鑰使用場景。下面對三種密鑰使用的過程進行描述:5.2.1 CA證書簽

41、發(fā)CA證書使用的是硬件加密機的內(nèi)部密鑰對，該內(nèi)部密鑰由硬件加密機控制臺或后臺系統(tǒng)生成，其中的私鑰不可以導出，對私鑰的使用（如簽名）必須在加密機內(nèi)部完成。流程說明:1) 首先，由硬件控制面板或后臺系統(tǒng)生成一定數(shù)量的內(nèi)部密鑰對。內(nèi)部密鑰對的私鑰不可導出。2) CA系統(tǒng)向硬件加密機發(fā)送導出指定位置內(nèi)部密鑰對公鑰的請求。3) 硬件加密機返回指定密鑰對公鑰到CA系統(tǒng)。4) CA系統(tǒng)將公鑰、證書主題信息及其它證書項構建成待簽名的數(shù)據(jù)。5) CA系統(tǒng)將待簽名數(shù)據(jù)發(fā)送到硬件加密機。6) 硬件加密機在內(nèi)部完成對數(shù)據(jù)的簽名運算，完成后將簽名返回到CA系統(tǒng)。7) CA系統(tǒng)將待簽名數(shù)據(jù)和簽名值構造成正確的CA證書。5

42、.2.2 簽名證書簽發(fā)簽名證書在應用系統(tǒng)中通常用于身份鑒別和防抵賴，因此簽名證書的密鑰對必須在硬件介質內(nèi)部產(chǎn)生，其中的私鑰不可導出，只有擁有相應私鑰口令的用戶才能進行數(shù)據(jù)簽名操作，保證私鑰和用戶實體的唯一綁定關系。1) EC介質設備生成一對簽名密鑰，私鑰不可導出，生成的公鑰封裝成CMP格式請求，并發(fā)送到RA系統(tǒng)。2) 將預先注冊好的用戶信息和CMP請求的公鑰一起構造成CMP格式證書請求。3) RA將CMP格式證書請求發(fā)送到CA系統(tǒng)。4) CA根據(jù)證書模板策略，構造待簽名的數(shù)據(jù)5) CA將待簽發(fā)數(shù)據(jù)傳送到硬件加密機，由硬件加密機內(nèi)部完成數(shù)據(jù)簽名6) CA將加密機返回的簽名值和待簽名數(shù)據(jù)一起構建成

43、正確的簽名證書，并以CMP格式返回到RA系統(tǒng)。7) RA系統(tǒng)將CMP響應返回到介質設備。8) 介質設備解析CMP響應并安裝證書。5.2.3 加密證書簽發(fā)和簽名證書的應用場景不同，加密證書通常用于數(shù)據(jù)的安全加密，如文檔加密保存、安全電子郵件等。由于加密數(shù)據(jù)需要長期保存并隨機可以解密，所以不能使用簽名證書進行加密，否則當保存簽名證書的介質損壞或丟失時，會導致加密數(shù)據(jù)無法解密。因此，加密證書使用由KM系統(tǒng)生成并管理的密鑰對，加密密鑰對在KM加密保存，用戶在介質損壞或丟失時可以通過證書恢復流程從KM系統(tǒng)恢復加密密鑰對。1) EC介質設備生成一對簽名密鑰，私鑰不可導出，生成的公鑰封裝成CMP格式請求，并

44、發(fā)送到RA系統(tǒng)。2) 將預先注冊好的用戶信息和CMP請求的公鑰一起構造成CMP格式證書請求。3) RA將CMP格式證書請求發(fā)送到CA系統(tǒng)。4) CA向KM請求分發(fā)加密密鑰對5) KM將預產(chǎn)生的密鑰私鑰封裝成數(shù)字信封，數(shù)字信封使用簽名公鑰進行加密。6) KM返回加密私鑰數(shù)字信封到CA系統(tǒng)7) CA系統(tǒng)根據(jù)模板策略構造待簽名數(shù)據(jù)8) CA系統(tǒng)發(fā)送待簽名數(shù)據(jù)到硬件加密機，硬件加密機完成簽名運算后將簽名值返回到CA系統(tǒng)。9) CA系統(tǒng)將待簽名數(shù)據(jù)和簽名值一并構建簽名證書及加密證書，將兩張證書及加密私鑰數(shù)字信封以CMP格式響應返回RA系統(tǒng)。10) RA系統(tǒng)將CMP響應返回到介質設備11) 介質設備使用簽

45、名私鑰對數(shù)字信封進行解密，最后將簽名證書、加密證書及加密私鑰一并安裝到介質。5.3 CA系統(tǒng)結構5.3.1 CA管理模塊CA管理模塊實現(xiàn)CA證書全生命周期的管理功能，包含有根CA證書簽發(fā)、交叉認證證書簽發(fā)、下級CA證書簽發(fā)、下級CA證書更新、下級CA證書吊銷功能。CA證書的密鑰對通過加密機引擎從硬件加密機獲取，在加密機內(nèi)部完成私鑰簽名。CA證書支持RSA、ECC兩種密鑰格式，簽發(fā)CA證書時可以任何指定密鑰格式。5.3.2 證書策略模塊證書策略模塊用于管理用戶證書的簽發(fā)策略。CA系統(tǒng)采用集中式策略管理模式，用戶證書的策略在CA系統(tǒng)中統(tǒng)一管理，以保證用戶證書的統(tǒng)一性及規(guī)范性。運營CA在簽發(fā)成功后，

46、需要分配證書策略才可以提供證書服務。證書策略包含有證書有效期、證書DN字符串屬性、證書基本密鑰用法、證書擴展密鑰用法、證書自定義擴展項等證書屬性。5.3.3 證書服務模塊證書服務模塊是CA系統(tǒng)的核心系統(tǒng)，本模塊為RA提供證書簽發(fā)、證書更新、證書恢復、證書吊銷等證書功能。證書服務支持ECC、RSA兩種密鑰格式，可以根據(jù)簽發(fā)者CA的密鑰格式自適應兩種密鑰。證書服務支持單證書及雙證書簽發(fā)，雙證書簽發(fā)時加密密鑰從KM獲取，加密密鑰使用國密局指定的對稱算法加密，實現(xiàn)密鑰不落地功能。CA系統(tǒng)和RA系統(tǒng)間的數(shù)據(jù)協(xié)議使用CMP(Certification Management Protocol)協(xié)議，通訊協(xié)議

47、使用SPKM安全通訊協(xié)議，保證系統(tǒng)的數(shù)據(jù)通訊安全。5.3.4 策略模板管理模塊模板管理模塊是CA系統(tǒng)的輔助性功能模塊，提供證書策略的預定義、新增加、更新、刪除等功能。證書策略模塊包括有證書有效期、證書DN字符串屬性、證書基本密鑰用法、證書擴展密鑰用法、證書自定義擴展項等證書屬性。定義好的模板可以指定給運營CA，為CA系統(tǒng)的證書服務提供良好的擴展性。5.3.5 加密機管理模塊加密機管理模塊用于管理CA系統(tǒng)的加密機配置。CA系統(tǒng)同時支持RSA、ECC、管理根、SPKM四個加密機，RSA加密機用于簽發(fā)RSA密鑰格式用戶證書，ECC加密機密鑰格式用戶證書，管理根加密機用于簽發(fā)CA系統(tǒng)管理員證書，SPK

48、M加密機用于SPKM安全通訊。四個加密機完全單獨配置，互不影響。5.3.6 RA接入控制模塊RA接入控制模塊提供CA系統(tǒng)對RA的接入控制功能，本模塊提供RA站點添加、刪除，只有添加成功的RA站點才能使用CA證書服務。CA系統(tǒng)對RA站點授權通過部署碼的方式來實現(xiàn)，RA在部署時需要把RA站點的證書請求及證書模塊策略提交到CA系統(tǒng)，CA系統(tǒng)管理員進行合法性審核通過后，將簽發(fā)部署碼給RA系統(tǒng)。RA系統(tǒng)使用CA證書服務時，需要通過部署碼的特定標識取得CA授權。5.3.7 系統(tǒng)管理模塊系統(tǒng)管理模塊為CA系統(tǒng)的系統(tǒng)運行參數(shù)配置模塊，CA系統(tǒng)提供數(shù)據(jù)庫參數(shù)、證書服務參數(shù)、加密機參數(shù)配置、密鑰管理中心參數(shù)配置及

49、日志參數(shù)配置等功能。5.3.8 系統(tǒng)審計模塊系統(tǒng)審計模塊提供CA系統(tǒng)的日志統(tǒng)計、分析功能。CA系統(tǒng)記錄管理員的操作日志及證書服務日志，操作日志記錄管理員執(zhí)行關鍵操作的時間、內(nèi)容、結果，日志包括管理員對業(yè)務操作的數(shù)據(jù)簽名，系統(tǒng)審計員可以對數(shù)據(jù)簽名進行驗證，達到操作不可抵賴的目標。5.4 RA系統(tǒng)結構5.4.1 用戶管理功能l 用戶注冊用戶信息、企業(yè)信息或設備信息通過在線或離線的方式完成注冊并記錄入系統(tǒng)數(shù)據(jù)庫。l 批量注冊系統(tǒng)以離線的方式將批量用戶信息使用指定的格式導入到用戶注冊系統(tǒng)中，完成注冊。l 用戶查詢用戶注冊系統(tǒng)操作員可以根據(jù)用戶的多項參數(shù)對系統(tǒng)中的用戶進行查詢，并查看其詳細信息。l 用戶

50、變更用戶注冊系統(tǒng)操作員可以根據(jù)對系統(tǒng)中用戶的信息進行調(diào)整和修改，并自動進入待審核狀態(tài)。l 用戶注銷用戶注冊系統(tǒng)操作員可以把證書已經(jīng)廢除而不再申請證書的用戶信息通過用戶注銷的方式將用戶信息轉入用戶信息歷史庫中。l 用戶信息恢復用戶注冊系統(tǒng)操作員可以將用戶信息歷史庫中的用戶信息恢復到當前系統(tǒng)并重新申請證書5.4.2 證書管理功能l 證書申請當用戶信息、企業(yè)信息或設備信息通過在線或離線的方式注冊完成，將向系統(tǒng)自動提交發(fā)放證書審核申請。l 證書申請審核用戶注冊系統(tǒng)操作員對用戶信息、企業(yè)信息或設備信息進行審核，同意或拒絕證書發(fā)放申請。l 證書下載 被審核同意下載證書后，系統(tǒng)支持以在線或離線的方式進行證書

51、下載，將證書安裝到證書設備中。l 證書更新申請 當用戶信息、企業(yè)信息或設備信息變更時，將向系統(tǒng)自動提交證書更新審核申請。l 證書更新審核用戶注冊系統(tǒng)操作員對用戶信息、企業(yè)信息或設備信息進行更新審核，同意或拒絕申請。l 證書更新更新審核同意后，系統(tǒng)支持以在線或離線的方式進行證書更新下載，將證書安裝到證書設備中。l 密鑰更新申請 當懷疑密鑰已經(jīng)不再安全或者證書快到期時，由操作員向系統(tǒng)提交密鑰更新審核申請。l 密鑰更新審核用戶注冊系統(tǒng)操作員對用戶信息、企業(yè)信息或設備信息進行審核，同意或拒絕更新申請。l 密鑰更新密鑰更新審核同意后，系統(tǒng)支持以在線或離線的方式進行證書更新下載，將證書安裝到證書設備中。l

52、 證書恢復申請 當用戶證書設備損壞或丟失時需要繼續(xù)恢復當前證書時，可以向系統(tǒng)提交證書恢復審核申請，該申請由密鑰管理系統(tǒng)進行審核。l 證書恢復密鑰管理系統(tǒng)同意證書恢復申請后，管理員可以執(zhí)行證書恢復操作，將恢復的證書安裝到證書設備中。l 證書廢除吊銷實體證書，可以由RA中心發(fā)起，也可以由擁有該證書的用戶直接發(fā)起。實體證書包括個人用戶證書，設備證書，站點證書、代碼簽名證書等。實體證書支持RSA、ECC兩種密鑰格式，密鑰格式在RA系統(tǒng)部署時指定。5.4.3 機構管理l 增加RA機構可以在指定的機構下創(chuàng)建子機構，機構分為邏輯機構和物理機構。l 變更RA機構名稱修改RA機構的名稱，但不改變其機構代碼。l

53、刪除RA機構如果某RA機構下有注冊用戶或管理員，該RA機構不能被刪除。5.4.4 操作認證管理在用戶注冊系統(tǒng)中，所有用戶注冊中心操作員必須都持有數(shù)字證書。數(shù)字證書由證書認證系統(tǒng)自行簽發(fā)，只有操作員數(shù)字證書通過系統(tǒng)的認證并采用安全連接才能進行相關操作。身份驗證內(nèi)容包括：證書的有效性、證書的真實性、證書持有人的權限等等。通過身份驗證后，操作員可以進行的操作統(tǒng)一由權限管理子系統(tǒng)進行管理。5.4.5 日志服務功能其功能主要包括：l 記錄管理員和操作員的所有動作；l 記錄整個系統(tǒng)中各子系統(tǒng)的內(nèi)部運行錯誤和異常；l 將日志簽名后發(fā)送到日志審計系統(tǒng)。5.4.6 統(tǒng)計功能用戶注冊系統(tǒng)操作員可以在管理界面上對系

54、統(tǒng)中現(xiàn)有的用戶與證書信息進行分類統(tǒng)計。5.4.7 管理員管理其功能RA管理員與操作員的發(fā)放，查詢，廢除等。RA管理員支持RSA、ECC兩種密鑰格式，具體格式在系統(tǒng)部署時指定。5.4.8 “應需而變” 的RA系統(tǒng)設計本方案設計中使用的RA系統(tǒng)具有如下特點：l 充分的用戶化定制開發(fā)能力：根據(jù)項目建設需求和對今后應用前景的分析，本方案提供的RA系統(tǒng)具有強大的客戶化定制開發(fā)能力，雖然客戶化定制開發(fā)能力不是一項具體的業(yè)務功能，但對于用戶來說，RA系統(tǒng)能否快速的適應用戶的業(yè)務變化、能否顯著的縮短建設周期，將是決定業(yè)務成敗的關鍵；l 強大的RA管理功能：包括信息統(tǒng)計、機構管理、人員管理功能等； l 對物理分

55、級和邏輯分級的靈活支持：可以支持多級的物理RA機構，在每個物理RA機構內(nèi)部，又可以支持多級的邏輯RA機構。l 安裝和部署過程的簡化：全部安裝自動進行，不需要人工干預；部署過程更加簡單、安全；本方案中的RA系統(tǒng)架構設計充分考慮RA中心多樣化的定制建設需求，從以下幾個方面實現(xiàn)“應需而變”的目標：l 業(yè)務流程定義：RA系統(tǒng)的業(yè)務流程是完全通過配置文件進行定義的，在用戶業(yè)務流程發(fā)生變更的情況下，可以通過調(diào)整配置文件迅速的適應業(yè)務流程變更。如：證書的廢除原來可以直接執(zhí)行，現(xiàn)在需要改為申請>審核->執(zhí)行的過程，這可以非常簡單的通過修改兩個配置文件（證書狀態(tài)機配置文件和證書業(yè)務配置文件）來實現(xiàn)。

56、l 業(yè)務數(shù)據(jù)項定義：RA系統(tǒng)的業(yè)務數(shù)據(jù)項在只需要在系統(tǒng)的兩端進行定義，一個是最前端的頁面，另一個是最后端的數(shù)據(jù)庫。在業(yè)務數(shù)據(jù)項發(fā)生變化的情況下，只需要修改JSP頁面和數(shù)據(jù)庫字段，這類工作甚至系統(tǒng)管理員就可以完成。l 用戶界面定制：RA系統(tǒng)的用戶界面采用了商業(yè)化的成熟的WEB控件。用戶界面的布局、風格等可以通過少量的定制開發(fā)快速變更，迅速適應用戶要求。l 基本業(yè)務功能定制：RA系統(tǒng)的將基本業(yè)務功能分解為“原子業(yè)務”。通過組合這些“原子業(yè)務”可以快速實現(xiàn)新的基本業(yè)務，對于更特殊的業(yè)務也可以通過繼承、重載原有的“原子業(yè)務”或增加新的“原子業(yè)務”來實現(xiàn)。6 技術特色6.1 密碼技術PKI公開密鑰體系是國際公認的互聯(lián)網(wǎng)電子商務的安全認證機制，它是利用現(xiàn)代密碼學中的公鑰密碼技術在開放的Internet網(wǎng)絡環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務的統(tǒng)一技術框架。其目的是通過自動管理密鑰和證書，為用戶建立和維持一個令人信任的、安全的網(wǎng)絡運行環(huán)境，使數(shù)據(jù)在傳輸過程中不被非授權者偷看、不被非法篡改、不能否認，保障了