CA證書(shū)管理系統(tǒng)技術(shù)白皮書(shū)

1、CA證書(shū)管理系統(tǒng)技術(shù)日皮書(shū)第1章前舌隨著國(guó)內(nèi)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用戶群體的急劇增加，在中國(guó)開(kāi)展大規(guī)模電子政務(wù)和電子商務(wù)應(yīng)用和服務(wù)將會(huì)成為社會(huì)的潮流，而如何保證網(wǎng)上電子政務(wù)和電子商務(wù)的安全性將會(huì)成為制約其發(fā)展的關(guān)鍵技術(shù)問(wèn)題。Internet給人們帶來(lái)方便的同時(shí)，也帶來(lái)了安全問(wèn)題，安全問(wèn)題是應(yīng)用網(wǎng)絡(luò)技術(shù)最擔(dān)心的問(wèn)題，而如何保障電子證書(shū)和電子商務(wù)活動(dòng)的安全，將一直是核心研究領(lǐng)域。目前，保障電子商務(wù)安全比較成熟的技術(shù)方案是采用PKI認(rèn)證框架體系，通過(guò)使用數(shù)字證書(shū)和加密、數(shù)字簽名技術(shù)實(shí)現(xiàn)交易雙方身份的確認(rèn)和信息的加密傳送。加密技術(shù)中的公開(kāi)鑰加密技術(shù)最好地解決了密鑰的管理和分發(fā)問(wèn)題。而證書(shū)中心機(jī)構(gòu)就是解決公鑰

2、體系中公鑰的合法性認(rèn)證問(wèn)題。PKI/CA標(biāo)準(zhǔn)與協(xié)議的開(kāi)發(fā)迄今已有15年的歷史，目前的PKI/CA已完全可以向企業(yè)網(wǎng)絡(luò)提供有效的安全保障。PKI/CA是一個(gè)以被廣泛認(rèn)可的一種成熟的安全整體解決方案。第2章產(chǎn)品介紹2.1產(chǎn)品概述SSPC建企業(yè)級(jí)的CA系統(tǒng)，相對(duì)公共CA而言，企業(yè)證書(shū)管理系統(tǒng)適合丁一個(gè)機(jī)構(gòu)、一個(gè)企業(yè)的內(nèi)部業(yè)務(wù)系統(tǒng)。企業(yè)級(jí)CA的用戶之間的信任關(guān)系不是依賴丁CA的可信性，而是依賴丁技術(shù)以外的行政、上下級(jí)等關(guān)系。CA系統(tǒng)的主要目的是為這些用戶在網(wǎng)絡(luò)上進(jìn)行業(yè)務(wù)活動(dòng)時(shí)，提供更安全的保障。所以，我們認(rèn)為企業(yè)級(jí)CA與公共CA的最大不同點(diǎn)是如何與業(yè)務(wù)系統(tǒng)有機(jī)地結(jié)合，保證業(yè)務(wù)系統(tǒng)即安全乂方便易用。SS

3、PCA是一個(gè)與安全服務(wù)平臺(tái)結(jié)合的企業(yè)CA如果需要獨(dú)立的CA系統(tǒng)，建議購(gòu)買(mǎi)CA。由丁不同機(jī)構(gòu)、企業(yè)的業(yè)務(wù)應(yīng)用的多樣性，導(dǎo)致企業(yè)證書(shū)管理系統(tǒng)需要定制或客戶化以滿足客戶的需求。企業(yè)級(jí)證書(shū)管理系統(tǒng)需要很好的結(jié)構(gòu)和擴(kuò)展性，可以方便地構(gòu)建和實(shí)施不同需求的證書(shū)管理系統(tǒng)系統(tǒng)。這就是SSPC腿循的產(chǎn)品策略。SSPCAt一個(gè)穩(wěn)定的核心，一個(gè)良好的結(jié)構(gòu)。提供多種接口，可以方便地?cái)U(kuò)展規(guī)模和功能。包括證書(shū)申請(qǐng)方式（手工、批量、在線、離線）、增加各種證書(shū)保存介質(zhì)（IC卡、USBkey、軟盤(pán)、文件）、選擇證書(shū)發(fā)布方式（人工、WEB目錄服務(wù)器、郵件）、支持多種密鑰生成方式（CA生成、客戶生成）等。2.2證書(shū)管理系統(tǒng)體系SSP

4、C觥書(shū)管理系統(tǒng)可以做為獨(dú)立的CA系統(tǒng)運(yùn)行，也可以做為其它CA系統(tǒng)的子CA運(yùn)行。如果做為獨(dú)立的CA系統(tǒng)，它有自己的根證書(shū)，并可以建立下級(jí)子CA如果做為其它CA系統(tǒng)的子CA則需要由其它CA為其簽發(fā)一個(gè)CA證書(shū)。通過(guò)操作終端申請(qǐng)、注銷和管理證書(shū)。-6-其它CACA操作終端操作終端2.3證書(shū)管理系統(tǒng)組成SSPCAS統(tǒng)由CA服務(wù)器、目錄服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、硬件密碼機(jī)、操作終端組成。CA服務(wù)器負(fù)責(zé)證書(shū)的申請(qǐng)、簽發(fā)、作廢和管理。數(shù)據(jù)庫(kù)服務(wù)器存放CA的數(shù)據(jù)、請(qǐng)求數(shù)據(jù)、證書(shū)和黑名單數(shù)據(jù)。操作終端提供證書(shū)申請(qǐng)的管理和日常操作，目錄服務(wù)器用丁發(fā)布證書(shū)和黑名單。CA服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器加密機(jī)/加密卡操作終端小型的企業(yè)

5、證書(shū)管理系統(tǒng)CA服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器加密機(jī)/加密卡操作終端目錄服務(wù)器防火墻防火墻路由器互聯(lián)網(wǎng)內(nèi)部網(wǎng)典型的企業(yè)證書(shū)管理系統(tǒng)CA服務(wù)器CA服務(wù)器負(fù)責(zé)接收證書(shū)申請(qǐng)、證書(shū)作廢、證書(shū)恢復(fù)等請(qǐng)求，進(jìn)行處理，并回復(fù)相應(yīng)的處理信息。數(shù)據(jù)庫(kù)服務(wù)器存放所有的用戶信息和證書(shū)信息。包括用戶狀態(tài)信息、證書(shū)信息、黑名單信息、CA和操作員信息以及日志信息等。目錄服務(wù)器接收CA服務(wù)器的證書(shū)和CRL信息，利用LDAP目錄服務(wù)器發(fā)布證書(shū)和CRL操作終端操作員通過(guò)管理終端進(jìn)行證書(shū)的申請(qǐng)、作廢、查詢、統(tǒng)計(jì)、設(shè)置等等工作。硬件密碼機(jī)/卡保存CA的根密鑰，對(duì)證書(shū)進(jìn)行簽名。2.4證書(shū)管理系統(tǒng)結(jié)構(gòu)SSPCAffi書(shū)管理系統(tǒng)主要包括2部分：CA

6、模塊HW接口加密機(jī)加密卡軟件DBP1C®口P7導(dǎo)出P12導(dǎo)出通訊接口P12模塊APPAPP文件方式批量發(fā)證目錄接口LDAPIC卡USBkey文件密鑰備份CAP12DB1. CA服務(wù)模塊，即CA服務(wù)器，獨(dú)立運(yùn)行。2. P12模塊，即操作終端，可以運(yùn)行在CA服務(wù)器上，也可以單獨(dú)運(yùn)行。SSPCAXJ二次開(kāi)發(fā)提供多個(gè)接口：1. HW接口：密碼設(shè)備接口2. 目錄服務(wù)器接口：可以支持各種LDAP服務(wù)器3. P10請(qǐng)求生成證書(shū)接口：將不同方式生成的P10證書(shū)請(qǐng)求發(fā)給CA服務(wù)器4. 導(dǎo)出P7證書(shū)接口：導(dǎo)出P7格式的證書(shū)。5. 導(dǎo)出P12證書(shū)接口：導(dǎo)出P12格式的證書(shū)，包含有私鑰6. 用戶密鑰備份接口

7、：可以備份系統(tǒng)生成的密鑰7. 文件方式批量發(fā)證接口：支持批量發(fā)證方式。SSPCA勺內(nèi)部接口用丁系統(tǒng)內(nèi)部：1. 數(shù)據(jù)庫(kù)接口：支持多種數(shù)據(jù)庫(kù)2. CA與P12之間的通訊接口：支持多操作終端和遠(yuǎn)程操作終端。2.5系統(tǒng)主要功能證書(shū)系統(tǒng)功能分為包括證書(shū)管理系統(tǒng)初始化、證書(shū)服務(wù)功能、證書(shū)管理功能、證書(shū)發(fā)布功能。系統(tǒng)初始化生成自簽根證書(shū)、配置證書(shū)中心安全策略等證書(shū)服務(wù)功能簽發(fā)證書(shū)、查詢證書(shū)、注銷證書(shū)、簽發(fā)黑名單、輸出證書(shū)、輸出黑名單、輸出根證書(shū)等證書(shū)管理功能生成證書(shū)申請(qǐng)、輸出證書(shū)、發(fā)布發(fā)布、證書(shū)申請(qǐng)查詢、安裝根證書(shū)、數(shù)據(jù)備份等證書(shū)發(fā)布功能將證書(shū)寫(xiě)入IC卡、USBkey、文件等。將證書(shū)發(fā)布到目錄服務(wù)器。2.6

8、主要流程不同的CA系統(tǒng)，其操作流程也不完全相同，本著服務(wù)業(yè)務(wù)、方便使用、易丁管理、確保安全的原則，設(shè)計(jì)各自的流程。不同的證書(shū)類型，流程也可能不同。-10-下面是證書(shū)申請(qǐng)和證書(shū)作廢兩個(gè)主要流程。證書(shū)申請(qǐng)流程1、證書(shū)申請(qǐng)a）證書(shū)申請(qǐng)方式一：人工錄入，由操作員輸入用戶信息，然后生成證書(shū)申請(qǐng)。b）證書(shū)申請(qǐng)方式二：申請(qǐng)文件，需要簽發(fā)證書(shū)的用戶自己生成PKCS#1胳式的證書(shū)申請(qǐng)，由操作員將此證書(shū)申請(qǐng)文件導(dǎo)入本系統(tǒng)。c）證書(shū)申請(qǐng)方式三：批量自動(dòng)，從目錄服務(wù)器或文件中讀取制定用戶信息，生成證書(shū)申請(qǐng)。d）證書(shū)申請(qǐng)方式死：瀏覽器申請(qǐng)，客戶自己從瀏覽器輸入用戶信息，生成證書(shū)申請(qǐng)。2、證書(shū)申請(qǐng)?zhí)峤唤oCA服務(wù)器3、證書(shū)

9、發(fā)布到目錄服務(wù)器、輸出到文件、或IC卡等其它介質(zhì)4、用戶通過(guò)瀏覽器下載證書(shū)、或人工取得證書(shū)介質(zhì)5、安裝證書(shū)，使用證書(shū)證書(shū)注銷申請(qǐng)流程1、操作員在已有的證書(shū)中選擇需要注銷的用戶，根據(jù)此信息生成證書(shū)注銷申請(qǐng)2、由CA服務(wù)器簽發(fā)證書(shū)注銷申請(qǐng)3、將證書(shū)注銷列表（黑名單）輸出到目錄服務(wù)器或文件。4、用戶下載使用2.7產(chǎn)品特性證書(shū)標(biāo)準(zhǔn)符合X.509V3標(biāo)準(zhǔn)。證書(shū)類型證書(shū)管理系統(tǒng)自用的證書(shū)：自簽的CA證書(shū)操作員證書(shū)用戶證書(shū)：SSL客戶證書(shū)（支持IE,Netscape等）.SSL服務(wù)器證書(shū)（支持IIS,Domino,Appache,Enterpris等）S/MIME證書(shū)（支持Outlook等）代碼簽名證書(shū)證書(shū)

10、格式支持PKCS7PKCS頑書(shū)格式，支持PKCS1況書(shū)申請(qǐng)。支持DERCERPEM證書(shū)編碼。支持硬件支持硬件加密機(jī)和加密卡。根RSA密鑰長(zhǎng)度支持1024和2048位。支持算法類型RS/W法、DE齡法、Triple-DES算法、IDEA算法、SDBI算法證書(shū)載體文件、IC卡、USBKe證書(shū)發(fā)布方式離線客戶證書(shū)密鑰長(zhǎng)度RS隔鑰長(zhǎng)度支持512、1024、2048位密鑰生成方式支持客戶生成RS隔鑰和代用戶生成RSA密鑰證書(shū)申請(qǐng)方式-12-支持單個(gè)生成證書(shū)和批量生成證書(shū)協(xié)議類型支持Ldap協(xié)議、SSL安全套接字協(xié)議。支持Netscape目錄服務(wù)器數(shù)據(jù)庫(kù)類型支持ODBC勺數(shù)據(jù)庫(kù)管理系統(tǒng)。SQLServer

11、。運(yùn)行環(huán)境CA服務(wù)器：Window2000操作終端：WindowNTWindow20002.8適用客戶適用丁金融、證券、保險(xiǎn)、稅務(wù)、以及其它企業(yè)和政府機(jī)關(guān)建立自己的數(shù)字證書(shū)管理系統(tǒng)，為內(nèi)部員工、客戶、合作伙伴發(fā)放數(shù)字證書(shū)，證書(shū)數(shù)量在10萬(wàn)份以下。具體應(yīng)用如下：(1) 為企業(yè)內(nèi)部OA系統(tǒng)的用戶發(fā)放數(shù)字證書(shū)；該證書(shū)可用丁生成帶加密和簽名的安全電子郵件、用丁公文的安全存儲(chǔ)和傳遞、用丁各種辦公應(yīng)用系統(tǒng)中的身份認(rèn)證和訪問(wèn)控制。(2) 為銀行、證券等金融機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)的管理和操作人員發(fā)放證書(shū)，保證業(yè)務(wù)系統(tǒng)的身份認(rèn)證、數(shù)據(jù)安全、傳輸安全和防抵賴。(3) 為銀行、證券等金融機(jī)構(gòu)內(nèi)部OA系統(tǒng)的用戶發(fā)放數(shù)字證書(shū)；

12、該證書(shū)可用丁生成帶加密和簽名的安全電子郵件、用丁公文的安全存儲(chǔ)和傳遞、用丁各種辦公應(yīng)用系統(tǒng)中的身份認(rèn)證和訪問(wèn)控制。(4) 為網(wǎng)上銀行、網(wǎng)上證券的用戶發(fā)放數(shù)字證書(shū)，保證網(wǎng)上交易的安全。(5) 為企業(yè)與其供應(yīng)鏈的上下級(jí)開(kāi)展BtoB電子商務(wù)發(fā)放用丁身份認(rèn)證的數(shù)字證書(shū)。(6) 為稅務(wù)部門(mén)開(kāi)展電子報(bào)稅業(yè)務(wù)提供證書(shū)管理功能，為納稅企業(yè)和個(gè)人發(fā)放數(shù)字證書(shū)，保證網(wǎng)上報(bào)稅業(yè)務(wù)的安全。2.9產(chǎn)品賣(mài)點(diǎn)(1) 使用方便，易丁管理，特別適用丁用戶群較為封閉、信任關(guān)系比較可靠的企業(yè)環(huán)境。數(shù)字證書(shū)是各實(shí)體在網(wǎng)上進(jìn)行信息交流和商務(wù)交易活動(dòng)的身份證明，身份認(rèn)證的可靠性取決丁數(shù)字證書(shū)的可靠性；數(shù)字證書(shū)是由CA簽發(fā)的，在一個(gè)具有開(kāi)

13、放用戶群的環(huán)境中，申請(qǐng)證書(shū)的用戶和CA之間沒(méi)有一個(gè)現(xiàn)成的信任關(guān)系，為了保證證書(shū)的可靠性，在CA給用戶發(fā)放數(shù)字證書(shū)之前要經(jīng)過(guò)一個(gè)比較復(fù)雜的認(rèn)證過(guò)程，所以證書(shū)的申請(qǐng)和發(fā)放過(guò)程較為復(fù)雜；而在一個(gè)企業(yè)(或類似企業(yè))的環(huán)境中，用戶群較為封閉，企業(yè)中的證書(shū)用戶與CA(企業(yè))之間存在一種信任關(guān)系，因此可以簡(jiǎn)化證書(shū)的申請(qǐng)和發(fā)放過(guò)程，這樣，既可以通過(guò)使用數(shù)字證書(shū)提高系統(tǒng)的安全性，也不會(huì)給企業(yè)的員工和CA的管理者增加更多的負(fù)擔(dān)，方便企業(yè)PKI安全基礎(chǔ)設(shè)施的實(shí)施。SSPCAte夠很好地適應(yīng)企業(yè)的這種需求(2) 良好的擴(kuò)充性和開(kāi)發(fā)接口應(yīng)用軟件可以進(jìn)行必要的開(kāi)發(fā)，將證書(shū)管理系統(tǒng)和業(yè)務(wù)系統(tǒng)有機(jī)結(jié)合，方便適用和管理。(3)

14、 用戶數(shù)字證書(shū)的取得通?？梢杂袃煞N方式，一種是通過(guò)公共的CA中心或其他單位的CA中心取得證書(shū)，另一種是通過(guò)自建的CA系統(tǒng)取得證書(shū)。對(duì)丁企業(yè)級(jí)的用戶，我們認(rèn)為自建CA系統(tǒng)有如下優(yōu)勢(shì)：在管理方面：證書(shū)內(nèi)容-自己建設(shè)證書(shū)管理系統(tǒng)，可以根據(jù)業(yè)務(wù)需要，定義證書(shū)的內(nèi)容，靈活方便。申請(qǐng)流程-自己建設(shè)證書(shū)管理系統(tǒng)，可以根據(jù)業(yè)務(wù)需要，定義證書(shū)申請(qǐng)流程、審查標(biāo)準(zhǔn)和需要的材料。不同的證書(shū)，有不同的流程和標(biāo)準(zhǔn)。否則，必須符合其他認(rèn)證中心的要求和流程。-14-證書(shū)介質(zhì)-自己建設(shè)證書(shū)管理系統(tǒng)，可以根據(jù)需要確定不同證書(shū)的發(fā)放介質(zhì)：軟盤(pán)、IC卡或網(wǎng)上發(fā)布。應(yīng)用開(kāi)發(fā)的兼容性-開(kāi)發(fā)應(yīng)用系統(tǒng)時(shí)，可以只考慮業(yè)務(wù)，而不必考慮證書(shū)的限制

15、。因?yàn)樽约航ㄔO(shè)的證書(shū)系統(tǒng)可以調(diào)整。業(yè)務(wù)發(fā)展的適應(yīng)性-自己建設(shè)證書(shū)管理系統(tǒng)，隨著業(yè)務(wù)的發(fā)展，可以調(diào)整證書(shū)管理系統(tǒng)以適應(yīng)發(fā)展。使用其他CA中心，可能限制業(yè)務(wù)的發(fā)展。在法律方面：如果證書(shū)是其他CA中心發(fā)放的，法律問(wèn)題涉及到三方。而國(guó)家目前還沒(méi)有相應(yīng)的法律?？赡軐?dǎo)致比較多的糾紛。在效益方面：使用第三方的證書(shū)，每份證書(shū)必須向CA中心交費(fèi)。如果企業(yè)需要10000份數(shù)字證書(shū)，假設(shè)每年每個(gè)證書(shū)100元，一年就100萬(wàn)。每年需要交納證書(shū)費(fèi)用。而自己建設(shè)證書(shū)管理系統(tǒng)，成本是一次性的。以后，只有運(yùn)行費(fèi)。證書(shū)數(shù)越多，自己建設(shè)證書(shū)管理系統(tǒng)的成本越低。因此，我們建議企業(yè)建設(shè)自己的證書(shū)管理系統(tǒng)。2.10典型應(yīng)用廈門(mén)地稅網(wǎng)上報(bào)稅系統(tǒng)項(xiàng)目在網(wǎng)上開(kāi)展報(bào)稅業(yè)務(wù)，為網(wǎng)上納稅個(gè)人和企業(yè)發(fā)放數(shù)字證書(shū)，實(shí)現(xiàn)納稅