时间:2015-09-10 09:17 文章来源:http://www.lunwenbuluo.com 作者:王楠 点击次数:
【 摘 要 】 针对目前行业CA体系存在通用性差的缺陷,文章提出了建设统一、自主可控的行业CA规划,较好地解决了现有问题。
【 关键词 】 行业CA;自主可控;国产密码算法
【 Abstract 】 The present industrial CA architectures lack of universality. This paper proposes a schedule for constructing a united self-control industrial CA that can solve the present problem.
【 Keywords 】 industrial ca; self-control;domestic gryptographic algorithm
1 引言
近年来,以网上产品销售等为代表的互联网业务迅猛发展,行业用户迫切希望通过互联网办理更多的业务,这既可以改善行业用户体验,又能降低行业机构的运营成本。同时,数字证书是《电子签名法》要求的唯一具有与手写签名或者盖章具有同等法律效力的认证方式,是互联网上用于身份认证、加密传输的重要手段,可以保证行业相关业务的高效安全开展。但是,目前行业CA体系较为分散,仍存在不能互认互信、重复建设、规模化程度不高、不支持国产密码算法和行业用户体验差等突出问题,行业有必要建设统一、自主可控的行业CA,为行业提供数字证书服务,这将大大降低证书建设及使用成本,提升用户体验,降低行业CA运营风险。
2 统一、自主可控的CA体系建设
2.1 在技术体系建设方面,建设统一、自主可控的行业CA系统
一是系统建设方面,行业CA承建单位会同第三方CA服务机构,按照国家密码管理局、工信部等相关法律法规及技术规范的要求,为行业建立统一、自主可控的行业CA相关系统,独立的技术服务团队,向行业用户提供多种行业通用证书服务,包括个人证书、企业证书、代理机构接入证书、服务器证书、代码证书等,方便行业用户“一次申请、多处使用”,安全高效地开展互联网业务,提高市场运行效率,节约市场总体成本。
系统整体逻辑架构如图1所示。
(1)第三方CA服务机构:第三方CA服务机构构建统一、自主可控、支持国密的行业CA,主要实现对行业代理和使用机构证书的管理,同时支撑行业机构向行业用户提供数字证书及密钥的生命周期管理服务。系统包括KMC密钥管理系统、根CA系统 、运营CA系统和证书注册管理系统(中心RA、RA网关)、证书状态查询服务系统、目录服务管理系统(主LDAP、从LDAP)、CA运营管理系统及支撑系统运行的基础设施。整个系统采用分布式架构,可通过增加硬件的方式实现平滑扩容。行业CA公钥算法采用国密SM2算法,密钥长度256位;哈希算法采用SM3;对称加密算法采用SM4。
(2)行业机构:为了完成与第三方CA的对接,各行业机构构建RA注册管理系统及签名验签系统,实现证书签发及管理;各行业机构采用单向HTTPS协议实现与RA网关连接,所有的操作均需要行业机构进行签名,签名采用裸签方式。行业机构密钥存储需采用加密机或其他加密硬件设备方式存储。行业机构接入证书需向第三方CA服务机构提交申请,审核通过后由第三方CA机构进行发放;同时行业机构通过身份认证模块实现与公安部身份认证系统对接,以确认行业用户身份的真实性。
(3)证书用户:数字证书支持X509 V3格式,USBKey符合国家密码管理局相关规范;开发统一客户端,支持PC、移动终端,可实现多种浏览器、多种防病毒软件、多种操作系统的兼容;服务器证书、代码签名证书由第三CA的中心RA直接签发。
(4)行业CA系统灾备中心:在第三方CA服务机构的灾备中心建设一套行业CA系统,作为主中心的应用级热备中心,当主中心由于地震等灾难事件导致服务中断时,能够迅速切换到灾备中心,以保证数字证书业务的持续性。
二是网络建设方面,行业 CA服务系统与行业机构的信息系统之间通过专网或VPN实现互联互通,保障行业CA与机构系统的安全数据传输。
三是接口开发方面,完成《行业数字证书技术服务接口规范》的制定,用于支持行业机构作为证书代理机构的接入,第三方CA服务机构负责完成与代理机构之间进行系统对接和联调。同时第三方CA服务机构开发监控审计接口,行业CA承建单位利用该接口通过专网对第三方CA服务机构提供的数字证书服务进行监督和审计。
四是在证书介质方面,在国家密码管理局关于USBKey等证书介质的技术标准基础上,行业CA服务中心将协调第三方CA服务机构提供测试环境,行业机构可以利用第三方CA服务机构提供的测试环境进行兼容性等测试。
2.2 在运营体系建设方面,构建高效的运营团队,规范运营管理制度
一是在运营团队建设方面,由于CA服务的专业性很强,因此必须建立一支高水平的CA服务专业团队。为确保独立性,行业CA服务中心会同第三方CA服务机构,构建高效的系统运维团队,通过该专业化团队实现对行业CA系统的运维管理。
二是在运营管理制度建设方面,建立覆盖技术系统开发运维、市场接入测试、证书日常管理、密码日常管理等多个环节的完整流程,制定严格的管理制度,确保工作流程顺畅、责任边界清晰;同时制定完善的行业CA业务规则及指南、行业DN规范等行业CA技术标准及规范。
三是在市场服务方面,由于CA认证技术服务的对象各类经营机构,以及个人用户、机构用户等广大参与主体,服务对象多、需求类型广、协调难度大,行业CA承建单位需会同第三方CA服务机构,配备有经验的服务人员,协调内外部资源,及时响应行业机构需求。
四是在监督和审计方面,行业CA承建单位将对第三方CA服务机构的服务质量等进行监督、审计;在行业CA系统运营过程中,通过监控终端对系统运行进行监控,同时通过设立投诉受理热线,收集行业机构的意见及建议,及时对第三方CA服务机构的服务质量进行监督审计。
3 结束语
建设统一、自主可控、支持国密算法的行业CA体系,有效确保了行业互联网业务安全的开展,但如何实现行业快速拓展,需要与行业应用结合起来,需要基于行业CA在移动电子签名、移动电子签章、云时代身份真实确认、行业应用代码签名等领域进行业务拓展,丰富行业CA的应用场景,同时逐步解决行业CA推进过程中存在的终端兼容性、不同CA之间的互信等问题,从而支持行业业务快速发展,获得更大的经济效益和社会效益。
参考文献
[1] ShonHarris,CISSP All-in-one Exam Guide,Six Edition.清华大学出版社,2013年第六版.
[2] 刘平,崔久强等.GM/T0034-2014基于SM2密码算法的证书认证系统密码及其相关安全技术规范.国家密码管理局.
[3] Andrew Nash,WilliamDuane,Celia Joseph,张玉清,陈建奇,杨波.公钥基础设施(PKI)实现和管理电子安全.北京清华大学出版社,2002.
联系方式
随机阅读
热门排行