内部自建ca解决方案(含ecc

内部自建ca解决方案(含ecc内容摘要：

人假冒，因为如果 A 是假的，那么其传递的信息的可靠性就无法保证。 其次，要保证 数据秘密性和完整性。 以上面的例子为例，如果 A 把信息传递给 B 的时候，如果有第三者 C 有可能通过窃听等手段获得该信息，那么，即使 A 可以信任 B，认为 B 的行为会是 A 所期望的，但是 A 并不能保证 C 的行为同样会是 A 所期望的，在此情况下，信息传递的风险将非常大。 因此，可以想像的结果是，由于担心 C 的窃听， A 不敢或者无法把信息传递给 B。 所谓的 “ 信任 ” 也失去了意义。 最后， “ 信任 ” 的一个关键因素：不可抵赖性。 在现实生活中，如果某人总是说话不算，事后赖帐，相信谁都不会 “ 信任 ” 他。 在信息系统中，也是如此，但是与现实生活中不同的是，信息系统中对不可抵赖性的要求更高，由于自建 CA解决方案 13 参与信息交换的各方的不确定性，所造成的损失难以估量，因此，对不可抵赖性要求从 “ 事后 ” 提前到了 “ 事先 ” ，也就是说，在行为发生前，就必需对该行为的不可抵赖性作出约束。 对信息系统中所采用的相关技术，可以由下表来作个比较： 身份认证可靠性 秘密性和完整性 不 可抵赖性 用户名 /口令 低 无 低 生物特征识别（如指纹，虹膜等） 中～高（取决于现有技术水平） 无 中～高（取决于现有技术水平） 动态口令 高 无 中 PKI 高 高 高 图表 31相关技术比较表 从上面的对比可以看出， PKI 技术在解决信息系统安全中有不可替代的优势。 它不仅仅是一个简单的身份认证系统，事实上，它可以作为提供统一信任管理服务的有效平台，在系统与系统、用户与系统、用户与用户之间建立起一种信任关系 ，从而保证了系统的安全性，这种信任关系不是只通过身份认证就能够实现的，它包含了更加丰富的内容，如数字签名、信息加解密等。 PKI 体系不仅仅为建立这种信任关系提供了一个基础设施，其建立信任关系的最终目的就是为了通过这种信任关系保证应用系统安全。 在本方案设计的建行认证中心（ CA）系统将基于 PKI 技术进行合理的定制优化与拓展，使其最大限度的符合建设银行信息系统中对安全应用的需求。 PKI 系统基本组成 根据 PKI 体系架构设计，在通常情况下的 PKI 数字认证系统建设由密钥管理中心 KMC、证书认证中心（ CA）、证书注册 审核中心（ RA）、证书 /CRL自建 CA解决方案 14 发布及查询系统以及和应用系统间的接口五部分组成，其功能结构如下图所示： 认证机构CA密钥管理中心 KMC应用接口注册机构RA发布系统证书发布密钥运算 证 书操作获取证书 图表 32 格尔数字认证中心功能结构 1． 密钥管理中心（ KMC）：是公钥基础设施中的一个重要组成部分，负责为 CA 系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务，以解决分布式企业应用环境中大规模密码技术应用所带来的密钥管理问题。 2． 认证中心（ CA）系统： CA 认证中心是 PKI 公钥基础设施的核心，它主要完成生成 /签 发证书、生成 /签发证书撤消列表（ CRL）、发布证书和 CRL 到目录服务器、维护证书数据库和审计日志库等功能。 3． 注册中心（ RA）系统： RA 注册中心是数字证书的申请、审核和注册的机构。 它是 CA 认证中心的延伸，在逻辑上 RA 和 CA 是一个整体，主要 负责提供证书注册、审核以及发证功能。 4． 证书发布与查询服务系统：证书发布与查询系统主要提供 LDAP服务、OCSP 服务和注册服务。 LDAP 提供证书和 CRL 的目录浏览服务；自建 CA解决方案 15 OCSP 提供证书状态在线查询服务；注册服务为用户提供在线注册的功能。 5． 系统应用接口：系统应用接口为外界提供使用 PKI 安全服务的入口。 系统应用接口一般采用 API、 JavaBean、 COM 等多种形式。 以上五部分之间的配合协作，对外提供 PKI 信任基础设施的安全服务。 PKI 信任体系的建立 PKI 体系的建设是一个大型系统工程，可根据实际的建设模式定位为多级的信任模式，并根据 PKI 体系的基本组成部分进行具体的设计实现，下图的CA 信任体系描述了 PKI 安全体系的分布式结构，具体结构形式如图所示。 二级 CA三级 CA 三级 CA局域网/专网/I nt er„受理点LRA „RA 中心局域网/专网/I nt er受理点LRA离线根 CA 图表 33 CA 信任体系结构 根据上 图中描述的信任体系结构， PKI 系统建设可分为如下几个部分来进行： CA 证书签发管理机构设置 CA 认证机构是数字认证中心安全体系的核心，对于一个大型的分布式企自建 CA解决方案 16 业应用系统，需要根据应用系统的分布情况和组织结构设立多级 CA 机构，包括根 CA 和各下级 CA。 根 CA 是整个 CA 体系的信任源，负责整个 CA 体系的管理，签发并管理下级 CA 证书。 从安全角度出发，根 CA 一般采用离线工作方式。 根以下的其它各级 CA 负责本辖区的安全，为本辖区用户和下级 CA 签发证书，并管理所发证书。 理论上 CA 体系的层数可以没有限制的，考虑到整个体系的信 任强度，在实际建设中，一般都采用两级 CA 结构。 RA 注册审核机构设置 从广义上讲， RA 是 CA 的一个组成部分，主要负责数字证书的申请、审核和注册。 除了根 CA 以外，每一个 CA 机构都包括一个 RA 机构，负责本级CA 的证书申请、审核工作。 RA 机构的设置也可根据企业行政管理机构的设立 /划分来进行，一个 RA中心系统下可设立多级下属 RA 中心或业务受理点 LRA。 受理点 LRA 是指本地的证书注册审核机构，它与上级 RA 中心共同组成证书申请、审核、注册系统的整体。 LRA 面向最终用户，负责对用户提交的申请资料进行录入、审核和证书制 作。 KMC 密钥管理中心的建设 密钥管理中心（ KMC）：密钥管理中心向 CA 服务提供相关密钥服务，如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等。 一般来说，每一个 CA 中心都需要有一个 KMC 负责该 CA 区域内的密钥自建 CA解决方案 17 管理任务。 KMC 可以根据应用所需 PKI 规模的大小灵活设置，既可以建立单独的 KMC，也可以采用镶嵌式 KMC，让 KMC 模块直接运行在 CA 服务器上。 证书发布与查询系统的建设 发布与查询系统是数字认证中心安全体系中的一个重要组成部分。 它由用于发布数字证书和 CRL 的证书发布系统、在线证书状态查 询系统（ OCSP）。 证书和 CRL 采用标准的 LDAP 协议发布到 LDAP 服务器上，应用程序可以通过发布系统发布的信息验证用户证书的合法性； OCSP 提供证书状态的实时在线查询功能。 发布系统一般要支持层次化分布式结构，使其具有很好的扩展性、灵活性和高性能，可以为企业大型应用系统提供方便的证书服务，能够满足大型应用系统的安全需求。 系统安全管理建设 PKI 安全体系建设的目的是为应用系统提供安全保障，其本身的安全性是系统成功运行的保障。 因此，必须建立完善的管理制度，以保证整个 PKI 体系在运营过程中正常运行。 PKI 运营 管理建设的主要内容包括：  人员管理规范：根据系统的需要，划分角色，配置人员，设置权限，制定相应的人员管理制度和管理策略，保证人员管理的安全性。  CA 运营管理规范：主要包括系统操作、安全策略、授权管理、证书管理、用户管理等各个方面的规范化、制度化。  应急管理规范：解决 PKI安全体系在正常工作中发生的各类异常情况、安全事件、安全事故。 主要包括信息系统应急方案、电力系统故障、消防系统应急方案、病毒应急方案、系统备份应急方案、人员异动情况应急方案、安全事故处理方法、安全应急事件及事故处理的程序等自建 CA解决方案 18 等。  机房的安全建设 ：全面规划机房，针对不同安全级别划分安全区域，建立完善的机房管理制度。  标准化建设：包括系统建设标准化、系统管理标准化、运营管理标准化等等。 通过建立完善的管理制度和标准化建设，为 PKI 安全体系创造一个安全可靠的运行环境，从管理上和技术上全面地保证系统的正常运营。 4 PKI CA 系统设计 总体 建设 目标 本次 自建 CA 建设的总体目标是： 采用符合国际标准的公钥基础设施 PKI技术来实现网上的身份认证，确保通信的保密性和交易数据的完整性及交易的不可否认性，以数字证书为媒介，通过使用先进的数字签名、 SSL 安全传输协议等 安全技术为 业务 平台 提供一套功能完善、安全、可靠的应用安全保障体系，保证网上业务的正常交易。 本次项目中应本着满足现有 用户规模 ，但同时应在产品选择中充分考虑业务需求和安全需求的不断增长，提出 CA 产品的扩容和性能扩展的解决方案。 根据现有物理安全设备如 防火墙、入侵检测等产品为基础构架完整的网络层安全防御体系，保 障 设备和操作系统的整体安全。 采用安全管理与审计系统来实现业务系统的日常运行监控、管理与审计，提高事故处理响应速度，提高业务服务水平，提升客户满意度。 自建 CA解决方案 19 设计原则 本项目的规模和复杂程度对项目建设提出了很 高的要求，系统建设应遵循以下原则和建设要求： 1）政策性原则。 在系统设计实现中要充分体现我国现行的密码管理政策，确保相关密码设备和密钥可管可控。 2）安全性原则。 配制完善的安全技术和管理系统，采用自主研发的密码产品，设置可靠的网络安全保护系统，建造安全的运行环境。 系统自身要有充分的安全性和稳定可靠性。 设计的密码产品选用通过国密局技术鉴定的产品。 3）先进性原则。 采用先进技术，紧跟国际前沿技术，可以同时支持 RSA、EC 两种密钥格式。 数据管理系统能满足高速度、大容量的要求。 4）继承与发展原则。 利用原有系统形成 的数据，通过数据格式转换实现原有成果的利用，减少重复劳动，实现与现有系统的平滑过渡。 5）标准化原则。 安全保密系统的设计符合国家有关政策和安全保密标准。 6）可扩展性原则。 系统设计具有很好的扩展性，在考虑到业务量的大小、能满足用户的并发需求下，系统规模应具有易扩展性。 系统应能够在不影响现有业务的情况下，一旦需要时可以平滑地升级过渡到新（版本）系统。 7）实用性原则。 充分考虑系统复杂的特点，保证系统安全有效的运行、数据有效的保护、设计功能可以充分的实现、操作方便等。 8）可靠性原则。 在硬件和系统软件选型配制上 充分考虑到系统可靠性的需求，在关键部分采用“双机热备”系统和磁盘镜像技术，保证系统得不间断运行和在线故障修复，在线系统升级。 总体安全框架设计 按照需求分析的要求，我们可以按照层次对安全体系建设做如下划分： 1. 业务层安全 自建 CA解决方案 20 通过安全接入通道提供的用户身份信息，结合客户管理系统，实现业务系统的访问控制，实现业务层的安全。 2. 应用层安全  证书认证系统 CA 提供核心的身份认证系统部分，通过数字证书实现用户物理身份与数字身份的绑定  证书注册系统 RA 提供客户身份信息的管理，提供灵活的、完善的、可定制的证书管理功能  SSL 安全通道接入 (SSL 安全网关 ) 保护用户数据能够通过互联网安全的传输，并实现用户身份的确认及SSL 安全接入的访问控制  数字签名及验证系统 业务系统通过调用数字签名验证接口，实现用户身份确认、保护数据完整性、保存交易凭据以实现事后审计及责任认定 3. 网络层安全  通过防火墙、入侵检测系统等实现网络层的访问控制  通过主机系统加固实现主机系统的安全  通过采用负载均衡设备实现业务系统和安全接入系统的高可用性和较高的性能 4. 物理层安全  通过门禁系统、监控系统等防止未授权人员对物理设备、机房的访问 5. 系统安全管理建设 PKI 安全 体系建设的目的是为应用系统提供安全保障，其本身的安全性是系统成功运行的保障。 因此，必须建立完善的管理制度，以保证整个 PKI 体系自建 CA解决方案 21 在运营过程中正常运行。 综上，整体 CA 系统 的分层逻辑框架图如下： 图表 1 CA 系统 建设分层逻辑 结构 根据上面的证书安全应用平台建设分层逻辑结构及 PKI。