来源:中国电子政务网 更新时间:2012-04-15
总体设计: |
|
设计原则 |
1.安全可靠性 ·用国内具有自主知识产权的密码算法和加密设备; ·系统的运行和管理基于安全策略进行; ·程序之间的数据传递通过安全数据通道进行。
2.标准化 ·采用国密办批准的算法; ·PKI 中证书和黑名单文件遵循相应的国际标准;
3.先进性 ·及时采用国内最新研究成果 , 在满足当前业务的访问控制需求的同时,能够适应未来的技术发展趋势。
4. 实用性 ·PKI 系统的设计采用“集中式生产,分布式服务”的设计思想;
5. 可扩展性 ·PKI 采用分层结构,模块化设计; ·模块之间和本系统与外部系统之间通过标准接口交互。
6. 易操作性和易维护性 ·系统配置、管理,业务操作采用具有图形化界面的程序;
7. 兼容性 ·能够与主要的业务应用系统平台兼容,并具有与其他厂家 PKI 产品和访问控制产品的兼容能力
8. 经济性 ·充分考虑节省资金。 |
设计依据: |
系统使用的加解密、通信协议、数据定义和描述遵循相关的国际标准,并且符合国内有关规定,包括: ·国密办密码管理有关规定; ·国家保密局安全保密有关规定; ·《计算机信息系统安全保护等级划分标准》有关规定; ·《中华人民共和国计算机信息系统安全保护条例》有关规定; ·证书及证书撤消列表格式:符合 ITU-T Recommendation X.509 V4 ( 2001 )及 PKIX Certificate and CRL Profile ( IETF RFC 2459 或更新版); ·证书策略及证书实施框架:符合 PKIX Certificate Policy and Certification Practices Framework ; ·证书管理协议与消息格式:符合 Certificate Management Protocol ( CMP )( IETF RFC 2510 或更新版); ·在线证书状态查询:符合 On-line Certificate Status Protocol ( OCSP )( IETF RFC 2560 或更新版); ·密钥格式及保存方式:符合 PKCS #12 V1.0 ,存储在密码设备中; ·遵循其余相关国际标准和符合我国信息安全领域的技术标准 |
总体架构: |
整个内部网络应用从逻辑功能上来讲,自下而上划分为四个层次: 网络基础设施层、信息安全基础设施 层、 应用系统安全服务平台层、业务应用层,其逻辑结构如图 下所示:
|
|
|
其中,每个逻辑层次应实现的功能如下:
网络基础设施层: 主要为内部网络信息系统及其它运行管理系统提供一个安全可信的网络环境,是网站信息系统的最终信息承载者,位于整个分层体系结构的最底层。
信息安全基础设施层: 以便捷而灵活的方式完成内部网络应用需要的安全服务功能,包括数据机密性、完整性、身份认证、行为不可抵赖、有效授权等。
业务应用系统密码安全服务平台层: 在信息安全基础设施所提供信息安全服务的基础上,增加面向各种业务应用的信任与授权访问控制服务、私密性服务、防抵赖服务、完整性服务、责任界定审计服务等,为电子政务业务应用系统提供一个通用的、高性能安全服务平台。
业务应用层: 在业务应用系统安全服务平台的基础上,提供各种与业务相关的应用平台。 |
公钥基础设施 证书管理系统: |
建设目标: |
PKI 系统的建设目标是:在分布式网络环境中,利用公钥密码体制在身份认证、数字签名、密钥管理等多方面的优势,提供统一的身份认证、访问控制、数字签名、数据加解密、数据完整性保护、抗抵赖等安全机制,并保证不同安全管理域之间的互操作性和可扩展性。 |
组成和功能 : |
|
1.系统逻辑结构
整个 PKI 系统的逻辑结构图如下图所示 |
|
公钥基础设施 系统由四层组成:
Ⅰ层为证书签发及核心数据管理与备份层,位于系统最里层,由证书签发服务和密钥管理服务组成。该层是系统安全的核心部位。
Ⅱ层为管理层,由证书管理服务器、 RA 中心组成。它是系统运营的核心部位。
Ⅲ层为发布层,由证书 /CRL 发布目录服务器、证书状态实时查询服务器、 WWW 服务器组 成。该层是对外服务部位。
Ⅳ层为业务受理层,由业务受理点组成。该层提供对外证书业务受理服务。 |
2.功能描述 |
1) 证书签发服务
主要功能: ·接收证书管理服务器签发证书请求,签发数字证书。 ·支持虚拟 CA 、多级 CA ·签发 / 申请交叉认证证书。 ·签发 ARL 、 CRL ·CRL 支持增量 CRL ,分组 CRL 和限制入口数目的 CRL支持在线实时签发和离线批次签发
2)密钥管理服务
主要功能: ·批量产生密钥对 ·根据用户要求产生、备份、恢复密钥 ·实现密钥历史,密钥档案机制 ·支持产生多种算法、多种强度的密钥 ·对密钥申请者进行身份认证和权限鉴别
3 )证书管理服务
负责接收各证书申请、证书作废、证书下载等请求,进行相应的处理,然后回送处理结果。它与内部服务器相连,以保障其安全性。
主要功能: ·接收申请签发、撤销证书、密钥恢复的请求,传送给证书签名服务器制作证书 ·根据 CRL 发布政策,定时通知 CRL 服务器,时间可以根据策略调整 ·实现证书归档,证书检索,对证书存储系统进行维护 ·支持多签名服务器
4 )RA 服务
主要功能: ·证书申请、作废和下载请求 ·提供 RA 操作员远程登录进行操作管理的功能 ·支持证书介质的制作,包括批量制作
5 ) OCSP 服务
主要功能: ·接收证书状态信息,建立证书状态库 ·接收与响应客户关于状态实时查询请求 ·根据协议返回请求结果
6 ) 目录服务
主要功能: ·接收与管理证书签名服务器的证书、 CRL 数据 ·发布 CRL 和证书 |
|
1 ).功能完备 ·基本证书业务 ·支持多级 CA 、 虚拟 CA ·支持证书模板、双证书、汉字证书 ·支持交叉认证、支持密钥管理中心( KMC )
2 ) 安全性 ·通讯安全:采用安全通信协议。 ·数据安全:数据库、配置文件加密;提供集中的数据校验、备份及恢复的手段。 ·人员安全:主用户采用 M of N 验证机制;管理员采用双证书进行身份验证。 ·主机安全:分布式权限管理,管理员间权限分离,某一管理员只管理某一部分功能并受其他管理员监督;可接受主机列表控制。 ·完善的审计手段:系统提供对每一步操作及运行状态的记录和查询手段。 ·提供安全的证书归档及备份功能。
3 ) 兼容性 ·支持多操作系统: WINDOWS 、 Linux 、 UNIX 。 ·支持多种加密设备:软加密库、山大加密机等。 ·支持多种数据库: ORACLE 、 SQL SERVER 。 ·支持多种证书存储介质: IC 卡、文件、 USB 设备。
4 )灵活性 · 灵活的加密算法:国密办批准的加密算法及 RSA 、DSA 、DES 、3-DES 、CAST5 、IDEA 等。 ·灵活的系统配置 ·灵活的证书种类:个人证书、企业法人证书、站点证书、代码签名证书
5)互操作性 ·在设计和开发过程中完全遵循国际开放标准,所选择的加密模块也符合开 ·放标准。因此它能够很方便地与第三方产品进行集成、与其它系统互操作。
6) 可扩展性 作为建立信用的支撑平台, PKI 系统必须具有可扩展功能,随组织的发展而发展,同时,能够满足不断呈现的各类需求,实现与各类应用系统的整合和扩展。 安信天元 CA 在设计时充分考虑了以上现实情况: · 模块化设计,可替换、可重组的系统构架,支持与其它应用系统互操作; ·分布式、可拆装的系统模块; ·所有系统中只有核心服务器承担着真正的运行与管理任务,其它模块可随 ·组织的发展需要逐步挂接到系统中 ·通过提供 API 接口的手段为用户提供二次开发能力; ·支持虚拟 CA : 在设计的初期就考虑到了虚拟 CA 及以后的扩展功能,将虚拟 CA 集成到本系统中; ·支持多级 CA 及交叉认证:组织可根据需要建立无限制多级的 CA ,并通过交叉认证与外界建立广泛的联系; ·支持多级 RA 及多级审核:系统支持多级 RA ,组织可根据自身的特性建立不同的 RA 级别; 支持不同的审核路线及策略。 |