安全方案(4)

其所发证书和证书吊销列表CRL。根据华润的管理特点，对于本系统，简单的根据应用划分信任体系往往不足以满足认证的各种需要，有时需要根据地域的不同，所属利润中心的不同划分信任关系，因此在本方案中我们设计按照用户地域或利润中心划分的二级CA以适应各种认证需要。

信任体系的设计需要根据华润资金管理业务发展的需要适时进行重新规划和调整，这就对CA系统或软件提出了很高的要求，必须支持包括平面、树状、林状在内的多种信任体系结构，能够在不中断运营的情况下，对信任体系进行包括合并、拆分、删除、增加在内的各种操作，并且不以部署新的系统或增加license作为代价。

? 建设模式规划

目前CA的建设模式主要包括三类：

? 自建模式：由华润集团自行建设并运营、维护CA认证中心，采用该模

式时，CA的建设又可分为集团总部统一建设和各资金中心分别建设两种，同时应充分考虑RA的部署方式和管理方式；

? 第三方模式：采用对立于华润集团和银行的拥有国家许可运营资质的第

三方CA提供的电子认证服务；

? 托管模式：即SAAS模式，华润集团并不购买任何CA系统或平台，仅采

用其他运营机构提供的CA软件托管服务，完全拥有CA软件的管理权和使用权，但并不拥有软件自身。

对于上述三类建设模式，华润集团应根据资金管理系统的业务特点，从CA建设周期、建设成本、运营成本、管理成本、管理难度、应用灵活性、法律有效性等多个环节综合评估，选择最佳建设模式。

? 管理制度规划

对于CA认证中心涉及到多种工作岗位和工作职责，包括CA管理员、RA管

理员、秘钥管理员、数据库管理员、系统管理员、网络管理员、安全管理员、鉴证人员、证书使用人员等，华润集团应根据资金管理系统的业务特点对不同人员制定完善的管理制度，针对CA的运营制定详细的操作、备案和审计制度。

? 认证规则规划

在本期项目中，华润集团需根据不同等级证书的信任程度制定详细的身份

认证规则，对证书审批的权利下放范围（总部统一审核或各资金中心独立审核等），员工身份鉴别验证的流程，证书更新和吊销的流程等统一规划，并且CA系统需满足华润集团对认证规则的规划，从技术上和管理上完善CA认证中心，使数字证书的信任等级得到有效保证。

? 证书应用规划

为使数字证书在资金管理系统中发挥安全和诚信基石的重要作用，华润集团应对证书应用做完整规划，包括：

? 对证书内容的规划，使数字证书内容能够充分标识业务人员的真实身份； ? 身份认证方式的规划（SSL、接口实现等） ? 对证书验证方式的规划（OCSP、CRL）； ? 证书发布方式的规划（LDAP、HTTP、FTP）；

? 证书开发接口的定义（证书解析、证书验证、签名/验证、加密/解密）； ? 签名数据编码及格式的规划（二进制、BASE64、PKCS7） ? 签名内容的规划：对需要进行签名的数据内容进行选择和定义。 综上所述，华润集团资金管理系统CA规划过程中需要综合考虑如下几个方面：

一、 对华润集团资金管理系统PKI/CA体系整体规划，统一设计，分步实施，

建立基于PKI/CA技术的信息安全基础保障框架。

二、 建立完善的CA运营管理规划，创建符合资金管理系统自身业务特点

的信息安全管理制度和CA运营管理规范，从技术和管理两个角度提升资金管理系统的信息安全等级强度。

三、 建立适合多种应用和多种组织架构的矩阵式CA信任体系，使数字证

书应用在满足认证需求的同时，能够无缝扩展到下属机构和其他业务系统的各种应用中。

四、 在CA产品选型过程中充分考虑产品对多种信任体系、多种RA部署方

式和多种证书生命周期管理方式的支持及定制的灵活性。

2. CA功能需求

对于华润集团银企互联CA认证系统的功能主要包含如下方面：

? 证书签发

通过CA认证系统，能够申请、产生和分发数字证书，具有证书签发功能。用户访问CA认证系统，提交证书申请请求，申请数字证书；RA管理员访问管理员站点，审查和批准用户的证书申请请求；CA认证中心根据RA管理员的批准，签发用户证书，并将数字证书发布到目录服务器中。用户CA认证系统，获取签发的证书。

? 证书生命周期管理

通过CA认证系统，可以实现证书的生命周期管理，包括：

? 证书申请 最终用户使用浏览器，访问CA认证系统，可以进行证书申请，在

线提交证书申请请求；

? 证书批准 管理员登录管理员站点，完成证书批准功能，可以查看和审批最

终用户的证书申请请求；

? 证书查询 最终用户可以通过CA认证系统，查询自己或别人的数字证书； ? 证书下载 通过CA认证系统，可以下载签发的数字证书；

? 证书吊销 最终用户在使用证书期间，有可能会出现一些问题，如：证书丢

失、忘记密码等，最终用户就需要将原证书吊销。用户吊销证书时，可以直接访问CA认证系统，在线的向CA提交证书吊销请求，CA认证系统根据用户的选择，自动吊销用户的证书，并将吊销的证书添加到证书吊销列表（CRL）中，按照证书吊销列表的发布周期进行发布；

? 证书更新 在用户证书到期前，用户需要更新证书，用户访问CA认证系统，

查询用户的证书状态，对即将过期的用户证书进行更新。 ? CRL服务功能

CA认证系统支持证书黑名单列表（CRL）功能，能够配置指定RA的CRL下载地点及CRL发布时间。CA认证系统定时产生CRL列表，并将产生的CRL发布至Web层CRL服务模块，可以通过手工下载该CRL。

? 目录服务功能

CA认证系统支持目录服务，支持LDAP V3规范，CA认证系统在签发用户证书时或者对证书进行吊销处理时，会及时更新目录内容。证书目录服务的功能提供给用户进行证书查询的功能，用户可以通过电子邮件（Email）、用户名称（Common Name）、单位名称（Organization）和部门名称（OU）等字段查找CA认证系统签发的用户证书。 ? CA管理功能

CA认证系统具有完善的CA管理功能，包括：

管理员管理

? RA管理员管理，包括初始化RA管理员申请、增加RA管理员、删除RA

管理员；

? CA管理员管理，包括初始化CA管理员申请、后续CA管理员证书申请、

吊销CA管理员证书。

账号管理

? 个人账号管理，包括注册信息，证书信息等管理；

? RA账号管理，包括RA账号申请、批准、吊销、额外管理员证书申请等。

策略管理

? 证书策略配置管理，高度灵活和可扩展的配置CA所签发证书的有效期、

主题、扩展、版本、密钥长度、类型等方面；

? RA策略配置管理，包括语言、联系方法、证书类型、是否发布到LDAP

等；

? CA策略配置管理，包括证书DN重用性检查、CA别名设置等。 ? 日志与审计功能

系统应具有完善的日志与审计功能，可以查看和统计各种日志，包括： ? 统计各CA、RA账号证书颁发情况； ? 记录所有RA与CA的操作日志； ? 对所有操作人员的操作行为进行审计。

? CA密钥管理

系统支持CA密钥管理功能，包括： ? CA密钥产生和存储（软件与硬件）；

? CA证书（包括根CA和子CA）的产生和管理； ? CA密钥归档与备份。

CA系统除上述功能，还应支持多种模式的CRL发布模式，支持OCSP（可根据实际情况选择使用CRL验证或OCSP验证）模块、时间戳模块和KMC等模块，华润集团银企互联CA认证系统可根据实际需要决定是否部署上述模块。

对于华润集团银企互联CA认证系统，无论采取何种建设模式，都需要包含根CA中心、在线CA运营中心和RA中心三大部分： 1、 根CA中心设计（离线） 根CA中心的物理结构如下图所示：

根CA中心系统框架

如上图所示，根CA中心主要由管理终端、根CA离线密码机、密码卡组成： ? 根CA管理终端是根CA管理员进行CA操作的控制台。它通过交叉网线

直接于密码机相连，并通过telenet进行相应操作。

? 离线密码机是根CA中心的核心服务组件，所以子CA证书的签发、策略

的定制、交叉认证等功能都由根CA密码机实现。

? 加密卡用于产生、保存根CA证书和一级子CA证书的密钥，以及产生在

线二级子CA密钥对，并用根CA证书对离线一级子CA密钥进行签名，

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库安全方案(4)在线全文阅读。