上海格尔“一证通”技术解决方案.pptVIP

“一证通”技术解决方案 上海格尔软件股份有限公司 吴海明 技术背景（1/3） 信任平台的作用是签发各种数字证书 数字证书目的是为应用提供安全支撑 电子政务的应用对数字证书的格式、内容要求多样 技术背景（2/3） 数字证书在包含基本信息之外，还需要包含应用专用信息 工商：工商登记号 技监：企业登记号 税务：税号 …… 技术背景（3/3） 一证通的应用需求 基于数字证书如何实现跨行业的安全应用，是PKI安全应用领域的一个重要环节。 在电子政务的规划建设中，这是一个重要、迫切的需求。 解决方案 1 每次应用需求变化时，把原有的数字证书收上来，修改格式，增加新的应用信息，然后重新签发 在证书小批量应用时尚有可能，一旦证书大批量应用，该方案几乎不具备可行性 如何实现证书的更新、废除、冻结，以及CRL的管理？ …… 解决方案 2 为每个应用签发不同的数字证书 随着应用的数量的增加，用户手上不断增加的证书数量带来的管理和使用难度，将使证书的推广面临巨大困难 为满足大量应用（10种？100种？）对数字证书格式和内容的要求，CA中心的建设和运行成本必然上升 …… 一证通模式的提出 头痛医头，脚痛医脚 避免上面两种解决方案的复杂度，同时能很好的解决跨行业应用的通用性、管理的便捷性。 一证通是什么 一证通是一种模式，不对应具体的系统。 “一证通”模式是在用户身份证书和应用属性证书有效结合的基础上来实现证书跨业务应用的。 一证通实现原理 实体证书（身份证） 由CA中心签发和管理 包含证书所有者的基本信息，也仅仅包含基本信息 应用属性证书（护照，驾驶执照，通行证…） 由应用所有者通过ARA签发和管理，应用证书在服务端发布 应用证书采用X509 V4标准，其信任标识是应用所有者对其的签名。 应用证书中保存了用户在某一（组）应用中所需要的具体应用特定信息，应用所有者可以自行定义其中的内容。 每一个用户对应某一（组）应用拥有一张应用证书。 实体证书和应用属性证书之间是1:N的关系 一证通实现原理 一证通优点 整体结构清晰、简洁； CA中心拥有对实体证书（用户身份认证）的完整的控制权，可以自行完成对实体证书的推广工作； 应用证书的引入，降低了应用和证书实体的耦合度；应用证书在服务端发布，可方便应用所有者增加或修改应用属性； 对应用证书的管理模式可以延续PKI/CA的标准管理模式，其运行模式安全、简单、通用； 可以平滑地实现跨业务域的信任体系，把信任体系扩展到不同行业和不同应用之间； 一证通的应用如何实现 通过统一信任平台（PKI/CA系统）和各个行业的属性服务系统的统一规划部署来实现基于一证通的应用。 一证通跨行业的应用场景 一证通跨区域的应用 条块分割，信息孤岛 证书的互联互通 桥CA 树状 认证（统一根CA） 网状认证（交叉认证） 信任列表 一证通跨区域的应用场景 一证通体系结构 小结(1/2) “一证通”应用模式将用户的应用属性从用户证书中分离出来，针对不同要求的应用为用户签发应用证书，实现利用一张用户证书进入不同应用的全网统一认证模式。 应用证书的应用，一方面没有为证书用户带来额外的操作，另一方面也没有为应用系统带来额外的变动。 小结(2/2) 方案解决了跨部门、跨应用发证所带来的各种问题，有效的保证了整个CA体系结构的合理性和简洁性。 它提供了一种跨行业、跨区域安全应用模式。 “一证通”模式为CA中心的运营模式、收费管理提供很好的技术支撑，尤其是在应用数量不断增长的情况下。 谢谢！ WWW.KOAL.COM WHM@KOAL.COM * 应用对数字证书的格式和内容的需求多种多样，更重要的是这些需求不论从理论上还是从实践中，都是不可能全部预见的！ 行业用户A （工商RA） 行业用户B （税务RA） 行业B 应用系统 行业A 应用系统 行业应用 数字证书 ？ CA中心 行业用户C （技监RA） 行业C 应用系统 ？ 数字证书是为应用服务的，但是包含应用专用信息的数字证书不可避免失去了它最重要的属性：通用性 行业用户A （工商ARA） 行业用户B （税务ARA） 应用系统B 应用系统A 实体证书 CA中心 RA 应用证书B 应用证书A 用户 但他们只解决了证书的信任问题，没有解决证书的应用问题 *