中国电信湖南电子商务CA安全认证中心系统和组网介绍.doc

中国电信湖南电子商务CA安全认证中心系统和组网介绍 界上最大的.交互式的,多媒体的 市场交易体系 目前,利用中国公众多媒体通 信网(台CHINANET)大规模地开 展电子商务应用,提供电子商务服 务已成为潮流所向,确保网上电子 商务安全性成为电子商务发展程度 的关键技术.电子商务的CA安垒 认证系统是电子商务的安垒基础结 构,CA中心为用户的公钥签发证 书,实现公钥的分发并证明其有效 性. 中国邮电电信总局授权成立了 湖南电子商务中心.作为电子商务 活动安全基础结构的电子商务认证 中心的IBMSET系统已开通,并 先后成功地采用CA系统实现了电 子银行,电子证券,费用代缴等业 务为了进一步完善电子商务安全 认证体系,使得湖南电子商务CA 认证中心具备暂时代为执行垒国 CTCA认证中心的职能,湖南电子 商务CA认证中心近期进行了扩 容.本文介绍了湖南电子商务CA 认证中心扩容的技术实施方案和网 络组织方案. . 28. ●●●____一——一 (1)电子商务CA认证体系功能 模型 中国电信总局电子商务总体技 术规范(报批稿)CA认证体系功能模 型队证系统 概述 湖南电子商务CA认证系统通 过了由国家密码委员会办公室信 息产业部科技司等相关部门联合组 织的鉴定,由湖南省邮电管理局电子 商务中心和信息产业鄣电信研究新 技术业务开发研究中心联合完全自 主开发,适用于大型网络环境和大 量用户使用环境具有以下特点: 证书,同时考虑兼容sSL,s/MIME 等协议可以发放SSL,S/MIME 等格式的证书该系统支持 Netscape和微软IE洲览器 3)系统可以针对不同类型的用 户,如企事业单位,服务提供商,服 务器,个人等发放不同安全级别,不 同用途的数字证书,满足网上各类 业务(包括支付类和非支付类)的安 全需求,并且可以用于政府上网工 程中的安全政务系统,保证网上公 文传送的安全性. 4)该系统可以保证网上电子商 务业务 未被窃听),数据的完整性(数据未 被篡改),身份认证和交易的不可抵 赖性等. 5)支持1024bit公钥证书的签 发. 6)系统采用分级结构,具有独 立的RA功能,所有的证书由根CA 签发,二级CA即RA中心履行本地 用户证书申请的受理,审核等功能, 这样有助于将审核授权与证书制作 管理指派给不同机构处理,能较好 地适应各种不同的需求 7)根据实际业务需求和地理情 况,该系统RA中心的结构可扩展 为多级,即可以进行多级业务受理, 本技术方案将其扩展为两级,分别 为省RA中心和地市级业务受理点, 履行本地用户证书申请的受理,审 核等职责 8)系统为客户提供两种黑名单 查询方式,即OCSP方式和CRL方 式,OCSP方式为用户提供实时的 证书状态查询服务,而CRL方式定 期为用户提供证书黑名单列表. 9)该系统采用”可信第三方方 式”,在用户的密钥管理上提供了密 钥托管,以适应国家对密钥托管方 面的政策.系统可根据用户需求,为 用户提供密钥恢复功能. 10)在证书的存放方面,所有的 系统证书都存放在加密机和加密卡 中,系统私钥不出加密设备,安全 强度高,不易泄露;用户证书和系 统操作员证书存放在卡中,目前使 用的是存储卡,一旦国家有经过鉴 定的CPU卡,则使用CPU卡存放 用户证书和操作员证书,实现用户 的私钥不出卡,保证应用的安全性. 11)系统根证书的生成需要三 个人同时使用自己身份1C卡,从而 保证系统根证书操作的安全强度. l2)为防止非授权用户操作CA 系统,在每一个操作终端上都有操 作员身份鉴别系统,对所有操作员 都通过使用证书卡来实现身份鉴别 和权限控制. 13)所有的证书卡都使用口令 保护的机制保证私钥和应用的安 全. 14)对系统程序和操作员的所 有操作都有日志记录,可用于跟踪, 审计. (3)cA认证系统功能 1)本CA认证系统对外部提供 的功能包括证书的发放,证书的更 新,证书的挂失和作废,证书和 CRL的公布.证书状态的在线查 询,证书的管理(查询,统计),支 持IC卡和磁盘发放证书,支持 Netscape测览器和IE浏览器,支持 NetscapeWeb服务器和微软Ms Web]/g务器,支持分级管理机制,提 供密钥托管. 2)从系统内部来看,本cA认 证系统提供如下功能:操作员分级 管理,权限控制,证书卡身份认证; 根据系统详细日志实时进行系统监 控;根据系统内部统计报表监测系 统运行及业务发展. (I)CA认证中心服务器组织 湖南电子商务认证中心的CA 认证中心有4个子系统. 1)CTCA根中心管理系统,包 括密钥托管服务器/私钥恢复服务 器,签名服务器,RCA服务器,证 书备份,CRL,OCSP数据库备份 服务器,加密机. 2)CA中心受理审核系统,包括 CTCA系统证书管理/RA服务器,