解决方案
 

总部:
010-68025518(北京)
华东大区:
021-52930171(上海)
华南大区:
0755-83939102(深圳)

西南大区:
028-86653390(成都)

西北大区:
029-81773007(西安)

华中大区:
027-87732913(武汉)

东北大区:
024-31873806(沈阳)

福建办事处:
0591-87813005(福州)

浙江办事处:
0571-87392658(杭州)

广州办事处:

020-89814085(广州)

云南办事处:
0871-68181585(昆明)

湖南办事处:

0731-82286491(长沙)

 

 信安世纪微信公众号
 
 
CA国产密码算法改造安全解决方案

需求分析

 

  2011年6月,工程院多名院士联合上书,建议金融领域采用国产密码算法,相关领导作出重要批示。2011年11月,工信部和公安部通告了RSA1024算法被破解的风险,同时人行起草了使用国产密码算法的可行性报告。国家密码管理局在《关于做好公钥密码算法升级工作的函》中要求2011年7月1日以后建立并使用公钥密码的信息系统,应当使用SM2算法;已经建设完成的系统,应尽快进行系统升级,使用SM2算法。
  人民银行科技司于2012年底向多家商业银行发出了《银行业国产密码应用总体规划》及《总体方案》征求意见稿,其中对网上银行等信息系统所使用的算法国产化工作的推进实施提出“总体规划、分步实施、稳步推进”原则,并提出了4种可能的建设方案。在分步策略中,作为网银国产密码算法改造的基础证书认证系统应首先进行国产密码算法改造。为指导CA国密改造,近几年,国家密码管理局发布实施了《证书认证系统密码及其相关技术规范》、《数字证书认证系统密码协议规范》、《数字证书认证系统检测规范》、《证书认证密钥管理系统检测规范》等标准规范。

 

方案架构


 

系统中共划分了以下几个网络安全区域:KMC核心区、CA核心区、CA服务区、CA管理区。

  KMC核心区
  KMC核心区是自建CA系统的密钥区,部署KMC系统及其管理终端、数据库服务器。该区域需部署在屏蔽机房、独立门禁控制、无死角视频监控,并有完善的进入和操作管理规范。
密钥区仅准许来自CA服务区的访问。KMC服务器密码机与KMC服务器直连,而不接入核心密钥区交换机。

  CA核心区
  ● CA核心区是自建CA服务器运行区,部署CA服务器及其数据库服务器。该区域需部署在屏蔽机房、独立门禁控制、无死角视频监控,并有完善的进入和操作管理规范。
  ● 根CA服务区部署在CA服务区的屏蔽机房,但离线运行。
  ● 运营CA系统在线运行。
  ● 运营CA服务器仅准许来自公共服务区的RA服务器和CA管理终端的访问。
  ● CA服务器密码机与CA服务器直连,而不接入CA服务区交换机。

  CA服务区
  包括证书注册管理服务器(RA Server)、RA数据库服务器、RA服务器密码机、OCSP服务器、OCSP服务器密码机、OCSP数据库服务器、从LDAP服务器、RA管理终端和制证终端、防病毒服务器、入侵检测设备。

  CA管理区
  包括网络安全管理、入侵检测管理、CA管理终端、RA管理注册终端、RA审核审计终端、以及RA制证终端。

 

方案描述

 

  信安世纪数字证书认证系统包括:密钥管理中心、密钥管理客户端、证书认证中心、证书认证管理客户端、证书注册中心、OCSP服务端等。以下是各模块之间的访问关系。
  密钥管理中心KMC:提供加密证书密钥对的产生、保存、恢复、查询、统计等。
  证书认证系统CA:完成签名证书和加密证书的申请、签发、更新、作废等整个生命周期的管理。
  证书注册系统RA:负责用户注册与审核,以及证书申请、下载、更新、冻结、解冻、作废等业务流程管理。
  在线证书状态查询OCSP:通过OCSP服务可实现证书状态的实时查询。
  目录服务器LDAP:用于存储CA发布的CRL( 证书吊销列表)、ARL (CA证书吊销列表)和证书,方便用户进行快速查询。

 

 

方案优势

 

  1、 信安世纪NetCert产品严格按照国家密码管理局GM/T 0034-2014《基于SM2密码算法的数字证书认证系统及其相关安全技术规范》进行设计;
  2、 NetCert证书认证系统和NetCert密钥管理系统均具有国家密码管理局颁发的商用密码产品型号证书, 型号分别为:SZT1205和SYT1207;
  3、 中国工商银行、中国农业银行、中国建设银行、平安银行等采用本方案均已通过国家密码管理局安全审查;
  4、 采用防火墙、入侵检测等安全产品,强化系统安全;
  5、 支持PKCS、X.509、LDAP等标准协议,能方便地实现与不同CA系统间的交叉认证。

 

 

首页 | 产品中心 | 案例中心 | 合作伙伴 | 联系我们 | 人力资源
信安世纪版权所有1998-2016| 京ICP备16060718号-1 京公网安备110102002995