1、烟草行业CA建设Infosec2022-4-22Copyright 1998-2009 Infosec 目录建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接2022-4-22Copyright 1998-2009 Infosec 目录建设目标与总体要求建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接2022-4-22Copyright 1998-2009 Infosec 烟草行业CA安全认证体系建设l烟草行业CA安全认证体系建设项目主要内容: 1、CA安全认证体系建设 2、实现CA与
2、应用系统之间的挂接2022-4-22Copyright 1998-2009 Infosec CA安全认证体系服务范畴 鉴定 Identification 认证 Authentication 完整性 Integrity 机密性 Confidentiality 不可否认性 Non-repudiation 2022-4-22Copyright 1998-2009 Infosec 术语解释数字证书数字证书 数字证书,也被称为数字身份证,其用来识别数字证书持有者的真实身份。因数字证书提供的是网络上的身份证明,也可称数字证书是“网络身份证”。 数字证书认证中心(数字证书认证中心(CA) CA是数字证书签发
3、的权威机构,它是CA认证中心的核心组成部分。CA负责数字证书的签发、保管、分发、以及必要时的证书撤销。数字证书认证中心主要包括:CA系统、RA系统等 。数字证书注册机构(数字证书注册机构(RA) RA是负责数字证书注册的机构,是面向最终用户和发证操作员的业务平台。RA中心负责处理用户的证书申请,对证书申请进行审核,并且通过用户信息系统进行授权,参与用户证书申请、发行和作废的过程。RA不能签发和发行证书,但是可以作为用户和CA间的中间人。当需要新的证书的时候,用户就给RA发送请求,然后由RA再把这个请求发送给CA,由CA来完成数字证书的签发和发行。RARA安全终端安全终端RA安全终端,是一台专门
4、用于访问RA系统的PC机。密钥管理中心(密钥管理中心(KMCKMC)负责为CA系统提供密钥的保存、备份、更新、恢复等密钥服务。 数字证书应用支撑系统数字证书应用支撑系统 数字证书应用支撑系统,为单点登录或应用系统提供以数字证书为基础的身份认证、数据私密性、数据完整性、操作不可否认性等安全服务功能。 2022-4-22Copyright 1998-2009 Infosec 建设目标 烟草行业CA认证中心的建设目标: 一是建设能够为烟草行业信息系统提供高强度的安全身份认证机制,为统一权限管理、单点登录等管理系统提供应用安全支撑平台。 二是建立健全保证CA认证中心基础设施正常运行的标准和制度。202
5、2-4-22Copyright 1998-2009 Infosec 总体要求 烟草行业CA认证中心建设的总体要求: 健全管理机制 通过烟草行业CA认证中心的建设,将在烟草行业信息网络内,建立和健全人员身份信息的集中管理机制,通过有效的技术手段对信息化用户的活动状态、行为等方面进行集中监管,从而进一步规范用户的业务系统登录和业务操作行为。 完善管理制度 积极推进制度的建设和完善,为规范烟草行业网络信任体系的运行提供制度保障 。 统一技术标准 烟草行业CA认证中心的建设采用PKI体系框架和X.509标准协议。 2022-4-22Copyright 1998-2009 Infosec 基本原则 烟草
6、行业CA认证中心建设的基本原则: 统一技术方案 依照本方案的规定,国家局负责烟草行业根CA中心、国家局运营CA中心(二级CA)的建设,其中国家局运营CA中心包括数字证书发放管理系统、数字证书应用支撑系统2个部分; 各省级单位负责本单位省级运营CA中心(二级CA)的建设,省级运营CA中心包括本省数字证书发放管理系统、数字证书应用支撑系统2个部分; 各省级单位必须根据本技术方案和国家相关技术标准的要求,结合本单位的实际情况配置硬件设备和软件系统,进而形成本单位的运营CA中心实施方案。 结合应用分级实施 各单位必须按国家局的要求,使用CA认证技术实现身份认证。各单位应在本技术方案的指导下,从本单位的
7、实际需求出发,来决定省级单位CA中心的建设规模和建设方案 。2022-4-22Copyright 1998-2009 Infosec 管理原则l遵循“行政管理怎么管,数字证书就怎么发”的基本思想; l管理原则 统一规范 集中监管 单位自治2022-4-22Copyright 1998-2009 Infosec 目录 建设目标与总体要求 烟草行业烟草行业CA安全认证中心总体框架安全认证中心总体框架 烟草行业CA认证中心的建设内容 数字证书DN规范 应用对接2022-4-22Copyright 1998-2009 Infosec 烟草行业烟草行业CA认证中心总体结构认证中心总体结构 烟草行业烟草行
8、业CA认证中心认证中心 2级结构 根CA(烟草行业根烟草行业根CA中心)中心) 二级CA(国家局运营国家局运营CA中心、各省级运营中心、各省级运营CA中心中心) 3个部分 烟草行业根烟草行业根CA中心中心 国家局运营国家局运营CA中心中心 各省级运营各省级运营CA中心中心2022-4-22Copyright 1998-2009 Infosec 烟草行业烟草行业CA认证中心基础架构认证中心基础架构2022-4-22Copyright 1998-2009 Infosec 烟草行业根烟草行业根CA中心中心 烟草行业CA认证中心的信任源;其功能主要包括:为二级CA(国家局运营CA中心和各省级运营CA中
9、心)提供互信保障;同时,为各二级CA签发“二级CA证书”;由于烟草行业根CA中心不面向终端用户,所以其可以采用离线的方式进行封闭式运行。 2022-4-22Copyright 1998-2009 Infosec 二级二级CA 二级二级CA(国家局运营(国家局运营CA中心中心和各省级运营省级运营CA中心)中心)作为烟草行业根CA的子CA系统,其服务对象将主要面向各终端用户和各业务系统; 二级CA的主要功能 1、面向其所辖范围内的终端用户,提供数字证书的发放管理服务; 2、面向各业务系统,保证各业务系统能够接受数字证书用户的身份认证和系统登录。2022-4-22Copyright 1998-200
10、9 Infosec 二级二级CA组成:组成:国家局运营CA中心和各省级运营CA中心组成;国家局运营国家局运营CA中心中心 “数字证书发放管理系统” “数字证书应用支撑系统”省级运营省级运营CA中心(工业公司运营中心(工业公司运营CA中心、商业公司运营中心、商业公司运营CA中心)中心) “数字证书发放管理系统” “数字证书应用支撑系统”2022-4-22Copyright 1998-2009 Infosec 国家局运营国家局运营CA中心中心 国家局运营国家局运营CA中心中心功能主要包括: 1、为国家局机关内用户发放和管理数字证书; 2、为部分省级单位的用户、有条件地发放和管理数字证书; 3、为国
11、家局各业务系统提供身份认证、数据安全保障等服务; 4、对各省级运营CA中心进行垂直监管。2022-4-22Copyright 1998-2009 Infosec 省级运营省级运营CA中心中心 各省级运营各省级运营CA中心(工业公司运营中心(工业公司运营CA中心、中心、商业公司运营商业公司运营CA中心)中心)作为烟草行业CA认证中心中的另一个重要组成部分,在接受国家局运营CA中心的垂直监管的同时,其主要功能: 1、为本省单位所辖范围内的用户发放和管理数字证书; 2、为本省单位各业务系统提供身份认证、数据安全保障等服务; 2022-4-22Copyright 1998-2009 Infosec 烟
12、草行业烟草行业CA认证中心基础架构认证中心基础架构2022-4-22Copyright 1998-2009 Infosec 烟草行业烟草行业CA认证中心总体架构认证中心总体架构 3大功能系统 数字证书发放管理系统数字证书发放管理系统 数字证书应用支撑系统数字证书应用支撑系统 数字证书综合监管系统数字证书综合监管系统2022-4-22Copyright 1998-2009 Infosec 数字证书发放管理系统数字证书发放管理系统 数字证书发放管理系统数字证书发放管理系统 是为烟草行业用户提供数字证书的签发、发布、撤销等一系列管理服务; 主要实现“签发和管理数字证书” 。 其服务对象为:数字证书的
13、持有者和数字证书应用支撑系统。 用户的数字证书包含如下个人身份信息描述: 姓名 职务 部门 单位2022-4-22Copyright 1998-2009 Infosec 数字证书发放管理系统数字证书发放管理系统(国家局运营(国家局运营CA中心)中心) 国家局运营国家局运营CA中心的数字证书发放管理系中心的数字证书发放管理系统自身的数字证书由统自身的数字证书由“烟草行业根烟草行业根CA中心中心” 签发;签发; 主要负责签发国家局机关内用户的数字证主要负责签发国家局机关内用户的数字证书,即:个人数字证书;书,即:个人数字证书; 同时为部分省级单位的用户、有条件地发同时为部分省级单位的用户、有条件地
14、发放和管理数字证书。放和管理数字证书。2022-4-22Copyright 1998-2009 Infosec 数字证书发放管理系统数字证书发放管理系统(省级运营CA中心) 各省级运营CA中心的数字证书发放管理系数字证书发放管理系统统自身的数字证书由“烟草行业根CA中心” 签发; 负责签发其所辖范围内用户的数字证书,即:个人数字证书 。 2022-4-22Copyright 1998-2009 Infosec 数字证书发放管理系统数字证书发放管理系统-国家局系统与省级系统的关系国家局系统与省级系统的关系 国家局数字证书发放管理系统与省级数字国家局数字证书发放管理系统与省级数字证书发放管理系统之
15、间属于同一信任源,证书发放管理系统之间属于同一信任源,相互间存在相互信任的关系。相互间存在相互信任的关系。 省级数字证书发放管理系统所颁发的每一省级数字证书发放管理系统所颁发的每一张用户数字证书都须在国家局数字证书发张用户数字证书都须在国家局数字证书发放管理系统中放管理系统中登记备案登记备案。2022-4-22Copyright 1998-2009 Infosec CA系统组成CA 服务器CA Admin管理终端 密钥管理中心KMC服务器KMC Admin管理终端 RA服务器RA Admin管理终端AA备案服务器LDAP服务器OCSP 服务器TSA 服务器CA ServerOCSP Serve
16、rCA AdminKMC AdminKMC ServerTSA ServerRA ServerAA ServerLDAP ServerRA Admin2022-4-22Copyright 1998-2009 Infosec 数字证书应用支撑系统数字证书应用支撑系统 数字证书应用支撑系统数字证书应用支撑系统 实现“数字证书持有者在业务应用系统中有效、安全地使用数字证书”,其实现功能: 为业务系统提供基于数字证书的强身份认证; 为业务系统提供数据私密性和完整性保证; 为业务系统提供操作不可否认性机制 其服务对象为:数字证书持有者和业务应用系统。2022-4-22Copyright 1998-200
17、9 Infosec 数字证书应用支撑系统数字证书应用支撑系统 数字证书应用支撑系统数字证书应用支撑系统 NSAE应用安全代理网关: 支持B/S结构应用的双向数字证书认证; 为业务系统提供基于传输通道的数据加密服务; 为业务系统提供基于数字证书的身份认证机制 NetSign数字签名服务器 为C/S结构应用提供基于数字证书的身份认证机制 为业务系统提供操作不可否认性机制 为业务系统提供基于内容的加解密服务2022-4-22Copyright 1998-2009 Infosec 目录 建设目标与总体要求 烟草行业CA安全认证中心总体框架 烟草行业烟草行业CA认证中心的建设内容认证中心的建设内容 数字
18、证书DN规范 应用对接2022-4-22Copyright 1998-2009 Infosec 烟草行业烟草行业CA认证中心的建设内容认证中心的建设内容 烟草行业根烟草行业根CA中心建设中心建设 国家局运营国家局运营CA中心建设中心建设 各省级运营各省级运营CA中心建设中心建设2022-4-22Copyright 1998-2009 Infosec 烟草行业根烟草行业根CA中心中心建设建设2022-4-22Copyright 1998-2009 Infosec 烟草行业烟草行业根根CA 中心中心 行业根CA中心的作用是:负责签发和管理二级CA的数字证书。根CA中心由国家局建设,作为烟草行业CA
19、认证中心的信任源信任源; 行业根CA中心由其自身组成;2022-4-22Copyright 1998-2009 Infosec 烟草行业烟草行业CA认证中心的建设内容认证中心的建设内容 烟草行业根烟草行业根CA中心建设中心建设 国家局运营国家局运营CA中心建设中心建设省级运营省级运营CA中心建设中心建设2022-4-22Copyright 1998-2009 Infosec 省级运营省级运营CA中心中心建设 省级数字证书发放管理系统省级数字证书发放管理系统 省级数字证书应用支撑系统省级数字证书应用支撑系统2022-4-22Copyright 1998-2009 Infosec 省级运营省级运营
20、CA中心中心建设基本要求 遵循国家相关建设的法律法规的要求; 按照国家局颁发的CA认证中心的建设方案要求进行建设; 省级运营CA认证中心的建设必须结合本单位的业务应用的需求和发展情况,确定建设规模和建设方案。2022-4-22Copyright 1998-2009 Infosec 省级运营省级运营CA中心中心建设 建设内容建设内容 数字证书发放管理系统数字证书发放管理系统(包括:(包括:CA子系统、子系统、KMC子系统、子系统、RA子系统)子系统) 数字证书应用支撑系统数字证书应用支撑系统。 职能描述:职能描述: 支持为本单位所辖范围内的所有行业内用户和行业外用户提供数字证书的发放和管理服务;
21、 支持为省级单位自己的核心业务系统(如:财务系统等)提供基于数字证书的身份认证。 2022-4-22Copyright 1998-2009 Infosec 省级运营省级运营CA中心中心数字证书发放管理系统架构数字证书发放管理系统架构2022-4-22Copyright 1998-2009 Infosec 地市级数字证书发放管理地市级数字证书发放管理 遵循用户属地管理原则 行政管理怎么管,数字证书就怎么发 RA系统架构采取单一物理架构,多层逻辑管理架构 证书注册数据来源统一 逻辑上实现多层管理架构2022-4-22Copyright 1998-2009 Infosec 省级数字证书应用支撑系统省
22、级数字证书应用支撑系统 数字证书应用支撑系统 应用安全代理网关实现基于数字证书的客户端与服务器身份认证、数据传输通道加密、数据完整性保证等功能 数字签名系统实现业务数据的完整性、操作不可否认性保证;2022-4-22Copyright 1998-2009 Infosec 系统部署示意图系统部署示意图2022-4-22Copyright 1998-2009 Infosec 地市级数字证书应用支撑系统地市级数字证书应用支撑系统 地市级单位分布式应用架构需要分布式数字证书应用支撑架构支持 数字证书应用支撑系统 应用安全代理网关实现基于数字证书的客户端与服务器身份认证、数据传输通道加密、数据完整性保证
23、等功能 数字签名系统实现业务数据的完整性、操作不可否认性保证;2022-4-22Copyright 1998-2009 Infosec 地市级数字证书应用支撑系统部署示意图地市级数字证书应用支撑系统部署示意图2022-4-22Copyright 1998-2009 Infosec 目录 建设目标与总体要求 烟草行业CA安全认证中心总体框架 烟草行业CA认证中心的建设内容 数字证书数字证书DN规范规范 应用对接2022-4-22Copyright 1998-2009 Infosec 数字证书DN规范 烟草行业根CA中心数字证书DN为: CN=中国烟草根CA O=Tobacco C=CN2022-
24、4-22Copyright 1998-2009 Infosec 数字证书DN规范 二级CA运营CA中心数字证书DN为示例XX省局CA的DN为:CNOCXX省局CATobaccoCN示例XX中烟CA的DN为:CNOCXX中烟CATobaccoCN2022-4-22Copyright 1998-2009 Infosec 数字证书DN规范 个人数字证书DN格式为 CNOUOUOUOC姓名处名称司/局名称国家局TobaccoCN科名称处名称省级单位名称部名称烟厂名称科名称市公司名称2022-4-22Copyright 1998-2009 Infosec 目录 建设目标与总体要求 烟草行业CA安全认证中
25、心总体框架 烟草行业CA认证中心的建设内容 数字证书DN规范 应用对接应用对接2022-4-22Copyright 1998-2009 Infosec 应用对接 应用开发商工作应用开发商工作 实现改变应用基于用户名/口令的认证方式,增加基于数字证书的身份认证方式 实现数据在传输和存储过程的加密,提供数据的私密性保护 实现业务过程中的数字签名,提供数据的完整性保护和操作的不可否认性机制 遵循烟草行业数字证书应用接口规范2022-4-22Copyright 1998-2009 Infosec 应用对接 应用改造应用改造 建立数字证书与应用系统帐号的对应关系 单点登录系统中只需与系统帐号绑定 非单点
26、登录系统需分别与各业务系统帐号绑定 身份认证 单点登录系统配置为证书认证方式 B/S应用由应用服务器从应用安全网关转发的HTTP报文中约定位置获取证书信息,从之前建立的数字证书与应用系统帐号的对应关系表中找到对应的系统帐号 C/S应用由客户端对应用服务器发出挑战随机数进行数字签名,服务端签名验证通过后获取签名证书的信息,从之前建立的数字证书与应用系统帐号的对应关系表中找到对应的系统帐号2022-4-22Copyright 1998-2009 Infosec 应用对接 应用改造应用改造 数据加密 基于通道: 将HTTP协议改为HTTPS协议,通过应用安全网关实现基于SSL加密通道的数据加密方式
27、基于内容:应用直接调用签名服务器提供的加密/解密接口对数据进行加密或解密操作 数字签名 调用签名服务器提供的签名/验签名接口对数据进行签名和签名验证操作2022-4-22Copyright 1998-2009 Infosec 省级系统配置列表产品名称平台建议配置硬件数量相关说明NetCert CA ServerPC服务器 1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1负责签发、废除证书等操作,PKI体系的核心系统NetCert RA ServerPC服务器1*Intel XEON 2.0GHz四核处理器,2G 内
28、存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1实现证书管理功能,实现证书管理逻辑,提供Web管理界面NetCert KMC ServerPC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1负责加密证书的密钥管理NetCert AA ServerPC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口0综合监管平台的证书备案系统,运行在RA服务器中TrustyLink Audit Server PC服务器1*
29、Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1综合监管平台的数字证书使用审计系统NSAE网络设备NSAE21002安全应用代理服务器,客户端和服务器端建立一个安全通道NetSign Server网络设备NetSign-E2签名服务器,配合客户端签名控件实现客户端/服务器端的签名验证功能NetCert TSA Server PC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1时间戳服务器系统,与OCSP系统共享NetCert OCSP
30、 Server PC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口0证书在线状态查询服务器系统加密机SJY05-B3存放CA及RA系统密钥ITEC-iDS PC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口2从LDAP服务器USBKey证书载体2022-4-22Copyright 1998-2009 Infosec 地市级系统配置列表产品名称平台建议配置硬件数量相关说明Audit Server PC服务器1*Intel XE
31、ON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1综合监管平台的数字证书使用审计系统NSAE网络设备NSAE21002安全应用代理服务器,客户端和服务器端建立一个安全通道NetSign Server网络设备NetSign-E2签名服务器,配合客户端签名控件实现客户端/服务器端的签名验证功能NetCert TSA Server PC服务器1*Intel XEON 2.0GHz四核处理器,2G 内存,3*73G SCSI硬盘RAID 5 ,2个100/1000网口1时间戳服务器系统,可选项。USBKey证书载体2022-4-22Copyright 1998-2009 Infosec 2022-4-22Copyright 1998-2009 Infosec