解决方案
当前位置: 首页 > 解决方案 > 通用行业解决方案
基于国产密码的PKICA应用安全升级方案

一、政策要求

2014 年,国务院办公厅印发《金融领域密码应用指导意见》(国办发[2014]6号文件),要求率先在金融领域实现国产密码应用突破,力争到 2020 年实现密码全面应用。

《国家安全法》中明确规定, “实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。国产密码作为自主可控技术的重要基础,从2015 年起,密码应用从金融领域拓展到其他重要领域,证券、广电、能源、教育、公安、党政等国民经济重大行业主管部门陆续下发国产密码实施方案及升级时间要求。

传统的PKI基础设施及应用安全产品都是基于RSA国际算法,无法兼容国产密码算法,需经过升级改造,才能满足行业密码应用政策要求。

二、用户背景

某财产保险股份有限公司于2009年经中国保险监督管理委员会批准成立,注册地北京。该财险公司的客户群体涉及银行、煤炭、化工、航天、能源、货运、通讯等多个行业领域。该公司先后与建设银行、交通银行、中信银行、光大银行、国家开发银行、广发银行、上海银行等签署了总对总战略合作协议。

三、用户需求

为了落实中国保监会关于印发《保险业密码应用实施方案》的通知(保监发〔2015〕74号),该公司以电子保单国产密码应用实施为先期示范工程,以期稳步推进国产密码技术在该财险公司的广泛实施。

四、解决方案

PKI/CA基础认证平台由以下模块构成:

1.根CA服务器

是CA认证与信任体系的源头,根CA服务器用于签署下级的证书认证服务器,一般离线运行。

2.证书认证服务器(CA)

完成生成/签发证书、生成/签发证书撤销列表(CRL)、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能。

3.注册审核服务器(RA)

负责提供证书注册、审核以及证书签发等证书生命周期管理功能。

4.密钥管理服务器(KMC)

用于生成、保存和管理加密证书的密钥。主要为CA双证书中的加密证书提供密钥服务。

5.LDAP服务器

用于存储CA发布的数字证书和证书作废列表CRL的目录服务器,供应用系统检索证书和验证证书的有效性。

6.OCSP服务器

用于提供实时的证书状态查询服务。与通信CRL查询证书状态相比,通过OCSP服务器可以获得证书的当前状态,而CRL则具有一定的时间才能重新发布证书状态。

7.加密机

一种网络密码设备,具有安全存储密钥和密码运算的功能,在CA体系中主要用于存储CA密钥和实现安全通信。

8.USB KEY

一种采用USB接口的编写密码设备,具有安全存储密钥和密码运算的功能,一般用于存储个人证书,实现个人身份认证。

五、网络拓扑

基于国产密码的PKICA应用安全升级方案

如图所示,该基础认证平台分为总部密钥中心、总部认证中心、总部RA中心。

六、用户收益

1. 全面支持国产密码算法和证书的使用,满足合规性要求。

2. 同时支持RSA算法的国际证书和SM2算法的国密证书,具有广泛的适应性。

3. 打造了完备的PKI安全认证基础平台,为应用安全支撑平台的建设打下坚实的基础。

4. 具有极强的扩展性,可为分支机构建设二级RA,将证书管理委托给机构管理员。