CA安全体系认证建设

－烟草行业CA建设Infosec2024/5/11Copyright1998-2021Infosec目录建设目标与总体要求烟草行业CA平安认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN标准应用对接2024/5/11Copyright1998-2021Infosec目录建设目标与总体要求烟草行业CA平安认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN标准应用对接2024/5/11Copyright1998-2021Infosec烟草行业CA平安认证体系建设烟草行业CA平安认证体系建设工程主要内容：1、CA平安认证体系建设2、实现CA与应用系统之间的挂接2024/5/11Copyright1998-2021InfosecCA平安认证体系效劳范畴2024/5/11Copyright1998-2021Infosec数字证书数字证书，也被称为数字身份证，其用来识别数字证书持有者的真实身份。因数字证书提供的是网络上的身份证明，也可称数字证书是“网络身份证〞。数字证书认证中心〔CA〕CA是数字证书签发的权威机构，它是CA认证中心的核心组成局部。CA负责数字证书的签发、保管、分发、以及必要时的证书撤销。数字证书认证中心主要包括：CA系统、RA系统等。数字证书注册机构〔RA〕RA是负责数字证书注册的机构，是面向最终用户和发证操作员的业务平台。RA中心负责处理用户的证书申请，对证书申请进行审核，并且通过用户信息系统进行授权，参与用户证书申请、发行和作废的过程。RA不能签发和发行证书，但是可以作为用户和CA间的中间人。当需要新的证书的时候，用户就给RA发送请求，然后由RA再把这个请求发送给CA，由CA来完成数字证书的签发和发行。RA平安终端RA平安终端，是一台专门用于访问RA系统的PC机。密钥管理中心〔KMC〕负责为CA系统提供密钥的保存、备份、更新、恢复等密钥效劳。数字证书应用支撑系统数字证书应用支撑系统，为单点登录或应用系统提供以数字证书为根底的身份认证、数据私密性、数据完整性、操作不可否认性等平安效劳功能。2024/5/11Copyright1998-2021Infosec建设目标烟草行业CA认证中心的建设目标：一是建设能够为烟草行业信息系统提供高强度的平安身份认证机制，为统一权限管理、单点登录等管理系统提供给用平安支撑平台。二是建立健全保证CA认证中心根底设施正常运行的标准和制度。2024/5/11Copyright1998-2021Infosec总体要求2024/5/11Copyright1998-2021Infosec根本原那么2024/5/11Copyright1998-2021Infosec管理原那么遵循“行政管理怎么管，数字证书就怎么发〞的根本思想；管理原那么统一标准集中监管单位自治2024/5/11Copyright1998-2021Infosec目录建设目标与总体要求烟草行业CA平安认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN标准应用对接2024/5/11Copyright1998-2021Infosec烟草行业CA认证中心总体结构烟草行业CA认证中心2级结构根CA〔烟草行业根CA中心〕二级CA〔国家局运营CA中心、各省级运营CA中心〕3个局部烟草行业根CA中心国家局运营CA中心各省级运营CA中心2024/5/11Copyright1998-2021Infosec烟草行业CA认证中心根底架构2024/5/11Copyright1998-2021Infosec烟草行业根CA中心

烟草行业CA认证中心的信任源；其功能主要包括：为二级CA〔国家局运营CA中心和各省级运营CA中心〕提供互信保障；同时，为各二级CA签发“二级CA证书〞；由于烟草行业根CA中心不面向终端用户，所以其可以采用离线的方式进行封闭式运行。2024/5/11Copyright1998-2021Infosec二级CA二级CA〔国家局运营CA中心和各省级运营CA中心〕作为烟草行业根CA的子CA系统，其效劳对象将主要面向各终端用户和各业务系统；二级CA的主要功能1、面向其所辖范围内的终端用户，提供数字证书的发放管理效劳；2、面向各业务系统，保证各业务系统能够接受数字证书用户的身份认证和系统登录。2024/5/11Copyright1998-2021Infosec二级CA组成：国家局运营CA中心和各省级运营CA中心组成；国家局运营CA中心“数字证书发放管理系统〞“数字证书应用支撑系统〞省级运营CA中心〔工业公司运营CA中心、商业公司运营CA中心〕“数字证书发放管理系统〞“数字证书应用支撑系统〞2024/5/11Copyright1998-2021Infosec国家局运营CA中心国家局运营CA中心功能主要包括：1、为国家局机关内用户发放和管理数字证书；2、为局部省级单位的用户、有条件地发放和管理数字证书；3、为国家局各业务系统提供身份认证、数据平安保障等效劳；4、对各省级运营CA中心进行垂直监管。2024/5/11Copyright1998-2021Infosec省级运营CA中心各省级运营CA中心〔工业公司运营CA中心、商业公司运营CA中心〕作为烟草行业CA认证中心中的另一个重要组成局部，在接受国家局运营CA中心的垂直监管的同时，其主要功能：1、为本省单位所辖范围内的用户发放和管理数字证书；2、为本省单位各业务系统提供身份认证、数据平安保障等效劳；2024/5/11Copyright1998-2021Infosec烟草行业CA认证中心根底架构2024/5/11Copyright1998-2021Infosec烟草行业CA认证中心总体架构3大功能系统数字证书发放管理系统数字证书应用支撑系统数字证书综合监管系统2024/5/11Copyright1998-2021Infosec数字证书发放管理系统数字证书发放管理系统是为烟草行业用户提供数字证书的签发、发布、撤销等一系列管理效劳；主要实现“签发和管理数字证书〞。其效劳对象为：数字证书的持有者和数字证书应用支撑系统。用户的数字证书包含如下个人身份信息描述：姓名职务部门单位2024/5/11Copyright1998-2021Infosec数字证书发放管理系统

〔国家局运营CA中心〕国家局运营CA中心的数字证书发放管理系统自身的数字证书由“烟草行业根CA中心〞签发；主要负责签发国家局机关内用户的数字证书，即：个人数字证书；同时为局部省级单位的用户、有条件地发放和管理数字证书。2024/5/11Copyright1998-2021Infosec数字证书发放管理系统

〔省级运营CA中心〕各省级运营CA中心的数字证书发放管理系统自身的数字证书由“烟草行业根CA中心〞签发；负责签发其所辖范围内用户的数字证书，即：个人数字证书。2024/5/11Copyright1998-2021Infosec数字证书发放管理系统

---国家局系统与省级系统的关系国家局数字证书发放管理系统与省级数字证书发放管理系统之间属于同一信任源，相互间存在相互信任的关系。省级数字证书发放管理系统所颁发的每一张用户数字证书都须在国家局数字证书发放管理系统中登记备案。2024/5/11Copyright1998-2021InfosecCA系统组成CA

ServerOCSP

ServerCA

AdminKMC

AdminKMC

ServerTSA

ServerRA

ServerAA

ServerLDAP

ServerRA

Admin2024/5/11Copyright1998-2021Infosec数字证书应用支撑系统数字证书应用支撑系统实现“数字证书持有者在业务应用系统中有效、平安地使用数字证书〞，其实现功能：为业务系统提供基于数字证书的强身份认证；为业务系统提供数据私密性和完整性保证；为业务系统提供操作不可否认性机制其效劳对象为：数字证书持有者和业务应用系统。2024/5/11Copyright1998-2021Infosec数字证书应用支撑系统数字证书应用支撑系统NSAE应用平安代理网关：支持B/S结构应用的双向数字证书认证；为业务系统提供基于传输通道的数据加密效劳；为业务系统提供基于数字证书的身份认证机制NetSign数字签名效劳器为C/S结构应用提供基于数字证书的身份认证机制为业务系统提供操作不可否认性机制为业务系统提供基于内容的加解密效劳2024/5/11Copyright1998-2021Infosec目录建设目标与总体要求烟草行业CA平安认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN标准应用对接2024/5/11Copyright1998-2021Infosec烟草行业CA认证中心的建设内容烟草行业根CA中心建设国家局运营CA中心建设各省级运营CA中心建设2024/5/11Copyright1998-2021Infosec烟草行业根CA中心建设

2024/5/11Copyright1998-2021Infosec

烟草行业根CA中心

行业根CA中心的作用是：负责签发和管理二级CA的数字证书。根CA中心由国家局建设，作为烟草行业CA认证中心的信任源；行业根CA中心由其自身组成；2024/5/11Copyright1998-2021Infosec烟草行业CA认证中心的建设内容烟草行业根CA中心建设国家局运营CA中心建设省级运营CA中心建设2024/5/11Copyright1998-2021Infosec省级运营CA中心建设省级数字证书发放管理系统省级数字证书应用支撑系统2024/5/11Copyright1998-2021Infosec省级运营CA中心建设根本要求遵循国家相关建设的法律法规的要求；按照国家局颁发的CA认证中心的建设方案要求进行建设；省级运营CA认证中心的建设必须结合本单位的业务应用的需求和开展情况，确定建设规模和建设方案。2024/5/11Copyright1998-2021Infosec省级运营CA中心建设建设内容数字证书发放管理系统〔包括：CA子系统、KMC子系统、RA子系统〕数字证书应用支撑系统。职能描述：支持为本单位所辖范围内的所有行业内用户和行业外用户提供数字证书的发放和管理效劳；支持为省级单位自己的核心业务系统〔如：财务系统等〕提供基于数字证书的身份认证。2024/5/11Copyright1998-2021Infosec省级运营CA中心数字证书发放管理系统架构2024/5/11Copyright1998-2021Infosec地市级数字证书发放管理遵循用户属地管理原那么行政管理怎么管，数字证书就怎么发RA系统架构采取单一物理架构，多层逻辑管理架构证书注册数据来源统一逻辑上实现多层管理架构2024/5/11Copyright1998-2021Infosec省级数字证书应用支撑系统数字证书应用支撑系统应用平安代理网关实现基于数字证书的客户端与效劳器身份认证、数据传输通道加密、数据完整性保证等功能数字签名系统实现业务数据的完整性、操作不可否认性保证；2024/5/11Copyright1998-2021Infosec系统部署示意图2024/5/11Copyright1998-2021Infosec地市级数字证书应用支撑系统地市级单位分布式应用架构需要分布式数字证书应用支撑架构支持数字证书应用支撑系统应用平安代理网关实现基于数字证书的客户端与效劳器身份认证、数据传输通道加密、数据完整性保证等功能数字签名系统实现业务数据的完整性、操作不可否认性保证；2024/5/11Copyright1998-2021Infosec地市级数字证书应用支撑系统部署示意图2024/5/11Copyright1998-2021Infosec目录建设目标与总体要求烟草行业CA平安认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN标准应用对接2024/5/11Copyright1998-2021Infosec数字证书DN标准烟草行业根CA中心数字证书DN为：CN=中国烟草根CAO=TobaccoC=CN2024/5/11Copyright1998-2021Infosec数字证书DN标准二级CA运营CA中心数字证书DN为例如——XX省局CA的DN为：CNOCXX省局CATobaccoCN例如——XX中烟CA的DN为：CNOCXX中烟CATobaccoCN2024/5/11Copyright1998-2021Infosec数字证书DN标准个人数字证书DN格式为CNOUOUOUOC姓名处名称司/局名称国家局TobaccoCN科名称处名称省级单位名称部名称烟厂名称科名称市公司名称2024/5/11Copyright1998-2021Infosec目录建设目标与总体要求烟草行业CA平安认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN标准应用对接2024/5/11Copyright1998-2021Infosec应用对接应用开发商工作实现改变应用基于用户名/口令的认证方式，增加基于数字证书的身份认证方式实现数据在传输和存储过程的加密，提供数据的私密性保护实现业务过程中的数字签名，提供数据的完整性保护和操作的不可否认性机制遵循?烟草行业数字证书应用接口标准?2024/5/11Copyright1998-2021Infosec应用对接应用改造建立数字证书与应用系统帐号的对应关系单点登录系统中只需与系统帐号绑定非单点登录系统需分别与各业务系统帐号绑定身份认证单点登录系统配置为证书认证方式B/S应用由应用效劳器从应用平安网关转发的HTTP报文中约定位置获取证书信息，从之前建立的数字证书与应用系统帐号的对应关系表中找到对应的系统帐号C/S应用由客户端对应用效劳器发出挑战随机数进行数字签名，效劳端签名验证通过后获取签名证书的信息，从之前建立的数字证书与应用系统帐号的对应关系表中找到对应的系统帐号2024/5/11Copyright1998-2021Infosec应用对接应用改造数据加密基于通道:将HTTP协议改为HTTPS协议，通过应用平安网关实现基于SSL加密通道的数据加密方式基于内容:应用直接调用签名效劳器提供的加密/解密接口对数据进行加密或解密操作数字签名调用签名效劳器提供的签名/验签名接口对数据进行签名和签名验证操作2024/5/11Copyright1998-2021Infosec省级系统配置列表产品名称平台建议配置硬件数量相关说明NetCertCAServerPC服务器1*IntelXEON2.0GHz四核处理器，2G内存，3*73GSCSI硬盘RAID5，2个100/1000网口1负责签发、废除证书等操作，PKI体系的核心系统NetCertRAServerPC服务器1*IntelXEON2.0GHz四核处理器，2G内存，3*73GSCSI硬盘RAID5，2个100/1000网口1实现证书管理功能，实现证书管理逻辑，提供Web管理界面NetCertKMCServerPC服务器1*IntelXEON2.0GHz四核处理器，2G内存，3*73GSCSI硬盘RAID5，2个100/1000网口1负责加密证书的密钥管理NetCertAA

ServerPC服务器1*IntelXEON2.0GHz四核处理器，2G内存，3*73GSCSI硬盘RAID5，2个100/1000网口0综合监管平台的证书备案系统，运行在RA服务器中TrustyLinkAuditServerPC服务器1*IntelXEON2.0GHz四核处理器，2G内存，3*73GSCSI硬盘RAID5，2个100/1000网口1综合监管平台的数字证书使用审计系统NSAE网络设备NSAE21002安全应用代理服务器，客户端和服务器端建立一个安全通道NetSignServer网络设备NetSign-E2签名服务器，配合客户端签名控件实现客户端/服务器端的签名验证功能NetCertTSAServerPC服务器1*IntelXEON2.0GHz四核处理器，2G内存，3*73GSCSI硬盘RAID5