统一、自主可控的行业CA建设

　　【摘   要】针对目前行业CA体系存在通用性差的缺陷，文章提出了建设统一、自主可控的行业CA规划，较好地解决了现有问题。

　　【关键词】行业CA;自主可控;国产密码算法

　　【 Abstract 】 The present industrial CA architectures lack of universality. This paper proposes a schedule for constructing a united self-control industrial CA that can solve the present problem.

　　【 Keywords 】 industrial ca; self-control;domestic gryptographic algorithm

　　1    引言

　　近年来，以网上产品销售等为代表的互联网业务迅猛发展，行业用户迫切希望通过互联网办理更多的业务，这既可以改善行业用户体验，又能降低行业机构的运营成本。同时，数字证书是《电子签名法》要求的唯一具有与手写签名或者盖章具有同等法律效力的认证方式，是互联网上用于身份认证、加密传输的重要手段，可以保证行业相关业务的高效安全开展。但是，目前行业CA体系较为分散，仍存在不能互认互信、重复建设、规模化程度不高、不支持国产密码算法和行业用户体验差等突出问题，行业有必要建设统一、自主可控的行业CA，为行业提供数字证书服务，这将大大降低证书建设及使用成本，提升用户体验，降低行业CA运营风险。

　　2    统一、自主可控的CA体系建设

　　2.1 在技术体系建设方面，建设统一、自主可控的行业CA系统

　　一是系统建设方面，行业CA承建单位会同第三方CA服务机构，按照国家密码管理局、工信部等相关法律法规及技术规范的要求，为行业建立统一、自主可控的行业CA相关系统，独立的技术服务团队，向行业用户提供多种行业通用证书服务，包括个人证书、企业证书、代理机构接入证书、服务器证书、代码证书等，方便行业用户“一次申请、多处使用”，安全高效地开展互联网业务，提高市场运行效率，节约市场总体成本。

　　系统整体逻辑架构如图1所示。

　　（1）第三方CA服务机构：第三方CA服务机构构建统一、自主可控、支持国密的行业CA，主要实现对行业代理和使用机构证书的管理，同时支撑行业机构向行业用户提供数字证书及密钥的生命周期管理服务。系统包括KMC密钥管理系统、根CA系统、运营CA系统和证书注册管理系统（中心RA、RA网关）、证书状态查询服务系统、目录服务管理系统（主LDAP、从LDAP）、CA运营管理系统及支撑系统运行的基础设施。整个系统采用分布式架构，可通过增加硬件的方式实现平滑扩容。行业CA公钥算法采用国密SM2算法，密钥长度256位;哈希算法采用SM3;对称加密算法采用SM4。

　　（2）行业机构：为了完成与第三方CA的对接，各行业机构构建RA注册管理系统及签名验签系统，实现证书签发及管理;各行业机构采用单向HTTPS协议实现与RA网关连接，所有的操作均需要行业机构进行签名，签名采用裸签方式。行业机构密钥存储需采用加密机或其他加密硬件设备方式存储。行业机构接入证书需向第三方CA服务机构提交申请，审核通过后由第三方CA机构进行发放;同时行业机构通过身份认证模块实现与公安部身份认证系统对接，以确认行业用户身份的真实性。

　　（3）证书用户：数字证书支持X509 V3格式，USBKey符合国家密码管理局相关规范;开发统一客户端，支持PC、移动终端，可实现多种浏览器、多种防病毒软件、多种操作系统的兼容;服务器证书、代码签名证书由第三CA的中心RA直接签发。

　　论文榜（www.zglwb.com），是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导，寻求投稿辅导代理，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。


期刊鉴别	论文检测	免费论文	特惠期刊	学术答疑	发表流程

搜索

统一、自主可控的行业CA建设