预览加载中,请您耐心等待几秒...

运营CA支持国密SM2算法升级方案分析.docx

预览
1/3
2/3
3/3

在线预览结束,喜欢就下载吧,查找使用更方便

下载提示 文本预览

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

运营CA支持国密SM2算法升级方案分析 升级背景 随着2004年8月《中华人民共和国电子签名法》的出台,为我国网络信任体系的建设提供了法律依据,各地区域CA建设也进入了迅猛发展的时期。 随着电子认证领域技术的不断更新,以及网络信任体系在国家信息安全领域重要性的不断增强,国家对于电子认证领域技术的标准化、规范化,也不断提出新的要求。2010年底国家密码管理局为满足电子认证服务系统等应用需求,公开发布了SM2椭圆曲线公钥密码算法,并于2011年3月下发通知,要求各区域运营CA认证系统要在2012年7月前完成系统改造,实现支持新公布的SM2算法的要求。 升级方案 方案综述 为实现运营CA系统升级后支持SM2国密算法这一最主要要求,同时又能保证运营CA数字证书服务提供的连续性,本升级方案通过建设新的同时支持RSA与SM2算法的CA系统,来实现原有业务的平滑过渡,同时满足SM2国密算法支持的政策要求。 在核心CA系统升级的同时,也要针对整个CA体系中,涉及密码算法的相关组成部分,如KMC系统、RA系统、OCSP系统,以及密码支撑设备密码机等,同步进行升级,以实现新国密算法的支持。 升级方案详细描述如下。 升级方案 在运营CA现有认证系统基础上,重新建设一套支持RSA与SM2双算法的CA系统,在平滑接管原有证书业务的同时,实现满足国密局对SM2算法支持的规范性要求。 新建设的支持双算法的CA系统包含CA系统、KMC系统、RA系统、OCSP系统及新的同时支持RSA、SM2两种算法的加密机。 新建设的双算法CA系统与原CA系统共用同一套目录服务系统实现数字证书与黑名单发布。 建设完成后,原有CA系统的RSA证书数据都可以迁移到新的CA系统中,在确认数据使用正常后,可废除原老版本CA系统,由新建设的双算法CA系统独立承担为运营CA用户提供数字证书服务,便于运营CA简化系统的管理与维护。 这种升级建设方案,如果选择最终废除原有老系统,则涉及到原有系统数据迁移。且由于选择使用同时支持RSA与SM2算法的双算法支持加密机,同时也需要将原有单算法加密机中保存的原有RSA密钥导出,最终导入新加密机的密钥迁移。 整体系统升级逻辑架构图如下: 方案优势 算法兼容性:通过建设一套新系统,同时支持RSA算法与国密SM2算法。 维护便捷性:升级为支持双算法的CA系统后,由于原系统数据已迁移至新的CA系统,故原老版本CA系统可以废除,无论是升级后业务操作人员的日常操作还是系统维护,都只针对一套系统、一个入口,所以在升级后的系统操作、维护性上较为便捷。 软硬件支撑环境复用性:由于升级为新的双算法CA系统后,原有CA系统不需要保留,因此可以完全利用原有CA系统所使用的软硬件支撑环境及网络部署环境,在节约升级费用的同时,也便于通过国密局安审。 业务过渡连续性:升级为支持双算法的CA系统后,原CA系统签发的RSA算法证书数据可以安全迁移到新系统中,从而在支持新算法的同时,保证原有RSA算法证书用户其业务过渡的连续性。