湖南省数字证书认证中心建设可行性研究.doc

湖南省数字证书认证中心建设可行性研究.doc

《湖南省数字证书认证中心建设可行性研究.doc》由会员分享，可在线阅读，更多相关《湖南省数字证书认证中心建设可行性研究.doc（11页珍藏版）》请在冰豆网上搜索。

湖南省数字证书认证中心建设可行性研究

近年来，网络正快速渗透到人们的生活、工作和学习之中。

基于网络，特别是Internet的电子政务、电子商务的发展，更是体现了网络对人们生活的巨大影响，真正实现了足不出户，网上办公了解天下事，全球购物的梦想。

而目前制约电子政务、电子商务发展的最大瓶颈则是网上信息安全，包括数据交换的主客体、电子交易方的身份认证和信息的安全传输等。

从中国互联网络信息中心公布的中国互联网发展统计数据分析，中国现有网民对网络安全表示满意的只占21%，有35%的人认为目前网上交易存在的最大问题是安全性得不到保障。

网络的安全，信息交换的安全已经严重地影响到电子商务、电子政务的发展，而CA认证正是为解决这一些问题而发展起来。

　　一、项目建设的必要性

　　湖南省数字证书认证（Hunan certification Authority ,HNCA）中心是我省信息化建设的基础设施，将为全省电子政务、电子商务活动提供强有力的安全保障，其建设十分迫切和必要。

　　1、CA中心是信息化建设中的战略要地

　　随着信息化程度的提高，信息化在推动社会经济发展中所起的作用起来越来越明显。

各行业各部门在享受信息化所带来益处的同时，也明显产生了对其的依赖。

而在信息化的各种应用中人们逐渐感觉到信息安全的重要。

正是在这种情况下，基于PKI公开密钥基础设施技术的CA认证中心应运而生。

上世纪90年代初以来，全国各省区、各行业先后建立了基于不同应用的区域性CA中心，行业CA中心，纷纷抢占这一信息化建设的战略要地，为的就是能在当前和今后的信息化建设中掌握主动，争得先机。

按照国家电子政务规划，连接各区域性、行业性CA中心的国家桥CA正在由国家信息中心筹建。

可以预见，区域性CA中心将在各省信息化建设中发挥越来越重要的作用，因此，其建设具有重要的战略意义。

　　2、CA中心是信息化建设的安全基础设施

　　随着信息技术的广泛应用和电子政务、电子商务的广泛开展，网络安全、信息安全日显重要。

人们在享受网络所带来的快捷、高效、便利的同时，无时无刻不受到网络安全隐患的威胁，诸如重要数据、文件资料等在传输中容易被篡改或泄密，假冒或抵赖等网络欺诈行为时有发生等。

CA中心即是顺应这种网络安全的需要而建立的公共认证系统，是为信息化建设提供安全保障的基础设施之一。

　　3、CA中心是电子政务的必然要求

　　国家信息化领导小组《关于我国电子政务建设指导意见》决定，电子政务建设将是今后一个时期我国信息化工作的重点，而电子政务建设将主要围绕“1个政府门户网络、2个电子政务网络平台、4个基础数据库和12大重点信息化工程”开展。

数字证书中心即是为了保障诸如电子政务外网平台和重点信息化工程的安全正常运转而构建的基础系统。

如政府网上招标采购、企业网上报税、报关、网上工商登记和年检、网上联合审批等应用，必须以数字证书系统作为安全保障。

　　4、CA中心是电子商务的先决条件

　　随着互联网的普及应用，网上购物、网上拍卖、网上炒股、网上保险、网上银行、呼叫服务等电子商务活动都获得空前的发展，而确保这些活动能安全正常地进行，数字证书是必不可少的先决条件。

数字认证是为解决电子商务等网上信息交换中的安全问题，而建立的一个第三方权威认证系统，可以为网络应用各方提供身份认证、信息加密，保证网上作业的不可否认、信息的完整等，降低网上交易风险，为网上交易可能发生的纠纷提供解决办法。

　　总之，从湖南社会、经济和信息产业发展看，综合电子政务、电子商务等网络应用的需求分析，湖南省数字认证中心是一个具有公益性的网络安全基础设施，其建设是十分迫切和必要的。

二、项目建设的总体框架

　　HNCA的总体目标是为了向在互联网、办公专网以及普通的单位局域网等网络上的服务提供商、用户、各类网络设备、服务器、用户终端等提供数字证书服务，支持电子商务的各种模式和电子政务，为省内和地区范围内的电子商务和电子政务活动提供安全、可信的平台，并且可以实现与其它方面CA的交叉认证。

近期的建设目标是建设认证中心和密钥管理中心。

将采用国家密码管理委员会办公室批准的产品构建系统。

　　1、HNCA的总体结构

　　                                图1 HNCA认证系统总体结构

       第一级为HNCA中心，其中包括密钥管理中心，它实现签发用户证书、管理证书和CRL（证书撤销列表），提供密钥管理服务、证书状态查询服务等功能；

　　第二级为注册中心（RA中心），可根据地理位置以地区为界设置多个，主要完成接受用户申请、审核、证书制作等功能，以后也可根据其它合作部门的行业需求，让第三方代办审核受理业务；

　　第三级是最终证书用户。

　　2、HNCA中心

　　为了确保认证系统的安全性、可靠性、高效性、可扩展性，HNCA中心设计为二层结构，包括根CA和第二层CA。

　　根CA是HNCA的根结点，也是全部HNCA认证体系的信任源头。

根CA负责制定和审批总体政策（Pocicy）、签发并管理第二层CA的证书，与其他根CA进行交叉认证等；第二层CA的职责是直接给最终用户签发支持各种应用的数字证书，并管理下级证书受理机构和其所发证书和证书撤销列表。

图2 HNCA总体结构

　　根CA作为HNCA中心信用的根，也称之为政策CA，它负责为第二层CA制定政策，为第二层CA签发证书及CRL，同时还负责与其它区域性CA、行业CA及其它国家的根CA进行交叉验证。

第二层CA是操作CA，它面向最终用户，直接为用户签发、管理用于各种用途的数字证书及CRL。

如果以后希望为其它行业或地区提供认证服务，就可以从根CA下面建立新的操作CA，也可以在第二层CA中建立逻辑CA。

　　当证书的签发数量增加到一定程度时，可以建立新的操作CA或逻辑CA，根据证书的用途将不同用途（或种类）的证书分别由不同的操作CA或逻辑CA进行签发和管理，这样可提供管理上的方便，同时也会使系统的效率提高。

　　HNCA认证体系中的根CA设计为离线操作，该CA无需频繁发证，其CRL发布亦不会频繁，比如每月一次。

信息和文件的传递以软盘/光盘的形式按标准协议进行。

第二层CA需要经常地发证并且需要迅速响应，所以第二层CA必须在线操作，采用在线操作的协议。

　　证书和CRL分布于一个支持X·500协议标准的目录服务器中。

证书和CRL的查询通过LDAP协议实现。

最终用户向RA中心申请登记，RA中心向审核通过的用户发放由第二层CA提供的授权码，与CA之间的信息通道由SPKM协议保护。

用户从第二层CA在线下载证书，其下载过程遵循PKCS#7协议。

　　3、HNCA设计的功能和性能

　　①根CA功能

　　根CA负责制定和审批湖南CA认证中心体系的总体政策。

签发并管理第二层CA的证书，并与其它根CA进行交叉认证。

根CA是湖南CA认证中心体系的信用源头，在整个CA信用结构中具有两个作用。

第一，通过给第二层CA发证，将其信用权威纵向下传，第二，通过与其它根CA的交叉认证，将其信用范围扩展。

根CA的发证量小，其CRL的发布量小且更新周期长，可暂设为一个月，现有设计配置肯定能够满足需求，同时有足够的扩充冗余。

②HNCA中心第二层CA的功能

　　第二层CA负责直接给最终用户发放支持各种应用的数字证书，并管理HNCA的下级证书申请受理机构及其所发证书和CRL。

在HNCA认证体系的信用结构中，第二层CA负责将上级CA的信用通过向大量最终用户发证纵向扩散。

　　第二层CA最重要的性能指标是其发放和管理证书及CRL的能力。

第二层CA的证书发放和管理能力可以根据湖南省CA所面临的电子商务和电子政务活动的快速增长需求进行配置，实际上将采用的系统配置支持300万张证书的发放和管理，为系统提供充分冗余（注：

湖南省CA项目拟分三期建设：

一期建立湖南省CA根和一个运营CA，一个RA以及多个证书受理点，发证量为30万张证书；二期建立其它运营CA和RA，发证量为100万张；三期扩充发证量为300万张）。

　　第二层CA另一重要的性能指标是处理证书和CRL查询的能力。

根据实际测试结果，拟采用的系统的处理查询能力为50000次以上/小时。

对于单一查询的最佳应答时间为0.03秒。

　　③HNCA密钥管理中心

　　密钥的安全管理是CA系统安全性的重要组成部分。

CA系统的安全运营依赖于密钥管理的各个环节，密钥管理包括密钥的生成、备份、保存、使用、传递、更新及销毁等，其中任何一个环节遭到破坏都将严重危及CA系统的安全运营，甚至摧毁整个CA系统。

HNCA的密钥管理中心提供密钥管理服务，按国家商用密码管理政策，归口省委办公厅机要局管理。

　　④HNCA的RA系统

　　HNCA的RA系统功能主要包括：

　　●进行用户身份信息的审核，确保其真实性；

　　●本区域用户身份信息管理和维护；

　　●证书硬件载体的制作；

　　●数字证书的下载；

　　●数字证书的发放和管理；

　　●受理点的审核与管理。

　　⑤HNCA受理点

　　HNCA受理点主要功能：

　　●收集和管理申请人申报材料和信息；

　　●录入证书申请者身份信息；

　　●初步审核与提交自然人身份信息；

　　●下载数字证书并制证

　　●发放数字证书

　　三、项目建设投资

　　1、投资规模

　　HNCA项目总投资1000万元（包括现金与非现金投入），其中：

　　●硬件设备300万元

　　●软件费用180万元

　　●机房装修120万元

　　●筹备工作费用30万元

　　●流动资金160万元

　　2、经费来源

　　本项目建设采取自筹资金及争取政府支持方式建设，并可根据实际运作情况采取多种方式筹措资金。

资金来源主要包括：

　　●争取国家政策性投资

　　●自筹部分资金

　　●引入投资公司或上市公司资本

　　●其它社会上的资金

　　3、投资结构

本项目建设以市场化方式运作，在湖南省数字证书认证中心下面设立有限责任公司，初步设定公司股本结构为：

中心投入300万元现金，无形资产投入210万元（主要包括：

12年130平方米机房场地使用权，12年专有网络线路接入，双向电源提供，机房外围良好的环境和24小时值班，12年CA特许经营权），占总股本的51%；引入社会资金490万元，占总股本的49%。

四、项目可行性研究

　　1、国内外CA中心建设现状

　　①CA在发达国家和地区的发展状况

　　国外许多发达国家和地区的政府根据网络经济的发展现状和未来趋势，十分重视本国的数字证书体系建设。

　　●法国于1999年采取政府授权，民间组织运作的方式开展CA认证，主要市场是大型企业集团、银行等电子商务交易。

　　●美国于1997年采取民间组织、市场运作的方式开展CA认证，主要市场是企业、银行和个人网上商务交易活动。

　　●新加坡于1999年采取政府授权，民间组织参与运作的方式开始CA认证，主要应用于银行、电子政务、土地管理和专利管理等领域。

　　●香港CA工作由香港特区政府邮政署负责，香港特别行政区2000年11月5日通过电子交易条例，其中第34条：

邮政署是个人可核证机关。

政府目标是促进电子商务在香港的发展，进行公开密钥基础设施建设，支援香港整个社区的信息化建设。

香港CA证书的应用领域有：

政府采购、网上密件传送服务（包括电子理财、商业管理、申请执照/证书、登记服务、预约申请、香港赛马会、网上证券交易）。

　　以上这些发达国家和地区开展CA认证的主要特点是：

政府有关部门或民间组织制定和发布有关的电子交易法规和CA认证管理办法，采用国际有关组织发布的技术和规范操作，根据有关法律法规审批CA认证机构。

　　②国内CA建设与应用现状

　　CA认证在我国开展已有近5年历史。

随着Internet的普及，伴随着电子政务、电子商务的发展，我国CA认证市场逐步从培育走向成长发展期。

近几年全国已经投入运作的各类CA认证中心有30多家，证书发证量已达200余万张，产生了明显的社会和经济效