运营CA支持国密SM2算法升级方案分析.doc

运营 CA 支持国密 SM2 算法升级方案分析 1升级背景升级背景 随着 2004 年 8 月中华人民共和国电子签名法的出台，为我国网络信任 体系的建设提供了法律依据，各地区域 CA 建设也进入了迅猛发展的时期。 随着电子认证领域技术的不断更新，以及网络信任体系在国家信息安全领 域重要性的不断增强，国家对于电子认证领域技术的标准化、规范化，也不断 提出新的要求。2010 年底国家密码管理局为满足电子认证服务系统等应用需求， 公开发布了 SM2 椭圆曲线公钥密码算法，并于 2011 年 3 月下发通知，要求各 区域运营 CA 认证系统要在 2012 年 7 月前完成系统改造，实现支持新公布的 SM2 算法的要求。 2升级方案升级方案 2.1 方案综述方案综述 为实现运营 CA 系统升级后支持 SM2 国密算法这一最主要要求，同时又能 保证运营 CA 数字证书服务提供的连续性，本升级方案通过建设新的同时支持 RSA 与 SM2 算法的 CA 系统，来实现原有业务的平滑过渡，同时满足 SM2 国 密算法支持的政策要求。 在核心 CA 系统升级的同时，也要针对整个 CA 体系中，涉及密码算法的相 关组成部分，如 KMC 系统、RA 系统、OCSP 系统，以及密码支撑设备密码机 等，同步进行升级，以实现新国密算法的支持。 升级方案详细描述如下。 2.2 升级方案升级方案 在运营 CA 现有认证系统基础上，重新建设一套支持 RSA 与 SM2 双算法 的 CA 系统，在平滑接管原有证书业务的同时，实现满足国密局对 SM2 算法支 持的规范性要求。 新建设的支持双算法的 CA 系统包含 CA 系统、KMC 系统、RA 系统、 OCSP 系统及新的同时支持 RSA、SM2 两种算法的加密机。 新建设的双算法 CA 系统与原 CA 系统共用同一套目录服务系统实现数字证 书与黑名单发布。 建设完成后，原有 CA 系统的 RSA 证书数据都可以迁移到新的 CA 系统中， 在确认数据使用正常后，可废除原老版本 CA 系统，由新建设的双算法 CA 系 统独立承担为运营 CA 用户提供数字证书服务，便于运营 CA 简化系统的管理 与维护。 这种升级建设方案，如果选择最终废除原有老系统，则涉及到原有系统数 据迁移。且由于选择使用同时支持 RSA 与 SM2 算法的双算法支持加密机，同 时也需要将原有单算法加密机中保存的原有 RSA 密钥导出，最终导入新加密机 的密钥迁移。 整体系统升级逻辑架构图如下： 升级前升级后 CA （RSA算法） 目录服务系统 （共用） RA CA （双算法） 废除 密钥导入 加密机 （双算法） RA 加密机 （双算法） OCSP 加密机 （双算法） 加密机 （RSA算法） 加密机 （RSA算法） CA （RSA算法） 加密机 （RSA算法） 目录服务系统 RA 加密机 （RSA算法） OCSP 加密机 （RSA算法） 密钥导入 OCSP 加密机 （RSA算法） 密钥导入 3方案优势方案优势 算法兼容性：通过建设一套新系统，同时支持 RSA 算法与国密 SM2 算法。 维护便捷性：升级为支持双算法的 CA 系统后，由于原系统数据已迁移至新 的 CA 系统，故原老版本 CA 系统可以废除，无论是升级后业务操作人员的日常 操作还是系统维护，都只针对一套系统、一个入口，所以在升级后的系统操作、 维护性上较为便捷。 软硬件支撑环境复用性：由于升级为新的双算法 CA 系统后，原有 CA 系统 不需要保留，因此可以完全利用原有 CA 系统所使用的软硬件支撑环境及网络部 署环境，在节约升级费用的同时，也便于通过国密局安审。 业务过渡连续性：升级为支持双