运营CA支持国密SM2算法升级方案分析

运营CA支持国密SM2算法升级方案分析1升级背景随着2004年8月《中华人民共和国电子签名法》的出台，为我国网络信任体系的建设提供了法律依据，各地区域CA建设也进入了迅猛发展的时期。随着电子认证领域技术的不断更新，以及网络信任体系在国家信息安全领域重要性的不断增强，国家对于电子认证领域技术的标准化、规范化，也不断提出新的要求。2010年底国家密码管理局为满足电子认证服务系统等应用需求，公开发布了SM2椭圆曲线公钥密码算法，并于2011年3月下发通知，要求各区域运营CA认证系统要在2012年7月前完成系统改造，实现支持新公布的SM2算法的要求。2升级方案2.1方案综述为实现运营CA系统升级后支持SM2国密算法这一最主要要求，同时又能保证运营CA数字证书服务提供的连续性，本升级方案通过建设新的同时支持RSA与SM2算法的CA系统，来实现原有业务的平滑过渡，同时满足SM2国密算法支持的政策要求。在核心CA系统升级的同时，也要针对整个CA体系中，涉及密码算法的相关组成部分，如KMC系统、RA系统、OCSP系统，以及密码支撑设备密码机等，同步进行升级，以实现新国密算法的支持。升级方案详细描述如下。2.2升级方案在运营CA现有认证系统基础上，重新建设一套支持RSA与SM2双算法的CA系统，在平滑接管原有证书业务的同时，实现满足国密局对SM2算法支持的规范性要求。新建设的支持双算法的CA系统包含CA系统、KMC系统、RA系统、OCSP系统及新的同时支持RSA、SM2两种算法的加密机。新建设的双算法CA系统与原CA系统共用同一套目录服务系统实现数字证书与黑名单发布。建设完成后，原有CA系统的RSA证书数据都可以迁移到新的CA系统中，在确认数据使用正常后，可废除原老版本CA系统，由新建设的双算法CA系统独立承担为运营CA用户提供数字证书服务，便于运营CA简化系统的管理与维护。这种升级建设方案，如果选择最终废除原有老系统，则涉及到原有系统数据迁移。且由于选择使用同时支持RSA与SM2算法的双算法支持加密机，同时也需要将原有单算法加密机中保存的原有RSA密钥导出，最终导入新加密机的密钥迁移。整体系统升级逻辑架构图如下：升级前升级后CA（RSA算法）目录服务系统（共用）RACA（双算法）废除密钥导入加密机（双算法）RA加密机（双算法）OCSP加密机（双算法）加密机（RSA算法）加密机（RSA算法）CA（RSA算法）加密机（RSA算法）目录服务系统RA加密机（RSA算法）OCSP加密机（RSA算法）密钥导入OCSP加密机（RSA算法）密钥导入3方案优势算法兼容性：通过建设一套新系统，同时支持RSA算法与国密SM2算法。维护便捷性：升级为支持双算法的CA系统后，由于原系统数据已迁移至新的CA系统，故原老版本CA系统可以废除，无论是升级后业务操作人员的日常操作还是系统维护，都只针对一套系统、一个入口，所以在升级后的系统操作、维护性上较为便捷。软硬件支撑环境复用性：由于升级为新的双算法CA系统后，原有CA系统不需要保留，因此可以完全利用原有CA系统所使用的软硬件支撑环境及网络部署环境，在节约升级费用的同时，也便于通过国密局安审。业务过渡连续性：升级为支持双算法的CA系统后，原CA系统签发的RSA算法证书数据可以安全迁移到新系统中，从而在支持新算法的同时，保证原有RSA算法证书用户其业务过渡的连续性。