旧网站入口 EN 搜索
Menu
>
>
基于协同签名的SSL服务端系统应用解决方案

来源:本站  日期:2020-01-09  点击

1.  方案背景

随着互联网以及移动互联网的飞速发展,网络信息技术全面融入社会生产生活。现今,用户使用互联网和移动互联网终端进行金融、证券交易已经十分普遍。如何保证用户敏感数据和交易过程的安全,具有十分重要的意义。

基于PKI技术的用户客户端认证技术对客户端私钥存储和管理要求极高。基于协同签名的SSL服务端系统能够配合协同签名客户端将客户端私钥分割为两部分,一部分在客户端存储和使用,一部分在服务端,提高了私钥存储、使用的安全性。

基于协同签名的SSL服务端系统其目标市场定位于国内的银行、保险、证券、交通、邮政、电子商务、移动通信等行业。


2.  应用场景

基于协同签名的SSL服务端系统具有数据加解密、签名/协同签名、验签、MAC、杂凑等功能,支持SM2/SM3/SM4国密算法,可为用户解决敏感信息机密性、完整性、有效性和不可抵赖等安全性问题。

因此,基于协同签名的SSL服务端系的主要应用场景非常广泛,典型的应用场景主要有:

  • 应用系统需要对业务中的敏感数据进行加密,如交易中的卡号、用户信息等进行加密保护

  • 应用系统需要对业务中的交互报文进行整体加密

  • ......


3.  产品定义

在基于协同签名的SSL服务端系统中,核心加密装置采用深圳市东进技术的服务器密码机作为硬件加密装置(产品型号为:SJJ1805),整个基于协同签名的SSL服务端系统运行的环境为Linux系统,主要功能有密钥管理、签名、验签、加密、解密等。

基于SJJ1805服务器密码机,并依据CN201410437599.5《适用于云计算的基于SM2算法的签名及解密方法和系统》实现了协同签名算法及接口。

基于协同签名的SSL服务端系统实现了用户协同签名密钥对的管理,并提供协同签名运算、加密、解密等功能,其关键算法由服务器密码机来完成。


4.  产品功能

  • 密钥管理

对密钥的生命周期进行管理,具体功能包括:随机密钥的生成、密钥的启用、密钥的联机分发、密钥的备份、密钥的归档以及密钥的销毁等功能。

  • 密码机管理

对密钥管理系统所挂载的密码机进行管理,具体功能包括:密码机分组管理、密码机的挂载与卸载、密码机使用的负载均衡处理。

  • 密码服务功能

提供加密、解密、转加密、获取密钥、密钥更新、计算数据MAC等密码服务功能。

  • 业务管理

提供应用管理、外部系统管理和终端管理功能,适应密管系统常用的应用场景。

  • 权限管理

东进协同签名服务器默认提供5种角色:超级管理员、业务管理员、业务操作员、审计管理员和审计员。安全审计。

对系统的所有操作日志进行审计,具体功能包括:审计日志的查询、下载和清理策略配置等功能。

  • 系统设置

对密钥的生成、备份、归档、定时任务周期等参数进行动态配置。


5.  产品特点

  • 支持国密算法

  • 支持协同签名

  • 具有融合的系统架构,能实现同时国际加密算法、国密算法的同步支持,以及标准SM2和协同签名SM2算法的同步支持,以便与各种不同密码体系的应用进行无缝对接

  • 稳定可靠性技术


6.  部署模式

基于协同签名的SSL部署图JPGxiaotu.jpg

说明:

1.   客户端调用协同签名SDK包生成密钥对(一个公钥,一个私钥分量1),用户唯一ID

2.   客户端通过业务系统的身份认证(原有系统),将密钥对和用户唯一ID发给业务系统

3.   业务系统调用协同签名SDK包,将密钥对和用户唯一ID发给协同签名服务器

4.   协同签名服务器通过密钥管理系统调用加密机生成私钥分量2和证书请求文件

5.   密钥管理系统向CA发送证书请求文件,CA返回国密证书,密钥管理系统将用户ID,公钥,国密证书,私钥分量2保存在数据库中。

6.   协同签名服务器将国密证书发给业务系统。

7.   业务系统将国密证书发给客户端。


7. 系统方案架构

系统具体系统架构如下:

 1.png


说明:

1.    客户端部署安全SDK包(支持Windows/Andriod/IOS操作系统),提供JAVA/C本地API开发接口供客户端程序调用,实现协同签名、数据加密以及解密服务。

2.   平台侧部署东进SSLGW-2000网关,该网关主要实现以下功能:

  • 客户端的SSL协议的卸载

  • 提供SM1、SM2、SM3、SM4算法

  • 进行客户数字证书身份认证

3.    平台侧部署东进统一认证平台,该平台主要实现以下功能:

  • 为平台系统提供高并发、负载均衡的密钥生命周期管理功能,主要包括:密钥的生成、存储、使用和销毁

  • 为平台系统提供数字证书管理功能

  • 调用东进服务器密码机接口,实现密钥的物理生成、安全存储和安全访问

  • 提供协同签名算法、签名以及验签、数据加密以及解密

4.    平台侧部署东进服务器密码机,该设备主要实现以下功能:

  • 密钥的生命周期管理

  • 密码运算

5      平台侧部署业务系统,业务系统主要实现以下功能:

  • 数字证书签发时的用户标识认证

  • 用户数据库的用户标识查找


8.  方案工作流程

8.1 密钥生成和证书分发流程

2.png

1 . 客户端调用协同签名SDK包生成密钥对(一个公钥分量,一个私钥分量1),用户唯一ID

2 . 客户端通过业务系统的身份认证(原有系统),将密钥对和用户唯一ID发给业务系统

3 . 业务系统调用协同签名SDK包,将密钥对和用户唯一ID发给统一认证系统的协同签名服务器

4 . 协同签名服务器通过密钥管理系统调用加密机生成私钥分量2和证书请求文件

5 . 证书请求文件返回给业务系统

6. 业务系统向统一认证系统的CA发送证书请求文件,CA返回国密证书,密钥管理系统将用户ID,公钥,国密证书,私钥分量2保存在数据库中

7. 协同签名服务器将国密证书发给业务系统

8. 业务系统将国密证书发给客户端


8.2  业务数据加密流程

1. 客户端和SSL VPN设备进行SSL通讯。具体SSL握手流程如下图:


3.png

 

2. 客户端通过SSL安全通道,将用户交易数据加密发送给综合安全网关

3. 综合安全网关收到用户交易数据,进行解密,发送给业务平台

4. 业务平台发送数据给综合安全网关,综合安全网关通过SSL安全通道,将数据加密发送给客户端


8.3 密钥销毁和证书撤销流程

1.  管理员登录东进密钥管理系统

2.  通过WEB界面选中对应的用户密钥,选择销毁密钥。

3.  密钥管理系统将证书和私钥参数移动到删除数据库中,并向CA服务器申请注销证书。


9.   适应产品

本方案适应以下产品:

  • 基于协同签名的SSL服务端系统

 

 


相关产品 / Related Products
  • SSL VPN网关 SSLGW-2000
    东进SSL VPN网关(SSLGW-2000)是东进技术自主研发的网络安全应用产品,为企业用户提供了完善的内部网络或应用程序的安全远程接入服务以及企业各分支机构局域网之间的端对端数据安全传输和安全访问...
    了解更多
亿鸽在线客服系统