运营CA支持国密SM2算法升级方案分析1升级背景随着2004年8月《中华人民共和国电子签名法》的出台,为我国网络信任体系的建设提供了法律依据,各地区域CA建设也进入了迅猛发展的时期。随着电子认证领域技术的不断更新,以及网络信任体系在国家信息安全领域重要性的不断增强,国家对于电子认证领域技术的标准化、规范化,也不断提出新的要求。2010年底国家密码管理局为满足电子认证服务系统等应用需求,公开发布了SM2椭圆曲线公钥密码算法,并于2011年3月下发通知,要求各区域运营CA认证系统要在2012年7月前完成系统改造,实现支持新公布的SM2算法的要求。2升级方案2.1方案综述为实现运营CA系统升级后支持SM2国密算法这一最主要要求,同时又能保证运营CA数字证书服务提供的连续性,本升级方案通过建设新的同时支持RSA与SM2算法的CA系统,来实现原有业务的平滑过渡,同时满足SM2国密算法支持的政策要求。在核心CA系统升级的同时,也要针对整个CA体系中,涉及密码算法的相关组成部分,如KMC系统、RA系统、OCSP系统,以及密码支撑设备密码机等,同步进行升级,以实现新国密算法的支持。升级方案详细描述如下。2.2升级方案在运营CA现有认证系统基础上,重新建设一套支持RSA与SM2双算法的CA系统,在平滑接管原有证书业务的同时,实现满足国密局对SM2算法支持的规范性要求。新建设的支持双算法的CA系统包含CA系统、KMC系统、RA系统、OCSP系统及新的同时支持RSA、SM2两种算法的加密机。新建设的双算法CA系统与原CA系统共用同一套目录服务系统实现数字证书与黑名单发布。建设完成后,原有CA系统的RSA证书数据都可以迁移到新的CA系统中,在确认数据使用正常后,可废除原老版本CA系统,由新建设的双算法CA系统独立承担为运营CA用户提供数字证书服务,便于运营CA简化系统的管理与维护。这种升级建设方案,如果选择最终废除原有老系统,则涉及到原有系统数据迁移。且由于选择使用同时支持RSA与SM2算法的双算法支持加密机,同时也需要将原有单算法加密机中保存的原有RSA密钥导出,最终导入新加密机的密钥迁移。整体系统升级逻辑架构图如下:升级前升级后CA(RSA算法)目录服务系统(共用)RACA(双算法)废除密钥导入加密机(双算法)RA加密机(双算法)OCSP加密机(双算法)加密机(RSA算法)加密机(RSA算法)CA(RSA算法)加密机(RSA算法)目录服务系统RA加密机(RSA算法)OCSP加密机(RSA算法)密钥导入OCSP加密机(RSA算法)密钥导入3方案优势算法兼容性:通过建设一套新系统,同时支持RSA算法与国密SM2算法。维护便捷性:升级为支持双算法的CA系统后,由于原系统数据已迁移至新的CA系统,故原老版本CA系统可以废除,无论是升级后业务操作人员的日常操作还是系统维护,都只针对一套系统、一个入口,所以在升级后的系统操作、维护性上较为便捷。软硬件支撑环境复用性:由于升级为新的双算法CA系统后,原有CA系统不需要保留,因此可以完全利用原有CA系统所使用的软硬件支撑环境及网络部署环境,在节约升级费用的同时,也便于通过国密局安审。业务过渡连续性:升级为支持双算法的CA系统后,原CA系统签发的RSA算法证书数据可以安全迁移到新系统中,从而在支持新算法的同时,保证原有RSA算法证书用户其业务过渡的连续性。