运营CA支持国密SM2算法升级方案分析.doc

运营 CA 支持国密 SM2 算法升级方案分析 1 升级背景随着 2004 年8月《中华人民共和国电子签名法》的出台,为我国网络信任体系的建设提供了法律依据,各地区域 CA 建设也进入了迅猛发展的时期。随着电子认证领域技术的不断更新,以及网络信任体系在国家信息安全领域重要性的不断增强,国家对于电子认证领域技术的标准化、规范化,也不断提出新的要求。 2010 年底国家密码管理局为满足电子认证服务系统等应用需求, 公开发布了 SM2 椭圆曲线公钥密码算法,并于 2011 年3月下发通知,要求各区域运营 CA 认证系统要在 2012 年7月前完成系统改造,实现支持新公布的 SM 2 算法的要求。 2 升级方案 方案综述为实现运营 CA 系统升级后支持 SM2 国密算法这一最主要要求,同时又能保证运营 CA 数字证书服务提供的连续性,本升级方案通过建设新的同时支持 RSA 与 SM2 算法的 CA 系统,来实现原有业务的平滑过渡,同时满足 SM2 国密算法支持的政策要求。在核心 CA 系统升级的同时,也要针对整个 CA 体系中,涉及密码算法的相关组成部分,如 KMC 系统、 RA 系统、 OCSP 系统,以及密码支撑设备密码机等,同步进行升级,以实现新国密算法的支持。升级方案详细描述如下。 升级方案在运营 CA 现有认证系统基础上,重新建设一套支持 RSA 与 SM2 双算法的 CA 系统,在平滑接管原有证书业务的同时,实现满足国密局对 SM2 算法支持的规范性要求。新建设的支持双算法的 CA 系统包含 CA 系统、 KMC 系统、 RA 系统、 OCS P 系统及新的同时支持 RSA 、 SM2 两种算法的加密机。新建设的双算法 CA 系统与原 CA 系统共用同一套目录服务系统实现数字证书与黑名单发布。建设完成后,原有 CA 系统的 RSA 证书数据都可以迁移到新的 CA 系统中, 在确认数据使用正常后,可废除原老版本 CA 系统,由新建设的双算法 CA 系统独立承担为运营 CA 用户提供数字证书服务,便于运营 CA 简化系统的管理与维护。这种升级建设方案,如果选择最终废除原有老系统,则涉及到原有系统数据迁移。且由于选择使用同时支持 RSA 与 SM2 算法的双算法支持加密