產品背景

• 隨著移動互聯網的日趨完善以及智能終端的迅速普及，傳統互聯網應用向無線領域不斷延伸和發展，移動應用全方位地改變著網民的生活習慣。但移動支付、移動辦公等應用在給用戶帶來巨大便利的同時，安全問題也日益凸顯。其中身份認證就是一個迫切需要解決的問題。
• 隨著工業互聯網和物聯網的發展、智慧城市的建設，以及智能家居的普及，物聯網的安全性問題也慢慢凸顯。在物聯網應用領域，由于大部分的通信由服務器與終端，以及終端與終端之間的信息傳遞來完成，因此對服務器和終端的強身份認證、所傳輸數據的完整性和保密性、以及通信行為的不可否認性和可追溯性都有很高的要求。
• 智能網聯汽車作為物聯網在智能交通領域的典型應用，其產業鏈覆蓋“兩端一云”，涵蓋器件設備生產商、整車廠商、軟硬件技術提供商、通信服務商、信息服務提供商等，車聯網產業鏈較長且每個環節都會最終影響智能網聯汽車的整體安全性。因此，建立汽車電子系統的PKI安全防護體系時應從整體出發，將硬件生產、軟件加載、云端服務等眾多環節納入設計范圍之內。
• 基于數字證書的安全防護體系，能從技術上解決使用各種終端設備進行業務操作時的身份認證問題、安全傳輸問題、以及抗抵賴問題，從而為各種互聯網應用筑起一道網絡安全防線，為移動辦公、車聯網、物聯網、電子商務、內部管控等業務工作的安全發展保駕護航。

產品概述

• CDS是數字證書綜合管理系統，集證書管理、用戶管理、終端管理、介質管理、服務管理、認證控制、在線服務、用戶操作于一體的證書綜合管理服務平臺。
• CDS分為CDS-M、CDS-S、證書助手三大子統。
• CDS-M是證書綜合管理系統的管理端，給證書服務系統提供管理功能。管理員可在CDS-M上進行用戶、證書、終端、介質、客戶端、策略、參數等資源的直接管理。系統提供批量導入、批量導出、批量更新等方便、快捷操作。
• CDS-S是證書綜合管理系統的服務端，為證書助手提供證書和策略等服務。
• 證書助手是一個具備證書管理、證書應用、SSL代理和VPN隧道、環境修復等多種能力的綜合應用。圍繞數字證書，借助多種手段實現在線的信息安全和離線的信息安全，最大化PKI帶來的安全收益，同時由于具備獨立的在線證書管理能力，能夠最小化數字證書的管理成本，是一個安全、效率雙贏的信息安全平臺。

建設內容

證書自助管理

• 物聯網設備
  • 提供一整套安全管理機制及輕量級運算庫幫助物聯網設備在計算能?有限、平臺多樣性等條件下保障信息交互安全、終端身份認證等安全體驗。
• 個人證書管理
  • 實現對個人電腦證書自助管理，替代online，對不方便、使用復雜等場景進行優化，可達到用戶在個人電腦也能自行管理，申請發放證書、更新證書、延期證書、廢除證書的證書生命周期管理。
  • 對于不需要用戶參與的環境，也可強制用戶自助更新和更新證書。
• 移動證書管理
  • 實現對移動證書自助管理，在移動端實現申請發放證書、更新證書、延期證書、廢除證書的證書生命周期管理。

證書監管審計

• 證書統計
  • 證書發放之后，管理員統計證書發放數量、廢除數量、更新數量，并且可以查看待過期證書。
• 介質丟失
  • 介質丟失之后，管理員可以幫助用戶進行注銷，并可鎖定介質。用戶可通過新注冊過程重新發放證書。
• 介質鎖定
  • 在日常使用過程中，用戶在無意的情況下鎖定介質或者遺忘用戶PIN碼，可方便的通過自助終端進行找回PIN碼操作。
• 證書管控
  • 在安全要求更高的項目中，不允許用戶把證書在不安全的電腦中使用，可通過對終端的控制，屏蔽掉非受信任的終端進行使用證書，使其達到安全可用的目的。
• 證書審計
  • 證書發放過程會記錄詳細的信息，方便追蹤用戶軌跡，并且記錄證書、資源、介質、終端信息的歷史軌跡。對于軟介質應提供密鑰服務審計，方便進行密鑰使用過程的追蹤。

國密算法推進

• 在國產化推進過程中，只有運用具有自主知識產權的密碼產品和技術，才能保障國家關鍵信息基礎設施的安全，同時SM2算法在計算強度和保密強度上都遠遠勝過1024/2048位的RSA公鑰密碼算法，SM2算法升級對提升移動辦公安全具有實際意義。

密碼模塊推進

• 為保障移動辦公的安全性和滿足國家對于國產密碼算法的推進，基于國產密碼算法的數字證書的終端接入實現了移動端的高強度身份認證。同時，在移動智能設備上部署的移動端國產密碼安全運算模塊利用分片密碼技術，保證密鑰存儲的安全和國產密碼運算的安全，提高密鑰使用的便利性。并且國家密碼管理局頒布了GM/T 0028-2014《密碼模塊安全技術要求》和GM/T 0039-2015《密碼模塊安全檢測要求》，針對客戶端使用軟密鑰的安全性進行了明確要求，從而指導各廠商在滿足相關安全要求的前提下給用戶提供更適合的安全解決方案。
• 密碼模塊提供基于SKF的接口，和傳統硬件介質提供一樣的密碼服務，方便的適配于各個應用環境。

方案特點

• 可信合法的電子簽名
  • 《中華人民共和國電子簽名法》第十四條規定“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”；
  • 格爾證書助手模塊支持采用數字證書對應用數據進行數字簽名，符合《中華人民共和國電子簽名法》要求；
• 基于移動終端的證書解決方案
  • 由于每個人都有手持設備，無需攜帶額外設備，用戶在手持設備上操作即可完成數字證書管理，操作簡單方便；還支持介質鎖定與解鎖；
• 多平臺支持方案
  • 支持多環境平臺，產品支持Linux、Windows、Android、IOS等主流操作系統，方便應對不同平臺需求；
• 可擴展的多種用戶認證模式
  • 可靈活支持基于移動設備的各類認證手段，用戶名口令認證、人臉識別認證、手機短信認證、簽名驗簽認證等方式，可擴展與OAuth2.0對接，實現第三方登錄認證的方式；
• 安全密鑰協同技術
  • 將密鑰拆分成兩個部分，分別存儲在服務端和客戶端，使用時進行協作計算，密鑰不會在任何一方完整出現，即參與運算的任何一方都不會拿到完整的密鑰；使用簽名或解密時，客戶端需要和服務端一起協助運算，分別由客戶端和服務端進行簽名或解密，并把結果組合在一起形成最終的簽名或解密結果；簽名結果可通過證書進行驗簽；
• 安全密鑰存儲技術
  • 密鑰存儲技術分別保存，服務端密鑰功能設計遵循“分層結構，逐層保護”的安全原則，采用三層密鑰保護體系，主密鑰受硬件密碼機保護；客戶端密鑰使用本地特征碼和用戶PIN碼進行保護使用，客戶端密鑰的使用都需要通過用戶的許可進行使用，充分的保障了密鑰的安全；
• 符合國密標準安全
  • 安全密碼模塊支持國密SM2、SM3、SM4算法，SM2算法，用于簽名驗簽，證書驗證，密鑰協商；SM3算法，用于數據報文的完整性檢查；SM4算法，用于傳輸數據的加解密；使用接口符合國密《智能密碼鑰匙密碼應用接口規范》；
• 基于PKI技術的安全方案
  • 基于標準的PKI/CA機制的數字簽名技術，與傳統的數字證書應用方式和數據格式完全兼容；
• 支持SSL代理和VPN技術
  • 證書助手配合網關實現對應用的安全保護，針對不同應用要求，提供SSL代理和VPN技術保護。