CA認(rèn)證系統(tǒng)設(shè)計(jì)_第1頁(yè)
CA認(rèn)證系統(tǒng)設(shè)計(jì)_第2頁(yè)
CA認(rèn)證系統(tǒng)設(shè)計(jì)_第3頁(yè)
CA認(rèn)證系統(tǒng)設(shè)計(jì)_第4頁(yè)
CA認(rèn)證系統(tǒng)設(shè)計(jì)_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

經(jīng)典word整理文檔,僅參考,雙擊此處可刪除頁(yè)眉頁(yè)腳。本資料屬于網(wǎng)絡(luò)整理,如有侵權(quán),請(qǐng)聯(lián)系刪除,謝謝!CA認(rèn)證系統(tǒng)設(shè)計(jì)1.1系統(tǒng)簡(jiǎn)介本系統(tǒng)是參照國(guó)際領(lǐng)先的CA系統(tǒng)的設(shè)計(jì)思想,繼承了國(guó)際領(lǐng)先CA系統(tǒng)的成熟性、先進(jìn)性、安全可靠及可擴(kuò)展性,自主開發(fā)的、享有完全自主知識(shí)產(chǎn)權(quán)的數(shù)字證書服務(wù)系統(tǒng)。系統(tǒng)具有完善的功能,能夠完成從企業(yè)自主建立標(biāo)準(zhǔn)CA到政府、行業(yè)建立大型服務(wù)型CA等全面的需求。CARACA管理員、注冊(cè)中心()、認(rèn)證中心(CA)等構(gòu)成,其中注冊(cè)中心(RA)和認(rèn)證中心(CA)又包含相應(yīng)的模塊,系統(tǒng)架構(gòu)如下圖:圖1CA系統(tǒng)模塊架構(gòu)圖CA系統(tǒng)能提供完善的功能,包括:證書簽發(fā)、證書生命周期管理、證書吊銷列表()查詢服務(wù)、目錄查詢服務(wù)、CA管理、密鑰管理和日志審計(jì)等全面的功能。CA系統(tǒng)按照用戶數(shù)量的不同分為小型iTrusCA、標(biāo)準(zhǔn)型iTrusCA、企業(yè)型iTrusCA和大型iTrusCA,不同類型系統(tǒng)的網(wǎng)絡(luò)建設(shè)架構(gòu)是不同的。CA系統(tǒng)具有下列特點(diǎn):A.符合國(guó)際和行標(biāo)準(zhǔn);B.證書類型多樣性及靈活配置。能夠發(fā)放包括郵件證書、個(gè)人身份證書、企業(yè)證書、服務(wù)器證書、代碼簽名證書和VPN證書等各種類型的證書;C.靈活的認(rèn)證體系配置。系統(tǒng)支持樹狀的客戶私有的認(rèn)證體系,支持多級(jí)CA,支持交叉認(rèn)證;D.高安全性和可靠性。使用高強(qiáng)度密碼保護(hù)密鑰,支持加密機(jī)、智能卡、USBKEY等硬件設(shè)備以及相應(yīng)的網(wǎng)絡(luò)產(chǎn)品(證書漫游產(chǎn)品)來(lái)保存用戶的證書;高擴(kuò)展性。根據(jù)客戶需要,對(duì)系統(tǒng)進(jìn)行配置和擴(kuò)展,能夠發(fā)放各種類型的證書;系統(tǒng)支持多級(jí)CA,支持交叉CA;系統(tǒng)支持多級(jí)RA。F.易于部署與使用。系統(tǒng)所有用戶、管理員界面都是B/S模式,CA/RA策略配置和定制以及用戶證書管理等都是通過(guò)瀏覽器進(jìn)行,并具有詳細(xì)的操作說(shuō)明。G.高兼容性。支持各種加密機(jī)、多種數(shù)據(jù)庫(kù)和支持多種證書存儲(chǔ)介質(zhì)。1.2認(rèn)證體系設(shè)計(jì)認(rèn)證體系是指證書認(rèn)證的邏輯層次結(jié)構(gòu),也叫證書認(rèn)證體系。證書的信任關(guān)系是一個(gè)樹狀結(jié)構(gòu),由自簽名的根CA為起始,由它簽發(fā)二級(jí)子CA,二級(jí)子CA又簽發(fā)它的下級(jí)CA,以此遞推,最后某一級(jí)子CA簽發(fā)最終用戶的證書。認(rèn)證體系理論上可以無(wú)限延伸,但從技術(shù)實(shí)現(xiàn)與系統(tǒng)管理上,認(rèn)證層次并非越多越好。層次越多,技術(shù)實(shí)現(xiàn)越復(fù)雜,管理的難度也增大。證書認(rèn)證的速度也會(huì)變慢。一般的,國(guó)際上最大型的認(rèn)證體系層次都不超過(guò)4層,并且瀏覽器等軟件也不支持超過(guò)4層的認(rèn)證體系。本方案設(shè)計(jì)的用戶的CA認(rèn)證系統(tǒng)采用如下圖所示的認(rèn)證體系:圖2用戶CA認(rèn)證體系圖如圖所示,認(rèn)證體系采用3層結(jié)構(gòu):第一層是自簽名的用戶根CA,是處于離線狀態(tài)的,具有用戶的權(quán)威性和品牌特性。第二層是由用戶根CA簽發(fā)的用戶子CA,處于在線狀態(tài),它是簽發(fā)系統(tǒng)用戶證書的子CA。第三層為用戶證書,由用戶子CA簽發(fā),從用戶證書的證書信任鏈中可以看出整個(gè)用戶的CA認(rèn)證體系結(jié)構(gòu),用戶證書在用戶的應(yīng)用范圍內(nèi)受到信任。采用這種認(rèn)證體系具有下列特點(diǎn):(1)體現(xiàn)用戶的權(quán)威性CA具有自己的統(tǒng)一的根CACA策略和證書策略的定制與管理,這樣充分體現(xiàn)了用戶的權(quán)威性。(2)具有很好的可擴(kuò)展性如圖所示體系具有很好的可擴(kuò)展性,采用三層結(jié)構(gòu)為體系的擴(kuò)展預(yù)留了空間(因?yàn)榇蠖鄶?shù)應(yīng)用都只支持四層以下),根據(jù)用戶實(shí)際應(yīng)用需求,將來(lái)可以在子CA下,簽發(fā)下級(jí)子CA;或者針對(duì)別的應(yīng)用再簽發(fā)子CA這樣,使得用戶CA認(rèn)證體系具有很好的可擴(kuò)展性。(3)具有很好的可操作性采用三層體系結(jié)構(gòu),相對(duì)比較簡(jiǎn)單,在CA的創(chuàng)建和管理上也相當(dāng)比較容易。雖然從技術(shù)上認(rèn)證體系支持無(wú)限擴(kuò)展,但是層次越多,技術(shù)實(shí)現(xiàn)越復(fù)雜,管理的難度也增大。而采用三層結(jié)構(gòu)是目前業(yè)界比較通用的、標(biāo)準(zhǔn)的做法。這樣,使得用戶CA認(rèn)證體系具有很好的可操作性。1.3系統(tǒng)網(wǎng)絡(luò)架構(gòu)采用CA系統(tǒng)將為用戶建設(shè)一個(gè)CA中心和一個(gè)RA中心,CA系統(tǒng)的所有模塊可以安裝在同一臺(tái)服務(wù)器上,也可以采用多臺(tái)服務(wù)器分別安裝各模塊。系統(tǒng)網(wǎng)絡(luò)架構(gòu)如下圖所示:圖3CA系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖CA系統(tǒng)的CA認(rèn)證中心和RA注冊(cè)中心各模塊安裝在CA全,CA服務(wù)器必須位于安全的區(qū)域,即采用防火墻與外界進(jìn)行隔離。最終用戶使用瀏覽器,訪問(wèn)CA服務(wù)器,進(jìn)行證書申請(qǐng)和管理。管理員(包括CA管理員和RA管理員,可以是同一個(gè)管理員擔(dān)任)使用瀏覽器,訪問(wèn)CA服務(wù)器,進(jìn)行證書管理和CA管理。1.4證書存儲(chǔ)介質(zhì)本方案推薦使用USBKEY來(lái)保存用戶的證書及私鑰。USBKEY是以USB為接口的存儲(chǔ)設(shè)備,它便USBUSBKEY可以設(shè)置用戶口令保護(hù),增強(qiáng)了證書及私鑰的安全性。為了在發(fā)生USBKEY丟失等情況時(shí),私鑰可以恢復(fù)或者還可以用私鑰解密以前的加密郵件,在申請(qǐng)證書時(shí),密鑰對(duì)可以在系統(tǒng)中產(chǎn)生而不是在USBKEY中產(chǎn)生,當(dāng)證書申請(qǐng)成功后,再將私鑰和證書導(dǎo)入到USBKEYUSBKEY丟失時(shí)對(duì)用戶私鑰和證書的保護(hù)措施。1.5CA系統(tǒng)功能CA系統(tǒng)具有完善的功能,采用iTrusCA系統(tǒng)設(shè)計(jì)的用戶CA認(rèn)證系統(tǒng)也具有完善的功能,包括:(1)證書簽發(fā)通過(guò)CA認(rèn)證系統(tǒng),能夠申請(qǐng)、產(chǎn)生和分發(fā)數(shù)字證書,具有證書簽發(fā)功能。用戶訪問(wèn)CA認(rèn)證系統(tǒng),提交證書申請(qǐng)請(qǐng)求,申請(qǐng)數(shù)字證書;RACA認(rèn)證中心根據(jù)RA管理員的批準(zhǔn),簽發(fā)用戶證書,并將數(shù)字證書發(fā)布到目錄服務(wù)器中。用戶CA認(rèn)證系統(tǒng),獲取簽發(fā)的證書。(2)證書生命周期管理通過(guò)CA認(rèn)證系統(tǒng),可以實(shí)現(xiàn)證書的生命周期管理,包括:證書申請(qǐng)最終用戶使用瀏覽器,訪問(wèn)CA認(rèn)證系統(tǒng),可以進(jìn)行證書申請(qǐng),在線提交證書申請(qǐng)請(qǐng)求;證書批準(zhǔn)管理員登錄管理員站點(diǎn),完成證書批準(zhǔn)功能,可以查看和審批最終用戶的證書申請(qǐng)請(qǐng)求;證書查詢最終用戶可以通過(guò)CA認(rèn)證系統(tǒng),查詢自己或別人的數(shù)字證書;證書下載通過(guò)CA認(rèn)證系統(tǒng),可以下載簽發(fā)的數(shù)字證書;證書吊銷最終用戶在使用證書期間,有可能會(huì)出現(xiàn)一些問(wèn)題,如:證書丟失、忘記密碼等,最終用戶就需要將原證書吊銷。用戶吊銷證書時(shí),可以直接訪問(wèn)CA認(rèn)證系統(tǒng),在線的向CACA認(rèn)證系統(tǒng)根據(jù)用戶的選擇,自動(dòng)吊銷用戶的證書,并將吊銷的證書添加到證書吊銷列表()中,按照證書吊銷列表的發(fā)布周期進(jìn)行發(fā)布;證書更新在用戶證書到期前,用戶需要更新證書,用戶訪問(wèn)CA認(rèn)證系統(tǒng),查詢用戶的證書狀態(tài),對(duì)即將過(guò)期的用戶證書進(jìn)行更新。(3)CRL服務(wù)功能CARA的CRL下載地點(diǎn)及CRL發(fā)布時(shí)間。CA認(rèn)證系統(tǒng)定時(shí)產(chǎn)生CRL列表,并將產(chǎn)生的CRL發(fā)布至Web層CRL服務(wù)模塊,可以通過(guò)手工下載該C。(4)目錄服務(wù)功能CA認(rèn)證系統(tǒng)支持目錄服務(wù),支持LDAPV3規(guī)范,CA認(rèn)證系統(tǒng)在簽發(fā)用戶證書時(shí)或者對(duì)證書進(jìn)行吊銷處理時(shí),會(huì)及時(shí)更新目錄內(nèi)容。證書目錄服務(wù)的功能提供給用戶進(jìn)行證書查詢的功能,用戶可以通過(guò)電子郵件(Email)、用戶名稱(Common)、單位名稱()和部門名稱(OU)等字段查找CA認(rèn)證系統(tǒng)簽發(fā)的用戶證書。(5)CA管理功能CA認(rèn)證系統(tǒng)具有完善的CA管理功能,包括:管理員管理RA管理員管理,包括初始化RA管理員申請(qǐng)、增加RA管理員、刪除RA管理員;CA管理員管理,包括初始化CA管理員申請(qǐng)、后續(xù)CA管理員證書申請(qǐng)、吊銷CA管理員證書。賬號(hào)管理個(gè)人賬號(hào)管理,包括注冊(cè)信息,證書信息等管理;RA賬號(hào)管理,包括RA賬號(hào)申請(qǐng)、批準(zhǔn)、吊銷、額外管理員證書申請(qǐng)等。策略管理證書策略配置管理,高度靈活和可擴(kuò)展的配置CA所簽發(fā)證書的有效期、主題、擴(kuò)展、版本、密鑰長(zhǎng)度、類型等方面;RA策略配置管理,包括語(yǔ)言、聯(lián)系方法、證書類型、是否發(fā)布到LDAP等;CA策略配置管理,包括證書DN重用性檢查、CA別名設(shè)置等。(6)日志與審計(jì)功能系統(tǒng)具有完善的日志與審計(jì)功能,可以查看和統(tǒng)計(jì)各種日志,包括:統(tǒng)計(jì)各CA、RA賬號(hào)證書頒發(fā)情況;記錄所有RA與CA的操作日志;對(duì)所有操作人員的操作行為進(jìn)行審計(jì)。(7)CA密鑰管理系統(tǒng)支持CA密鑰管理功能,包括:CA密鑰產(chǎn)生和存儲(chǔ)(軟件與硬件);CA證書(包括根CA和子CA)的產(chǎn)生和管理;CA密鑰歸檔與備份。1.6證書應(yīng)用開發(fā)接口(API)為了實(shí)現(xiàn)基于數(shù)字證書的安全應(yīng)用集成,提供了完整的證書應(yīng)用開發(fā)接口(),提供、JAVA和COM等多種接口,包括:個(gè)人信任代理(PTA)個(gè)人信任代理(PTA)是客戶端的軟件包,既包括安裝在客戶端的文件加密解密程序,也包括用于數(shù)字簽名和簽名驗(yàn)證的ActiveX控件。文件加解密模塊可以產(chǎn)生隨機(jī)數(shù)密鑰對(duì)文件進(jìn)行加密,以及使用輸入的密鑰對(duì)文件進(jìn)行解密;ActiveX鑰)對(duì)文件進(jìn)行數(shù)字簽名,以及對(duì)簽名進(jìn)行驗(yàn)證。證書解析模塊(CPM)證書解析模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù),用于解析DER或PEM編碼的X.509數(shù)字證書,將證書中的信息,包括用戶信息、證書有效期、證書公鑰等信息分解為字符串。數(shù)據(jù)簽名驗(yàn)證模塊(SVM)數(shù)據(jù)簽名及驗(yàn)證模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù)或插件,可以應(yīng)用于客戶端和服務(wù)器端,實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)的數(shù)字簽名,和對(duì)數(shù)字簽名及其證書進(jìn)行驗(yàn)證。證書的驗(yàn)證可使用CRL或OCSP來(lái)進(jìn)行有效性驗(yàn)證。1.7系統(tǒng)工作流程設(shè)計(jì)(1)證書發(fā)放流程本方案設(shè)計(jì)的用戶CA認(rèn)證系統(tǒng)的證書發(fā)放采用集中發(fā)證的方式,即由管理員集中申請(qǐng)好證書,保存在USBKEY中,發(fā)放給用戶使用。其工作流程如下圖所示:圖4證書發(fā)放流程圖管理員使用瀏覽器,訪問(wèn)用戶CA認(rèn)證系統(tǒng),進(jìn)入證書申請(qǐng)頁(yè)面,替最終用戶填寫證書申請(qǐng)信息,向用戶CA認(rèn)證系統(tǒng)提交證書申請(qǐng)請(qǐng)求。在本地(本地的USBKEY上)產(chǎn)生證書的公私鑰對(duì),并將公鑰和用戶信息一起作為證書申請(qǐng)請(qǐng)求,提交給CA認(rèn)證系統(tǒng);(b)CA認(rèn)證系統(tǒng)根據(jù)管理員提交的證書申請(qǐng)請(qǐng)求,批準(zhǔn)并簽發(fā)用戶證書,將用戶證書發(fā)布到數(shù)據(jù)庫(kù)中。同時(shí),將用戶證書返回到管理員端,保存到USBKEY中;管理員將申請(qǐng)好證書的USBKEY發(fā)放給最終用戶。(2)證書吊銷流程在用戶證書的私鑰受到威脅、或者用戶私鑰丟失時(shí),需要吊銷用戶的證書,根據(jù)用戶信息系統(tǒng)的應(yīng)用情況,本方案設(shè)計(jì)證書吊銷由管理員進(jìn)行,其工作流程如下:管理員在發(fā)現(xiàn)用戶違反使用規(guī)定,或者用戶自己向管理員發(fā)送郵件,請(qǐng)求吊銷自己的證書時(shí),管理員訪問(wèn)CA認(rèn)證系統(tǒng)管理員模塊,進(jìn)行用戶證書吊銷用戶;(b)管理員通過(guò)證書管理功能頁(yè)面,查詢到需要吊銷的用戶證書;管理員選擇吊銷操作,選擇吊銷用戶證書的原因,向CA認(rèn)證系統(tǒng)發(fā)送證書吊銷請(qǐng)求;(d)CA認(rèn)證系統(tǒng)根據(jù)管理員的證書吊銷請(qǐng)求,自動(dòng)的吊銷用戶的證書,并將吊銷的用戶證書發(fā)布到證書吊銷列表中,同時(shí)對(duì)數(shù)據(jù)庫(kù)中保存的用戶證書的最新狀態(tài)進(jìn)行更新;(e)CA認(rèn)證系統(tǒng)給管理員返回證書吊銷成功信息,同時(shí)給用戶發(fā)送電子郵件,告訴用戶證書已經(jīng)被吊銷,不能再使用自己的證書。(3)證書更新流程最終用戶在其證書即將過(guò)期之前,需要訪問(wèn)CA認(rèn)證系統(tǒng),更新自己的證書,其流程為:最終用戶在證書即將過(guò)期前(一般為一個(gè)月),訪問(wèn)用戶CA“證書更新選項(xiàng);(b)系統(tǒng)自動(dòng)識(shí)別用戶是否具有用戶CA認(rèn)證系統(tǒng)頒發(fā)的數(shù)字證書,并且判斷是否過(guò)期,如果即將過(guò)期,便提示進(jìn)行更新;用戶選擇需要更新的證書,點(diǎn)擊提交,向CA認(rèn)證系統(tǒng)提交證書更新請(qǐng)求。在提交證書更新請(qǐng)求時(shí),在USBKEY中,重新產(chǎn)生更新證書的公私鑰對(duì),將公鑰和即將過(guò)期的證書一起,作為證書更新請(qǐng)求,提交給CA認(rèn)證系統(tǒng);(d)CA認(rèn)證系統(tǒng)自動(dòng)批準(zhǔn)證書更新請(qǐng)求,自動(dòng)更新用戶證書,將更新的證書發(fā)布到目錄服務(wù)器,同時(shí)將更新證書返回到用戶端,自動(dòng)保存到USBKEY中。1.8系統(tǒng)性能和特點(diǎn)分析采用iTrusCA系統(tǒng)建設(shè)的用戶CA認(rèn)證系統(tǒng)擁有下列性能和特點(diǎn):(1)符合國(guó)際和行業(yè)標(biāo)準(zhǔn)系統(tǒng)在設(shè)計(jì)中遵循了相應(yīng)的國(guó)際和工業(yè)標(biāo)準(zhǔn),包括X.509標(biāo)準(zhǔn)、PKCS系列標(biāo)準(zhǔn)、IETF的PKIX工作組制定的PKI相關(guān)RFC標(biāo)準(zhǔn),以及HTTP、SSL、LDAP等互聯(lián)網(wǎng)通訊協(xié)議等。嚴(yán)格遵循這些標(biāo)準(zhǔn),使得系統(tǒng)具有很好的開放性,能夠與各種應(yīng)用結(jié)合,成為真正的安全基礎(chǔ)設(shè)施。(2)證書類型多樣性及靈活配置系統(tǒng)能夠提供各種證書的簽發(fā)功能,本方案設(shè)計(jì)的CA認(rèn)證系統(tǒng)能夠簽發(fā)個(gè)人身份證書。將來(lái)根據(jù)用戶的需要,可以進(jìn)行擴(kuò)展,通過(guò)靈活配置可以簽發(fā)企業(yè)證書、服務(wù)器證書、代碼簽名證書和VPN證書等。(3)靈活的認(rèn)證體系配置系統(tǒng)采用“認(rèn)證體系設(shè)計(jì)一節(jié)設(shè)計(jì)的CA認(rèn)證體系,采用樹狀結(jié)構(gòu),支持多級(jí)CA,支持交叉認(rèn)證。(4)注冊(cè)機(jī)關(guān)(RA)建設(shè)方式多樣化本方案設(shè)計(jì)的CA認(rèn)證系統(tǒng)采用一個(gè)RA的配置,根據(jù)用戶的要求,將來(lái)可以配置多個(gè)RA和多級(jí)RA,RA界面風(fēng)格

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論