CA認(rèn)證系統(tǒng)設(shè)計

經(jīng)典word整理文檔，僅參考，雙擊此處可刪除頁眉頁腳。本資料屬于網(wǎng)絡(luò)整理，如有侵權(quán)，請聯(lián)系刪除，謝謝！CA認(rèn)證系統(tǒng)設(shè)計1.1系統(tǒng)簡介本系統(tǒng)是參照國際領(lǐng)先的CA系統(tǒng)的設(shè)計思想，繼承了國際領(lǐng)先CA系統(tǒng)的成熟性、先進(jìn)性、安全可靠及可擴(kuò)展性，自主開發(fā)的、享有完全自主知識產(chǎn)權(quán)的數(shù)字證書服務(wù)系統(tǒng)。系統(tǒng)具有完善的功能，能夠完成從企業(yè)自主建立標(biāo)準(zhǔn)CA到政府、行業(yè)建立大型服務(wù)型CA等全面的需求。CARACA管理員、注冊中心（）、認(rèn)證中心（CA）等構(gòu)成，其中注冊中心（RA）和認(rèn)證中心（CA）又包含相應(yīng)的模塊，系統(tǒng)架構(gòu)如下圖：圖1CA系統(tǒng)模塊架構(gòu)圖CA系統(tǒng)能提供完善的功能，包括：證書簽發(fā)、證書生命周期管理、證書吊銷列表（）查詢服務(wù)、目錄查詢服務(wù)、CA管理、密鑰管理和日志審計等全面的功能。CA系統(tǒng)按照用戶數(shù)量的不同分為小型iTrusCA、標(biāo)準(zhǔn)型iTrusCA、企業(yè)型iTrusCA和大型iTrusCA，不同類型系統(tǒng)的網(wǎng)絡(luò)建設(shè)架構(gòu)是不同的。CA系統(tǒng)具有下列特點(diǎn)：A.符合國際和行標(biāo)準(zhǔn)；B.證書類型多樣性及靈活配置。能夠發(fā)放包括郵件證書、個人身份證書、企業(yè)證書、服務(wù)器證書、代碼簽名證書和VPN證書等各種類型的證書；C.靈活的認(rèn)證體系配置。系統(tǒng)支持樹狀的客戶私有的認(rèn)證體系，支持多級CA，支持交叉認(rèn)證；D.高安全性和可靠性。使用高強(qiáng)度密碼保護(hù)密鑰，支持加密機(jī)、智能卡、USBKEY等硬件設(shè)備以及相應(yīng)的網(wǎng)絡(luò)產(chǎn)品（證書漫游產(chǎn)品）來保存用戶的證書；高擴(kuò)展性。根據(jù)客戶需要，對系統(tǒng)進(jìn)行配置和擴(kuò)展，能夠發(fā)放各種類型的證書；系統(tǒng)支持多級CA，支持交叉CA；系統(tǒng)支持多級RA。F.易于部署與使用。系統(tǒng)所有用戶、管理員界面都是B/S模式，CA/RA策略配置和定制以及用戶證書管理等都是通過瀏覽器進(jìn)行，并具有詳細(xì)的操作說明。G.高兼容性。支持各種加密機(jī)、多種數(shù)據(jù)庫和支持多種證書存儲介質(zhì)。1.2認(rèn)證體系設(shè)計認(rèn)證體系是指證書認(rèn)證的邏輯層次結(jié)構(gòu)，也叫證書認(rèn)證體系。證書的信任關(guān)系是一個樹狀結(jié)構(gòu)，由自簽名的根CA為起始，由它簽發(fā)二級子CA，二級子CA又簽發(fā)它的下級CA，以此遞推，最后某一級子CA簽發(fā)最終用戶的證書。認(rèn)證體系理論上可以無限延伸，但從技術(shù)實(shí)現(xiàn)與系統(tǒng)管理上，認(rèn)證層次并非越多越好。層次越多，技術(shù)實(shí)現(xiàn)越復(fù)雜，管理的難度也增大。證書認(rèn)證的速度也會變慢。一般的，國際上最大型的認(rèn)證體系層次都不超過4層，并且瀏覽器等軟件也不支持超過4層的認(rèn)證體系。本方案設(shè)計的用戶的CA認(rèn)證系統(tǒng)采用如下圖所示的認(rèn)證體系：圖2用戶CA認(rèn)證體系圖如圖所示，認(rèn)證體系采用3層結(jié)構(gòu)：第一層是自簽名的用戶根CA，是處于離線狀態(tài)的，具有用戶的權(quán)威性和品牌特性。第二層是由用戶根CA簽發(fā)的用戶子CA，處于在線狀態(tài)，它是簽發(fā)系統(tǒng)用戶證書的子CA。第三層為用戶證書，由用戶子CA簽發(fā)，從用戶證書的證書信任鏈中可以看出整個用戶的CA認(rèn)證體系結(jié)構(gòu)，用戶證書在用戶的應(yīng)用范圍內(nèi)受到信任。采用這種認(rèn)證體系具有下列特點(diǎn)：（1）體現(xiàn)用戶的權(quán)威性CA具有自己的統(tǒng)一的根CACA策略和證書策略的定制與管理，這樣充分體現(xiàn)了用戶的權(quán)威性。（2）具有很好的可擴(kuò)展性如圖所示體系具有很好的可擴(kuò)展性，采用三層結(jié)構(gòu)為體系的擴(kuò)展預(yù)留了空間（因?yàn)榇蠖鄶?shù)應(yīng)用都只支持四層以下），根據(jù)用戶實(shí)際應(yīng)用需求，將來可以在子CA下，簽發(fā)下級子CA；或者針對別的應(yīng)用再簽發(fā)子CA這樣，使得用戶CA認(rèn)證體系具有很好的可擴(kuò)展性。（3）具有很好的可操作性采用三層體系結(jié)構(gòu)，相對比較簡單，在CA的創(chuàng)建和管理上也相當(dāng)比較容易。雖然從技術(shù)上認(rèn)證體系支持無限擴(kuò)展，但是層次越多，技術(shù)實(shí)現(xiàn)越復(fù)雜，管理的難度也增大。而采用三層結(jié)構(gòu)是目前業(yè)界比較通用的、標(biāo)準(zhǔn)的做法。這樣，使得用戶CA認(rèn)證體系具有很好的可操作性。1.3系統(tǒng)網(wǎng)絡(luò)架構(gòu)采用CA系統(tǒng)將為用戶建設(shè)一個CA中心和一個RA中心，CA系統(tǒng)的所有模塊可以安裝在同一臺服務(wù)器上，也可以采用多臺服務(wù)器分別安裝各模塊。系統(tǒng)網(wǎng)絡(luò)架構(gòu)如下圖所示：圖3CA系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖CA系統(tǒng)的CA認(rèn)證中心和RA注冊中心各模塊安裝在CA全，CA服務(wù)器必須位于安全的區(qū)域，即采用防火墻與外界進(jìn)行隔離。最終用戶使用瀏覽器，訪問CA服務(wù)器，進(jìn)行證書申請和管理。管理員（包括CA管理員和RA管理員，可以是同一個管理員擔(dān)任）使用瀏覽器，訪問CA服務(wù)器，進(jìn)行證書管理和CA管理。1.4證書存儲介質(zhì)本方案推薦使用USBKEY來保存用戶的證書及私鑰。USBKEY是以USB為接口的存儲設(shè)備，它便USBUSBKEY可以設(shè)置用戶口令保護(hù)，增強(qiáng)了證書及私鑰的安全性。為了在發(fā)生USBKEY丟失等情況時，私鑰可以恢復(fù)或者還可以用私鑰解密以前的加密郵件，在申請證書時，密鑰對可以在系統(tǒng)中產(chǎn)生而不是在USBKEY中產(chǎn)生，當(dāng)證書申請成功后，再將私鑰和證書導(dǎo)入到USBKEYUSBKEY丟失時對用戶私鑰和證書的保護(hù)措施。1.5CA系統(tǒng)功能CA系統(tǒng)具有完善的功能，采用iTrusCA系統(tǒng)設(shè)計的用戶CA認(rèn)證系統(tǒng)也具有完善的功能，包括：（1）證書簽發(fā)通過CA認(rèn)證系統(tǒng)，能夠申請、產(chǎn)生和分發(fā)數(shù)字證書，具有證書簽發(fā)功能。用戶訪問CA認(rèn)證系統(tǒng)，提交證書申請請求，申請數(shù)字證書；RACA認(rèn)證中心根據(jù)RA管理員的批準(zhǔn)，簽發(fā)用戶證書，并將數(shù)字證書發(fā)布到目錄服務(wù)器中。用戶CA認(rèn)證系統(tǒng)，獲取簽發(fā)的證書。（2）證書生命周期管理通過CA認(rèn)證系統(tǒng)，可以實(shí)現(xiàn)證書的生命周期管理，包括：證書申請最終用戶使用瀏覽器，訪問CA認(rèn)證系統(tǒng)，可以進(jìn)行證書申請，在線提交證書申請請求；證書批準(zhǔn)管理員登錄管理員站點(diǎn)，完成證書批準(zhǔn)功能，可以查看和審批最終用戶的證書申請請求；證書查詢最終用戶可以通過CA認(rèn)證系統(tǒng)，查詢自己或別人的數(shù)字證書；證書下載通過CA認(rèn)證系統(tǒng)，可以下載簽發(fā)的數(shù)字證書；證書吊銷最終用戶在使用證書期間，有可能會出現(xiàn)一些問題，如：證書丟失、忘記密碼等，最終用戶就需要將原證書吊銷。用戶吊銷證書時，可以直接訪問CA認(rèn)證系統(tǒng)，在線的向CACA認(rèn)證系統(tǒng)根據(jù)用戶的選擇，自動吊銷用戶的證書，并將吊銷的證書添加到證書吊銷列表（）中，按照證書吊銷列表的發(fā)布周期進(jìn)行發(fā)布；證書更新在用戶證書到期前，用戶需要更新證書，用戶訪問CA認(rèn)證系統(tǒng)，查詢用戶的證書狀態(tài)，對即將過期的用戶證書進(jìn)行更新。（3）CRL服務(wù)功能CARA的CRL下載地點(diǎn)及CRL發(fā)布時間。CA認(rèn)證系統(tǒng)定時產(chǎn)生CRL列表，并將產(chǎn)生的CRL發(fā)布至Web層CRL服務(wù)模塊，可以通過手工下載該C。（4）目錄服務(wù)功能CA認(rèn)證系統(tǒng)支持目錄服務(wù)，支持LDAPV3規(guī)范，CA認(rèn)證系統(tǒng)在簽發(fā)用戶證書時或者對證書進(jìn)行吊銷處理時，會及時更新目錄內(nèi)容。證書目錄服務(wù)的功能提供給用戶進(jìn)行證書查詢的功能，用戶可以通過電子郵件（Email）、用戶名稱（Common）、單位名稱（）和部門名稱（OU）等字段查找CA認(rèn)證系統(tǒng)簽發(fā)的用戶證書。（5）CA管理功能CA認(rèn)證系統(tǒng)具有完善的CA管理功能，包括：管理員管理RA管理員管理，包括初始化RA管理員申請、增加RA管理員、刪除RA管理員；CA管理員管理，包括初始化CA管理員申請、后續(xù)CA管理員證書申請、吊銷CA管理員證書。賬號管理個人賬號管理，包括注冊信息，證書信息等管理；RA賬號管理，包括RA賬號申請、批準(zhǔn)、吊銷、額外管理員證書申請等。策略管理證書策略配置管理，高度靈活和可擴(kuò)展的配置CA所簽發(fā)證書的有效期、主題、擴(kuò)展、版本、密鑰長度、類型等方面；RA策略配置管理，包括語言、聯(lián)系方法、證書類型、是否發(fā)布到LDAP等；CA策略配置管理，包括證書DN重用性檢查、CA別名設(shè)置等。（6）日志與審計功能系統(tǒng)具有完善的日志與審計功能，可以查看和統(tǒng)計各種日志，包括：統(tǒng)計各CA、RA賬號證書頒發(fā)情況；記錄所有RA與CA的操作日志；對所有操作人員的操作行為進(jìn)行審計。（7）CA密鑰管理系統(tǒng)支持CA密鑰管理功能，包括：CA密鑰產(chǎn)生和存儲（軟件與硬件）；CA證書（包括根CA和子CA）的產(chǎn)生和管理；CA密鑰歸檔與備份。1.6證書應(yīng)用開發(fā)接口（API）為了實(shí)現(xiàn)基于數(shù)字證書的安全應(yīng)用集成，提供了完整的證書應(yīng)用開發(fā)接口（），提供、JAVA和COM等多種接口，包括：個人信任代理（PTA）個人信任代理（PTA）是客戶端的軟件包，既包括安裝在客戶端的文件加密解密程序，也包括用于數(shù)字簽名和簽名驗(yàn)證的ActiveX控件。文件加解密模塊可以產(chǎn)生隨機(jī)數(shù)密鑰對文件進(jìn)行加密，以及使用輸入的密鑰對文件進(jìn)行解密；ActiveX鑰）對文件進(jìn)行數(shù)字簽名，以及對簽名進(jìn)行驗(yàn)證。證書解析模塊（CPM）證書解析模塊是一系列平臺下的動態(tài)鏈接庫，用于解析DER或PEM編碼的X.509數(shù)字證書，將證書中的信息，包括用戶信息、證書有效期、證書公鑰等信息分解為字符串。數(shù)據(jù)簽名驗(yàn)證模塊（SVM）數(shù)據(jù)簽名及驗(yàn)證模塊是一系列平臺下的動態(tài)鏈接庫或插件，可以應(yīng)用于客戶端和服務(wù)器端，實(shí)現(xiàn)對傳輸數(shù)據(jù)的數(shù)字簽名，和對數(shù)字簽名及其證書進(jìn)行驗(yàn)證。證書的驗(yàn)證可使用CRL或OCSP來進(jìn)行有效性驗(yàn)證。1.7系統(tǒng)工作流程設(shè)計（1）證書發(fā)放流程本方案設(shè)計的用戶CA認(rèn)證系統(tǒng)的證書發(fā)放采用集中發(fā)證的方式，即由管理員集中申請好證書，保存在USBKEY中，發(fā)放給用戶使用。其工作流程如下圖所示：圖4證書發(fā)放流程圖管理員使用瀏覽器，訪問用戶CA認(rèn)證系統(tǒng)，進(jìn)入證書申請頁面，替最終用戶填寫證書申請信息，向用戶CA認(rèn)證系統(tǒng)提交證書申請請求。在本地（本地的USBKEY上）產(chǎn)生證書的公私鑰對，并將公鑰和用戶信息一起作為證書申請請求，提交給CA認(rèn)證系統(tǒng)；(b)CA認(rèn)證系統(tǒng)根據(jù)管理員提交的證書申請請求，批準(zhǔn)并簽發(fā)用戶證書，將用戶證書發(fā)布到數(shù)據(jù)庫中。同時，將用戶證書返回到管理員端，保存到USBKEY中；管理員將申請好證書的USBKEY發(fā)放給最終用戶。（2）證書吊銷流程在用戶證書的私鑰受到威脅、或者用戶私鑰丟失時，需要吊銷用戶的證書，根據(jù)用戶信息系統(tǒng)的應(yīng)用情況，本方案設(shè)計證書吊銷由管理員進(jìn)行，其工作流程如下：管理員在發(fā)現(xiàn)用戶違反使用規(guī)定，或者用戶自己向管理員發(fā)送郵件，請求吊銷自己的證書時，管理員訪問CA認(rèn)證系統(tǒng)管理員模塊，進(jìn)行用戶證書吊銷用戶；(b)管理員通過證書管理功能頁面，查詢到需要吊銷的用戶證書；管理員選擇吊銷操作，選擇吊銷用戶證書的原因，向CA認(rèn)證系統(tǒng)發(fā)送證書吊銷請求；(d)CA認(rèn)證系統(tǒng)根據(jù)管理員的證書吊銷請求，自動的吊銷用戶的證書，并將吊銷的用戶證書發(fā)布到證書吊銷列表中，同時對數(shù)據(jù)庫中保存的用戶證書的最新狀態(tài)進(jìn)行更新；(e)CA認(rèn)證系統(tǒng)給管理員返回證書吊銷成功信息，同時給用戶發(fā)送電子郵件，告訴用戶證書已經(jīng)被吊銷，不能再使用自己的證書。（3）證書更新流程最終用戶在其證書即將過期之前，需要訪問CA認(rèn)證系統(tǒng)，更新自己的證書，其流程為：最終用戶在證書即將過期前（一般為一個月），訪問用戶CA“證書更新選項(xiàng)；(b)系統(tǒng)自動識別用戶是否具有用戶CA認(rèn)證系統(tǒng)頒發(fā)的數(shù)字證書，并且判斷是否過期，如果即將過期，便提示進(jìn)行更新；用戶選擇需要更新的證書，點(diǎn)擊提交，向CA認(rèn)證系統(tǒng)提交證書更新請求。在提交證書更新請求時，在USBKEY中，重新產(chǎn)生更新證書的公私鑰對，將公鑰和即將過期的證書一起，作為證書更新請求，提交給CA認(rèn)證系統(tǒng)；(d)CA認(rèn)證系統(tǒng)自動批準(zhǔn)證書更新請求，自動更新用戶證書，將更新的證書發(fā)布到目錄服務(wù)器，同時將更新證書返回到用戶端，自動保存到USBKEY中。1.8系統(tǒng)性能和特點(diǎn)分析采用iTrusCA系統(tǒng)建設(shè)的用戶CA認(rèn)證系統(tǒng)擁有下列性能和特點(diǎn)：（1）符合國際和行業(yè)標(biāo)準(zhǔn)系統(tǒng)在設(shè)計中遵循了相應(yīng)的國際和工業(yè)標(biāo)準(zhǔn)，包括X.509標(biāo)準(zhǔn)、PKCS系列標(biāo)準(zhǔn)、IETF的PKIX工作組制定的PKI相關(guān)RFC標(biāo)準(zhǔn)，以及HTTP、SSL、LDAP等互聯(lián)網(wǎng)通訊協(xié)議等。嚴(yán)格遵循這些標(biāo)準(zhǔn)，使得系統(tǒng)具有很好的開放性，能夠與各種應(yīng)用結(jié)合，成為真正的安全基礎(chǔ)設(shè)施。（2）證書類型多樣性及靈活配置系統(tǒng)能夠提供各種證書的簽發(fā)功能，本方案設(shè)計的CA認(rèn)證系統(tǒng)能夠簽發(fā)個人身份證書。將來根據(jù)用戶的需要，可以進(jìn)行擴(kuò)展，通過靈活配置可以簽發(fā)企業(yè)證書、服務(wù)器證書、代碼簽名證書和VPN證書等。（3）靈活的認(rèn)證體系配置系統(tǒng)采用“認(rèn)證體系設(shè)計一節(jié)設(shè)計的CA認(rèn)證體系，采用樹狀結(jié)構(gòu)，支持多級CA，支持交叉認(rèn)證。（4）注冊機(jī)關(guān)（RA）建設(shè)方式多樣化本方案設(shè)計的CA認(rèn)證系統(tǒng)采用一個RA的配置，根據(jù)用戶的要求，將來可以配置多個RA和多級RA，RA界面風(fēng)格