數(shù)字證書認證系統(tǒng)的設(shè)計與實現(xiàn)

義技術(shù)、RA、CA、KMC之間松耦合技術(shù)等一系列關(guān)鍵技術(shù)，以解決數(shù)本論文在對數(shù)字證書認證系統(tǒng)的關(guān)鍵技術(shù)研究的基礎(chǔ)上，對數(shù)字證書認證系統(tǒng)的總體體系結(jié)構(gòu)、邏輯結(jié)構(gòu)和拓撲結(jié)構(gòu)做出詳細設(shè)計，并對數(shù)字證書簽發(fā)系統(tǒng)、數(shù)字證書審核注冊系統(tǒng)、密鑰管理系統(tǒng)、數(shù)字證書體系結(jié)構(gòu)、系統(tǒng)配置等作出詳細設(shè)計，并設(shè)計了數(shù)字證書的結(jié)構(gòu)與管理方式。本論文在對數(shù)字證書認證系統(tǒng)做出詳細設(shè)計后，對其實現(xiàn)進行了分證書下載、自簽根證書、證書簽發(fā)、證書注銷、證書更新、證書暫停、第I第II第II第PAGE\*ROMANIV第PAGE\*ROMANIVDesignandImplementationofCertificateAuthorityThisdissertationstudiesandanalysestheresearchbackgroundandresearchsignificanceofthecertificateauthoritysystem,andpresentspublickeysystem,unifiedidentityauthoritytechnologies,asynchronousmessagingandqueueprocessingtechnology,centralizedproduction,distributedservices,businessprocesscustom,enginemonitoringscheduleandflexiblecertificateencodingformat,theprivatekeysegmentation,securecommunicationmechanism,thecertificatetemplatecustombusinesstechnology,RA,CA,KMClooselycoupledtechnologyamongaseriesofkeytechnologiesinordertogetoverthetechnicalobstaclesmaybeencounteredduringthedesignandimplementationofthecertificateauthoritysystem.Thedissertationmakesdetaileddesignsofcertificateauthorityuponthestudiesandanalysesofthekeytechnologiesofscertificateauthority,whichcontainslogicalstructureandtopologicalstructure.Andmakedetaileddesignsaboutsystemfunction,systemintroduction,systemstructure,systemmanagementofcertificateauthoritysystem,registrationauthoritysystem,andkeymanagementsystem.Thedissertationanalysesanddiscussestheimplementcertificateauthoritysystemandthedetailedworkflowincludinginitializationofsystemrole,informationentry,thecertificateexamination,certificatetodownload,self-signedrootcertificate,thecertificateissued,thecertificatecancellation,certificateupdate,certificatesuspension,thecertificatebesuspendedrecovery,keygeneration,keyupdate,keydistribution,keyrevocation,keyrecovery,certificateissued,certificatestatusinquiries,onlinecertificateverificationandThedissertationtestsandverifiestheresultofcertificatesystembasedonthesystemdesignandimplementation.Theverificationteststhesystemmajorfunctionsandperformancesofcertificateauthoritysystem,registrationauthoritysystem,andkeymanagementsystem.Thedissertationfinallysummariestheresultsofthisstudy,andanalysestheexistingproblemsandfutureperspectivesonresearchwork.Keywords:Certificate,CertificateAuthoritySystem,RegistrationAuthoritySystem,KeyManagementSystem第PAGE\*ROMANV第PAGE\*ROMANV目摘 第1 第2 關(guān)鍵技 本章小 第3 數(shù)字證 本章小 第4 本章小 第5 硬件環(huán) 軟件系 系統(tǒng)性 本章小 第6 主要結(jié) 研究展 參考文 第PAGE72第PAGE72第1章CA，又稱為證書授證(CertificateAuthority)中心，作為CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構(gòu)的數(shù)字簽名使得攻擊者不能SET交易中，為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，CA不僅要對用戶的身份真實性進行驗證，也是一個個體所需的數(shù)字證書。同時，CA還要對獲款的銀行以及銀行網(wǎng)關(guān)發(fā)放證書。它負責解決此問題，70年代密碼界出現(xiàn)了公開密鑰算法，該算法使用一對密鑰即一個私鑰CACA60家，但發(fā)展具有一CA中心還有很大差距。CA體系還沒有建立，CACACA之間不能互認。這些信任孤島的存在，對于無邊界環(huán)境下電子商CA.CA應(yīng)用層次的開發(fā)不夠，CA應(yīng)用的接口還不夠廣泛，深度和廣度上差距比較大，CA要想發(fā)展好一定要與應(yīng)用緊密扣在一起，如果應(yīng)用方面的廣度、深度開發(fā)不夠，CA證書應(yīng)（CA（RA（KMC第2章RA、CA、KMCRA、LDAPXMLRSA算法為核心的公開公開密鑰密碼體制是現(xiàn)代密碼學的最重要的發(fā)明和進展。1976公鑰加密算法中使用最廣的是RSA。RSA使用兩個密鑰，一個公共密鑰，一個402048bit可變，加密時也把明文分成塊，塊的大小可變，但不能超過密鑰的長度，RSA算法把每一RSA． p,q（2— e<N,（2—（2— 解下列同余方程,求解密密鑰ed≡1mod （2— （2— （2—．RSA MKC=MemodN,where（2— CK-1M=Cdmod （2—RSADES算法RSA來完成對電文的數(shù)字簽名以抗對電文的否認與抵賴；同時還可以利用PKI構(gòu)建數(shù)字證書認證中CRL到證書在數(shù)字證書認證系統(tǒng)研制中，RA、CA、KMC之間采用異步消息技術(shù)來傳輸數(shù)RA中有審核隊列、證CA中有證書簽發(fā)請求隊列、密鑰申請隊列、證書簽RACARA系統(tǒng)從證書請求隊列取出需要簽發(fā)用戶信CA，CACA內(nèi)部按流程簽發(fā)證書；CARA，RA形成證書下載隊列。CAKMC形成密鑰返回隊列，KMC系統(tǒng)自動從返回隊列中取出返回給用戶的密鑰返回到CACARARA下載。LDAP服務(wù)器上，LDAPLDAPLDAP的數(shù)據(jù)LDAP上下CRLOCSP上在線實時查詢，這樣實現(xiàn)了用戶證書的分布式服務(wù)。則取得用戶基本信息、KMC信息（密鑰算法、加密強度、CA信息（RA所授權(quán)簽CA的信息、RAXML格式的證書請求。若證ASN.1PKCS#10的證書請求。53份私鑰RA、CA、KMCRA可以根據(jù)CACARAKMCCA的密鑰申請。私鑰分割技術(shù)、安全的通訊機制、證書業(yè)務(wù)模板自定義技術(shù)、RA、CA、KMC之間第3章入國家正式根CACA擴展。CA時可以自簽根證書。第二級為注冊審核中心（RA，包括本地注冊審核中心和遠程注冊審核中心（LRALA，LA作為代理點負責資料的整理和錄入工作，并將RALRA。CA自簽證書。圖3-1Fig.3-1Structureofcertificateauthority遠程用戶注冊管理系統(tǒng)）和證書查詢系統(tǒng)構(gòu)成。邏輯結(jié)構(gòu)如圖3-2所示：圖3-2Fig.3-2LogicstructureofcertificateauthorityB/S中，核心層由密鑰生成服務(wù)器、密鑰管理服務(wù)器、證書/證書注銷列表生成與簽發(fā)系統(tǒng)、證書/證書注銷列表存儲與發(fā)布系統(tǒng)構(gòu)成；服務(wù)層由安全管理、審計管理和證書絡(luò)。具體內(nèi)容如圖3-3所示：圖3-3Fig.3-3Logicnetworklayerstructureofcertificateauthority數(shù)字證書認證系統(tǒng)采用B/S結(jié)構(gòu)，根據(jù)規(guī)范在網(wǎng)絡(luò)實現(xiàn)上將整個系統(tǒng)分為核心核心區(qū)包括簽發(fā)服務(wù)器、主目錄服務(wù)器、CA管理終端和密鑰管理系統(tǒng)KMC（包括密鑰生成服務(wù)器、審計終端、管理終端等，其中KMC只與簽發(fā)服務(wù)器相連，以保RAKMC；服務(wù)區(qū)包括注冊服務(wù)器、審計終端、管理終端、錄入終端、審核終端和制證終端、OCSP服務(wù)器、從目錄服務(wù)器和入侵檢測、漏洞掃描、內(nèi)容如圖3-4所示：圖3-4Fig.3-4TopologicalstructureofcertificateauthorityCA的連接部署方式可以分為證書審核注冊系統(tǒng)（RA）（證書/（KMC/SOAJ2EE多CA簽發(fā)。URI配置和通訊證書簽發(fā)、密碼設(shè)備的配置、證書模板配置等。證書簽發(fā)系統(tǒng)體系結(jié)構(gòu)如圖3-5圖3-5Fig.3-5Structureofcertificatesubscription的業(yè)務(wù)請求。其系統(tǒng)結(jié)構(gòu)如圖3-6所示：圖3-6Fig.3-6StructureofcreateandsubscriptionKMC產(chǎn)生，簽名證書的密鑰由用戶利用密碼運算功能的證書載體產(chǎn)生。生成與簽發(fā)系統(tǒng)協(xié)同密鑰管理系統(tǒng)KMC和證書載體產(chǎn)生雙證書，并能配合RA保存于證書載體中。CA的證書更新以及用戶加密證書的在線自動更新功能。全管理系統(tǒng)、安全審計模塊組成，其系統(tǒng)結(jié)構(gòu)如圖3-7所示：圖3-7Fig.3-7StructureofstorageandpublicationCRL發(fā)布：證書認證系統(tǒng)使用從目錄服務(wù)器向用戶發(fā)布數(shù)字證書和證書布、注銷、歸檔等功能的管理與控制，其系統(tǒng)結(jié)構(gòu)如圖3-8所示：圖3-8Fig.3-8StructureofcertificatemanagementRARA。CACACA5CA證書的下載：CA證書可以由用戶通過生成與簽發(fā)系統(tǒng)下載，也可以與用戶RA提供確認信息。LDAP。CA、CACACA、KMC、RALDAP/OCSP服務(wù)器一臺，或分別安裝在多臺服務(wù)器上，并能根據(jù)功能和性CACACA請求為用戶提供新的非對稱密密鑰管理系統(tǒng)的體系結(jié)構(gòu)如圖3-9圖3-9Fig.3-9StructureofcertificatemanagementCA調(diào)用密鑰池（備用庫）CAKMC將密鑰庫中的加密私鑰（密文）KMC服務(wù)器的加密私鑰將密鑰庫中；CACA后轉(zhuǎn)入在用庫。號、ID號和有效時間等標志。號、ID號和作廢時間等標志。USBRA提交書面的密鑰恢復(fù)申請材料，申請材料需要KMC對司法取證人員的身份進行認證，KMC系統(tǒng)，由密KMC證書審核注冊系統(tǒng)的體系結(jié)構(gòu)如圖3-10圖3-10Fig.3-10StructureofregistrationInternet等網(wǎng)絡(luò)登錄到注冊系統(tǒng)申請證書；Internet等網(wǎng)絡(luò)登錄到遠程注冊系統(tǒng)下載證書；RA管理的功能要求，在管理員管理中增加不同類型的管理員。對不同的管理員LDAPOCSP服務(wù)器，為用戶及應(yīng)CRL3-113-11Fig.3-11StructureofLDAPandOCSPLDAPOCSP服務(wù)器。LDAPCALDAPRALDAP負責OCSPOCSP，提供證書狀態(tài)的在線實時查詢，提（OCSPLDAP圖3-12Fig.3-12TheconstitutionofLDAPandOCSP（OCSPLDAP的地址；在LDAPOCSPLDAPLDAPCA簽發(fā)，簽發(fā)過程如下：BuiltKey）調(diào)用通用分組算法加密后存儲在數(shù)據(jù)區(qū)；CACA簽發(fā)，其產(chǎn)生過程如下：CACAX.509V3V3版標準擴展項，并支X.509V2版證書注銷列表（CRL）格式，并發(fā)布到目錄用于各類計算機、交換機、密碼機設(shè)備，在本系統(tǒng)中設(shè)備證書包括：CA服務(wù)器證書、RA服務(wù)器證書、KMC服務(wù)器證書、OCSP服務(wù)器證書等。簽名證書（簽名密鑰對）加密證書（加密密鑰對）CA數(shù)字證書認證系統(tǒng)體系內(nèi)部使用的證書，包括：設(shè)備證書、管理員證書、表3-1Tab.3-1StructureofserverCRL分發(fā)點CA3-2所示，表3-2Tab.3-2StructureoforganizationCRL分發(fā)點CA人員證書主要用于個人用戶。如表3-3表3-3Tab.3-3StructureofindividualCRL分發(fā)點CALA代理點RA注冊數(shù)據(jù)庫，等待審核。RACA生成與簽發(fā)服務(wù)器，CA按相同的流程簽發(fā)用戶加CARA；LARA接收到的用戶簽名證書、加密證書下載到用戶證書載體，并把RA證書注銷列表（CRL）是經(jīng)過數(shù)字簽名的已注銷證書的列表。CRLCA，CACRL提供它所簽發(fā)的數(shù)字證書的狀態(tài)信息。CRL的基本格式和擴展域格式結(jié)構(gòu)如下：表3-4Tab.3-4Structureofcertificate版本號簽名算法標識符頒發(fā)者名稱本次更新（日期/時間下次更新（日期/時間用戶證書序列號/吊銷日期CRL條目擴展項用戶證書序列號/吊銷日期CRL擴展域簽名算法簽名IC卡和智能密碼鑰匙。證書載體在設(shè)計過程中充分考慮了用戶證書載體在出廠時，可根據(jù)用戶要求，產(chǎn)生一個性化密鑰PBK，存儲在智IC卡的密鑰區(qū)。RARA系統(tǒng)對證書載體中的密碼算法、密碼芯片進行檢測，檢測通過后，生成ID號；PBK加密后保存到證書載體密鑰區(qū)，PBKPIN第4章CARAKMCCACA需要自簽根證書。4-1CA、KMCRAFig.4-1TheinitializationgraphofCA,KMCand業(yè)務(wù)CACA根證書（自簽證書，根證書私鑰安將業(yè)務(wù)CA3個導(dǎo)入到對應(yīng)的密將業(yè)務(wù)CA3個導(dǎo)入到對應(yīng)的密碼CA31CACAKMCKMCKMCKMCKMC系統(tǒng)，經(jīng)過合法性身份驗證后，CA31個審計管理員；CAKMC機構(gòu)證書、KMC通訊證書的證書請求；CAKMC機構(gòu)證書、KMCCARACARACA系統(tǒng)簽發(fā)的兩個超級管理員同時登錄RA1CACARA的通訊證書，并將相關(guān)的證書和私鑰加載到對應(yīng)的密碼服RARASSF33PIN碼后，管理控制臺將讀取該載體中的私鑰密文，PBK解密（整個解密操作均在證書載體的密存區(qū)完成數(shù)字證書認證系統(tǒng)典型工作流程如圖4-2圖4-2Fig.4-2Thetypicalworkflowgraphofcertificateauthority拿到證書載體后登錄證書服務(wù)網(wǎng)站(RA)在線申請證書，獲得證書后導(dǎo)入證書載RA程，證書下載流程如圖4-3所示：圖4-3Fig.4-3TheworkflowgraphofdownloadCAID號、用戶信息等，信息經(jīng)用戶簽名私ID號；RAID號以及用戶信息由數(shù)據(jù)庫中取出證書及加密私鑰信RACA自簽根證書的簽發(fā)流程圖如圖4-4圖4-4Fig.4-4Theworkflowgraphofself-subscriptionrootCACACA發(fā)出簽發(fā)根CACACACAPBK加密，存儲在數(shù)據(jù)區(qū)。使用簽名公鑰對加密私鑰加密后返還給CA；CA對用戶信息及簽名公鑰和加密公鑰LDAP，同時將簽發(fā)完成RARA中下載用戶證書。證書簽發(fā)流程如圖4-5圖4-5Fig.4-5TheworkflowgraphofsubscriptioncertificateofcertificateauthorityCA根證書的有效期。戶簽發(fā)一新的證書。證書更新流程如圖4-6所示。圖4-6Fig.4-6TheworkflowgraphofcertificateCA中心可以在證書到期之前注銷證書，包括強制注銷和用戶申請注銷。發(fā)生這隸屬關(guān)系的改變。CACRL來安全方便地注銷證書。證書注消流程如圖4-7圖4-7Fig.4-7TheworkflowgraphofcertificateRA提出暫停證書請求。證書暫停流程如圖4-8圖4-8Fig.4-8Theworkflowgraphofcertificate值改為有效，其工作流程圖如圖4-9所示：圖4-9Fig.4-9TheworkflowgraphofcertificaterecoveryfromRA受理點進行申請密鑰恢復(fù)，RACAKMC申請恢RARA受理點下載恢復(fù)密鑰到智能密碼鑰匙中。其工作流程如圖4-10圖4-10Fig.4-10Theworkflowgraphofkey4-114-11Fig.4-11Theworkprincipleofkey；KMC將非對稱加密私鑰密文和公鑰添加到密鑰池（備用庫）CARA寫入用戶證書載體，如圖4-12所示：圖4-12Fig.4-12TheworkflowgraphofkeyCA中心接收到密鑰分發(fā)請求信息（包括用戶簽名公鑰，獲得請求密鑰；KMC的加密私鑰解密對稱密鑰，用對CA請求撤消用戶當前使用的密鑰，如圖4-13所示：圖4-13Fig.4-13TheworkflowgraphofkeyCAKMCCAKMC對司法取證人員的身份進行認證，認證通過后，由司法取證員和業(yè)務(wù)操作員同KMC系統(tǒng)，也就是根據(jù)用戶或相關(guān)部門的要求，將加密密鑰對CACA、RA寫入用戶證書載體或特殊載體，密鑰恢復(fù)流程如圖4-14所示。圖4-14Fig.4-14TheworkflowgraphofkeyCACACARACA，數(shù)字證書查詢與驗證系統(tǒng)根據(jù)業(yè)務(wù)量、部門和地域的不同進行CALDAPLDAP服務(wù)器LDAPLDAP服務(wù)器對外4-15LDAPLDAP4-15LDAPFig.4-15ThesynchronizationworkflowofLDAPLDAP4-16圖4-16Fig.4-16TheworkflowofcertificatesearchandLDAPLDAP服務(wù)器，輸入證書查詢條件（如證書中包含的姓名、；LDAPLDAP服務(wù)器給用戶返回證書狀態(tài)查詢的結(jié)果。LDAP2LDAPLDAPOCSPOCSP，提供證書狀態(tài)的在線查詢，主要針OCSPOCSP4-17請求應(yīng)答OCSPOCSP圖4-17Fig.4-17TheworkflowofcertificateonlineOCSPOCSP服務(wù)器接收用戶請求，并在其數(shù)據(jù)庫（服務(wù)器同步）OCSP第5章圖5-1Fig.5-1TopologicalstructureofcoreregionofverifyCA服務(wù)器、OracleLDAPHPDL580服務(wù)器。型號：HPDL580。配置為：2*146G硬盤/4G內(nèi)存/IntelXeon/8MB三級緩存/交換機：CISCO2950。20072007圖5-2Fig.5-2TopologicalstructureofservesregionofverifyRA服務(wù)器、OCSPServeLDAP：HPDL580。型號：HPDL580。配置為：2*146G硬盤/2G內(nèi)存/IntelXeon/4MB二級緩存/雙電源。交換機：CISCO3560/CISCO2950。20072007RedHatLinuxAS4WindowsXPProfessionalWindowsXPProfessional中文版操作系統(tǒng)系統(tǒng)并安裝相應(yīng)補丁軟件。CAOracle10.0.2.0在主目錄服務(wù)器和從目錄服務(wù)器上,ITEC-ids證書認證系統(tǒng)的初始化如圖5-3圖5-3Fig.5-3Theinitializationworkflowgraphofcertificateauthority注冊系統(tǒng)初始化如圖5-4圖5-4Fig.5-4Theinitializationworkflowgraphofregistration密鑰管理系統(tǒng)初始化流程如圖5-5圖5-5Fig.5-5TheinitializationworkflowgraphofkeymanagementIP規(guī)劃及操作員相關(guān)菜單如表5-1表5-1IPTab.5-1MenuofuserandIPWEBIPRA系統(tǒng)初始化步驟功能測試如表5-233項測試內(nèi)容，測試結(jié)果與預(yù)期結(jié)果完全符合，由于篇23表5-2Tab.5-2Functiontestofsystem序號簽發(fā)一張自簽名的根證成功簽發(fā)一張自簽名的證使用根證書簽發(fā)一張證書，同時備份一套成功簽發(fā)一張自簽名的證將注冊系統(tǒng)三個超級管成功將RA理員和一個審計管理員RA生成注冊系統(tǒng)機構(gòu)證書KMKMKMKM數(shù)字證書簽發(fā)系統(tǒng)功能測試如表5-341項測試內(nèi)容，測試結(jié)果與預(yù)期結(jié)果完全符合，由于篇幅原33表5-3Tab.5-3Functiontestofcertificatesubscription序號CACARA護RARA“務(wù)務(wù)KM正確啟動或者停止向KM務(wù)RA正確啟動或者停止向RA數(shù)字證書審核注冊系統(tǒng)功能測試如表5-45848表5-4Tab.5-4Functiontestofregistration序號理入PINCA作證書被正確下載到智能RA密鑰管理系統(tǒng)功能測試如表5-5密鑰管理系統(tǒng)功能測試包含：司法取證員管理、密鑰生成、密鑰恢復(fù)等共計25表5-5Tab.5-5Functiontestofkeymanagement序號CA鑰用初始化營業(yè)卡登陸KM統(tǒng)，修改/成功修改/員批量發(fā)證是指在符合PKCS#10標準的經(jīng)過審核的證書申請表已經(jīng)完成的前提下，CA將大批量證書申請進行連續(xù)自動簽發(fā)。：40：30500RA中心實際發(fā)證＝120張/致分為：2分鐘，2分鐘，1分鐘；錄入機，審核機/制證機兩臺機器并行工作，按照2600OCSP500OCSP150次