CA认证系统设计.docx
- 文档编号:11560806
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:10
- 大小:59.02KB
CA认证系统设计.docx
《CA认证系统设计.docx》由会员分享,可在线阅读,更多相关《CA认证系统设计.docx(10页珍藏版)》请在冰点文库上搜索。
CA认证系统设计
CA认证系统设计
1.1 系统简介
本系统是参照国际领先的CA系统的设计思想,继承了国际领先CA系统的成熟性、先进性、平安可靠及可扩展性,自主开发的、享有完全自主知识产权的数字证书效劳系统。
系统具有完善的功能,可以完成从企业自主建立标准CA到政府、行业建立大型效劳型CA等全面的需求。
CA系统采用模块化构造设计,由最终用户、RA管理员、CA管理员、注册中心〔RA〕、认证中心〔CA〕等构成,其中注册中心〔RA〕和认证中心〔CA〕又包含相应的模块,系统架构如以下图:
图1 CA系统模块架构图
CA系统能提供完善的功能,包括:
证书签发、证书生命周期管理、证书撤消列表〔CRL〕查询效劳、目录查询效劳、CA管理、密钥管理和日志审计等全面的功能。
CA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大型iTrusCA,不同类型系统的网络建立架构是不同的。
CA系统具有以下特点:
A. 符合国际和行标准;
B. 证书类型多样性及灵敏配置。
可以发放包括邮件证书、个人身份证书、企业证书、效劳器证书、代码签名证书和VPN证书等各种类型的证书;
C. 灵敏的认证体系配置。
系统支持树状的客户私有的认证体系,支持多级CA,支持穿插认证;
D. 高平安性和可靠性。
使用高强度密码保护密钥,支持加密机、智能卡、USBKEY等硬件设备以及相应的网络产品〔证书遨游产品〕来保存用户的证书;
E. 高扩展性。
根据客户需要,对系统进展配置和扩展,可以发放各种类型的证书;系统支持多级CA,支持穿插CA;系统支持多级RA。
F. 易于部署与使用。
系统所有用户、管理员界面都是B/S形式,CA/RA策略配置和定制以及用户证书管理等都是通过阅读器进展,并具有详细的操作说明。
G. 高兼容性。
支持各种加密机、多种数据库和支持多种证书存储介质。
1.2 认证体系设计
认证体系是指证书认证的逻辑层次构造,也叫证书认证体系。
证书的信任关系是一个树状构造,由自签名的根CA为起始,由它签发二级子CA,二级子CA又签发它的下级CA,以此递推,最后某一级子CA签发最终用户的证书。
认证体系理论上可以无限延伸,但从技术实现与系统管理上,认证层次并非越多越好。
层次越多,技术实现越复杂,管理的难度也增大。
证书认证的速度也会变慢。
一般的,国际上最大型的认证体系层次都不超过4层,并且阅读器等软件也不支持超过4层的认证体系。
本方案设计的用户的CA认证系统采用如以下图所示的认证体系:
图2 用户CA认证体系图
如下图,认证体系采用3层构造:
ν
第一层是自签名的用户根CA,是处于离线状态的,具有用户的权威性和品牌特性。
ν
第二层是由用户根CA签发的用户子CA,处于在线状态,它是签发系统用户证书的子CA。
ν
第三层为用户证书,由用户子CA签发,从用户证书的证书信任链中可以看出整个用户的CA认证体系构造,用户证书在用户的应用范围内受到信任。
采用这种认证体系具有以下特点:
〔1〕表达用户的权威性
从认证体系上看,用户CA具有自己的统一的根CA,由用户进展统一管理,负责整个用户的认证体系、CA策略和证书策略的定制与管理,这样充分表达了用户的权威性。
〔2〕具有很好的可扩展性
如下图体系具有很好的可扩展性,采用三层构造为体系的扩展预留了空间〔因为大多数应用都只支持四层以下〕,根据用户实际应用需求,将来可以在子CA下,签发下级子CA;或者针对别的应用再签发子CA这样,使得用户CA认证体系具有很好的可扩展性。
〔3〕具有很好的可操作性
采用三层体系构造,相比照拟简单,在CA的创立和管理上也相当比拟容易。
虽然从技术上认证体系支持无限扩展,但是层次越多,技术实现越复杂,管理的难度也增大。
而采用三层构造是目前业界比拟通用的、标准的做法。
这样,使得用户CA认证体系具有很好的可操作性。
1.3 系统网络架构
采用CA系统将为用户建立一个CA中心和一个RA中心,CA系统的所有模块可以安装在同一台效劳器上,也可以采用多台效劳器分别安装各模块。
系统网络架构如以下图所示:
图3 CA系统网络架构示意图
如下图,将CA系统的CA认证中心和RA注册中心各模块安装在CA效劳器上,为了保证系统的平安,CA效劳器必须位于平安的区域,即采用防火墙与外界进展隔离。
最终用户使用阅读器,访问CA效劳器,进展证书申请和管理。
管理员〔包括CA管理员和RA管理员,可以是同一个管理员担任〕使用阅读器,访问CA效劳器,进展证书管理和CA管理。
1.4 证书存储介质
本方案推荐使用USBKEY来保存用户的证书及私钥。
USBKEY是以USB为接口的存储设备,它便于携带和使用,可以实如今所有的机器〔具有USB接口〕上的遨游,可以满足用户挪动办公的需求。
USBKEY可以设置用户口令保护,增强了证书及私钥的平安性。
为了在发生USBKEY丧失等情况时,私钥可以恢复或者还可以用私钥解密以前的加密邮件,在申请证书时,密钥对可以在系统中产生而不是在USBKEY中产生,当证书申请成功后,再将私钥和证书导入到USBKEY中;同时系统可以以文件的形式保存私钥和证书的备份,这就提供了在USBKEY丧失时对用户私钥和证书的保护措施。
1.5 CA系统功能
CA系统具有完善的功能,采用iTrusCA系统设计的用户CA认证系统也具有完善的功能,包括:
〔1〕证书签发
通过CA认证系统,可以申请、产生和分发数字证书,具有证书签发功能。
用户访问CA认证系统,提交证书申请恳求,申请数字证书;RA管理员访问管理员站点,审查和批准用户的证书申请恳求;CA认证中心根据RA管理员的批准,签发用户证书,并将数字证书发布到目录效劳器中。
用户CA认证系统,获取签发的证书。
〔2〕证书生命周期管理
通过CA认证系统,可以实现证书的生命周期管理,包括:
λ
证书申请最终用户使用阅读器,访问CA认证系统,可以进展证书申请,在线提交证书申请恳求;
λ
证书批准管理员登录管理员站点,完成证书批准功能,可以查看和审批最终用户的证书申请恳求;
λ
证书查询最终用户可以通过CA认证系统,查询自己或别人的数字证书;
λ
证书下载通过CA认证系统,可以下载签发的数字证书;
λ
证书撤消最终用户在使用证书期间,有可能会出现一些问题,如:
证书丧失、忘记密码等,最终用户就需要将原证书撤消。
用户撤消证书时,可以直接访问CA认证系统,在线的向CA提交证书撤消恳求,CA认证系统根据用户的选择,自动撤消用户的证书,并将撤消的证书添加到证书撤消列表〔CRL〕中,按照证书撤消列表的发布周期进展发布;
λ
证书更新在用户证书到期前,用户需要更新证书,用户访问CA认证系统,查询用户的证书状态,对即将过期的用户证书进展更新。
〔3〕CRL效劳功能
CA认证系统支持证书黑名单列表〔CRL〕功能,可以配置指定RA的CRL下载地点及CRL发布时间。
CA认证系统定时产生CRL列表,并将产生的CRL发布至Web层CRL效劳模块,可以通过手工下载该CRL。
〔4〕目录效劳功能
CA认证系统支持目录效劳,支持LDAPV3标准,CA认证系统在签发用户证书时或者对证书进展撤消处理时,会及时更新目录内容。
证书目录效劳的功能提供应用户进展证书查询的功能,用户可以通过电子邮件〔Email〕、用户名称〔CommonName〕、单位名称〔Organization〕和部门名称〔OU〕等字段查找CA认证系统签发的用户证书。
〔5〕CA管理功能
CA认证系统具有完善的CA管理功能,包括:
λ
管理员管理
ν
RA管理员管理,包括初始化RA管理员申请、增加RA管理员、删除RA管理员;
ν
CA管理员管理,包括初始化CA管理员申请、后续CA管理员证书申请、撤消CA管理员证书。
λ
账号管理
ν
个人账号管理,包括注册信息,证书信息等管理;
ν
RA账号管理,包括RA账号申请、批准、撤消、额外管理员证书申请等。
λ
策略管理
ν
证书策略配置管理,高度灵敏和可扩展的配置CA所签发证书的有效期、主题、扩展、版本、密钥长度、类型等方面;
ν
RA策略配置管理,包括语言、联络方法、证书类型、是否发布到LDAP等;
ν
CA策略配置管理,包括证书DN重用性检查、CA别名设置等。
〔6〕日志与审计功能
系统具有完善的日志与审计功能,可以查看和统计各种日志,包括:
λ
统计各CA、RA账号证书颁发情况;
λ
记录所有RA与CA的操作日志;
λ
对所有操作人员的操作行为进展审计。
〔7〕CA密钥管理
系统支持CA密钥管理功能,包括:
λ
CA密钥产生和存储〔软件与硬件〕;
λ
CA证书〔包括根CA和子CA〕的产生和管理;
λ
CA密钥归档与备份。
1.6 证书应用开发接口〔API〕
为了实现基于数字证书的平安应用集成,提供了完好的证书应用开发接口〔API〕,提供C、JAVA和COM等多种接口,包括:
ν
个人信任代理〔PTA〕
个人信任代理〔PTA〕是客户端的软件包,既包括安装在客户端的文件加密/解密程序,也包括用于数字签名和签名验证的ActiveX控件。
文件加/解密模块可以产生随机数密钥对文件进展加密,以及使用输入的密钥对文件进展解密;ActiveX控件由用户访问相关网页时下载到客户端阅读器中,实现使用本地的证书〔私钥〕对文件进展数字签名,以及对签名进展验证。
ν
证书解析模块〔CPM〕
证书解析模块是一系列平台下的动态链接库,用于解析DER或PEM编码的X.509数字证书,将证书中的信息,包括用户信息、证书有效期、证书公钥等信息分解为字符串。
ν
数据签名验证模块〔SVM〕
数据签名及验证模块是一系列平台下的动态链接库或插件,可以应用于客户端和效劳器端,实现对传输数据的数字签名,和对数字签名及其证书进展验证。
证书的验证可使用CRL或OCSP来进展有效性验证。
1.7 系统工作流程设计
〔1〕证书发放流程
本方案设计的用户CA认证系统的证书发放采用集中发证的方式,即由管理员集中申请好证书,保存在USBKEY中,发放给用户使用。
其工作流程如以下图所示:
图4 证书发放流程图
(a)管理员使用阅读器,访问用户CA认证系统,进入证书申请页面,替最终用户填写证书申请信息,向用户CA认证系统提交证书申请恳求。
在本地〔本地的USBKEY上〕产生证书的公私钥对,并将公钥和用户信息一起作为证书申请恳求,提交给CA认证系统;
(b)CA认证系统根据管理员提交的证书申请恳求,批准并签发用户证书,将用户证书发布到数据库中。
同时,将用户证书返回到管理员端,保存到USBKEY中;
(c)管理员将申请好证书的USBKEY发放给最终用户。
〔2〕证书撤消流程
在用户证书的私钥受到威胁、或者用户私钥丧失时,需要撤消用户的证书,根据用户信息系统的应用情况,本方案设计证书撤消由管理员进展,其工作流程如下:
(a)管理员在发现用户违背使用规定,或者用户自己向管理员发送邮件,恳求撤消自己的证书时,管理员访问CA认证系统管理员模块,进展用户证书撤消用户;
(b)管理员通过证书管理功能页面,查询到需要撤消的用户证书;
(c)管理员选择撤消操作,选择撤消用户证书的原因,向CA认证系统发送证书撤消恳求;
(d)CA认证系统根据管理员的证书撤消恳求,自动的撤消用户的证书,并将撤消的用户证书发布到证书撤消列表中,同时对数据库中保存的用户证书的最新状态进展更新;
(e)CA认证系统给管理员返回证书撤消成功信息,同时给用户发送电子邮件,告诉用户证书已经被撤消,不能再使用自己的证书。
〔3〕证书更新流程
最终用户在其证书即将过期之前,需要访问CA认证系统,更新自己的证书,其流程为:
(a)最终用户在证书即将过期前〔一般为一个月〕,访问用户CA认证系统,登录用户效劳页面,点击“证书更新〞选项;
(b)系统自动识别用户是否具有用户CA认证系统颁发的数字证书,并且判断是否过期,假如即将过期,便提示进展更新;
(c)用户选择需要更新的证书,点击提交,向CA认证系统提交证书更新恳求。
在提交证书更新恳求时,在USBKEY中,重新产生更新证书的公私钥对,将公钥和即将过期的证书一起,作为证书更新恳求,提交给CA认证系统;
(d)CA认证系统自动批准证书更新恳求,自动更新用户证书,将更新的证书发布到目录效劳器,同时将更新证书返回到用户端,自动保存到USBKEY中。
1.8 系统性能和特点分析
采用iTrusCA系统建立的用户CA认证系统拥有以下性能和特点:
〔1〕符合国际和行业标准
系统在设计中遵循了相应的国际和工业标准,包括X.509标准、PKCS系列标准、IETF的PKIX工作组制定的PKI相关RFC标准,以及HTTP、SSL、LDAP等互联网通讯协议等。
严格遵循这些标准,使得系统具有很好的开放性,可以与各种应用结合,成为真正的平安根底设施。
〔2〕证书类型多样性及灵敏配置
系统可以提供各种证书的签发功能,本方案设计的CA认证系统可以签发个人身份证书。
将来根据用户的需要,可以进展扩展,通过灵敏配置可以签发企业证书、效劳器证书、代码签名证书和VPN证书等。
〔3〕灵敏的认证体系配置
系统采用“认证体系设计〞一节设计的CA认证体系,采用树状构造,支持多级CA,支持穿插认证。
〔4〕注册机关〔RA〕建立方式多样化
本方案设计的CA认证系统采用一个RA的配置,根据用户的要求,将来可以配置多个RA和多级RA,RA界面风格可定制。
〔5〕高平安性和可靠性
使用高强度密码保护密钥,支持加密机、智能卡、USBKEY等硬件设备,用户关键信息散列保存,以防遗失。
〔6〕高扩展性
根据客户需要,对系统进展配置和扩展,可以发放各种类型的证书;系统支持多级CA,支持穿插CA;系统支持多级RA。
〔7〕易于部署与使用
系统所有用户、管理员界面都是B/S形式,CA/RA策略配置和定制以及用户证书管理等都是通过阅读器进展,并具有详细的操作说明。
〔8〕高兼容性
支持Windows、Linux、Solaris等多种操作系统;
支持多种加密设备
支持多种数据库
支持多种证书存储介质:
硬盘、USBKEY和智能卡等
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CA 认证 系统 设计