經典word整理文檔，僅參考，雙擊此處可刪除頁眉頁腳。本資料屬于網絡整理，如有侵權，請聯系刪除，謝謝！CA認證系統設計1.1系統簡介本系統是參照國際領先的CA系統的設計思想，繼承了國際領先CA系統的成熟性、先進性、安全可靠及可擴展性，自主開發的、享有完全自主知識產權的數字證書服務系統。系統具有完善的功能，能夠完成從企業自主建立標準CA到政府、行業建立大型服務型CA等全面的需求。CARACA管理員、注冊中心（）、認證中心（CA）等構成，其中注冊中心（RA）和認證中心（CA）又包含相應的模塊，系統架構如下圖：圖1CA系統模塊架構圖CA系統能提供完善的功能，包括：證書簽發、證書生命周期管理、證書吊銷列表（）查詢服務、目錄查詢服務、CA管理、密鑰管理和日志審計等全面的功能。CA系統按照用戶數量的不同分為小型iTrusCA、標準型iTrusCA、企業型iTrusCA和大型iTrusCA，不同類型系統的網絡建設架構是不同的。CA系統具有下列特點：A.符合國際和行標準；B.證書類型多樣性及靈活配置。能夠發放包括郵件證書、個人身份證書、企業證書、服務器證書、代碼簽名證書和VPN證書等各種類型的證書；C.靈活的認證體系配置。系統支持樹狀的客戶私有的認證體系，支持多級CA，支持交叉認證；D.高安全性和可靠性。使用高強度密碼保護密鑰，支持加密機、智能卡、USBKEY等硬件設備以及相應的網絡產品（證書漫游產品）來保存用戶的證書；高擴展性。根據客戶需要，對系統進行配置和擴展，能夠發放各種類型的證書；系統支持多級CA，支持交叉CA；系統支持多級RA。F.易于部署與使用。系統所有用戶、管理員界面都是B/S模式，CA/RA策略配置和定制以及用戶證書管理等都是通過瀏覽器進行，并具有詳細的操作說明。G.高兼容性。支持各種加密機、多種數據庫和支持多種證書存儲介質。1.2認證體系設計認證體系是指證書認證的邏輯層次結構，也叫證書認證體系。證書的信任關系是一個樹狀結構，由自簽名的根CA為起始，由它簽發二級子CA，二級子CA又簽發它的下級CA，以此遞推，最后某一級子CA簽發最終用戶的證書。認證體系理論上可以無限延伸，但從技術實現與系統管理上，認證層次并非越多越好。層次越多，技術實現越復雜，管理的難度也增大。證書認證的速度也會變慢。一般的，國際上最大型的認證體系層次都不超過4層，并且瀏覽器等軟件也不支持超過4層的認證體系。本方案設計的用戶的CA認證系統采用如下圖所示的認證體系：圖2用戶CA認證體系圖如圖所示，認證體系采用3層結構：第一層是自簽名的用戶根CA，是處于離線狀態的，具有用戶的權威性和品牌特性。第二層是由用戶根CA簽發的用戶子CA，處于在線狀態，它是簽發系統用戶證書的子CA。第三層為用戶證書，由用戶子CA簽發，從用戶證書的證書信任鏈中可以看出整個用戶的CA認證體系結構，用戶證書在用戶的應用范圍內受到信任。采用這種認證體系具有下列特點：（1）體現用戶的權威性CA具有自己的統一的根CACA策略和證書策略的定制與管理，這樣充分體現了用戶的權威性。（2）具有很好的可擴展性如圖所示體系具有很好的可擴展性，采用三層結構為體系的擴展預留了空間（因為大多數應用都只支持四層以下），根據用戶實際應用需求，將來可以在子CA下，簽發下級子CA；或者針對別的應用再簽發子CA這樣，使得用戶CA認證體系具有很好的可擴展性。（3）具有很好的可操作性采用三層體系結構，相對比較簡單，在CA的創建和管理上也相當比較容易。雖然從技術上認證體系支持無限擴展，但是層次越多，技術實現越復雜，管理的難度也增大。而采用三層結構是目前業界比較通用的、標準的做法。這樣，使得用戶CA認證體系具有很好的可操作性。1.3系統網絡架構采用CA系統將為用戶建設一個CA中心和一個RA中心，CA系統的所有模塊可以安裝在同一臺服務器上，也可以采用多臺服務器分別安裝各模塊。系統網絡架構如下圖所示：圖3CA系統網絡架構示意圖CA系統的CA認證中心和RA注冊中心各模塊安裝在CA全，CA服務器必須位于安全的區域，即采用防火墻與外界進行隔離。最終用戶使用瀏覽器，訪問CA服務器，進行證書申請和管理。管理員（包括CA管理員和RA管理員，可以是同一個管理員擔任）使用瀏覽器，訪問CA服務器，進行證書管理和CA管理。1.4證書存儲介質本方案推薦使用USBKEY來保存用戶的證書及私鑰。USBKEY是以USB為接口的存儲設備，它便USBUSBKEY可以設置用戶口令保護，增強了證書及私鑰的安全性。為了在發生USBKEY丟失等情況時，私鑰可以恢復或者還可以用私鑰解密以前的加密郵件，在申請證書時，密鑰對可以在系統中產生而不是在USBKEY中產生，當證書申請成功后，再將私鑰和證書導入到USBKEYUSBKEY丟失時對用戶私鑰和證書的保護措施。1.5CA系統功能CA系統具有完善的功能，采用iTrusCA系統設計的用戶CA認證系統也具有完善的功能，包括：（1）證書簽發通過CA認證系統，能夠申請、產生和分發數字證書，具有證書簽發功能。用戶訪問CA認證系統，提交證書申請請求，申請數字證書；RACA認證中心根據RA管理員的批準，簽發用戶證書，并將數字證書發布到目錄服務器中。用戶CA認證系統，獲取簽發的證書。（2）證書生命周期管理通過CA認證系統，可以實現證書的生命周期管理，包括：證書申請最終用戶使用瀏覽器，訪問CA認證系統，可以進行證書申請，在線提交證書申請請求；證書批準管理員登錄管理員站點，完成證書批準功能，可以查看和審批最終用戶的證書申請請求；證書查詢最終用戶可以通過CA認證系統，查詢自己或別人的數字證書；證書下載通過CA認證系統，可以下載簽發的數字證書；證書吊銷最終用戶在使用證書期間，有可能會出現一些問題，如：證書丟失、忘記密碼等，最終用戶就需要將原證書吊銷。用戶吊銷證書時，可以直接訪問CA認證系統，在線的向CACA認證系統根據用戶的選擇，自動吊銷用戶的證書，并將吊銷的證書添加到證書吊銷列表（）中，按照證書吊銷列表的發布周期進行發布；證書更新在用戶證書到期前，用戶需要更新證書，用戶訪問CA認證系統，查詢用戶的證書狀態，對即將過期的用戶證書進行更新。（3）CRL服務功能CARA的CRL下載地點及CRL發布時間。CA認證系統定時產生CRL列表，并將產生的CRL發布至Web層CRL服務模塊，可以通過手工下載該C。（4）目錄服務功能CA認證系統支持目錄服務，支持LDAPV3規范，CA認證系統在簽發用戶證書時或者對證書進行吊銷處理時，會及時更新目錄內容。證書目錄服務的功能提供給用戶進行證書查詢的功能，用戶可以通過電子郵件（Email）、用戶名稱（Common）、單位名稱（）和部門名稱（OU）等字段查找CA認證系統簽發的用戶證書。（5）CA管理功能CA認證系統具有完善的CA管理功能，包括：管理員管理RA管理員管理，包括初始化RA管理員申請、增加RA管理員、刪除RA管理員；CA管理員管理，包括初始化CA管理員申請、后續CA管理員證書申請、吊銷CA管理員證書。賬號管理個人賬號管理，包括注冊信息，證書信息等管理；RA賬號管理，包括RA賬號申請、批準、吊銷、額外管理員證書申請等。策略管理證書策略配置管理，高度靈活和可擴展的配置CA所簽發證書的有效期、主題、擴展、版本、密鑰長度、類型等方面；RA策略配置管理，包括語言、聯系方法、證書類型、是否發布到LDAP等；CA策略配置管理，包括證書DN重用性檢查、CA別名設置等。（6）日志與審計功能系統具有完善的日志與審計功能，可以查看和統計各種日志，包括：統計各CA、RA賬號證書頒發情況；記錄所有RA與CA的操作日志；對所有操作人員的操作行為進行審計。（7）CA密鑰管理系統支持CA密鑰管理功能，包括：CA密鑰產生和存儲（軟件與硬件）；CA證書（包括根CA和子CA）的產生和管理；CA密鑰歸檔與備份。1.6證書應用開發接口（API）為了實現基于數字證書的安全應用集成，提供了完整的證書應用開發接口（），提供、JAVA和COM等多種接口，包括：個人信任代理（PTA）個人信任代理（PTA）是客戶端的軟件包，既包括安裝在客戶端的文件加密解密程序，也包括用于數字簽名和簽名驗證的ActiveX控件。文件加解密模塊可以產生隨機數密鑰對文件進行加密，以及使用輸入的密鑰對文件進行解密；ActiveX鑰）對文件進行數字簽名，以及對簽名進行驗證。證書解析模塊（CPM）證書解析模塊是一系列平臺下的動態鏈接庫，用于解析DER或PEM編碼的X.509數字證書，將證書中的信息，包括用戶信息、證書有效期、證書公鑰等信息分解為字符串。數據簽名驗證模塊（SVM）數據簽名及驗證模塊是一系列平臺下的動態鏈接庫或插件，可以應用于客戶端和服務器端，實現對傳輸數據的數字簽名，和對數字簽名及其證書進行驗證。證書的驗證可使用CRL或OCSP來進行有效性驗證。1.7系統工作流程設計（1）證書發放流程本方案設計的用戶CA認證系統的證書發放采用集中發證的方式，即由管理員集中申請好證書，保存在USBKEY中，發放給用戶使用。其工作流程如下圖所示：圖4證書發放流程圖管理員使用瀏覽器，訪問用戶CA認證系統，進入證書申請頁面，替最終用戶填寫證書申請信息，向用戶CA認證系統提交證書申請請求。在本地（本地的USBKEY上）產生證書的公私鑰對，并將公鑰和用戶信息一起作為證書申請請求，提交給CA認證系統；(b)CA認證系統根據管理員提交的證書申請請求，批準并簽發用戶證書，將用戶證書發布到數據庫中。同時，將用戶證書返回到管理員端，保存到USBKEY中；管理員將申請好證書的USBKEY發放給最終用戶。（2）證書吊銷流程在用戶證書的私鑰受到威脅、或者用戶私鑰丟失時，需要吊銷用戶的證書，根據用戶信息系統的應用情況，本方案設計證書吊銷由管理員進行，其工作流程如下：管理員在發現用戶違反使用規定，或者用戶自己向管理員發送郵件，請求吊銷自己的證書時，管理員訪問CA認證系統管理員模塊，進行用戶證書吊銷用戶；(b)管理員通過證書管理功能頁面，查詢到需要吊銷的用戶證書；管理員選擇吊銷操作，選擇吊銷用戶證書的原因，向CA認證系統發送證書吊銷請求；(d)CA認證系統根據管理員的證書吊銷請求，自動的吊銷用戶的證書，并將吊銷的用戶證書發布到證書吊銷列表中，同時對數據庫中保存的用戶證書的最新狀態進行更新；(e)CA認證系統給管理員返回證書吊銷成功信息，同時給用戶發送電子郵件，告訴用戶證書已經被吊銷，不能再使用自己的證書。（3）證書更新流程最終用戶在其證書即將過期之前，需要訪問CA認證系統，更新自己的證書，其流程為：最終用戶在證書即將過期前（一般為一個月），訪問用戶CA“證書更新選項；(b)系統自動識別用戶是否具有用戶CA認證系統頒發的數字證書，并且判斷是否過期，如果即將過期，便提示進行更新；用戶選擇需要更新的證書，點擊提交，向CA認證系統提交證書更新請求。在提交證書更新請求時，在USBKEY中，重新產生更新證書的公私鑰對，將公鑰和即將過期的證書一起，作為證書更新請求，提交給CA認證系統；(d)CA認證系統自動批準證書更新請求，自動更新用戶證書，將更新的證書發布到目錄服務器，同時將更新證書返回到用戶端，自動保存到USBKEY中。1.8系統性能和特點分析采用iTrusCA系統建設的用戶CA認證系統擁有下列性能和特點：（1）符合國際和行業標準系統在設計中遵循了相應的國際和工業標準，包括X.509標準、PKCS系列標準、IETF的PKIX工作組制定的PKI相關RFC標準，以及HTTP、SSL、LDAP等互聯網通訊協議等。嚴格遵循這些標準，使得系統具有很好的開放性，能夠與各種應用結合，成為真正的安全基礎設施。（2）證書類型多樣性及靈活配置系統能夠提供各種證書的簽發功能，本方案設計的CA認證系統能夠簽發個人身份證書。將來根據用戶的需要，可以進行擴展，通過靈活配置可以簽發企業證書、服務器證書、代碼簽名證書和VPN證書等。（3）靈活的認證體系配置系統采用“認證體系設計一節設計的CA認證體系，采用樹狀結構，支持多級CA，支持交叉認證。（4）注冊機關（RA）建設方式多樣化本方案設計的CA認證系統采用一個RA的配置，根據用戶的要求，將來可以配置多個RA和多級RA，RA界面風格