CA认证专业系统设计.doc

1、CA认证系统设计 　　1.1 系统介绍 　　本系统是参考国际领先CA系统设计思想，继承了国际领先CA系统成熟性、优异性、安全可靠及可扩展性，自主开发、享受完全自主知识产权数字证书服务系统。系统含有完善功效，能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全方面需求。 　　CA系统采取模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等组成，其中注册中心（RA）和认证中心（CA）又包含对应模块，系统架构以下图： 　　图1  CA系统模块架构图 　　CA系统能提供完善功效，包含：证书签发、证书生命周期管理、证书吊销列表（

2、CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等全方面功效。 　　CA系统根据用户数量不一样分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大型iTrusCA，不一样类型系统网络建设架构是不一样。 　　CA系统含有下列特点： 　　A. 符合国际和行标准； 　　B. 证书类型多样性及灵活配置。能够发放包含邮件证书、个人身份证书、企业证书、服务器证书、代码署名证书和VPN证书等多种类型证书； 　　C. 灵活认证体系配置。系统支持树状用户私有认证体系，支持多级CA，支持交叉认证； 　　D. 高安全性和可靠性。使用高强度密码保护密钥，支持加密机、智能卡、U

3、SB KEY等硬件设备和对应网络产品（证书漫游产品）来保留用户证书； 　　E. 高扩展性。依据用户需要，对系统进行配置和扩展，能够发放多种类型证书；系统支持多级CA，支持交叉CA；系统支持多级RA。 　　F. 易于布署和使用。系统全部用户、管理员界面全部是B/S模式，CA/RA策略配置和定制和用户证书管理等全部是经过浏览器进行，并含有具体操作说明。 　　G. 高兼容性。支持多种加密机、多个数据库和支持多个证书存放介质。 　　1.2 认证体系设计 　　认证体系是指证书认证逻辑层次结构，也叫证书认证体系。证书信任关系是一个树状结构，由自署名根CA为起始，由它签发二级子CA，二级子CA又签

4、发它下级CA，以此递推，最终某一级子CA签发最终用户证书。 　　认证体系理论上能够无限延伸，但从技术实现和系统管理上，认证层次并非越多越好。层次越多，技术实现越复杂，管理难度也增大。证书认证速度也会变慢。通常，国际上最大型认证体系层次全部不超出4层，而且浏览器等软件也不支持超出4层认证体系。 　　本方案设计用户CA认证系统采取以下图所表示认证体系： 　　图2  用户CA认证体系图 　　图所表示，认证体系采取3层结构：  n 　　第一层是自署名用户根CA，是处于离线状态，含有用户权威性和品牌特征。  n 　　第二层是由用户根CA签发用户子CA，处于在线状态，它是签发系统用户证

5、书子CA。  n 　　第三层为用户证书，由用户子CA签发，从用户证书证书信任链中能够看出整个用户CA认证体系结构，用户证书在用户应用范围内受到信任。 　　采取这种认证体系含有下列特点： 　　（1）表现用户权威性 　　从认证体系上看，用户CA含有自己统一根CA，由用户进行统一管理，负责整个用户认证体系、CA策略和证书策略定制和管理，这么充足表现了用户权威性。 　　（2）含有很好可扩展性 　　图所表示体系含有很好可扩展性，采取三层结构为体系扩展预留了空间（因为大多数应用全部只支持四层以下），依据用户实际应用需求，未来能够在子CA下，签发下级子CA；或针对别应用再签发子CA这么，使得用

6、户CA认证体系含有很好可扩展性。 　　（3）含有很好可操作性 采取三层体系结构，相对比较简单，在CA创建和管理上也相当比较轻易。即使从技术上认证体系支持无限扩展，不过层次越多，技术实现越复杂，管理难度也增大。而采取三层结构是现在业界比较通用、标准做法。这么，使得用户CA认证体系含有很好可操作性。 　　1.3 系统网络架构 　　采取CA系统将为用户建设一个CA中心和一个RA中心， CA系统全部模块能够安装在同一台服务器上，也能够采取多台服务器分别安装各模块。系统网络架构以下图所表示： 　　图3  CA系统网络架构示意图 　　图所表示，将CA系统CA认证中心和RA注册中心各模块安装

7、在CA服务器上，为了确保系统安全，CA服务器必需在安全区域，即采取防火墙和外界进行隔离。最终用户使用浏览器，访问CA服务器，进行证书申请和管理。管理员（包含CA管理员和RA管理员，能够是同一个管理员担任）使用浏览器，访问CA服务器，进行证书管理和CA管理。 　　1.4 证书存放介质 　　本方案推荐使用USB KEY来保留用户证书及私钥。USB KEY是以USB为接口存放设备，它便于携带和使用，能够实现在全部机器（含有USB接口）上漫游，能够满足用户移动办公需求。USB KEY能够设置用户口令保护，增强了证书及私钥安全性。 　　为了在发生USB KEY丢失等情况时，私钥能够恢复或还能够用私

8、钥解密以前加密邮件，在申请证书时，密钥对能够在系统中产生而不是在USB KEY中产生，当证书申请成功后，再将私钥和证书导入到USB KEY中；同时系统能够以文件形式保留私钥和证书备份，这就提供了在USB KEY丢失时对用户私钥和证书保护方法。 　　1.5 CA系统功效 　　CA系统含有完善功效，采取iTrusCA系统设计用户CA认证系统也含有完善功效，包含： 　　（1）证书签发 　　经过CA认证系统，能够申请、产生和分发数字证书，含有证书签发功效。用户访问CA认证系统，提交证书申请请求，申请数字证书；RA管理员访问管理员站点，审查和同意用户证书申请请求；CA认证中心依据RA管理员同意，

9、签发用户证书，并将数字证书公布到目录服务器中。用户CA认证系统，获取签发证书。 　　（2）证书生命周期管理 　　经过CA认证系统，能够实现证书生命周期管理，包含：  l 　　证书申请 最终用户使用浏览器，访问CA认证系统，能够进行证书申请，在线提交证书申请请求；  l 　　证书同意 管理员登录管理员站点，完成证书同意功效，能够查看和审批最终用户证书申请请求；  l 　　证书查询 最终用户能够经过CA认证系统，查询自己或她人数字证书；  l 　　证书下载 经过CA认证系统，能够下载签发数字证书；  l 　　证书吊销 最终用户在使用证书期间，有可能会出现部分问题，如：证书丢

10、失、忘记密码等，最终用户就需要将原证书吊销。用户吊销证书时，能够直接访问CA认证系统，在线向CA提交证书吊销请求，CA认证系统依据用户选择，自动吊销用户证书，并将吊销证书添加到证书吊销列表（CRL）中，根据证书吊销列表公布周期进行公布；  l 　　证书更新 在用户证书到期前，用户需要更新证书，用户访问CA认证系统，查询用户证书状态，对立即过期用户证书进行更新。 　　（3）CRL服务功效 　　CA认证系统支持证书黑名单列表（CRL）功效，能够配置指定RACRL下载地点及CRL公布时间。CA认证系统定时产生CRL列表，并将产生CRL公布至Web层CRL服务模块，能够经过手工下载该CRL。

11、 　　（4）目录服务功效 　　CA认证系统支持目录服务，支持LDAP V3规范，CA认证系统在签发用户证书时或对证书进行吊销处理时，会立即更新目录内容。证书目录服务功效提供给用户进行证书查询功效，用户能够经过电子邮件（Email）、用户名称（Common Name）、单位名称（Organization）和部门名称（OU）等字段查找CA认证系统签发用户证书。 　　（5）CA管理功效 　　CA认证系统含有完善CA管理功效，包含：  l 　　管理员管理  n 　　RA管理员管理，包含初始化RA管理员申请、增加RA管理员、删除RA管理员；  n 　　CA管理员管理，包含初始化CA管

12、理员申请、后续CA管理员证书申请、吊销CA管理员证书。  l 　　账号管理  n 　　个人账号管理，包含注册信息，证书信息等管理；  n 　　RA账号管理，包含RA账号申请、同意、吊销、额外管理员证书申请等。  l 　　策略管理  n 　　证书策略配置管理，高度灵活和可扩展配置CA所签发证书使用期、专题、扩展、版本、密钥长度、类型等方面；  n 　　RA策略配置管理，包含语言、联络方法、证书类型、是否公布到LDAP等；  n 　　CA策略配置管理，包含证书DN重用性检验、CA别名设置等。 　　（6）日志和审计功效 　　系统含有完善日志和审计功效，能够查看和统计多

13、种日志，包含：  l 　　统计各CA、RA账号证书颁发情况；  l 　　统计全部RA和CA操作日志；  l 　　对全部操作人员操作行为进行审计。 　　（7）CA密钥管理 　　系统支持CA密钥管理功效，包含：  l 　　CA密钥产生和存放（软件和硬件）；  l 　　CA证书（包含根CA和子CA）产生和管理；  l 　　CA密钥归档和备份。 　　1.6 证书应用开发接口（API） 　　为了实现基于数字证书安全应用集成，提供了完整证书应用开发接口（API），提供C、JAVA和COM等多个接口，包含：  n 　　个人信任代理（PTA） 　　个人信任代理（PTA）是

14、用户端软件包，既包含安装在用户端文件加密/解密程序，也包含用于数字署名和署名验证ActiveX控件。文件加/解密模块能够产生随机数密钥对文件进行加密，和使用输入密钥对文件进行解密；ActiveX控件由用户访问相关网页时下载到用户端浏览器中，实现使用当地证书（私钥）对文件进行数字署名，和对署名进行验证。  n 　　证书解析模块（CPM） 　　证书解析模块是一系列平台下动态链接库，用于解析DER或PEM编码X.509数字证书，将证书中信息，包含用户信息、证书使用期、证书公钥等信息分解为字符串。  n 　　数据署名验证模块（SVM） 　　数据署名及验证模块是一系列平台下动态链接库或插件，

15、能够应用于用户端和服务器端，实现对传输数据数字署名，和对数字署名及其证书进行验证。证书验证可使用CRL或OCSP来进行有效性验证。 　　1.7 系统工作步骤设计 　　（1）证书发放步骤 　　本方案设计用户CA认证系统证书发放采取集中发证方法，即由管理员集中申请好证书，保留在USB KEY中，发放给用户使用。其工作步骤以下图所表示： 　　图4  证书发放步骤图 　　(a)管理员使用浏览器，访问用户CA认证系统，进入证书申请页面，替最终用户填写证书申请信息，向用户CA认证系统提交证书申请请求。在当地（当地USB KEY上）产生证书公私钥对，并将公钥和用户信息一起作为证书申请请求，提交

16、给CA认证系统； 　　(b)CA认证系统依据管理员提交证书申请请求，同意并签发用户证书，将用户证书公布到数据库中。同时，将用户证书返回到管理员端，保留到USB KEY中； 　　(c)管理员将申请好证书USB KEY发放给最终用户。 　　（2）证书吊销步骤 　　在用户证书私钥受到威胁、或用户私钥丢失时，需要吊销用户证书，依据用户信息系统应用情况，本方案设计证书吊销由管理员进行，其工作步骤以下： 　　(a)管理员在发觉用户违反使用要求，或用户自己向管理员发送邮件，请求吊销自己证书时，管理员访问CA认证系统管理员模块，进行用户证书吊销用户； 　　(b)管理员经过证书管理功效页面，查询到需

17、要吊销用户证书； 　　(c)管理员选择吊销操作，选择吊销用户证书原因，向CA认证系统发送证书吊销请求； 　　(d)CA认证系统依据管理员证书吊销请求，自动吊销用户证书，并将吊销用户证书公布到证书吊销列表中，同时对数据库中保留用户证书最新状态进行更新； 　　(e)CA认证系统给管理员返回证书吊销成功信息，同时给用户发送电子邮件，告诉用户证书已经被吊销，不能再使用自己证书。 　　（3）证书更新步骤 　　最终用户在其证书立即过期之前，需要访问CA认证系统，更新自己证书，其步骤为： 　　(a)最终用户在证书立即过期前（通常为30天），访问用户CA认证系统，登录用户服务页面，点击“证书更新”

18、选项； 　　(b)系统自动识别用户是否含有用户CA认证系统颁发数字证书，而且判定是否过期，假如立即过期，便提醒进行更新； 　　(c)用户选择需要更新证书，点击提交，向CA认证系统提交证书更新请求。在提交证书更新请求时，在USB KEY中，重新产生更新证书公私钥对，将公钥和立即过期证书一起，作为证书更新请求，提交给CA认证系统； 　　(d)CA认证系统自动同意证书更新请求，自动更新用户证书，将更新证书公布到目录服务器，同时将更新证书返回到用户端，自动保留到USB KEY中。 　　1.8 系统性能和特点分析 　　采取iTrusCA系统建设用户CA认证系统拥有下列性能和特点： 　　（1）

19、符合国际和行业标准 　　系统在设计中遵照了对应国际和工业标准，包含X.509标准、PKCS系列标准、IETFPKIX工作组制订PKI相关RFC标准，和HTTP、SSL、LDAP等互联网通讯协议等。严格遵照这些标准，使得系统含有很好开放性，能够和多种应用结合，成为真正安全基础设施。 　　（2）证书类型多样性及灵活配置 　　系统能够提供多种证书签发功效，本方案设计CA认证系统能够签发个人身份证书。未来依据用户需要，能够进行扩展，经过灵活配置能够签发企业证书、服务器证书、代码署名证书和VPN证书等。 　　（3）灵活认证体系配置 　　系统采取“认证体系设计”一节设计CA认证体系，采取树状结构

20、支持多级CA，支持交叉认证。 　　（4）注册机关（RA）建设方法多样化 　　本方案设计CA认证系统采取一个RA配置，依据用户要求，未来能够配置多个RA和多级RA，RA界面风格可定制。 　　（5）高安全性和可靠性 　　使用高强度密码保护密钥，支持加密机、智能卡、USB KEY等硬件设备，用户关键信息散列保留，以防遗失。 　　（6）高扩展性 　　依据用户需要，对系统进行配置和扩展，能够发放多种类型证书；系统支持多级CA，支持交叉CA；系统支持多级RA。 　　（7）易于布署和使用 　　系统全部用户、管理员界面全部是B/S模式，CA/RA策略配置和定制和用户证书管理等全部是经过浏览器进行，并含有具体操作说明。 　　（8）高兼容性 　　支持Windows、Linux、Solaris等多个操作系统； 　　支持多个加密设备 　　支持多个数据库 　　支持多个证书存放介质：硬盘、USB KEY和智能卡等