《数字证书认证系统的设计与实现.docx》由会员分享,可在线阅读,更多相关《数字证书认证系统的设计与实现.docx(91页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、数字证书认证系统的设计与实现摘 要本论文研究并介绍了数字证书认证系统的研究背景和研究意义,分析并提出了公开密钥体制、统一身份认证技术、异步消息和队列处理技术、集中式生产、分布式服务、业务流程自定义、引擎调度监控、灵活的证书编码格式、私钥分割技术、安全的通讯机制、证书业务模板自定义技术、RA、CA、KMC 之间松耦合技术等一系列关键技术,以解决数字证书认证系统在设计与实现过程中可能遇到的技术障碍。本论文在对数字证书认证系统的关键技术研究的基础上,对数字证书认证系统的总体体系结构、逻辑结构和拓扑结构做出详细设计,并对数字证书签发系统、数字证书审核注册系统、密钥管理系统、数字证书查询验证系统等数字证
2、书认证系统中的主要组成部分的功能、系统描述、体系结构、系统配置等作出详细设计,并设计了数字证书的结构与管理方式。本论文在对数字证书认证系统做出详细设计后,对其实现进行了分析和讨论,并对系统角色初始化、典型工作流程、信息录入、证书审核、证书下载、自签根证书、证书签发、证书注销、证书更新、证书暂停、证书暂停恢复、密钥生成、密钥更新、密钥分发、密钥撤销、密钥恢复、第 I 页证书发布、证书及状态查询、证书在线验证等工作流程进行了设计和实现。本论文在系统设计、系统实现的基础上对系统设计和实现的成果进行了验证,从系统初始化到对数字证书签发系统、数字证书审核注册系统、密钥管理系统等数字证书认证系统的主要组成
3、部分的系统功能与性能进行了详细的测试与验证。本论文最后对本次研究成果进行了总结,分析了存在的问题并对今后的研究工作进行了展望。关键词:数字证书,数字证书认证系统,数字证书签发系统,数字证书审核注册系统,密钥管理系统第 II 页Design and Implementation of Certificate Authority SystemABSTRACTThis dissertation studies and analyses the research background and research significance of the certificate authority syst
4、em, and presents public key system, unified identity authority technologies, asynchronous messaging and queue processing technology, centralized production, distributed services, business process custom, engine monitoring schedule and flexible certificate encoding format, the private key segmentatio
5、n, secure communication mechanism, the certificate template custom business technology, RA, CA, KMC loosely coupled technology among a series of key technologies in order to get over the technical obstacles may be encountered during the design and implementation of the certificate authority system.T
6、he dissertation makes detailed designs of certificate authority upon the studies and analyses of the key technologies of s certificate authority, which contains logical structure and topological structure. And make detailed designs about system function, system introduction, system structure, system
7、 management of certificate authority system, registration authority system, and key management system.The dissertation analyses and discusses the implement certificate authority system and the detailed workflow including initialization of system role, information entry, the certificate examination,
8、certificate to download, self-signed root certificate, the certificate issued, the certificate cancellation, certificate update, certificate suspension, the certificate be suspended recovery, key generation, key update, key distribution, key revocation, key recovery, certificate issued, certificate
9、status inquiries, online certificate verification and etc.The dissertation tests and verifies the result of certificate authority第 IV 页system based on the system design and implementation. The verification tests the system major functions and performances of certificate authority system, registratio
10、n authority system, and key management system.The dissertation finally summaries the results of this study, and analyses the existing problems and future perspectives on research work.Keywords: Certificate, Certificate Authority System, Registration Authority System, Key Management System目 录第 VIII 页
11、摘 要IABSTRACTIII第 1 章绪论11.1 研究背景和研究意义11.2 主要研究内容21.3 论文组织结构3第 2 章关键技术分析42.1 技术问题分析42.2 关键技术42.2.1 公开密钥体制42.2.2 统一身份认证技术62.2.3 异步消息和队列处理技术72.2.4 集中式生产、分布式服务72.2.5 业务流程自定义82.2.6 引擎调度监控82.2.7 灵活的证书编码格式82.2.8 私钥分割技术82.2.9 安全的通讯机制92.2.10 证书业务模板自定义技术92.2.11 RA、CA、KMC 之间松耦合技术92.3 本章小结10第 3 章系统设计113.1 总体结构设计
12、113.2 系统逻辑结构123.3 网络分层逻辑结构123.4 网络分层拓扑结构133.5 系统功能设计153.5.1 数字证书审核注册系统(RA)153.5.2 数字证书签发系统(CA)153.5.3 密钥管理系统(KMC)153.5.4 证书查询与验证系统(LDAP/ OCSP)163.5.5 安全管理系统163.6 软件技术架构设计163.7 数字证书签发系统163.7.1 系统描述163.7.2 体系结构173.7.3 系统配置233.8 密钥管理系统243.8.1 系统描述243.8.2 体系结构243.8.3 系统配置273.9 数字证书审核注册系统283.9.1 系统描述283.
13、9.2 体系结构283.9.3 系统配置303.10 数字证书查询与验证系统303.10.1 系统描述303.10.2 体系结构313.10.3 系统配置323.11 密码服务器333.12 数字证书343.12.1 证书分类343.12.2 证书结构353.12.3 证书管理393.13 证书注销列表403.14 用户证书载体413.15 本章小结42第 4 章系统实现434.1 系统总体工作流程434.1.1 系统角色初始化流程434.1.2 典型工作流程454.2 数字证书审核注册系统474.2.1 信息录入474.2.2 证书审核474.2.3 证书下载474.3 数字证书签发系统48
14、4.3.1 自签根证书494.3.2 证书签发504.3.3 证书更新514.3.4 证书注销524.3.5 证书暂停534.3.6 证书暂停恢复544.3.7 用户密钥恢复544.4 密钥管理系统564.4.1 密钥生成564.4.2 密钥分发574.4.3 密钥更新594.4.4 密钥撤消594.4.5 密钥恢复614.5 数字证书查询与验证系统624.5.1 证书发布624.5.2 证书及状态查询634.5.3 证书在线验证工作流程634.6 本章小结64第 5 章系统验证655.1 硬件环境655.1.1 核心区655.1.2 服务区665.2 软件系统675.2.1 操作系统675.
15、2.2 数据库675.2.3 目录服务675.2.4 防病毒675.3 系统初始化685.3.1 系统初始化流程685.3.2 IP 规划及操作员相关菜单715.3.3 系统初始化步骤735.4 系统功能测试745.4.1 数字证书签发系统测试745.4.2 数字证书审核注册系统测试755.4.3 密钥管理系统测试765.5 系统性能775.5.1 系统的发证能力775.5.2 OCSP 性能775.5.3 系统 24 小时证书和 CRL 查询处理能力775.5.4 硬盘的储存证书的能力785.6 本章小结78第 6 章全文总结806.1 主要结论806.2 研究展望81参 考 文 献82致谢
16、84攻读硕士学位期间已发表的论文85攻读硕士学位期间参加的重大项目86第1章 绪论1.1 研究背景和研究意义随着计算机技术与通信技术的高速发展,电子政务、电子商务已经成为推动经济社会变革的重要力量。大力推进信息化,以信息化带动工业化,以工业化促进信息化,是覆盖我国现代化建设全局的战略举措。推行电子政务,是国家信息化的重点任务,是提高政府执政能力、深化行政管理体制改革的重要措施,是支持各级党委、人大、政府、政协、法院、检察院履行职能的有效手段。推进电子商务,是促进经济发展和全球贸易发展的重要措施。做好这些工作,对于贯彻落实科学发展观,全面建设小康社会和构建社会主义和谐社会,加强推进改革开放和现代
17、化建设事业,具有十分重大的现实意义和深远的历史意义。数字证书认证系统,简称 CA,又称为证书授证(Certificate Authority)中心,作为电子政务、电子商务中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。 CA 中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA 机构的数字签名使得攻击者不能伪造和篡改证书。在电子商务 SET 交易中,为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,CA 不仅要对用户的身份真实性进行验证,也是一个具有权威性、公正性、惟一性的机构,负责向电子商务的各个
18、主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证,并负责管理所有参与网上交易的个体所需的数字证书。同时,CA 还要对获款的银行以及银行网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。数字证书可以应用于公众网络上的商务活动和行政作业活动,包括支付型和非支付型电子商务活动,其应用范围涉及需要身份认证及数据安全的各个行业,包括传统的商业、制造业、流通业的网上交易,以及公共事业、金融服务业、工商税务海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。数字证书认证系统的认证过程中主要应用了加密算法,传统的对称密钥算法具有第
19、82 页加密强度高、运算速度快的优点,但密钥的传递与管理问题限制了它的一些应用。为解决此问题,70 年代密码界出现了公开密钥算法,该算法使用一对密钥即一个私钥和一个公钥,其对应关系是惟一的,公钥对外公开,私钥个人秘密保存。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。我国 CA 体系整体发展的速度较快,国内本土 CA 大概有 60 家,但发展具有一定的盲目性,存在问题较多,与能够适应国际化趋势的大型 CA 中心还有很大差距。我国整体的 CA 体系还没有建立,CA 的布局还是不太合理,发展不太平衡,不同 CA相互之间不协调甚至
20、在纵横之间产生冲突的一些现象还存在。.现在出现了信任孤岛,主要是因为不同 CA 之间不能互认。这些信任孤岛的存在,对于无边界环境下电子商务的开展带来了很大不便,给电子商务的发展也制造了障碍。我国与国际上数字证书的互认做得就更少了,电子商务是跨地区、跨省市、跨国界发展的,将来如何与国外的 CA 证书建立一个互认的机制也是电子商务飞速发展的一个需求。.我国 CA 应用层次的开发不够,CA 应用的接口还不够广泛,深度和广度上差距比较大,CA 要想发展好一定要与应用紧密扣在一起,如果应用方面的广度、深度开发不够,CA 证书应用的广度、深度自然也不会有提高。数字证书认证系统的设计与实现就是要在现有密码理
21、论基础之上,设计并实现符合我国国情的数字证书认证系统,并与实际应用相结合,形成适用于电子政务、电子商务等众多领域的数字证书认证系统。1.2 主要研究内容为保障电子政务、电子商务和企业信息化统一身份认证、责任认定,迫切需要设计与实现基于公钥基础设施(PKI)的数字证书认证系统。本文主要研究的就是数字证书认证系统的总体结构及其组成。数字证书认证系统的设计与实现包括数字证书签发系统(CA)、数字证书审核注册系统(RA)、密钥管理系统(KMC)、数字证书查询与验证系统(LDAP/OCSP)等系统,提供数字证书申请、审核、签发等功能,提供密钥生成、分发、备份、恢复、撤消等功能,提供证书发布、查询、更新、
22、验证等服务。1.3 论文组织结构本论文共分六个章节,具体安排如下:第一章介绍了本论文所研究的数字证书认证系统的研究背景和研究意义,并对主要研究内容进行了介绍。第二章分析了数字证书认证系统在研究和设计过程中可能遇到的技术障碍,并对系统所设计的关键技术进行了分析与设计。第三章设计了数字证书认证系统的总体体系结构、逻辑结构和拓扑结构,并对数字证书签发系统、数字证书审核注册系统、密钥管理系统等数字证书认证系统中的主要组成部分做出了详细的结构与功能设计。第四章分析了数字证书认证系统的总体工作流程,并对对数字证书签发系统、数字证书审核注册系统、密钥管理系统等数字证书认证系统的主要组成部分的工作流程进行了分
23、析和说明。第五章对数字证书认证系统的设计成果进行了验证性设计,从系统初始化到对数字证书签发系统、数字证书审核注册系统、密钥管理系统等数字证书认证系统的主要组成部分的系统功能进行了详细的验证。第六章对全文进行了总结,并对今后的研究工作进行了展望。第2章 关键技术分析2.1 技术问题分析数字证书认证系统主要是提供证书管理服务和密钥管理服务,需要保证证书生产和密钥管理是安全的,随着证书业务的发展,数字证书认证系统已经能够适应各种证书业务和复杂网络环境,并且具有动态伸缩平滑扩展服务的能力。针对这些实际情况,我们主要从以下几方面来解决这些问题: 采用国家密码管理局鉴定的专用密码设备进行生成密钥、存储密钥
24、和密码运算,提高密钥的管理和使用的安全性; 采用较完善的密钥管理机制和有效的访问控制保证密钥的安全性; 采用对传输数据安全加密保证敏感数据在网络传输上的安全; 采用异步消息和队列处理技术提高复杂网络大批量发证稳定性; 证书业务流程自定义技术处理各种证书业务处理流程; 证书业务模板自定义技术处理各种证书需要不同的证书信息; RA、CA、KMC 系统松耦合的系统架构实现系统的灵活部署; 采用 RA、LDAP 的分布部署实现集中式生产和分布式服务; 提供 XML 格式的证书方便于特殊应用使用证书;2.2 关键技术根据数字证书认证系统的问题分析,提出以下关键技术,以突破数字证书认证系统在设计与实现过程
25、中面临的主要障碍。2.2.1 公开密钥体制数字证书认证系统的设计以公钥密钥学为基础,采用以 RSA 算法为核心的公开密码体制,再结合对称算法和哈希算法等,形成完整密码运算体系。公开密钥密码体制是现代密码学的最重要的发明和进展。1976 年提出公共密钥密码体制,其原理是加密密钥和解密密钥分离。这样,一个具体用户就可以将自己设计的加密密钥和算法公诸于众,而只保密解密密钥。公钥加密算法中使用最广的是 RSA。RSA 使用两个密钥,一个公共密钥,一个专用密钥。如用其中一个加密,则可用另一个解密,密钥长度从 40 到 2048bit 可变,加密时也把明文分成块,块的大小可变,但不能超过密钥的长度,RSA
26、 算法把每一块明文转化为与密钥长度相同的密文块。密钥越长,加密效果越好,但加密解密的开销也大,所以要在安全与性能之间折衷考虑。RSA 运算过程如下:计算公私钥对选择两个随机大素数 p, q,并计算模数:N=p.q(21)选择一个随机加密密钥匙 eeN, gcd(e,(N)=1(22)(N)=(p-1)(q-1)(23)解下列同余方程,求解密密钥 d:ed 1 mod (N),0dN(24)公开加密密钥 KK=e,N(25)解密私钥 K-1K-1=d,p,q(26)RSA 加解密过程发送方要加密明文 M,使用公钥 K 加密C=Me mod N, where 0MN(27)接收方解密密文 C,使用
27、私钥 K-1 解密M=Cd mod N(28)RSA 算法研制的最初理念与目标是努力使互联网安全可靠,旨在解决 DES 算法秘密密钥的利用公开信道传输分发的难题。而实际结果不但很好地解决了这个难题;还可利用 RSA 来完成对电文的数字签名以抗对电文的否认与抵赖;同时还可以利用数字签名较容易地发现攻击者对电文的非法篡改,以保护数据信息的完整性。2.2.2 统一身份认证技术传统的身份认证是采用用户名/口令的方式,但是这种方式在解决用户身份的统一管理和验证方面存在着缺陷。具体而言,是利用传统的身份认证技术不容易实现对用户的统一管理,而且将用户名和口令集中存储在某个数据上时不仅容易遭到外部攻击,而且容
28、易受到内部人员的攻击;另外使用这种口令加密码的方式容易在网络上遭到暴力破解软件的破解。在网络上使用这种认证技术则会表现出安全性欠缺,无法统一管理,难以对网络用户的身份进行可信认证,难以实现不可抵赖,在对用户进行行为的责任认定时几乎无法实现。在电子政务、电子商务、企业信息化系统中,交换的许多信息都是敏感信息。在这种情况下,需要有一个完全按照法律规范严格运作来对用户的身份进行统一管理和认证的技术体系。因此,本系统采用了基于公钥基础设施 PKI 构建数字证书认证中心、数字证书审核注册机构、密钥管理中心、数字证书查询与验证系统为主要内容的数字证书认证系统,以此解决网络上身份统一认证的问题。本系统采用了
29、统一的信任服务技术路线和密码算法,构建了统一的、面向网络应用的公钥基础设施。提供的安全服务包括签名和签名验证服务、数据的机密性、完整性服务,通过签名及验证技术,提供抗抵赖性服务。数字证书认证系统是建立面向大规模、多用户的身份认证体系的基础。采取了统一的信任源以及分层式的体系结构,即通过建立根数字证书认证中心、若干的数字证书认证中心、数字证书审核注册机构、证书查询与验证服务器及证书在线服务器,并通过在系统间建立相互的自上而下的统一的信任链关系来构建形成一个完整的身份认证体系。利用面向网络应用的数字证书认证系统构建的身份认证及验证服务体系,通过对证书的集中式生产,实现了证书的统一管理。在证书产生后
30、,将证书分发给不同的用户使用,并将证书发布到证书查询与验证服务器,将对证书有关的操作信息发送到各证书在线服务器,并且数字证书认证中心在接收证书注销后,也会发布 CRL 到证书查询与验证服务器上及发送消息到各证书在线服务器,其它用户或系统在需要时可以到统一的证书查询与验证服务器或证书在线服务器上对证书的有效性进行查询;做到了有据可查,有证可依,有效的解决对于网络中证书的可管理问题及验证证书的有效性问题。2.2.3 异步消息和队列处理技术数字证书认证系统由多个系统组成,各系统部署的位置不同,网络环境也不同,每个证书业务都需要涉及到各系统,在复杂网络条件下系统之间的通讯很有可能出现异常,这就需要异步
31、消息处理技术,即使在某个系统环节出现问题时,也不影响其他业务。在业务处理过程中,存在一个峰值时,有很大的业务申请,但在某些环境需要的时间比较长(如审核、证书签发),特别是一些实时性不需要很强的大批量发证,可以在白天工作时间受理,晚上系统自动签发,对这些实际存在的问题需要一个很好的队列机制来处理这些问题。在数字证书认证系统研制中,RA、CA、KMC 之间采用异步消息技术来传输数据,系统内部采用队列机制来处理系统内的业务流程环节。在 RA 中有审核队列、证书请求队列、证书下载队列;在 CA 中有证书签发请求队列、密钥申请队列、证书签发队列、证书返回队列;在 KMC 中有密钥请求队列、密钥分发队列、
32、密钥返回队列。RA 向 CA 发出证书签发请求时, RA 系统从证书请求队列取出需要签发用户信息发送给 CA,CA 接受到请求形成证书签发请求队列,这样 CA 内部按流程签发证书;CA 签发完毕,把证书及用户的加密密钥发送给 RA,RA 形成证书下载队列。CA 向 KMC 请求密钥对时,CA 系统从密钥申请队列取出用户信息发送给 KMC, KMC 形成密钥请求队列,KMC 从请求队列中取出请求信息,完成密钥分发的操作后,形成密钥返回队列,KMC 系统自动从返回队列中取出返回给用户的密钥返回到 CA中心。采用异步消息和队列好处是两个系统间松耦合,但系统之间出现故障时不影响当前系统接受请求,例如当
33、 RA 与 CA 间网络出现故障,RA 的用户注册业务不受影响,待故障排除后 CA 能够自动把已经签发好的证书返回 RA,供 RA 下载。2.2.4 集中式生产、分布式服务用户使用的证书统一到数字证书审核注册系统申请,经过数字证书审核注册系统审核确认用户信息后,将数据发送到数字证书认证系统,数字证书认证系统根据用户的申请信息统一签发证书,实现证书服务的集中式生产。数字证书认证系统在证书签发完成后,直接将证书发布到源 LDAP 服务器上,源 LDAP 服务器采用镜像的方式将所有数据同步到从 LDAP 中,实现 LDAP 的数据更新。应用系统中的用户需要对证书有效性进行验证时,只需到最近的 LDA
34、P 上下载 CRL 或到 OCSP 上在线实时查询,这样实现了用户证书的分布式服务。2.2.5 业务流程自定义在证书业务中,不同的证书业务需要不同的处理流程,例如有的证书需要多级审核,有的证书不需要审核。这需要证书业务流程能够随业务而变化。系统内置了业务生成器,采用直观简洁的图形化界面,实现流程的可定制。不同的业务可根据需要灵活配置业务环节,同一业务环节可重复定制,相同的业务可以有不同的业务流程,根据不同时期的业务需求灵活设置一个有效的流程。2.2.6 引擎调度监控系统采用了消息队列机制,根据业务流程实现业务环节的派发,包括人工调度和自动调度。通过业务调度引擎根据一定的业务流程策略化配置,将各
35、个孤立的业务处理环节有机的调度。2.2.7 灵活的证书编码格式证书编码格式遵循 X.509 规范,也支持灵活的 XML 格式。若证书为 XML 格式,则取得用户基本信息、KMC 信息(密钥算法、加密强度)、CA 信息(RA 所授权签发证书 CA 的信息)、RA 信息和证书主体信息生成相应 XML 格式的证书请求。若证书编码格式为 ASN.1,则调用系统安全中间件接口生成 PKCS#10 的证书请求。2.2.8 私钥分割技术为了加强关键信息的机密性、保密性、安全性和抗抵赖性,对于系统认证中心的根私钥管理采用了“冗余多方管理,同时到场有效”策略以加强其安全性。在系统初始化时,数字证书认证系统采用标
36、准的私钥分割的技术(拉格朗日插值定理),将所需的根私钥采用专用的算法分割为不相同的五份,并对五份不同的私钥加密保存到五个不同的用户证书载体中,由五个不同的人保管。在私钥恢复时,只需取出五份私钥中的任意三份,采用专用的密码恢复算法,即可恢复出一份完整的私钥。因此,采用 5 份冗余私钥保管的策略保证了根私钥保管的安全性,采用 3 份私钥同时使用有效的策略保证根私钥使用的安全性。2.2.9 安全的通讯机制CA、RA 与 KMC 都有各自的服务器证书,专门用于保障数据通讯的安全性,同时,密码服务设备也有自己的服务器设备证书,用于保障设备间通讯的安全性。服务器证书是双证书,既可用于身份认证与数字签名,也
37、可用于数据加密。为保证数据通讯的安全性,以服务器证书为基础,各系统之间进行数据传输时,都需要进行身份认证,保证通讯双方的真实性。采用数字信封技术对传输的数据进行加密,保证数据的机密性,即发送方从系统中取出对方的服务器证书对需要发送的数据封装成一个标准的数字信封传送给接受方,而接受方则使用通过调用统一的密码支持接口层,在密码服务器中使用对应的私钥解开数字信封,获取传输的数据。CA、RA 与 KMC 之间进行数据通讯时,需要用服务器证书对应的签名私钥对传输的信息进行签名,由接收方完成验签,以保证数据的完整性。用户从 KMC 获得加密私钥时,除了采用数字信封的技术外,还使用载体中产生的签名公钥对加密
38、私钥进行保护,保证在整个过程中都是加密传输。2.2.10 证书业务模板自定义技术在证书业务中,不同的证书业务需要不同的证书信息,特别是证书的扩展项更是变化无穷,需要数字证书认证系统能够随证书需要而灵活定制。数字证书认证系统内置了证书业务模版生成器,不同的证书业务可根据需要灵活配置扩展项。2.2.11 RA、CA、KMC 之间松耦合技术在数字证书认证系统中 RA、CA、KMC 之间可以灵活配置,一个 RA 可以根据不同的证书业务对应多个 CA,一个 CA 可以接受多个 RA 的证书请求;一个 KMC可以接受多个 CA 的密钥申请。2.3 本章小结本章分析并提出了公开密钥体制、统一身份认证技术、异
39、步消息和队列处理技术、集中式生产、分布式服务、业务流程自定义、引擎调度监控、灵活的证书编码格式、私钥分割技术、安全的通讯机制、证书业务模板自定义技术、RA、CA、KMC 之间松耦合技术等一系列关键技术,以解决数字证书认证系统在设计与实现过程中可能遇到的技术障碍。第3章 系统设计3.1 总体结构设计数字证书认证系统采用业务 CARALA 或 CALRALA 三级结构设计,业务 CA 可以自签发根证书作为系统的信任源,也可以接受指定的根 CA 作为信任源(如入国家正式根),业务 CA 可以根据需要进行下级业务 CA 扩展。第一级为业务 CA,包括生成与签发系统、存储与发布系统、证书管理系统、安全管
40、理系统,提供数字证书/证书注销列表的签发、发布、管理和安全审计,在没有指定根 CA 时可以自签根证书。第二级为注册审核中心(RA),包括本地注册审核中心和远程注册审核中心(LRA),主要完成接受申请、审核、证书制作等功能。第三级注册审核代理点 LA,LA 作为代理点负责资料的整理和录入工作,并将申请提交给 RA 或 LRA。系统结构如图 3-1所示,其中根 CA 为国家根 CA,国家根 CA 正式签发证书前,根 CA 自签证书。图 3-1 数字证书认证系统结构Fig. 3-1 Structure of certificate authority system3.2 系统逻辑结构数字证书认证系统
41、是对数字证书进行全过程管理的安全系统,采用“双证书、双中心”机制。证书认证系统在逻辑上可分为核心层、管理层和服务层。其中,核心层由密钥管理系统、证书/证书注销列表签发系统、证书/证书注销列表存储发布系统构成;管理层由证书管理系统和安全管理系统构成;服务层由证书注册管理系统(包括远程用户注册管理系统)和证书查询系统构成。逻辑结构如图 3-2所示:图 3-2 证书认证系统逻辑结构Fig. 3-2 Logic structure of certificate authority system3.3 网络分层逻辑结构数字证书认证系统采用 B/S 结构,在网络逻辑上分为核心层、服务层和公共层,网络安全防
42、护采用防火墙、入侵检测、漏洞扫描、病毒防治等综合措施保证层间和层内的安全,根据各层的安全性要求和实际建设的用户需求具体配置网络安全防护。其中,核心层由密钥生成服务器、密钥管理服务器、证书/证书注销列表生成与签发系统、证书/证书注销列表存储与发布系统构成;服务层由安全管理、审计管理和证书管理以及证书注册审核服务系统等构成、证书/证书注销列表查询系统和证书在线状态查询服务系统等构成;公共层包括远程注册系统、业务受理点、用户及整个公用网络。具体内容如图 3-3所示:图 3-3 数字证书认证系统网络分层逻辑结构Fig. 3-3 Logic network layer structure of cert
43、ificate authority system3.4 网络分层拓扑结构数字证书认证系统采用 B/S 结构,根据规范在网络实现上将整个系统分为核心区、服务区和公共区三个区,与网络逻辑结构的核心层、服务层和公共层一一对应,各区之间采用防火墙、入侵检测、漏洞扫描、病毒防治等综合安全措施保证其安全性。核心区包括签发服务器、主目录服务器、CA 管理终端和密钥管理系统 KMC(包括密钥生成服务器、审计终端、管理终端等),其中 KMC 只与签发服务器相连,以保证 RA 不能直接访问到 KMC;服务区包括注册服务器、审计终端、管理终端、录入终端、审核终端和制证终端、OCSP 服务器、从目录服务器和入侵检测、
44、漏洞扫描、病毒防治服务器;公共区包括远程 RA(注册服务器、制证终端、录入终端、审核终端、管理终端、审计终端)、本地代理点 LA、用户及用户所在的 Internet 网络。具体内容如图 3-4所示:图 3-4 数字证书认证系统网络分层拓扑结构Fig. 3-4 Topological structure of certificate authority system3.5 系统功能设计数字证书认证系统是对生命周期内的数字证书进行全过程管理的安全系统,包括证书注册审核系统、证书签发系统、密钥管理系统、证书查询与验证系统等。3.5.1 数字证书审核注册系统(RA)证书审核注册系统负责用户的证书申请、
45、身份审核和证书下载等功能,根据其与CA 的连接部署方式可以分为证书审核注册系统(RA)和远程证书注册审核系统(LRA)。其主要功能如下: 证书申请:可以采用在线或者离线两种方式申请证书。 证书审核:审核操作员通过证书注册审核系统审核申请的用户信息,只有通过审核的申请才允许签发证书。 证书下载:可以采用离线或者在线方式下载证书。3.5.2 数字证书签发系统(CA)证书签发系统负责生成、签发数字证书和证书注销列表,同时提供证书存储和发布功能。采用双证书机制,一个用户拥有两张证书,一张用于数字签名,另外一张用于信息加密。其主要功能如下: 证书签发:签发、生成数字证书; 证书注销列表签发:签发、生成数
46、字证书; 证书/证书注销列表存储和发布。3.5.3 密钥管理系统(KMC)数字证书认证系统包括密钥管理系统(KMC),提供加密密钥对的管理功能,包括密钥的生成、存储、分发、备份、更新、撤消、归档和恢复等密钥服务的功能。3.5.4 证书查询与验证系统(LDAP/ OCSP)证书查询与验证系统提供数字证书和 CRL 的查询、下载功能,利用 CRL 列表可以验证证书的有效性。按照在线证书查询协议,提供证书的在线状态查询功能。3.5.5 安全管理系统安全管理系统主要包括安全审计系统和安全防护系统。安全审计系统提供时间级审计功能,对涉及系统安全的行为、人员、时间等记录进行跟踪、统计和分析。安全防护系统提供访问控制、入侵检测、漏洞扫描、病毒防治等网络安全功能,安全防护系统是在产品工程实施时实现。3.6 软件技术架构设计数字证书认证系统采用基于 SOA 面向服务的应用支撑架构;采用基于 J2EE 多层的体系结构,采用基于 B/S 结构;整个系统采用组件化设计