1、CA認證系統(tǒng)設計1.1系統(tǒng)簡介本系統(tǒng)是參照國際領先的 CA系統(tǒng)的設計思想，繼承了國際領先CA系統(tǒng)的成熟性、先進性、安全可靠及可擴展性，自主開發(fā)的、享有完全自主知識產權的數(shù)字證書服務系統(tǒng)。系 統(tǒng)具有完善的功能，能夠完成從企業(yè)自主建立標準CA到政府、行業(yè)建立大型服務型 CA等全面的需求。CA系統(tǒng)采用模塊化結構設計，由最終用戶、RA管理員、CA管理員、注冊中心（RA八認證中心（CA）等構成，其中注冊中心（RA ）和認證中心（CA）又包含相應的模塊，系統(tǒng)架構如下圖:7!弭冊V心認址U心CA）圖1 CA系統(tǒng)模塊架構圖CA系統(tǒng)能提供完善的功能， 包括：證書簽發(fā)、證書生命周期管理、證書吊銷列表（CRL） 查

2、詢服務、目錄查詢服務、CA管理、密鑰管理和日志審計等全面的功能。CA系統(tǒng)按照用戶數(shù)量的不同分為小型iTrusCA、標準型iTrusCA、企業(yè)型iTrusCA和大型 iTrusCA ，不同類型系統(tǒng)的網絡建設架構是不同的CA 系統(tǒng)具有下列特點：A. 符合國際和行標準；B. 證書類型多樣性及靈活配置。能夠發(fā)放包括郵件證書、個人身份證書、企業(yè)證書、服 務器證書、代碼簽名證書和 VPN 證書等各種類型的證書；C. 靈活的認證體系配置。系統(tǒng)支持樹狀的客戶私有的認證體系，支持多級CA ，支持交叉認證；D. 高安全性和可靠性。使用高強度密碼保護密鑰，支持加密機、智能卡、USB KEY 等硬件設備以及相應的網絡

3、產品（證書漫游產品）來保存用戶的證書；E. 高擴展性。根據(jù)客戶需要，對系統(tǒng)進行配置和擴展，能夠發(fā)放各種類型的證書；系統(tǒng) 支持多級 CA ，支持交叉 CA ；系統(tǒng)支持多級 RA。F. 易于部署與使用。 系統(tǒng)所有用戶、 管理員界面都是 B/S 模式， CA/RA 策略配置和定制 以及用戶證書管理等都是通過瀏覽器進行，并具有詳細的操作說明。G. 高兼容性。支持各種加密機、多種數(shù)據(jù)庫和支持多種證書存儲介質。1.2 認證體系設計認證體系是指證書認證的邏輯層次結構，也叫證書認證體系。證書的信任關系是一個樹狀結構，由自簽名的根 CA為起始，由它簽發(fā)二級子 CA，二級子CA又簽發(fā)它的下級CA , 以此遞推，最

4、后某一級子 CA 簽發(fā)最終用戶的證書。認證體系理論上可以無限延伸，但從技術實現(xiàn)與系統(tǒng)管理上，認證層次并非越多越好層次越多，技術實現(xiàn)越復雜，管理的難度也增大。證書認證的速度也會變慢。一般的，國際 上最大型的認證體系層次都不超過4層，并且瀏覽器等軟件也不支持超過4層的認證體系本方案設計的用戶的 CA認證系統(tǒng)采用如下圖所示的認證體系:用戶證書用戶陸鶴圖2用戶CA認證體系圖如圖所示，認證體系采用 3層結構:第一層是自簽名的用戶根 CA，是處于離線狀態(tài)的，具有用戶的權威性和品牌特性。第二層是由用戶根 CA簽發(fā)的用戶子CA，處于在線狀態(tài)，它是簽發(fā)系統(tǒng)用戶證書的子CA。第三層為用戶證書，由用戶子 CA簽發(fā)，

5、從用戶證書的證書信任鏈中可以看出整個用戶 的CA認證體系結構，用戶證書在用戶的應用范圍內受到信任。采用這種認證體系具有下列特點:(1) 體現(xiàn)用戶的權威性從認證體系上看，用戶CA具有自己的統(tǒng)一的根 CA，由用戶進行統(tǒng)一管理，負責整個用戶的認證體系、CA策略和證書策略的定制與管理，這樣充分體現(xiàn)了用戶的權威性（2）具有很好的可擴展性如圖所示體系具有很好的可擴展性，采用三層結構為體系的擴展預留了空間（因為大多數(shù)應用都只支持四層以下），根據(jù)用戶實際應用需求， 將來可以在子CA下，簽發(fā)下級子CA；或者針對別的應用再簽發(fā)子 CA這樣，使得用戶CA認證體系具有很好的可擴展性。（3）具有很好的可操作性采用三層體

6、系結構，相對比較簡單，在CA的創(chuàng)建和管理上也相當比較容易。雖然從技術上認證體系支持無限擴展，但是層次越多，技術實現(xiàn)越復雜，管理的難度也增大。而采用三層結構是目前業(yè)界比較通用的、標準的做法。這樣，使得用戶CA認證體系具有很好的可操作性。1.3系統(tǒng)網絡架構采用CA系統(tǒng)將為用戶建設一個 CA中心和一個RA中心，CA系統(tǒng)的所有模塊可以安裝在同一臺服務器上，也可以采用多臺服務器分別安裝各模塊。系統(tǒng)網絡架構如下圖所示：瀏覽器圖3 CA系統(tǒng)網絡架構示意圖如圖所示，將CA系統(tǒng)的CA認證中心和RA注冊中心各模塊安裝在 CA服務器上，為了 保證系統(tǒng)的安全， CA 服務器必須位于安全的區(qū)域， 即采用防火墻與外界進行

7、隔離。 最終用戶 使用瀏覽器，訪問 CA 服務器，進行證書申請和管理。管理員（包括 CA 管理員和 RA 管理 員，可以是同一個管理員擔任）使用瀏覽器，訪問 CA 服務器，進行證書管理和 CA 管理。1.4 證書存儲介質本方案推薦使用 USB KEY 來保存用戶的證書及私鑰。 USB KEY 是以 USB 為接口的存 儲設備，它便于攜帶和使用，可以實現(xiàn)在所有的機器（具有 USB 接口）上的漫游，可以滿足 用戶移動辦公的需求。 USB KEY 可以設置用戶口令保護，增強了證書及私鑰的安全性。為了在發(fā)生 USB KEY 丟失等情況時，私鑰可以恢復或者還可以用私鑰解密以前的加密 郵件，在申請證書時，

8、密鑰對可以在系統(tǒng)中產生而不是在 USB KEY 中產生，當證書申請成 功后，再將私鑰和證書導入到 USB KEY 中；同時系統(tǒng)可以以文件的形式保留私鑰和證書的 備份，這就提供了在 USB KEY 丟失時對用戶私鑰和證書的保護措施。1.5 CA 系統(tǒng)功能CA 系統(tǒng)具有完善的功能， 采用 iTrusCA 系統(tǒng)設計的用戶 CA 認證系統(tǒng)也具有完善的功能， 包括：（ 1）證書簽發(fā)通過 CA 認證系統(tǒng)，能夠申請、產生和分發(fā)數(shù)字證書，具有證書簽發(fā)功能。用戶訪問 CA 認證系統(tǒng)， 提交證書申請請求， 申請數(shù)字證書； RA 管理員訪問管理員站點， 審查和批準用戶 的證書申請請求； CA 認證中心根據(jù) RA 管

9、理員的批準， 簽發(fā)用戶證書， 并將數(shù)字證書發(fā)布到 目錄服務器中。用戶 CA 認證系統(tǒng)，獲取簽發(fā)的證書。2）證書生命周期管理通過 CA 認證系統(tǒng)，可以實現(xiàn)證書的生命周期管理，包括：證書申請 最終用戶使用瀏覽器，訪問 CA 認證系統(tǒng)，可以進行證書申請，在線提交證書 申請請求；證書批準 管理員登錄管理員站點， 完成證書批準功能， 可以查看和審批最終用戶的證書 申請請求；證書查詢 最終用戶可以通過 CA 認證系統(tǒng)，查詢自己或別人的數(shù)字證書；證書下載 通過 CA 認證系統(tǒng)，可以下載簽發(fā)的數(shù)字證書；證書吊銷 最終用戶在使用證書期間，有可能會出現(xiàn)一些問題，如：證書丟失、忘記密碼 等，最終用戶就需要將原證書吊

10、銷。用戶吊銷證書時，可以直接訪問 CA 認證系統(tǒng)，在線的 向 CA 提交證書吊銷請求， CA 認證系統(tǒng)根據(jù)用戶的選擇， 自動吊銷用戶的證書， 并將吊銷的 證書添加到證書吊銷列表（ CRL ）中，按照證書吊銷列表的發(fā)布周期進行發(fā)布；證書更新 在用戶證書到期前，用戶需要更新證書，用戶訪問 CA 認證系統(tǒng)，查詢用戶的 證書狀態(tài)，對即將過期的用戶證書進行更新。（ 3）CRL 服務功能CA認證系統(tǒng)支持證書黑名單列表（ CRL ）功能，能夠配置指定 RA的CRL下載地點及 CRL 發(fā)布時間。 CA 認證系統(tǒng)定時產生 CRL 列表，并將產生的 CRL 發(fā)布至 Web 層 CRL 服 務模塊，可以通過手工下載

11、該 CRL 。4）目錄服務功能CA 認證系統(tǒng)支持目錄服務，支持 LDAP V3 規(guī)范， CA 認證系統(tǒng)在簽發(fā)用戶證書時或者 對證書進行吊銷處理時，會及時更新目錄內容。證書目錄服務的功能提供給用戶進行證書查 詢的功能，用戶可以通過電子郵件（ Email ）、用戶名稱（ Common Name ）、單位名稱 （ Organization ）和部門名稱（ OU ）等字段查找 CA 認證系統(tǒng)簽發(fā)的用戶證書。（ 5）CA 管理功能CA 認證系統(tǒng)具有完善的 CA 管理功能，包括：管理員管理RA 管理員管理，包括初始化 RA 管理員申請、增加 RA 管理員、刪除 RA 管理員；CA 管理員管理，包括初始化

12、CA 管理員申請、后續(xù) CA 管理員證書申請、吊銷 CA 管理 員證書。賬號管理個人賬號管理，包括注冊信息，證書信息等管理；RA 賬號管理，包括 RA 賬號申請、批準、吊銷、額外管理員證書申請等。策略管理證書策略配置管理，高度靈活和可擴展的配置 CA 所簽發(fā)證書的有效期、主題、擴展、 版本、密鑰長度、類型等方面；RA 策略配置管理，包括語言、聯(lián)系方法、證書類型、是否發(fā)布到 LDAP 等；CA 策略配置管理，包括證書 DN 重用性檢查、 CA 別名設置等。6）日志與審計功能系統(tǒng)具有完善的日志與審計功能，可以查看和統(tǒng)計各種日志，包括：統(tǒng)計各 CA、RA 賬號證書頒發(fā)情況；記錄所有 RA 與 CA

13、的操作日志；對所有操作人員的操作行為進行審計。7） CA 密鑰管理系統(tǒng)支持 CA 密鑰管理功能，包括：CA 密鑰產生和存儲（軟件與硬件）；CA 證書（包括根 CA 和子 CA ）的產生和管理；CA 密鑰歸檔與備份1.6 證書應用開發(fā)接口（ API ）為了實現(xiàn)基于數(shù)字證書的安全應用集成， 提供了完整的證書應用開發(fā)接口 （API ），提供C 、JAVA 和 COM 等多種接口，包括：個人信任代理（ PTA ）個人信任代理（ PTA ）是客戶端的軟件包，既包括安裝在客戶端的文件加密/解密程序，也包括用于數(shù)字簽名和簽名驗證的 ActiveX 控件。文件加 /解密模塊可以產生隨機數(shù)密鑰對文 件進行加密，

14、 以及使用輸入的密鑰對文件進行解密； ActiveX 控件由用戶訪問相關網頁時下載 到客戶端瀏覽器中，實現(xiàn)使用本地的證書（私鑰）對文件進行數(shù)字簽名，以及對簽名進行驗 證。證書解析模塊（ CPM ）證書解析模塊是一系列平臺下的動態(tài)鏈接庫， 用于解析 DER 或 PEM 編碼的 X.509 數(shù)字 證書，將證書中的信息，包括用戶信息、證書有效期、證書公鑰等信息分解為字符串。數(shù)據(jù)簽名驗證模塊（ SVM ） 數(shù)據(jù)簽名及驗證模塊是一系列平臺下的動態(tài)鏈接庫或插件，可以應用于客戶端和服務器 端，實現(xiàn)對傳輸數(shù)據(jù)的數(shù)字簽名，和對數(shù)字簽名及其證書進行驗證。證書的驗證可使用 CRL 或 OCSP 來進行有效性驗證。1

15、.7 系統(tǒng)工作流程設計1）證書發(fā)放流程本方案設計的用戶 CA認證系統(tǒng)的證書發(fā)放采用集中發(fā)證的方式，即由管理員集中申請好證書，保存在 USB KEY中，發(fā)放給用戶使用。其工作流程如下圖所示:圖4證書發(fā)放流程圖(a) 管理員使用瀏覽器，訪問用戶 CA認證系統(tǒng)，進入證書申請頁面，替最終用戶填寫證書申請信息，向用戶 CA認證系統(tǒng)提交證書申請請求。在本地(本地的USB KEY上)產生證書的公私鑰對，并將公鑰和用戶信息一起作為證書申請請求，提交給CA認證系統(tǒng)；(b) CA認證系統(tǒng)根據(jù)管理員提交的證書申請請求，批準并簽發(fā)用戶證書，將用戶證書發(fā)布到數(shù)據(jù)庫中。同時，將用戶證書返回到管理員端，保存到USB KEY

16、中；(c) 管理員將申請好證書的 USB KEY發(fā)放給最終用戶。(2) 證書吊銷流程在用戶證書的私鑰受到威脅、或者用戶私鑰丟失時，需要吊銷用戶的證書，根據(jù)用戶信息系統(tǒng)的應用情況，本方案設計證書吊銷由管理員進行，其工作流程如下：(a) 管理員在發(fā)現(xiàn)用戶違反使用規(guī)定，或者用戶自己向管理員發(fā)送郵件，請求吊銷自己的證書時，管理員訪問 CA 認證系統(tǒng)管理員模塊，進行用戶證書吊銷用戶；(b) 管理員通過證書管理功能頁面，查詢到需要吊銷的用戶證書；(c) 管理員選擇吊銷操作，選擇吊銷用戶證書的原因，向CA認證系統(tǒng)發(fā)送證書吊銷請求；(d) CA 認證系統(tǒng)根據(jù)管理員的證書吊銷請求，自動的吊銷用戶的證書，并將吊銷

17、的用戶 證書發(fā)布到證書吊銷列表中，同時對數(shù)據(jù)庫中保存的用戶證書的最新狀態(tài)進行更新；(e) CA 認證系統(tǒng)給管理員返回證書吊銷成功信息，同時給用戶發(fā)送電子郵件，告訴用戶 證書已經被吊銷，不能再使用自己的證書。(3) 證書更新流程最終用戶在其證書即將過期之前，需要訪問 CA 認證系統(tǒng)，更新自己的證書，其流程為：(a) 最終用戶在證書即將過期前(一般為一個月)，訪問用戶CA認證系統(tǒng)，登錄用戶服務頁面，點擊 “證書更新 ”選項；(b) 系統(tǒng)自動識別用戶是否具有用戶 CA認證系統(tǒng)頒發(fā)的數(shù)字證書，并且判斷是否過期，如果即將過期，便提示進行更新；(c) 用戶選擇需要更新的證書，點擊提交，向CA認證系統(tǒng)提交證

18、書更新請求。在提交證書更新請求時，在 USB KEY 中，重新產生更新證書的公私鑰對，將公鑰和即將過期的證書 一起，作為證書更新請求，提交給 CA 認證系統(tǒng)；(d) CA 認證系統(tǒng)自動批準證書更新請求，自動更新用戶證書，將更新的證書發(fā)布到目錄 服務器，同時將更新證書返回到用戶端，自動保存到 USB KEY 中。1.8 系統(tǒng)性能和特點分析采用 iTrusCA 系統(tǒng)建設的用戶 CA 認證系統(tǒng)擁有下列性能和特點：（ 1）符合國際和行業(yè)標準系統(tǒng)在設計中遵循了相應的國際和工業(yè)標準，包括 X.509 標準、 PKCS 系列標準、 IETF 的 PKIX 工作組制定的 PKI 相關 RFC 標準， 以及 HTTP 、 SSL 、LDAP 等互聯(lián)網通訊協(xié)議等。 嚴