CA认证系统设计

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

CA认证系统设计

1.1 系统简介

本系统是参照国际领先的CA系统的设计思想,继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性,自主开发的、享有完全自主知识产权的数字证书服务系统。系统具有完善的功能,能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求。

CA系统采用模块化结构设计,由最终用户、RA管理员、CA管理员、注册中心(RA)、认证中心(CA)等构成,其中注册中心(RA)和认证中心(CA)又包含相应的模块,系统架构如下图:

图1 CA系统模块架构图

CA系统能提供完善的功能,包括:证书签发、证书生命周期管理、证书吊销列表(CRL)查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。

CA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大

型iTrusCA,不同类型系统的网络建设架构是不同的。

CA系统具有下列特点:

A. 符合国际和行标准;

B. 证书类型多样性及灵活配置。能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等各种类型的证书;

C. 灵活的认证体系配置。系统支持树状的客户私有的认证体系,支持多级CA,支持交叉认证;

D. 高安全性和可靠性。使用高强度密码保护密钥,支持加密机、智能卡、USB KEY等硬件设备以及相应的网络产品(证书漫游产品)来保存用户的证书;

E. 高扩展性。根据客户需要,对系统进行配置和扩展,能够发放各种类型的证书;系统支持多级CA,支持交叉CA;系统支持多级RA。

F. 易于部署与使用。系统所有用户、管理员界面都是B/S模式,CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行,并具有详细的操作说明。

G. 高兼容性。支持各种加密机、多种数据库和支持多种证书存储介质。

1.2 认证体系设计

认证体系是指证书认证的逻辑层次结构,也叫证书认证体系。证书的信任关系是一个树状结构,由自签名的根CA为起始,由它签发二级子CA,二级子CA又签发它的下级CA,以此递推,最后某一级子CA签发最终用户的证书。

认证体系理论上可以无限延伸,但从技术实现与系统管理上,认证层次并非越多越好。

层次越多,技术实现越复杂,管理的难度也增大。证书认证的速度也会变慢。一般的,国际上最大型的认证体系层次都不超过4层,并且浏览器等软件也不支持超过4层的认证体系。

本方案设计的用户的CA认证系统采用如下图所示的认证体系:

图2 用户CA认证体系图

如图所示,认证体系采用3层结构:

ν

第一层是自签名的用户根CA,是处于离线状态的,具有用户的权威性和品牌特性。

ν

第二层是由用户根CA签发的用户子CA,处于在线状态,它是签发系统用户证书的子CA。

ν

第三层为用户证书,由用户子CA签发,从用户证书的证书信任链中可以看出整个用户的CA认证体系结构,用户证书在用户的应用范围内受到信任。

采用这种认证体系具有下列特点:

(1)体现用户的权威性

从认证体系上看,用户CA具有自己的统一的根CA,由用户进行统一管理,负责整个用

户的认证体系、CA策略和证书策略的定制与管理,这样充分体现了用户的权威性。

(2)具有很好的可扩展性

如图所示体系具有很好的可扩展性,采用三层结构为体系的扩展预留了空间(因为大多数应用都只支持四层以下),根据用户实际应用需求,将来可以在子CA下,签发下级子CA;或者针对别的应用再签发子CA这样,使得用户CA认证体系具有很好的可扩展性。

(3)具有很好的可操作性

采用三层体系结构,相对比较简单,在CA的创建和管理上也相当比较容易。虽然从技术上认证体系支持无限扩展,但是层次越多,技术实现越复杂,管理的难度也增大。而采用三层结构是目前业界比较通用的、标准的做法。这样,使得用户CA认证体系具有很好的可操作性。

1.3 系统网络架构

采用CA系统将为用户建设一个CA中心和一个RA中心,CA系统的所有模块可以安装在同一台服务器上,也可以采用多台服务器分别安装各模块。系统网络架构如下图所示:

图3 CA系统网络架构示意图

如图所示,将CA系统的CA认证中心和RA注册中心各模块安装在CA服务器上,为了

保证系统的安全,CA服务器必须位于安全的区域,即采用防火墙与外界进行隔离。最终用户使用浏览器,访问CA服务器,进行证书申请和管理。管理员(包括CA管理员和RA管理员,可以是同一个管理员担任)使用浏览器,访问CA服务器,进行证书管理和CA管理。

1.4 证书存储介质

本方案推荐使用USB KEY来保存用户的证书及私钥。USB KEY是以USB为接口的存储设备,它便于携带和使用,可以实现在所有的机器(具有USB接口)上的漫游,可以满足用户移动办公的需求。USB KEY可以设置用户口令保护,增强了证书及私钥的安全性。

为了在发生USB KEY丢失等情况时,私钥可以恢复或者还可以用私钥解密以前的加密邮件,在申请证书时,密钥对可以在系统中产生而不是在USB KEY中产生,当证书申请成功后,再将私钥和证书导入到USB KEY中;同时系统可以以文件的形式保留私钥和证书的备份,这就提供了在USB KEY丢失时对用户私钥和证书的保护措施。

1.5 CA系统功能

CA系统具有完善的功能,采用iTrusCA系统设计的用户CA认证系统也具有完善的功能,包括:

(1)证书签发

通过CA认证系统,能够申请、产生和分发数字证书,具有证书签发功能。用户访问CA 认证系统,提交证书申请请求,申请数字证书;RA管理员访问管理员站点,审查和批准用户的证书申请请求;CA认证中心根据RA管理员的批准,签发用户证书,并将数字证书发布到目录服务器中。用户CA认证系统,获取签发的证书。

(2)证书生命周期管理

相关文档
最新文档