C A认证系统设计
1.1 系统简介
本系统是参照国际领先的CA系统的设计思想;继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性;自主开发的、享有完全自主知识产权的数字证书服务系统..系统具有完善的功能;能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求..
CA系统采用模块化结构设计;由最终用户、RA管理员、CA管理员、注册中心RA、认证中心CA等构成;其中注册中心RA和认证中心CA又包含相应的模块;系统架构如下图:
图1 CA系统模块架构图
CA系统能提供完善的功能;包括:证书签发、证书生命周期管理、证书吊销列表CRL查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能..
CA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大型iTrusCA;不同类型系统的网络建设架构是不同的..
CA系统具有下列特点:
A. 符合国际和行标准;
B. 证书类型多样性及灵活配置..能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等各种类型的证书;
C. 灵活的认证体系配置..系统支持树状的客户私有的认证体系;支持多级CA;支持交叉认证;
D. 高安全性和可靠性..使用高强度密码保护密钥;支持加密机、智能卡、USBKEY等硬件设
备以及相应的网络产品证书漫游产品来保存用户的证书;
E. 高扩展性..根据客户需要;对系统进行配置和扩展;能够发放各种类型的证书;系统支持多级CA;支持交叉CA;系统支持多级RA..
F. 易于部署与使用..系统所有用户、管理员界面都是B/S模式;CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行;并具有详细的操作说明..
G. 高兼容性..支持各种加密机、多种数据库和支持多种证书存储介质..
1.2 认证体系设计
认证体系是指证书认证的逻辑层次结构;也叫证书认证体系..证书的信任关系是一个树状结构;由自签名的根CA为起始;由它签发二级子CA;二级子CA又签发它的下级CA;以此递推;最后某一级子CA签发最终用户的证书..
认证体系理论上可以无限延伸;但从技术实现与系统管理上;认证层次并非越多越好..层次越多;技术实现越复杂;管理的难度也增大..证书认证的速度也会变慢..一般的;国际上最大型的认证体系层次都不超过4层;并且浏览器等软件也不支持超过4层的认证体系..
本方案设计的用户的CA认证系统采用如下图所示的认证体系:
图2 用户CA认证体系图
如图所示;认证体系采用3层结构:
第一层是自签名的用户根CA;是处于离线状态的;具有用户的权威性和品牌特性..
第二层是由用户根CA签发的用户子CA;处于在线状态;它是签发系统用户证书的子CA..
第三层为用户证书;由用户子CA签发;从用户证书的证书信任链中可以看出整个用户的CA认证体系结构;用户证书在用户的应用范围内受到信任..
采用这种认证体系具有下列特点:
1体现用户的权威性
从认证体系上看;用户CA具有自己的统一的根CA;由用户进行统一管理;负责整个用户的认证体系、CA策略和证书策略的定制与管理;这样充分体现了用户的权威性..
2具有很好的可扩展性
如图所示体系具有很好的可扩展性;采用三层结构为体系的扩展预留了空间因为大多数应用都只支持四层以下;根据用户实际应用需求;将来可以在子CA下;签发下级子CA;或者针对别的应用再签发子CA这样;使得用户CA认证体系具有很好的可扩展性..
3具有很好的可操作性
采用三层体系结构;相对比较简单;在CA的创建和管理上也相当比较容易..虽然从技术上认证体系支持无限扩展;但是层次越多;技术实现越复杂;管理的难度也增大..而采用三层结构是目前业界比较通用的、标准的做法..这样;使得用户CA认证体系具有很好的可操作性..
1.3 系统网络架构
采用CA系统将为用户建设一个CA中心和一个RA中心;CA系统的所有模块可以安装在同一台服务器上;也可以采用多台服务器分别安装各模块..系统网络架构如下图所示:
图3 CA系统网络架构示意图
如图所示;将CA系统的CA认证中心和RA注册中心各模块安装在CA服务器上;为了保证系统的安全;CA服务器必须位于安全的区域;即采用防火墙与外界进行隔离..最终用户使用浏览器;访问CA服务器;进行证书申请和管理..管理员包括CA管理员和RA管理员;可以是同一个管理员担任使用浏览器;访问CA服务器;进行证书管理和CA管理..
1.4 证书存储介质
本方案推荐使用USBKEY来保存用户的证书及私钥..USBKEY是以USB为接口的存储设备;它便于携带和使用;可以实现在所有的机器具有USB接口上的漫游;可以满足用户移动办公的需求..USBKEY可以设置用户口令保护;增强了证书及私钥的安全性..
为了在发生USBKEY丢失等情况时;私钥可以恢复或者还可以用私钥解密以前的加密邮件;在申请证书时;密钥对可以在系统中产生而不是在USBKEY中产生;当证书申请成功后;再将私钥和证书导入到USBKEY中;同时系统可以以文件的形式保留私钥和证书的备份;这就提供了在USBKEY丢失时对用户私钥和证书的保护措施..
1.5 CA系统功能
CA系统具有完善的功能;采用iTrusCA系统设计的用户CA认证系统也具有完善的功能;包括:
1证书签发
通过CA认证系统;能够申请、产生和分发数字证书;具有证书签发功能..用户访问CA认证系
统;提交证书申请请求;申请数字证书;RA管理员访问管理员站点;审查和批准用户的证书申请请求;CA认证中心根据RA管理员的批准;签发用户证书;并将数字证书发布到目录服务器中..用户CA认证系统;获取签发的证书..
2证书生命周期管理
通过CA认证系统;可以实现证书的生命周期管理;包括:
证书申请最终用户使用浏览器;访问CA认证系统;可以进行证书申请;在线提交证书申请请求;
证书批准管理员登录管理员站点;完成证书批准功能;可以查看和审批最终用户的证书申请请求;
模块化管理证书查询最终用户可以通过CA认证系统;查询自己或别人的数字证书;
证书下载通过CA认证系统;可以下载签发的数字证书;
证书吊销最终用户在使用证书期间;有可能会出现一些问题;如:证书丢失、忘记密码等;最终用户就需要将原证书吊销..用户吊销证书时;可以直接访问CA认证系统;在线的向CA提交证书吊销请求;CA认证系统根据用户的选择;自动吊销用户的证书;并将吊销的证书添加到证书吊销列表
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论