CA认证系统.doc

1.1 CA认证系统1.1.1 引入CA认证系统的必要性对于电子政务的交易安全而言，其基本要求为：1）信息保密性（Confidentiality）：即通过密码学的方式加密，所传递的信息以防止窃取；2）信息真实性和完整性（Authenticity and integrity）:即通过数字签章（Digital signature）的方式，用Hash方式保证信息不会被改变和假冒；3）不可否认性（Non-repudiation）:即身份认证，通过可信任的CA中心发放的CA证书来证明使用的身份。安全传递和存储信息应用权限控制其中最为关键的就是建立基于证书的认证体系，或者使用可信的CA认证中心发放的CA证书。1.1.2 CA认证系统结构客户端/浏览器WEB服务器CA注册认证中心申请、发放、注销、恢复证书CA身份验证执行需进行认证的应用CA认证系统结构结构说明如下：采用第三方认证机构建立CA认证中心和RA（证书注册中心），实现CA证书的注册、验证、管理功能；通过专线连接CA认证中心，在需要安装进行CA证书验证的应用服务器上安装接口程序，实现对CA证书的验证功能。当用户进行需进行CA认证的应用操作时WEBSERVER服务器自动使用CA认证接口程序，完成对用户身份的验证。CA认证中心是一负责发放和管理数字证书的权威机构。CA的主要功能是：接收注册请求、处理、批准、拒绝请求、颁发证书等。用户向CA提交代表自己身份的信息（如身份证号码或Email地址），CA验证了用户的有效身份之后，向用户颁发一个经过CA私有密钥签名的证书。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。处在最高层的是认证根中心(Root CA)。 认证中心主要有以下几种功能：证书的颁发中心接收、验证用户（包括下级认证中心和最终用户）的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名以后，发送到目录服务器供用户下载和查询。为了保证消息的完整性，返回给用户的所有应答信息都要使用认证中心的签名。证书的更新认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。证书的查询证书的查询可以分为两类，其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。证书的作废当用户的私钥由于泄密等原因，用户证书需要申请作废时，用户需要向认证中心提出证书作废请求，认证中心根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表（CertificateRevocationList,CRL）来完成上述功能。证书的归档证书具有一定的有效期，证书过了有效期之后将被作废，但我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。基于此类考虑，认证中心具备管理作废证书和作废私钥的功能。 认证中心具有严格的认证操作规则1）组织规则独立的中间机构：认证中心是独立于交易双方的中间机构，CA不能参加交易，也不能与交易双方具有利益关系。发挥权威作用：认证中心必须以信誉为基础，获得公认的权威可靠性。严格的内部管理制度：保证操作安全和信息安全。2）操作规则操作要求：规定操作要求。安全控制规则：规定个人活动范围、处理的业务、期限和权限。密钥管理规则：规定密钥产生、传输管理的责任制度。审核规则：规定定期审核制度。3）信息控制规则认证声明：公开有关认证活动的责任、义务、操作及相关措施。信息公开制度：发布相关认证信息，例如证书生效、失效等公开信息。用户信息保护制度：保护认证中心、用户的机密信息。1.1.3 用户使用CA证书的操作流程 证书申请、审核、下载流程证书申请提供两种方式：通过CA中心的WEB站点在线填写，或到证书发放中心（RA）面对面申请。以面对面申请为例：证书申请者采用面对面的身份验证过程。证书申请到RA填写证书申请表单（表单内容需要在实施时具体确定），向RA的录入管理员提交一些个人信息证明。RA录入员将用户信息录入到未审核数据库中，等待RA审核员的审核。RA的审核员对申请人提交的信息进行审核，决定同意或拒绝客户的证书申请。如果审核通过，RA的审核员使用RA应用程序在CA系统中注册该申请用户。CA接到操作员的证书审核通过信息后为用户产生参考号和授权码。授权码可由CA经过RA服务器传至操作员的操作平台，操作员将其打印出来交给用户，也可在RAServer端打印密码信封，由RA负责发放。参考号将下传至RA服务器，由RA服务器通过电子邮件传给用户，参考号和授权码的发放方式可以互换。证书申请人回到家里，登录CA所在网站的下载界面。证书申请人通过浏览器下载安装CA的WWW服务器的证书。下载CA的根证书。证书申请人在下载页面中填入参考号和授权码。用户的客户端浏览器生成密钥对。浏览器将私钥保存在本地密钥库中，将公钥及所添入的两个号码打包成pkcs#10的格式送往CA。CA接到用户的证书下载请求，生成证书。用户下载证书，并安装到浏览器中。 证书更新流程用户证书具有一定的使用期限，当用户过期后需要申请进行更新。具体流程如下：用户证书过期时，注册中心可以通过提供新的参考号码和授权码，更新用户的证书上。与前一节证书的初始下载过程相同，用户可以使用证书下载系统的相同统一资源定位码（URL）。用户一旦获取上述信息，就可以直接进入上述URL，填写注册站点提供的表格，输入参考号和授权码，然后回答浏览器提供的对话框。浏览器将生成密钥和证书请求，而且将自动跟证书下载系统执行交互，以便注册。证书下载系统将检测浏览器是Netscape还是Microsoft浏览器，并采用正确的MIME类型和过程执行注册。 证书废止流程证书废止或注销主要有两种形式：主动注销和被动注销。主动注销是指由用户提出注销申请，由RA具有相关权限的管理员对其要求进行处理，注销证书；被动注销是指当管理员确认持证人有违反证书应用规定的行为发生时采取注销证书的手段以停止对该证书的证明。具体流程为：由证书持有者本人持有效证件到申请证书的RA提出证书注销请求。审核管理员对有效证件进行审核。审核通过后在RA服务器的数据库中根据客户信息进行查询。得到用户信息后提交到CA进行签字。CA签发服务器将需注销证书的证书序列号写入证书注销列表。CA将证书注销列表直接送到目录服务器供客户查询。 证书恢复流程当一个用户的证书撤销后，一个管理员可能会处理和恢复这个用户。下面将提供两种解决方案中典型的用户恢复处理。如果RA管理员决定重新将用户作为一个可信实体时，可以恢复用户证书。具体流程如下：使用RA系统完成对一个用户恢复密钥的设定后，一个新的参考号和授权码会提供给用户。与申请和接收证书相类似，用户可使用证书下载系统相同的URL地址。一旦用户获取参考号和授权码，他们将很简单地去根据URL，填写注册站点提供的表格，输入参考号和授权码，然后回答浏览器用对话框提出的问题。浏览器将生成一把密钥和一个证书申请并会自动与证书下载系统交互，注册浏览器。证书下载系统将检查浏览器是Netscape浏览器还是IE，并使用正确的MIME类型和步骤注册。1.1.4 CA认证流程当客户端程序对网站应用进行操作时，需调用CA认证接口对使用人身份进行鉴定。CA认证接口的功能分为以下两个部分：一、判断用户证书是否为合法证书具体实现流程如下：1CA认证接口从客户请求中获取证书信息；2CA认证接口通过专线将证书相关信息发送到CA认证中心相关处理服务，由CA认证中心判断证书是否为合法的CA证书；