CA认证系统设计.doc

CA认证系统设计1.1系统简介本系统是参照国际领先的CA系统的设计思想，继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性，自主开发的、享有完全自主知识产权的数字证书服务系统。系统具有完善的功能，能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求。CA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等构成，其中注册中心（RA）和认证中心（CA）又包含相应的模块，系统架构如下图：图1CA系统模块架构图CA系统能提供完善的功能，包括：证书签发、证书生命周期管理、证书吊销列表（CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。CA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大型iTrusCA，不同类型系统的网络建设架构是不同的。CA系统具有下列特点： A.符合国际和行标准； B.证书类型多样性及灵活配置。能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等各种类型的证书； C.灵活的认证体系配置。系统支持树状的客户私有的认证体系，支持多级CA，支持交叉认证； D.高安全性和可靠性。使用高强度密码保护密钥，支持加密机、智能卡、USBKEY等硬件设备以及相应的网络产品（证书漫游产品）来保存用户的证书； E.高扩展性。根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级CA，支持交叉CA；系统支持多级RA。 F.易于部署与使用。系统所有用户、管理员界面都是B/S模式，CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。 G.高兼容性。支持各种加密机、多种数据库和支持多种证书存储介质。1.2认证体系设计认证体系是指证书认证的逻辑层次结构，也叫证书认证体系。证书的信任关系是一个树状结构，由自签名的根CA为起始，由它签发二级子CA，二级子CA又签发它的下级CA，以此递推，最后某一级子CA签发最终用户的证书。认证体系理论上可以无限延伸，但从技术实现与系统管理上，认证层次并非越多越好。层次越多，技术实现越复杂，管理的难度也增大。证书认证的速度也会变慢。一般的，国际上最大型的认证体系层次都不超过4层，并且浏览器等软件也不支持超过4层的认证体系。本方案设计的用户的CA认证系统采用如下图所示的认证体系：图2用户CA认证体系图如图所示，认证体系采用3层结构： 第一层是自签名的用户根CA，是处于离线状态的，具有用户的权威性和品牌特性。 第二层是由用户根CA签发的用户子CA，处于在线状态，它是签发系统用户证书的子CA。 第三层为用户证书，由用户子CA签发，从用户证书的证书信任链中可以看出整个用户的CA认证体系结构，用户证书在用户的应用范围内受到信任。采用这种认证体系具有下列特点： （1）体现用户的权威性 从认证体系上看，用户CA具有自己的统一的根CA，由用户进行统一管理，负责整个用户的认证体系、CA策略和证书策略的定制与管理，这样充分体现了用户的权威性。 （2）具有很好的可扩展性 如图所示体系具有很好的可扩展性，采用三层结构为体系的扩展预留了空间（因为大多数应用都只支持四层以下），根据用户实际应用需求，将来可以在子CA下，签发下级子CA；或者针对别的应用再签发子CA这样，使得用户CA认证体系具有很好的可扩展性。 （3）具有很好的可操作性 采用三层体系结构，相对比较简单，在CA的创建和管理上也相当比较容易。虽然从技术上认证体系支持无限扩展，但是层次越多，技术实现越复杂，管理的难度也增大。而采用三层结构是目前业界比较通用的、标准的做法。这样，使得用户CA认证体系具有很好的可操作性。1.3系统网络架构采用CA系统将为用户建设一个CA中心和一个RA中心，CA系统的所有模块可以安装在同一台服务器上，也可以采用多台服务器分别安装各模块。系统网络架构如下图所示：图3CA系统网络架构示意图如图所示，将CA系统的CA认证中心和RA注册中心各模块安装在CA服务器上，为了保证系统的安全，CA服务器必须位于安全的区域，即采用防火墙与外界进行隔离。最终用户使用浏览器，访问CA服务器，进行证书申请和管理。管理员（包括CA管理员和RA管理员，可以是同一个管理员担任）使用浏览器，访问CA服务器，进行证书管理和CA管理。1.4证书存储介质本方案推荐使用USBKEY来保存用户的证书及私钥。USBKEY是以USB为接口的存储设备，它便于携带和使用，可以实现在所有的机器（具有USB接口）上的漫游，可以满足用户移动办公的需求。USBKEY可以设置用户口令保护，增强了证书及私钥的安全性。为了在发生USBKEY丢失等情况时，私钥可以恢复或者还可以用私钥解密以前的加密邮件，在申请证书时，密钥对可以在系统中产生而不是在USBKEY中产生，当证书申请成功后，再将私钥和证书导入到USBKEY中；同时系统可以以文件的形式保留私钥和证书的备份，这就提供了在USBKEY丢失时对用户私钥和证书的保护措施。1.5CA系统功能CA系统具有完善的功能，采用iTrusCA系统设计的用户CA认证系统也具有完善的功能，包括：（1）证书签发 通过CA认证系统，能够申请、产生和分发数字证书，具有证书签发功能。用户访问CA认证系统，提交证书申请请求，申请数字证书；RA管理员访问管理员站点，审查和批准用户的证书申请请求；CA认证中心根据RA管理员的批准，签发用户证书，并将数字证书发布到目录服务器中。用户CA认证系统，获取签发的证书。（2）证书生命周期管理 通过CA认证系统，可以实现证书的生命周期管理，包括： 证书申请最终用户使用浏览器，访问CA认证系统，可以进行证书申请，在线提交证书申请请求； 证书批准管理员登录管理员站点，完成证书批准功能，可以查看和审批最终用户的证书申请请求； 证书查询最终用户可以通过CA认证系统，查询自己或别人的数字证书； 证书下载通过CA认证系统，可以下载签发的数字证书； 证书吊销最终用户在使用证书期间，有可能会出现一些问题，如：证书丢失、忘记密码等，最终用户就需要将原证书吊销。用户吊销证书时，可以直接访问CA认证系统，在线的向CA提交证书吊销请求，CA认证系统根据用户的选择，自动吊销用户的证书，并将吊销的证书添加到证书吊销列表（CRL）中，按照证书吊销列表的发布周期进行发布； 证书更新在用户证书到期前，用户需要更新证书，用户访问CA认证系统，查询用户的证书状态，对即将过期的用户证书进行更新。（3）CRL服务功能 CA认证系统支持证书黑名单列表（CRL）功能，能够配置指定RA的CRL下载地点及CRL发布时间。CA认证系统定时产生CRL列表，并将产生的CRL发布至Web层CRL服务模块，可以通过手工下载该CRL。 （4）目录服务功能 CA认证系统支持目录服务，支持LDAPV3规范，CA认证系统在签发用户证书时或者对证书进行吊销处理时，会及时更新目录内容。证书目录服务的功能提供给用户进行证书查询的功能，用户可以通过电子邮件（Email）、用户名称（CommonName）、单位名称（Organization）和部门名称（OU）等字段查找CA认证系统签发的用户证书。 （5）CA管理功能 CA认证系统具有完善的CA管理功能，包括： 管理员管理 RA管理员管理，包括初始化RA管理员申请、增加RA管理员、删除RA管理员； CA管理员管理，包括初始化CA管理员申请、后续CA管理员证书申请、吊销CA管理员证书。 账号管理 个人账号管理，包括注册信息，证书信息等管理； RA账号管理，包括RA账号申请、批准、吊销、额外管理员证书申请等。 策略管理 证书策略配置管理，高度灵活和可扩展的配置CA所签发证书的有效期、主题、扩展、版本、密钥长度、类型等方面； RA策略配置管理，包括语言、联系方法、证书类型、是否发布到LDAP等；CA策略配置管理，包括证书DN重用性检查、CA别名设置等。 （6）日志与审计功能 系统具有完善的日志与审计功能，可以查看和统计各种日志，包括： 统计各CA、RA账号证书颁发情况； 记录所有RA与CA的操作日志； 对所有操作人员的操作行为进行审计。 （7）CA密钥管理 系统支持CA密钥管理功能，包括： CA密钥产生和存储（软件与硬件）； CA证书（包括根CA和子CA）的产生和管理； CA密钥归档与备份。1.6证书应用开发接口（API） 为了实现基于数字证书的安全应用集成，提供了完整的证书应用开发接口（API），提供C、JAVA和COM等多种接口，包括：个人信任代理（PTA） 个人信任代理（PTA）是客户端的软件包，既包括安装在客户端的文件加密/解密程序，也包括用于数字签名和签名验证的ActiveX控件。文件加/解密模块可以产生随机数密钥对文件进行加密，以及使用输入的密钥对文件进行解密；ActiveX控件由用户访问相关网页时下载到客户端浏览器中，实现使用本地的证书（私钥）对文件进行数字签名，以及对签名进行验证。证书解析模块（CPM） 证书解析模块是一系列平台下的动态链接库，用于解析DER或PEM编码的X.509数字证书，将证书中的信息，包括用户信息、证书有效期、证书公钥等信息分解为字符串。数据签名验证模块（SVM） 数据签名及验证模块是一系列平台下的动态链接库或插件，可以应用于客户端和服务器端，实现对传输数据的数字签名，和对数字签名及其证书进行验证。证书的验证可使用CRL或OCSP来进行有效性验证。1.7系统工作流程设计 （1）证书发放流程 本方案设计的用户CA认证系统的证书发放采用集中发证的方式，即由管理员集中申请好证书，保存在USBKEY中，发放给用户使用。其工作流程如下图所示：图4证书发放流程图(a)管理员使用浏览器，访问用户CA认证系统，进入证书申请页面，替最终用户填写证书申请信息，向用户CA认证系统提交证书申请请求。在本地（本地的USBKEY上）产生证书的公私钥对，并将公钥和用户信息一起作为证书申请请求，提交给CA认证系统； (b)CA认证系统根据管理员提交的证书申请请求，批准并签发用户证书，将用户证书发布到数据库中。同时，将用户证书返回到管理员端，保存到USBKEY中；(c)管理员将申请好证书的USBKEY发放给最终用户。（2）证书吊销流程 在用户证书的私钥受到威胁、或者用户私钥丢失时，需要吊销用户的证书，根据用户信息系统的应用情况，本方案设计证书吊销由管理员进行，其工作流程如下： (a)管理员在发现用户违反使用规定，或者用户自己向管理员发送邮件，请求吊销自己的证书时，管理员访问CA认证系统管理员模块，进行用户证书吊销用户；(b)管理员通过证书管理功能页面，查询到需要吊销的用户证书； (c)管理员选择吊销操作，选择吊销用户证书的原因，向CA认证系统发送证书吊销请求； (d)CA认证系统根据管理员的证书吊销请求，自动的吊销用户的证书，并将吊销的用户证书发布到证书吊销列表中，同时对数据库中保存的用户证书的最新状态进行更新； (e)CA认证系统给管理员返回证书吊销成功信息，同时给用户发送电子邮件，告诉用户证书已经被吊销，不能再使用自己的证书。（3）证书更新流程最终用户在其证书即将过期之前，需要访问CA认证系统，更新自己的证书，其流程为： (a)最终用户在证书即将过期前（一般为一个月），访问用户CA认证系统，登录用户服务页面，点击“证书更新”选项； (b)系统自动识别用户是否具有用户CA认证系统颁发的数字证书，并且判断是否过期，如果即将过期，便提示进行更新； (c)用户选择需要更新的证书，点击提交，向CA认证系统提交证书更新请求。在提交证书更新请求时，在USBKEY中，重新产生更新证书的公私钥对，将公钥和即将过期的证书一起，作为证书更新请求，提交给CA认证系统； (d)CA认证系统自动批准证书更新请求，自动更新用户证书，将更新的证书发布到目录服务器，同时将更新证书返回到用户端，自动保存到USBKEY中。1.8系统性能和特点分析 采用iTrusCA系统建设的用户CA认证系统拥有下列性能和特点： （1）符合国际和行业标准 系统在设计中遵循了相应的国际和工业标准，包括X.509标准、PKCS系列标准、IETF的PKIX工作组制定的PKI相关RFC标准，以及HTTP、SSL、LDAP等互联网通讯协议等。严格遵循这些标准，使得系统具有很好的开放性，能够与各种应用结合，成为真正的安全基础设施。 （2）证书类型多样性及灵活配置 系统能够提供各种证书的签发功能，本方案设计的CA认证系统能够签发个人身份证书。将来根据用户的需要，可以进行扩展，通过灵活配置可以签发企业证书、服务器证书、代码签名证书和VPN证书等。 （3）灵活的认证体系配置 系统采用“认证体系设计”一节设计的CA认证体系，采用树状结构，支持多级CA，支持交叉认证。 （4）注册机关（RA）建设方式多样化 本方案设计的CA认证系统采用一个RA的配置，根据用户的要求，将来可以配置多个RA和多级RA，RA界面风格可定制。 （5）高安全性和可靠性 使用高强度密码保护密钥，支持加密机、智能卡、USBKEY等硬件设备，用户关键信息散列保存，以防遗失。 （6）高扩展性 根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级CA，支持交叉CA；系统支持多级RA。 （7）易于部署与使用 系统所有用户、管理员界面都是B/S模式，CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。 （8）高兼容性 支持Windows、Linux、Solaris等多种操作系统； 支持多种加密设备 支持多种数据库 支持多种证书存储介质：硬盘、USBKEY和智能卡等参考文献：1. 汤建忠, 顾华江. CA安全认证系统的研究与实现J. 计算机工程与科学 , 2010,(01)2. 董自周, 张维华. 一种简化的CA认证系统J. 武汉理工大学学报(信息与管理工程版) , 2009,(01)3. 吕中华. CA系统接入控制和加密技术J. 安徽科技学院学报 , 2008,(05)4. 谢建华. CA数字认证证书在基层央行的应用及建议J. 华南金融电脑 , 2009,(01)5. 张巍, 李涛, 刘晓洁, 徐春林. 认证中心CA的功能及其实现技术J. 计算机工程与设计 , 2003,(09)6. 汤建忠, 顾华江, 沈瑾. CA安全认证系统自安全性的研究与实现J. 计算机工程与设计 , 2009,(18)7. 王伍戎, 李涛, 尹鹏, 王耀, 顾婷婷, 王先旺. 认证中心的设计与实现J. 网络安全技术与应用 , 2001,(08)软件安装、使用或者配置说明一：Windows环境下独立根CA的安装和使用分组角色：学生A作为证书颁发机构，学生B作申请证书者。步骤1-独立根CA的安装：学生A通过“添加和删除Windows组件”安装“证书服务”，选择“独立根CA”类型的证书颁发机构，填入CA的详细属性，完成证书的安装。步骤2-通过Web页面申请证书：学生B在IE中输入http:/学生A的IP/certsrv，开始申请证书，选择申请“Web浏览器证书”，填写用户身份信息，申请证书。步骤3-证书发布：学生A选择“证书颁发机构”，为申请的证书进行证书颁发。步骤4-证书的下载安装：学生B打开IE，进入证书申请页面，开始安装颁发的证书，安装完成后，下载并安装CA系统的根证书。二：企业根CA的安装和使用步骤1-企业根CA的安装删除原来安装的CA，启动Active Directory用户和计算机，安装证书服务并选择“企业根CA”作为证书颁发机构，填入CA的详细属性，完成证书的安装。步骤2-将局域网中的计算机加入CA服务器所在的域CA服务器被设为其所在域的控制计算机，CA服务器以域管理员身份登录系统。将域控制计算机的IP地址添加到该计算机的域名解析服务器列表中。在局域网中非根CA及域控制计算机的另外一台计算机上，选择加入域。步骤3-在企业根CA模式下以Web方式申请和安装证书在已加入域的客户端打开IE ，输入http:/根CA的IP/certsrv，开始申请证书，选择申请“用户证书”，提交证书申请，并安装发布的证书。最后察看验证根CA证书是否安装步骤4-在企业根CA模式下葱控制台申请和安装证书对于企业根CA，除了上面的Web方式申请证书外，还可以利用控制台界面申请证书，采用这种方式重新申请证书。三：证书服务管理步骤1-停止/启动证书服务：步骤2-CA备份/还原通过“证书颁发机构备份向导”，选择要备份的项目，并设置保护密钥和证书文件的密码，执行CA的备份。还原操作则先停止CA服务，然后根据“证书颁发机构还原向导”，完成CA的还原。步骤3-证书废除步骤4-证书吊销列表的创建四：配置基于Web的SSL连接步骤1-为Web服务器申请证书：为Internet服务管理器的默认Web站点创建一个新证书，输入证书的名称C等信息，生成证书请求文件并保存，完成服务器证书的申请。步骤2-提交Web服务器证书：申请证书，并选择由用户导入请求证书文件，选择“Base64 编码方式”，插入证书请求文件至证书申请框内，提交申请。步