PKI-CA(客户端证书)方案

1、 上海域联软件技术有限公司PKI/CA 系统解决方案123前言.2应用安全需求概述.2域联 PKI/CA 系统简介.33.13.2认证体系设计.3域联 PKI/CA 系统功能模块.53.2.1证书签发.5证书生命周期管理.5CRL 服务功能.6目录服务功能.6CA 管理功能 .6日志与审计功能.6CA 密钥管理 .73.2.23.2.33.2.43.2.53.2.63.2.7 _上_海_域_联_软_件_技_术_有_限_公_司_1 前言以 Internet 为代表的全球性信息化浪潮迅猛发展，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务

2、系统扩展，从典型的如金融业务系统、网上证券交易业务系统、企业内部应用系统，逐渐扩展到政府办公系统应用。在这股浪潮的推动下，为了提高企业的办事效率，各个企业纷纷利用先进的 IT 技术来降低政务办公的成本和加强信息管理，广泛的开展电子政务。由于业务发展的需要，用户也建设了自己的各种应用信息系统，为了保证系统的正常运转，有必要采取安全的措施来保障各个应用系统运行的安全。本文主要目的是旨在分析用户的系统安全需求，然后阐明采用 PKI/CA 技术，来保障用户的信息系统安全。2 应用安全需求概述随着用户信息系统的建设，大量的办公业务数据文件通过网络相互传递，同时大量的数据文件也保存于文件服务器之上。如果不

3、能保证这些系统的用户登录认证安全，保证这些数据的传输安全，其后果是可想而知的。此外，在实现资源和数据共享的同时，也面临巨大的威胁和风险，我们必须对这些资料进行严格控制，保证只有被授权的人员才能够访问合法的资源，并且对于每个人产生的信息，需要保留相应的记录。由于互联网的广泛性和开放性，给应用系统带来了很多安全隐患，主要体现在如下几个方面：（1）身份认证目前，应用系统是采用“用户名密码”的方式来验证访问用户的身份。采用“用户名密码”的方式登录应用系统时，用户输入的用户名和密码都是通过明文的方式，传输给系统服务器，系统服务器根据用户提交的用户名和密码，查询数据库，来判断用户的身份是否真实。这种方式存

4、在巨大的安全隐患，非法用户可以通过口令攻击、猜测或窃取口令等方式，假冒合法用户的身份，登录系统进行非法操作或获取机密信息。因此，需要采用安全的手段，解决应用系统身份认证需求。（2）访问控制对于系统的不同用户，具有不同的访问操作权限。因此，应用系统在身份认证的基础上，需要给不同的身份授予不同的访问权限，使他们能够进行相应授权的操作。因此，需要采用有效的手段，解决应用系统访问控制的需求。（3）信息机密性和完整性通过应用系统传输很多敏感资料，如通过应用系统，需要通过开放的互联网，非法用户很容易监听网络传输的数据甚至篡改相关数据，或者入侵到应用系统，窃取有关资料。因此，需要采用有效的方式保证应用系统传

5、输数据的机密性和完整性。（4）信息抗抵赖信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖。在应用系统中传输的很多信息，都需要实现信息抗抵赖。比如财务部进行财务汇报时，如果采用纸质的方百联-客户端证书方案1 _上_海_域_联_软_件_技_术_有_限_公_司_式，可以在财务报表上签字盖章。但是通过电子数据共享和传输，不可能像纸质文件那样进行手写签字和盖章。而如果没有有效的手段保证电子数据共享和传输的抗抵赖，财务部可以否认自己共享和传输过的电子数据。一旦出现问题，将没有任何有效的证据，对肇事者进行追究。另外，对于通过应用系统进行网上申报与审批时，如果没有抗抵赖性，申报者将可以否认自己的申报数据

6、和行为，审批者也可以否认自己的审批意见和行为，甚至出现假冒他人进行申报或审批的行为。这样，将导致整个应用系统不能正常工作，将给企业造成巨大的损失。为此，根据用户的信息系统安全现状，采用 PKI（Public Key Infrastructure，公钥基础设施）技术，为用户设计了基于数字证书的应用安全解决方案。3 域联 PKI/CA 系统简介域联 PKI/CA 系统采用模块化结构设计，由最终用户、RA 管理员、CA 管理员、注册中心（RA）、认证中心（CA）等构成，其中注册中心（RA）和认证中心（CA）又包含相应的模块，系统架构如下图：图 1 域联 PKI/CA 系统模块架构图3.1 认证体系设

7、计认证体系是指证书认证的逻辑层次结构，也叫证书认证体系。证书的信任关系是一个树状结构，由自签名的根 CA 为起始，由它签发二级子 CA，二级子 CA 又签发它的下级 CA，百联-客户端证书方案2 _上_海_域_联_软_件_技_术_有_限_公_司_以此递推，最后某一级子 CA 签发最终用户的证书。认证体系理论上可以无限延伸，但从技术实现与系统管理上，认证层次并非越多越好。层次越多，技术实现越复杂，管理的难度也增大。证书认证的速度也会变慢。一般的，国际上最大型的认证体系层次都不超过 4 层，并且浏览器等软件也不支持超过 4 层的认证体系。本方案设计的用户的 CA 认证系统采用如下图所示的认证体系：

8、图 2 用户 CA 认证体系图如图所示，认证体系采用 3 层结构： 第一层是自签名的用户根 CA，是处于离线状态的，具有用户的权威性和品牌特性。 第二层是由用户根 CA 签发的中级子 CA，处于在线状态，它是签发系统用户证书的中级子 CA。 第三层为用户证书，由用户子 CA 签发，从用户证书的证书信任链中可以看出整个用户的 CA 认证体系结构，用户证书在用户的应用范围内受到信任。采用这种认证体系具有下列特点：（1） 体现用户的权威性从认证体系上看，用户 CA 具有自己的统一的根 CA，由用户进行统一管理，负责整个用户的认证体系、CA 策略和证书策略的定制与管理，这样充分体现了用户的权威性。（2

9、） 具有很好的可扩展性如图所示体系具有很好的可扩展性，采用三层结构为体系的扩展预留了空间（因为大多数应用都只支持四层以下），根据用户实际应用需求，将来可以在子 CA 下，签发下级中级子 CA；或者针对别的应用再签发中级子 CA 这样，使得用户 CA 认证体系具有很好的可扩展性。百联-客户端证书方案3 _上_海_域_联_软_件_技_术_有_限_公_司_（3） 具有很好的可操作性采用三层体系结构，相对比较简单，在 CA 的创建和管理上也相当比较容易。虽然从技术上认证体系支持无限扩展，但是层次越多，技术实现越复杂，管理的难度也增大。而采用三层结构是目前业界比较通用的、标准的做法。这样，使得用户CA

10、认证体系具有很好的可操作性。3.2 域联 PKI/CA 系统功能模块域联 PKI/CA 系统具有完善的功能，其中功能包括：3.2.1 证书签发通过 CA 认证系统，能够申请、产生和分发数字证书，具有证书签发功能。用户访问 CA 认证系统，提交证书申请请求，申请数字证书；RA 管理员访问管理员站点，审查和批准用户的证书申请请求；CA 认证中心根据 RA 管理员的批准，签发用户证书，并将数字证书发布到目录服务器中。用户 CA 认证系统，获取签发的证书。3.2.2 证书生命周期管理通过 CA 认证系统，可以实现证书的生命周期管理，包括： 证书申请 最终用户使用浏览器，访问 CA 认证系统，可以进行证

11、书申请，在线提交证书申请请求； 证书批准 管理员登录管理员站点，完成证书批准功能，可以查看和审批最终用户的证书申请请求； 证书查询 最终用户可以通过 CA 认证系统，查询自己或别人的数字证书； 证书下载 通过 CA 认证系统，可以下载签发的数字证书； 证书吊销 最终用户在使用证书期间，有可能会出现一些问题，如：证书丢失、忘记密码等，最终用户就需要将原证书吊销。用户吊销证书时，可以直接访问CA 认证系统，在线的向 CA 提交证书吊销请求，CA 认证系统根据用户的选择，自动吊销用户的证书，并将吊销的证书添加到证书吊销列表（CRL）中，按照证书吊销列表的发布周期进行发布； 证书更新 在用户证书到期前

12、，用户需要更新证书，用户访问 CA 认证系统，查询用户的证书状态，对即将过期的用户证书进行更新。百联-客户端证书方案4 _上_海_域_联_软_件_技_术_有_限_公_司_3.2.3 CRL 服务功能CA认证系统支持证书黑名单列表（CRL）功能，能够配置指定 RA的 CRL下载地点及 CRL发布时间。CA认证系统定时产生 CRL列表，并将产生的 CRL发布至 Web层 CRL服务模块，可以通过手工下载该 CRL。3.2.4 目录服务功能CA认证系统支持目录服务，支持 LDAP V3规范，CA认证系统在签发用户证书时或者对证书进行吊销处理时，会及时更新目录内容。证书目录服务的功能提供给用户进行证书

13、查询的功能，用户可以通过电子邮件（Email）、用户名称（Common Name）、单位名称（Organization）和部门名称（OU）等字段查找 CA认证系统签发的用户证书。3.2.5 CA 管理功能CA认证系统具有完善的 CA管理功能，包括： 管理员管理 RA 管理员管理，包括初始化 RA 管理员申请、增加 RA 管理员、删除 RA 管理员； CA 管理员管理，包括初始化 CA 管理员申请、后续 CA 管理员证书申请、吊销 CA 管理员证书。 账号管理 个人账号管理，包括注册信息，证书信息等管理； RA 账号管理，包括 RA 账号申请、批准、吊销、额外管理员证书申请等。 策略管理 证书策略配置管理，高度灵活和可扩展的配置 CA 所签发证书的有效期、主题、扩展、版本、密钥长度、类型等方面； RA 策略配置管理，包括语言、联系方法、证书类型、是否发布到LDAP 等； CA 策略配置管理，包括证书 DN 重用性检查、CA 别名设置等。3.2.6 日志与审计功能系统具有完善的日志与审计