CA认证系统设计.docVIP

CA认证系统设计 1.1 系统简介 　　本系统是参照国际领先的CA系统的设计思想，继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性，自主开发的、享有完全自主知识产权的数字证书服务系统。系统具有完善的功能，能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求。 　　CA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等构成，其中注册中心（RA）和认证中心（CA）又包含相应的模块，系统架构如下图： 图1 CA系统模块架构图 　　CA系统能提供完善的功能，包括：证书签发、证书生命周期管理、证书吊销列表（CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。 　　CA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大型iTrusCA，不同类型系统的网络建设架构是不同的。 CA系统具有下列特点：A.符合国际和行标准；B.证书类型多样性及灵活配置。能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等各种类型的证书；C.灵活的认证体系配置。系统支持树状的客户私有的认证体系，支持多级CA，支持交叉认证；D.高安全性和可靠性。使用高强度密码保护密钥，支持加密机、智能卡、USB KEY等硬件设备以及相应的网络产品（证书漫游产品）来保存用户的证书；E.高扩展性。根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级CA，支持交叉CA；系统支持多级RA。F.易于部署与使用。系统所有用户、管理员界面都是B/S模式，CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。G.高兼容性。支持各种加密机、多种数据库和支持多种证书存储介质。 1.2 认证体系设计 　　认证体系是指证书认证的逻辑层次结构，也叫证书认证体系。证书的信任关系是一个树状结构，由自签名的根CA为起始，由它签发二级子CA，二级子CA又签发它的下级CA，以此递推，最后某一级子CA签发最终用户的证书。 　　认证体系理论上可以无限延伸，但从技术实现与系统管理上，认证层次并非越多越好。层次越多，技术实现越复杂，管理的难度也增大。证书认证的速度也会变慢。一般的，国际上最大型的认证体系层次都不超过4层，并且浏览器等软件也不支持超过4层的认证体系。 　　本方案设计的用户的CA认证系统采用如下图所示的认证体系： 图2 用户CA认证体系图 如图所示，认证体系采用3层结构：第一层是自签名的用户根CA，是处于离线状态的，具有用户的权威性和品牌特性。第二层是由用户根CA签发的用户子CA，处于在线状态，它是签发系统用户证书的子CA。第三层为用户证书，由用户子CA签发，从用户证书的证书信任链中可以看出整个用户的CA认证体系结构，用户证书在用户的应用范围内受到信任。 采用这种认证体系具有下列特点：（1）体现用户的权威性　　从认证体系上看，用户CA具有自己的统一的根CA，由用户进行统一管理，负责整个用户的认证体系、CA策略和证书策略的定制与管理，这样充分体现了用户的权威性。（2）具有很好的可扩展性　　如图所示体系具有很好的可扩展性，采用三层结构为体系的扩展预留了空间（因为大多数应用都只支持四层以下），根据用户实际应用需求，将来可以在子CA下，签发下级子CA；或者针对别的应用再签发子CA这样，使得用户CA认证体系具有很好的可扩展性。（3）具有很好的可操作性　　采用三层体系结构，相对比较简单，在CA的创建和管理上也相当比较容易。虽然从技术上认证体系支持无限扩展，但是层次越多，技术实现越复杂，管理的难度也增大。而采用三层结构是目前业界比较通用的、标准的做法。这样，使得用户CA认证体系具有很好的可操作性。 1.3 系统网络架构 　　采用CA系统将为用户建设一个CA中心和一个RA中心， CA系统的所有模块可以安装在同一台服务器上，也可以采用多台服务器分别安装各模块。系统网络架构如下图所示： 图3 CA系统网络架构示意图 　　如图所示，将CA系统的CA认证中心和RA注册中心各模块安装在CA服务器上，为了保证系统的安全，CA服务器必须位于安全的区域，即采用防火墙与外界进行隔离。最终用户使用浏览器，访问CA服务器，进行证书申请和管理。管理员（包括CA管理员和RA管理员，可以是同一个管理员担任）使用浏览器，访问CA服务器，进行证书管理和CA管理。 1.4 证书存储介质 　　本方案推荐使用USB KEY来保存用户的证书及私钥。USB KEY是以USB为接口的存储设备，它便于携带和使用，可以实现在所有的机器（具有USB接口）上的漫游，可以满足用户移动办公的需求。USB KEY可