联通CA中心建设方案-丁丁-1024.docVIP

中国联通认证系统（CUCA）建设方案 中杰高科技（集团）发展有限公司 Zhongjie High-Tech (Group) Development Co.,Ltd 中杰软件技术有限公司 Zhongjie Software Technology Co.,Ltd 目　录 第一章 安全认证中心（ＣＡ）、数字证书简介 1 1.1 安全认证中心 1 1.2 数字证书 1 1.2.1 证书分类 1 1.2.2 数字证书内容 2 第二章 中国联通认证系统层次结构 3 2.1 层次划分 3 2.2 业务受理过程 3 2.3 认证系统的层次结构示意 4 第三章 中国联通认证系统功能及证书发放过程 5 3.1 认证中心功能 5 3.1.1 证书注册 5 3.1.2 证书管理 5 3.1.3 证书查询 5 3.1.4 废弃证书列表 5 3.1.5 安全审计 6 3.1.6 系统人员管理 6 3.1.7 数据库管理 6 3.1.8 邮件服务 6 3.2 数字证书申请流程 6 3.2.1 个人数字证书申请流程 6 3.2.2 服务器数字证书申请流程 7 3.2.3 机构数字证书申请流程 7 3.2.4 代码签名数字证书申请流程 7 第四章 全国CA中心及各省RA中心建设方案 8 4.1 CA中心网络结构 8 4.2 试点省RA中心网络结构 9 第五章 中国联通认证系统外部接口 10 安全认证中心（ＣＡ）、数字证书简介 安全认证中心 CA机构，又称为证书授证(Certificate Authority)中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。同时ＣＡ也可以提供时间戳、密钥管理及证书作废表（ＣＲＬ）等服务。作为安全网络的公证机构，为了维护网络用户间的安全通信，ＣＡ必须行使以下职能： 管理和维护客户的证书和ＣＲＬ 维护自身的安全 提供安全审计的依据 在基于证书的安全通信中，证书是证明用户合法身份和提供用户合法公钥的凭证，是建立保密通信的基础。因此，作为网络可信机构的证书管理设施，ＣＡ的主要职能就是管理和维护它所签发的证书，提供各种证书服务，包括：证书的签发、更新、回收、归档等等。在各类证书服务中，除了证书的签发过程需要人为参与控制外，其他服务都可以利用通信信道通过用户与ＣＡ交换证书服务消息进行。ＣＡ系统的主要功能是管理其辖域内的用户证书，因此，ＣＡ系统功能及ＣＡ证书的应用紧紧围绕证书的管理而展开。 数字证书 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。 证书分类 目前的证书系统包括两类：基于SET的证书体系和非SET的通用证书体系。 SET协议主要由金融单位提出，用于解决电子商务交易过程中的安全支付，SET协议在金融单位、商家和用户之间进行身份认证，交易过程各环节的安全可靠性可以得到充分保证，但是交易过程比较复杂，延时较长，用户操作也比较复杂，因此目前应用不太广泛。 非SET的通用证书主要遵循X.509标准，并在此基础上兼容SSL、S/MIME等多种协议。通用证书使用较为简单、高效，虽然安全性弱于SET证书，但是也可以满足目前电子商务及其它各种应用的要求，因此得到了广泛的应用，目前国内已建的CA和各种电子商务网站大部分采用X.509证书。 根据上述比较，本系统采用基于X.509的通用证书体系。 按照使用功能来分，分为以下几种： 个人数字证书 个人数字证书代表个人身份，用于发送安全电子邮件或网上信息交换的身份认证； 签名算法RSA1024，RSA512；证书符合X.509 Version 3 标准，X.500,P