政府内网CA设计与实现.docVIP

政府内网CA设计与实现 　　为解决网络安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的基于Internet的安全解决方案，即目前被广泛采用的公钥基础设施PKI，而签发数字证书的CA则是PKI的核心。CA的基本功能有：证书签发、证书更新、证书撤销和证书验证。其核心功能就是发放和管理数字证书。 　　 　　政府内网CA的需求分析 　　 　　政府内网CA是相对于整个Internet CA而言的。Internet CA要对全球范围内各种人员提供服务，要考虑方方面面的需要。因此其结构复杂、开发周期长、软硬件规模庞大、投资成本高昂、部署困难、使用和维护复杂。 　　目前，很多政府内部建立了Intranet，在内部网中同样需要保证信息的安全。在一个单位中部署Internet CA显然是不现实的，这就需要一个适合在至多有数千用户的政府部门内部使用的CA。虽然它仅具有Internet CA的部分功能，但它足以满足需求，同时对它另一方面的要求是结构简单、开发周期短、软硬件规模小、投资成本较低、易部署、使用和维护简单。我们与某计算机公司合作，设计并实现了政府内网CA。 　　1.总体需求 　　系统应部署简单，用户使用方便。用户申请、更新、撤销、查询下载证书都应通过浏览器进行。只需在身份验证的时候到CA办公地点离线审核。 　　CA签发的证书要符合x．509 v3国际标准。 　　由于需要针对不同的繁忙程度，因此各软件模块可分别在不同服务器上运行，也可在同一台服务器上运行。 　　由于仅在一个单位内部使用，无需设置远程RA(Registration Authority)。对于用户分散的部门，可通过电话联系或部门领导对部门员工集体注册等方式解决身份验证的问题。 　　由于至多有数千用户，证书的撤销操作较少，政府内网CA不设置0CSP服务器，证书撤销验证采用CRL。可令CRL中的下次更新时刻与此次更新时刻的间隔较短，比如几天。同时每次有证书撤销操作时都更新CRL。这样既不会增加多少服务器的负担，又保证了CRL的实时性。 　　同样由于用户较少，也不需查询速度较快的LDAP服务器：由于一般用户对数据库非常熟悉，可将用户证书同其他信息一同存于数据库中。 　　2．软件需求 　　为尽可能在一台服务器上运行多个软件模块，各服务器必须使用同一种操作系统。在实现中，为使用户操作简便，我们选用了Windows 2003 Server SP1。 　　考虑到有较多的底层密码操作，也为了提高软件的移植性，各软件模块中与用户界面无关的部分统一用标准C++语言开发。 　　密码操作使用何种方式实现是一个复杂的问题。可使用微软的CryptoAPI，自己作为CSP(Cryptographic Service Provider)来实现对密码硬件设备的操作，但这需要微软对CSP的签名。也可以根据PKCS#11标准编制自己的密码操作库。在实现中，我们使用了该计算机公司已有的符合PKCS#11标准的密码操作库。 　　3．硬件需求 　　尽量减少服务器的数量，尤其要减少昂贵的密码硬件设备的数量。为了系统的安全，CA私钥、系统主密钥(一个对称密钥，用于加密敏感信息)等高度敏感的信息必须使用密码硬件设备存储，密码硬件设备同时完成各种基本的密码操作。考虑到用户较少，可用一台加密机，或只用一台装有加密卡的普通服务器。 　　4．功能需求 　　要尽可能灵活，给用户尽可能多的选择。用户申请新证书时，有密钥托管与不托管两种选择。所谓密钥托管，是指用户的公私钥对由CA产生；密钥不托管，则指用户的公私钥对由用户自己产生，并产生PKCS#10请求。 　　 　　政府内网CA的总体设计 　　 　　1．政府内网CA的软件模块划分 　　用户证书申请及管理模块：主要以网页形式提供证书申请、证书更新、证书撤销、证书／CRL的查询／下载、PKCS#12包的下载等功能。各种证书请求直接存入数据库，各种查询／下载直接从数据库中读取数据。 　　CA管理模块：CA管理模块对系统进行日常的配置和管理。提供各种证书请求的审核、CA策略设定、系统监控、操作员管理、日志管理、统计报表以及各种查询功能。将各种证书请求从数据库中读出供操作员审核，审核通过后调用CA服务模块进行处理。 　　CA服务模块：这是CA的核心，由CA管理模块调用。对各种证书请求进行处理，如证书的签发、更新、撤销、CRL的生成等，并将处理结果存入数据库。其中的密码操作调用密码服务模块。 　　密码服务模块：由CA服务模块调用。执行产生用户公私钥对、对证书及CRL签名及验证签名、对称密钥加密解密等密码操作。产生的用户公私钥对经系统主密钥加密后存入数据库。 　　数据库模块：存储各种数据。如CA的各种参数、用户的证书和PKCS#12