联通CA中心建设方案-丁丁.docVIP

地址: 湖南省长沙市岳麓区 地址: 湖南省长沙市岳麓区 长沙高新技术开发区M0栋六楼 电话: 0731-8802998, 8807823, 8804073 传真: 0731-8806393 邮编: 410013 网站: E-Mail: ec_service@ 中国联通认证系统（CUCA）建设方案 中杰高科技（集团）发展有限公司 Zhongjie High-Tech (Group) Development Co.,Ltd 中杰软件技术有限公司 Zhongjie Software Technology Co.,Ltd 中国联通认证系统（CUCA）建设方案 中杰软件技术有限公司 电话: 0731-8802774 8807013 传真: 0731-8806393 第 PAGE i页 目　录 TOC \o 1-3 \h \z 第一章 安全认证中心（ＣＡ）、数字证书简介 1 1.1 安全认证中心 1 1.2 数字证书 1 1.2.1 证书分类 1 1.2.2 数字证书内容 2 第二章 中国联通认证系统层次结构 3 2.1 层次划分 3 2.2 业务受理过程 3 2.3 认证系统的层次结构示意 4 第三章 中国联通认证系统功能及证书发放过程 5 3.1 认证中心功能 5 3.1.1 证书注册 5 3.1.2 证书管理 5 3.1.3 证书查询 5 3.1.4 废弃证书列表 5 3.1.5 安全审计 6 3.1.6 系统人员管理 6 3.1.7 数据库管理 6 3.1.8 邮件服务 6 3.2 数字证书申请流程 6 3.2.1 个人数字证书申请流程 6 3.2.2 服务器数字证书申请流程 7 3.2.3 机构数字证书申请流程 7 3.2.4 代码签名数字证书申请流程 7 第四章 全国CA中心及各省RA中心建设方案 8 4.1 CA中心网络结构 8 4.2 试点省RA中心网络结构 9 第五章 中国联通认证系统外部接口 10 中杰软件技术有限公司 电话: 0731-8802774 8807013 传真: 0731-8806393 第 PAGE 11页 / 共 NUMPAGES 13页 安全认证中心（ＣＡ）、数字证书简介 安全认证中心 CA机构，又称为证书授证(Certificate Authority)中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。同时ＣＡ也可以提供时间戳、密钥管理及证书作废表（ＣＲＬ）等服务。作为安全网络的公证机构，为了维护网络用户间的安全通信，ＣＡ必须行使以下职能： 管理和维护客户的证书和ＣＲＬ 维护自身的安全 提供安全审计的依据 在基于证书的安全通信中，证书是证明用户合法身份和提供用户合法公钥的凭证，是建立保密通信的基础。因此，作为网络可信机构的证书管理设施，ＣＡ的主要职能就是管理和维护它所签发的证书，提供各种证书服务，包括：证书的签发、更新、回收、归档等等。在各类证书服务中，除了证书的签发过程需要人为参与控制外，其他服务都可以利用通信信道通过用户与ＣＡ交换证书服务消息进行。ＣＡ系统的主要功能是管理其辖域内的用户证书，因此，ＣＡ系统功能及ＣＡ证书的应用紧紧围绕证书的管理而展开。 数字证书 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。 证书分类 目前的证书系统包括两类：基于SET的证书体系和非SET的通用证书