CA数字身份认证系统名词解释综述.docx

CA数字身份认证系统名词解释综述.docx

《CA数字身份认证系统名词解释综述.docx》由会员分享，可在线阅读，更多相关《CA数字身份认证系统名词解释综述.docx（15页珍藏版）》请在冰豆网上搜索。

CA数字身份认证系统名词解释综述

内部资料

CA数字身份认证系统名词解释

1.系统需求

背景概述

随着计算机网络技术的迅速发展和信息化建设的大力推广，越来越多的传统办公和业务处理模式开始走向电子化和网络化，从而极大地提高了效率、节约了成本。

与传统的面对面的手工处理方式相比，基于网络的电子化业务处理系统必须解决以下问题：

（1）如何在网络上识别用户的真实身份；

（2）如何保证网络上传送的业务数据不被篡改；

（3）如何保证网络上传送的业务数据的机密性；

（4）如何使网络上的用户行为不可否认；

基于公开密钥算法的数字签名技术和加密技术，为解决上述问题提供了理论依据和技术可行性；同时，《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据，使得数字签名与传统的手工签字和盖章具有了同等的法律效力。

PKI（PublicKeyInfrastructure）是使用公开密钥密码技术来提供和实施安全服务的基础设施，其中CA（CertificateAuthority）系统是PKI体系的核心，主要实现数字证书的发放和密钥管理等功能。

数字证书由权威公正的CA中心签发，是网络用户的身份证明。

使用数字证书，结合数字签名、数字信封等密码技术，可以实现对网上用户的身份认证，保障网上信息传送的真实性、完整性、保密性和不可否认性。

数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、网上证券、网上税务等行业和业务领域。

现状与需求概述

现状描述。

。

。

。

。

。

基于上述现状，******系统需要解决数据的签名问题和法律效力问题，从而提高*****的便捷性和管理效率。

鉴于数字证书、数字签名的广泛应用和相关法律的保障，****单位规划建设CA及数字签名认证系统，主要需求如下：

（1）建设CA系统或采用第三方CA，为****用户申请数字证书；

（2）在现有*****系统中加入对数据的签名功能，存储数据签名并提供对签名的认证功能；

需求分析

为了解决网上用户的身份证明问题，需要为用户颁发数字证书。

数字证书由CA中心签发，目前在实际应用中主要存在两种类型的CA：

（1）独立的第三方CA

跨区域的CA，如：

中国电信的CTCA、中国人民银行的CFCA；

地域性的CA，如：

广东电子商务认证中心CNCA、上海电子商务认证中心SHECA，以及其他各省电子商务认证中心；

（2）各类应用系统自己建设的CA

如：

招商银行、建设银行等建设的用于服务各自网上银行的CA；海关、税务等建设的服务各自网上报税系统的CA；

这两种类型的CA在实际使用过程中各有优劣，以下将进行分析和比较：

CA建设与使用的分析

◆采用独立权威的第三方CA与自建CA的比较

独立权威的第三方CA

自建CA

建设/使用成本

一般由第三方CA按用户收取年费，建设投入和证书使用成本较高

一次投入建设成本，建成后可为用户免费发放证书，成本较低

证书的有效性检查

由第三方CA提供的CRL（证书撤销列表，实效性较差）或者OCSP（在线证书状态查询，依赖于外部系统，易形成性能瓶颈）

与业务系统紧密结合，对证书有效性的控制和检查实时准确

定制化/灵活性

按第三方规定的流程申请证书，受制于第三方的系统，还需要将用户证书导入业务系统中，灵活性较差

可以与业务系统紧密结合，满足业务系统的定制化需求，灵活性高

故障响应时间

故障解决依赖于第三方

故障响应及时

认证资质

已通过相关单位审批，有电子认证服务资质，权威性强

建成后，对外提供电子认证服务时需要通过相关单位的审批

备注：

成本比较

权威的第三方CA的使用成本：

10元/年/用户×10万用户=100万元/年

自建CA的系统建设成本<100万元，并且只是一次性的投入

综合比较而言，自建CA优于采用第三方CA，因此推荐自建CA。

证书存储方式的分析

◆使用普通文件存储方式与USB智能卡存储方式的比较

普通文件

USB智能卡

成本

磁盘成本较低，优盘成本较高

USB智能卡成本适中

安全性

私钥可以复制，易泄密

私钥被固化在USB智能卡中，无法复制，安全性高

方便性

使用磁盘或优盘等方式携带，使用时需要用户选择证书和私钥

携带方便，但需要安装USB智能卡驱动，使用时可自动读取用户证书

USB智能卡自带CPU，内置芯片操作系统（COS）；采用USB接口，易于使用和携带；支持RSA非对称算法和DES、3DES等对称算法；支持RSA公司的PKCS#11标准和微软的CSP标准；支持Windows98/NT/2000/XP/2003等操作系统。

USB智能卡可支持国密算法SSF33，并通过国家密码管理委员会的检测。

图1USB智能卡

签名数据类型的分析

*****系统需要进行电子签名并存储的数据主要有以下三类：

◆上报表单的数据签名

用户在网上填写的各类表单需要由用户的私钥进行电子签名；

◆上报数据文件的数据签名

用户上传的数据文件，其内容需要由用户的私钥进行电子签名；

◆下载数据文件的数据签名

用户通过****系统生成并下载的确认数据文件（如：

PDF格式），其内容需要由用户的私钥进行电子签名并回传至系统存储。

2.技术方案

系统总体架构

系统的总体架构如下图所示，主要由：

****业务系统、CA数字证书受理系统、数字签名认证系统三大部分组成。

图2系统总体架构

系统数据库

系统中包含两个数据库（Sybase）：

业务数据库和证书数据库，其中证书数据库需要新建，业务数据库需要更新，以满足数字签名认证的需求。

（1）证书数据库主要包括以下数据：

用户数据：

用于用户数字证书的申请，可以由业务数据库批量导入；

证书数据：

用户证书及证书信息、证书状态；

用户与证书的关联数据：

用户信息与用户证书的对应关系；

（2）业务数据库主要包括以下数据：

用户数据：

用户的用户信息；

业务数据及签名数据：

业务的各项数据，需要增加相应的签名字段和签名证书的序列号字段；

CA数字证书受理系统

数字证书及其格式

数字证书是一种数字标识，如同我们的身份证一样，是网络上的身份证明，它是由证书授权机构（CA）签名颁发的数字文件，该签名使得第三者不能伪造和篡改证书。

ITU-T的X..509国际标准定义了数字证书的格式，目前X.509v3数字证书的主要内容，如图2所示，主要包括证书的版本号、证书的序列号、证书的有效起止日期、证书颁发者的名字和唯一标识符、证书持有者的名字和唯一标识符、证书持有者的公钥、证书扩展项以及证书颁发者的签名。

其中，证书扩展项可以根据证书的不同应用而由证书的颁发者具体定义，因而具有较强的通用性和灵活性。

由于数字证书是由相对权威的授权机构审核颁发的，因此，一方面可以用来向系统或者系统的其他实体证明自己的身份；另一方面，由于证书携带着其持有者的公钥，也起着公钥分发的作用。

图3X.509v3数字证书的主要格式

基于****单位的现状与需求分析，建议建设自己的业务系统CA，节约总体成本投入，满足业务系统对CA认证的可靠性、灵活性、快捷性以及用户使用的方便性等方面的需求。

另外，也可以采用基于权威第三方的CA数字证书受理系统。

自建CA数字证书受理系统

图4独立建设的CA数字证书受理系统

自建CA数字证书受理系统主要由WEB应用服务器、数据库、RA服务器、CA服务器组成，采用B/S（浏览器/服务器）架构实现基于WEB的数字证书申请、审核、下载制作、更新和作废等功能。

自建CA各组成部分及其功能

✧基于WEB的证书管理系统

为用户和管理员提供WEB管理界面，完成用户证书申请信息的提交、查询、审核；已生成的数字证书的下载和制作（存储到指定介质）；证书状态的查询和管理（证书更新、证书作废）；私钥密码的修改等功能。

✧证书数据库

存储用户信息、证书信息以及二者的关联信息，保存用户的所有历史证书数据，以备校验历史签名数据。

✧注册授权服务器（RA）

负责定期从数据库中提取已审核通过的证书申请/更新/作废信息，按既定格式打包提交到CA服务器，并接收和记录返回的结果。

✧证书签发服务器（CA）

负责密钥对（公私钥对）的产生，可采用软件方式或硬件方式（加密机）；接收RA服务器的请求，签发/更新/作废用户证书；定期签发CRL（证书撤销列表）。

备注：

（1）CA服务器采用软件方式产生密钥对可节约系统成本；采用硬件方式产生密钥对，则需要购置加密机（国密局认证的密码设备，得安SJY05型加密机），产生的密钥对质量高，也有利于自建的CA完成相关认证和获取资质。

（2）RA服务器和CA服务器均为软件方式的应用程序，可共用一台主机。

自建CA的主要功能和技术特点

自建CA总体上具有建设成本低、易于部署；流程简捷高效、易于管理；系统可定制，易于与具体业务系统相结合等特点。

系统的主要功能如下：

Ø自定义根CA：

系统初始化时，自定义根CA证书。

ØCA策略管理：

支持对密钥长度、证书有效期、私钥备份等策略的管理。

Ø证书申请信息注册：

通过WEB方式提交证书申请信息，支持个人证书、企业证书、服务器证书等，支持批量证书申请。

Ø证书申请信息审核：

管理员通过WEB方式查询并审核用户的证书申请信息，可设置自动审核。

Ø密钥产生和证书签发：

CA服务器支持软件方式和硬件方式（加密机或加密卡）产生密钥对，并签发证书请求，生成证书。

Ø证书查询和下载制作：

通过WEB方式查询证书申请状态、证书状态，下载已经生成的证书，并通过WEB方式灌制到指定的存储介质。

Ø证书作废和CRL签发：

通过WEB方式提交证书作废请求，定时签发CRL。

Ø证书更新：

即将到期的用户证书可以通过WEB方式进行在线更新。

Ø证书导出：

可以通过WEB方式将指定范围的用户证书按标准格式（BASE64编码）导出到文件中。

Ø系统审计：

对证书相关的各项操作，提供详尽的系统审计功能。

系统的主要技术和功能特点：

Ø数字证书格式遵循X.509v3国际标准

Ø密钥长度可支持512、1024、2048位

Ø密钥生成方式支持软件产生和硬件（加密机或加密卡）产生

Ø支持CA策略定制（密钥长度、证书有效期、私钥备份等策略）

Ø支持多种证书类型：

个人、企业、服务器证书等

Ø支持多种存储介质：

磁盘、U盘、IC卡、USB智能卡（eKey）

Ø支持证书的批量申请，支持证书申请的手工审核和自动审核

Ø支持证书作废和证书撤销列表（CRL），支持证书更新

自建CA的证书受理业务流程

图5自建CA的证书受理业务流程

上述流程中的相关步骤说明如下：

（1）步骤1至3，可以根据实际情况由管理员一次录入资料并自动审核；对于*****系统而言，可以从系统的数据库中按要求格式导出用户数据文件，再批量导入证书申请数据库中，同时自动审核；

（2）步骤8至9，可根据实际情况由用户或管理员完成下载操作。

自建CA系统在对外提供电子认证服务时，需要通过国家密码管理局、国务院信息产业主管部门的审查并获取电子认证许可证。

自建CA切换到第三方CA的可行性分析

自建CA在结构上具有良好的兼容性，通过RA服务器可以屏蔽不同CA中心所带来的接口问题。

当整个CA系统需要切换到第三方CA时，只需更改RA服务器，按第三方CA系统的接口格式，将证书申请数据打包提交到第三方CA系统即可实现证书的申请，原有的基于WEB的证书管理系统将仍然有效。

基于第三方（CTCA）的数字证书受理系统

目前，国内拥有CTCA、CFCA等大型CA运营系统，它们通过了相关部门的审批，具有相关资质，是对外提供电子认证服务的权威、公正的第三方CA系统。

如果采用第三方CA系统，则需要完成以下工作：

（1）