CA数字身份认证系统名词解释.docx
《CA数字身份认证系统名词解释.docx》由会员分享,可在线阅读,更多相关《CA数字身份认证系统名词解释.docx(21页珍藏版)》请在冰点文库上搜索。
CA数字身份认证系统名词解释
内部资料
CA数字身份认证系统名词解释
1.系统需求1
1.1背景概述1
1.2现状与需求概述1
1.3需求分析2
1.3.1CA建设与使用的分析2
1.3.2证书存储方式的分析3
1.3.3签名数据类型的分析3
2.技术方案4
2.1系统总体架构4
2.2系统数据库4
2.3CA数字证书受理系统5
2.3.1数字证书及其格式5
2.3.2自建CA数字证书受理系统6
2.3.3自建CA切换到第三方CA的可行性分析9
2.3.4基于第三方(CTCA)的数字证书受理系统9
2.4数字签名认证系统9
2.4.1数字签名认证的原理及流程10
2.4.2客户端浏览器签名控件10
2.4.3签名认证服务器及认证的业务流程11
2.4.4基于WEB的签名验证管理系统12
2.5数据加密传输通道(SSL)13
3.成功案例13
4.设备软件汇总及报价14
4.1基本设备及软件14
4.2CA系统设备及软件14
4.2.1自建CA系统设备及软件14
4.2.2基于CTCA的数字证书受理系统设备及软件15
4.3数字签名认证系统设备及软件15
4.4USB智能卡类型15
5.附录15
1.系统需求
1.1背景概述
随着计算机网络技术的迅速发展和信息化建设的大力推广,越来越多的传统办公和业务
处理模式开始走向电子化和网络化,从而极大地提高了效率、节约了成本。
与传统的面对面
的手工处理方式相比,基于网络的电子化业务处理系统必须解决以下问题:
(1)如何在网络上识别用户的真实身份;
(2)如何保证网络上传送的业务数据不被篡改;
(3)如何保证网络上传送的业务数据的机密性;
(4)如何使网络上的用户行为不可否认;
基于公开密钥算法的数字签名技术和加密技术,为解决上述问题提供了理论依据和技术
可行性;同时,《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据,使得数字签名与传统的手工签字和盖章具有了同等的法律效力。
PKI(PublicKeyInfrastructure)是使用公开密钥密码技术来提供和实施安全服务的基础
设施,其中CA(CertificateAuthority)系统是PKI体系的核心,主要实现数字证书的发放和密钥管理等功能。
数字证书由权威公正的CA中心签发,是网络用户的身份证明。
使用数字证书,结合数
字签名、数字信封等密码技术,可以实现对网上用户的身份认证,保障网上信息传送的真实
性、完整性、保密性和不可否认性。
数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、
网上证券、网上税务等行业和业务领域。
1.2现状与需求概述
现状描述。
。
。
。
。
。
基于上述现状,******系统需要解决数据的签名问题和法律效力问题,从而提高*****
的便捷性和管理效率。
鉴于数字证书、数字签名的广泛应用和相关法律的保障,****单位规
划建设CA及数字签名认证系统,主要需求如下:
(1)建设CA系统或采用第三方CA,为****用户申请数字证书;
(2)在现有*****系统中加入对数据的签名功能,存储数据签名并提供对签名的认证
功能;
1.3需求分析
为了解决网上用户的身份证明问题,需要为用户颁发数字证书。
数字证书由CA中心签
发,目前在实际应用中主要存在两种类型的CA:
(1)独立的第三方CA
跨区域的CA,如:
中国电信的CTCA、中国人民银行的CFCA;
地域性的CA,如:
广东电子商务认证中心CNCA、上海电子商务认证中心SHECA,
以及其他各省电子商务认证中心;
(2)各类应用系统自己建设的CA
女口:
招商银行、建设银行等建设的用于服务各自网上银行的CA;海关、税务等建
设的服务各自网上报税系统的CA;
这两种类型的CA在实际使用过程中各有优劣,以下将进行分析和比较:
1.3.1CA建设与使用的分析
采用独立权威的第三方CA与自建CA的比较
独立权威的第三方CA
自建CA
建设/使用成本
一般由第三方CA按用户收取年费,
建设投入和证书使用成本较咼
一次投入建设成本,建成后可为用
户免费发放证书,成本较低
证书的有效性
检查
由第三方CA提供的CRL(证书撤销列表,实效性较差)或者OCSP(在
线证书状态查询,依赖于外部系统,易形成性能瓶颈)
与业务系统紧密结合,对证书有效
性的控制和检查实时准确
定制化/灵活性
按第三方规定的流程申请证书,受制
于第三方的系统,还需要将用户证书
导入业务系统中,灵活性较差
可以与业务系统紧密结合,满足业
务系统的定制化需求,灵活性高
故障响应时间
故障解决依赖于第三方
故障响应及时
认证资质
已通过相关单位审批,有电子认证服
务资质,权威性强
建成后,对外提供电子认证服务时
需要通过相关单位的审批
备注:
成本比较
权威的第三方CA的使用成本:
10元/年/用户X10万用户=100万元/年
自建CA的系统建设成本<100万元,并且只是一次性的投入
综合比较而言,自建CA优于采用第三方CA,因此推荐自建CA。
1.3.2证书存储方式的分析
使用普通文件存储方式与USB智能卡存储方式的比较
普通文件
USB智能卡
成本
磁盘成本较低,优盘成本较咼
USB智能卡成本适中
安全性
私钥可以复制,易泄密
私钥被固化在USB智能卡中,无法
复制,安全性高
方便性
使用磁盘或优盘等方式携带,使用时需要用户选择证书和私钥
携带方便,但需要安装USB智能卡
驱动,使用时可自动读取用户证书
USB智能卡自带CPU,内置芯片操作系统(COS);采用USB接口,易于使用和携带;支持RSA非对称算法和DES、3DES等对称算法;支持RSA公司的PKCS#11标准和微软的CSP标准;支持Windows98/NT/2000/XP/2003等操作系统。
USB智能卡可支持国密算法SSF33,并通过国家密码管理委员会的检测。
图1USB智能卡
1.3.3签名数据类型的分析
*****系统需要进行电子签名并存储的数据主要有以下三类:
上报表单的数据签名
用户在网上填写的各类表单需要由用户的私钥进行电子签名;上报数据文件的数据签名
用户上传的数据文件,其内容需要由用户的私钥进行电子签名;
下载数据文件的数据签名
用户通过****系统生成并下载的确认数据文件(如:
PDF格式),其内容需要由用户的
私钥进行电子签名并回传至系统存储。
2.技术方案
2.1系统总体架构
****业务系统、CA数字证书受理系统、数字签
系统的总体架构如下图所示,主要由:
名认证系统三大部分组成。
裁名认证系统
图2系统总体架构
2.2系统数据库
系统中包含两个数据库(Sybase):
业务数据库和证书数据库,其中证书数据库需要新建,业务数据库需要更新,以满足数字签名认证的需求。
(1)证书数据库主要包括以下数据:
用户数据:
用于用户数字证书的申请,可以由业务数据库批量导入;
证书数据:
用户证书及证书信息、证书状态;
用户与证书的关联数据:
用户信息与用户证书的对应关系;
(2)业务数据库主要包括以下数据:
用户数据:
用户的用户信息;
业务数据及签名数据:
业务的各项数据,需要增加相应的签名字段和签名证书的序列号字段;
2.3CA数字证书受理系统
2.3.1数字证书及其格式
数字证书是一种数字标识,如同我们的身份证一样,是网络上的身份证明,它是由证书
授权机构(CA)签名颁发的数字文件,该签名使得第三者不能伪造和篡改证书。
ITU-T的X..509国际标准定义了数字证书的格式,目前X.509v3数字证书的主要内容,
如图2所示,主要包括证书的版本号、证书的序列号、证书的有效起止日期、证书颁发者的名字和唯一标识符、证书持有者的名字和唯一标识符、证书持有者的公钥、证书扩展项以及
证书颁发者的签名。
其中,证书扩展项可以根据证书的不同应用而由证书的颁发者具体定义,因而具有较强的通用性和灵活性。
由于数字证书是由相对权威的授权机构审核颁发的,因此,一方面可以用来向系统或者
系统的其他实体证明自己的身份;另一方面,由于证书携带着其持有者的公钥,也起着公钥
分发的作用。
证书版本号证书序列号有效起始日期有效终止日期证书颁发者名颁发者唯一ID证书持有者名持有者唯一ID持有者公钥
扩展J
颁发者签名
图3X.509v3数字证书的主要格式
基于****单位的现状与需求分析,建议建设自己的业务系统CA,节约总体成本投入,
满足业务系统对CA认证的可靠性、灵活性、快捷性以及用户使用的方便性等方面的需求。
另外,也可以采用基于权威第三方的CA数字证书受理系统。
232自建CA数字证书受理系统
图4独立建设的CA数字证书受理系统
自建CA数字证书受理系统主要由WEB应用服务器、数据库、RA服务器、CA服务器组成,采用B/S(浏览器/服务器)架构实现基于WEB的数字证书申请、审核、下载制作、更新和作废等功能。
2.3.2.1自建CA各组成部分及其功能基于WEB的证书管理系统
为用户和管理员提供WEB管理界面,完成用户证书申请信息的提交、查询、审核;已生成的数字证书的下载和制作(存储到指定介质);证书状态的查询和管理(证书更新、证
书作废);私钥密码的修改等功能。
证书数据库
存储用户信息、证书信息以及二者的关联信息,保存用户的所有历史证书数据,以备校
验历史签名数据。
注册授权服务器(RA)
负责定期从数据库中提取已审核通过的证书申请/更新/作废信息,按既定格式打包提交
到CA服务器,并接收和记录返回的结果。
证书签发服务器(CA)
负责密钥对(公私钥对)的产生,可采用软件方式或硬件方式(加密机);接收RA服
务器的请求,签发/更新/作废用户证书;定期签发CRL(证书撤销列表)。
备注:
(1)CA服务器采用软件方式产生密钥对可节约系统成本;采用硬件方式产生密钥对,
则需要购置加密机(国密局认证的密码设备,得安SJY05型加密机),产生的密钥对质量高,
也有利于自建的CA完成相关认证和获取资质。
(2)RA服务器和CA服务器均为软件方式的应用程序,可共用一台主机。
2.322自建CA的主要功能和技术特点
自建CA总体上具有建设成本低、易于部署;流程简捷高效、易于管理;系统可定制,
易于与具体业务系统相结合等特点。
系统的主要功能如下:
自定义根CA系统初始化时,自定义根CA证书。
CA策略管理:
支持对密钥长度、证书有效期、私钥备份等策略的管理。
证书申请信息注册:
通过WEB方式提交证书申请信息,支持个人证书、企业证书、服务器证书等,支持批量证书申请。
证书申请信息审核:
管理员通过WEB方式查询并审核用户的证书申请信息,可设置自动审核。
密钥产生和证书签发:
CA服务器支持软件方式和硬件方式(加密机或加密卡)产
生密钥对,并签发证书请求,生成证书。
证书查询和下载制作:
通过WEB方式查询证书申请状态、证书状态,下载已经生
成的证书,并通过WEB方式灌制到指定的存储介质。
证书作废和CRL签发:
通过WEB方式提交证书作废请求,定时签发CRL。
证书更新:
即将到期的用户证书可以通过WEB方式进行在线更新。
证书导出:
可以通过WEB方式将指定范围的用户证书按标准格式(BASE64编码)
导出到文件中。
系统审计:
对证书相关的各项操作,提供详尽的系统审计功能。
系统的主要技术和功能特点:
数字证书格式遵循X.509v3国际标准
密钥长度可支持512、1024、2048位
密钥生成方式支持软件产生和硬件(加密机或加密卡)产生
支持CA策略定制(密钥长度、证书有效期、私钥备份等策略)
支持多种证书类型:
个人、企业、服务器证书等
支持多种存储介质:
磁盘、U盘、IC卡、USB智能卡(eKey)
支持证书的批量申请,支持证书申请的手工审核和自动审核
支持证书作废和证书撤销列表(CRL),支持证书更新
2.323自建CA的证书受理业务流程
4,
逊临月户岳护.
卜蛻泄丼
7,RA卑春財*12陆兩冋
的用户计
产业主管部门的审查并获取电子认证许可证。
233自建CA切换到第三方CA的可行性分析
自建CA在结构上具有良好的兼容性,通过RA服务器可以屏蔽不同CA中心所带
来的接口问题。
当整个CA系统需要切换到第三方CA时,只需更改RA服务器,按第三方CA系统的接口格式,将证书申请数据打包提交到第三方CA系统即可实现证书的申请,原有的基于WEB的证书管理系统将仍然有效。
2.3.4基于第三方(CTCA)的数字证书受理系统
目前,国内拥有CTCA、CFCA等大型CA运营系统,它们通过了相关部门的审批,具有相关资质,是对外提供电子认证服务的权威、公正的第三方CA系统。
如果采用第三方CA系统,则需要完成以下工作:
(1)
与第三方
CA签署合作协议;
(2)
从第三方
CA系统申请数字证书;
(3)
为申请的数字证书按年交纳使用费用;
在申请和使用数字证书的过程中,需要遵循第三方CA限定的证书申请模式,受第三方
CA系统性能制约。
从第三方CA系统申请数字证书的方式可以是用户分散申请方式或者批量申请方式,前者对用户要求较高且过程繁琐,后者需要将批量申请下来的数字证书手工导
入业务系统中。
建立基于第三方CA的数字证书网上受理系统,是解决第三方CA数字证书申请的有效途径之一,通过该系统连接业务系统和第三方CA,从而实现数字证书申请过程以及数字证
书与业务系统结合过程的自动化。
2.4数字签名认证系统
数字签名认证系统由客户端浏览器签名控件、签名认证服务器、基于WEB的签名验证
管理系统组成。
241数字签名认证的原理及流程
j川户人的公西解常
用八a发送明丈和私锂曲脱的潢悭njr'H接收并验证
图8数字签名认证的原理
数字签名基于非对称加密算法和单向散列算法(Hash函数),其原理如下:
用户A对要发送的信息用Hash函数进行摘要,并用自己的私钥加密该摘要;
用户A把原始信息和私钥加密后的摘要绑定,发送给用户B;
用户B用A的公钥解密接收到的加密摘要,并得到摘要;
用户B对接收的原始信息用同一Hash函数进行摘要;
将前两步所得的摘要进行对比,如果相同,即可通过验证。
利用证书验证签名数据时,都遵循相同的验证流程,一个完整的验证过程由以下几步:
(1)将接收的数据分为原始数据流、签名数据和用户证书三部分;
(2)用CA根证书验证用户证书的签名完整性;
(3)检查用户证书是否有效(当前时间在证书的有效期内为有效);
(4)检查用户证书是否作废(OCSP方式或证书撤销列表CRL方式);
(5)验证用户证书结构中的证书用途;
(6)用用户证书验证原始数据的签名完整性。
如果上述各项均验证通过,则接受该数据;只要有一项未通过,则验证失败。
2.4.2客户端浏览器签名控件
客户端浏览器签名控件采用ActiveX控件形式(如下图所示),在第一次使用系统时自
动下载安装。
图9客户端浏览器签名控件的自动下载安装示例
客户端签名控件可以以浏览器插件形式自动调用,也可以以脚本方式调用,主要完成以下功能:
(1)对网页中的表单(Form)数据项进行签名
表单中的各数据项按约定方式命名,签名控件自动检测表单数据项并按如下格式对
表单进行签名:
签名数据=私钥签名(Hash(Key仁Valuel&Key2=Value2&…&KeyN=ValueN))
提交到服务器的数据=原始表单数据+签名数据+用户数字证书
(2)对网页中上传的数据文件内容进行签名
上传文件的控件名按约定方式命名,签名控件自动检测准备上传的数据文件,读取
文件内容并按如下格式对文件进行签名:
签名数据=私钥签名(Hash(上传文件的内容))
提交到服务器的数据=原始文件数据+签名数据+用户数字证书
243签名认证服务器及认证的业务流程
如图2所示,签名认证服务器位于防火墙之后,与EJB服务器配合使用,并与证书数
据库相连接,其认证的业务流程如下图所示:
图10签名认证服务器的认证业务流程
签名认证服务器主要完成以下功能:
(1)接收EJB服务器提交的认证请求数据;
(2)从认证请求数据中获取数据、数据签名和用户数字证书,根据配置的CA根证
书,校验用户证书是否由本CA签发,是否在有效期范围之内;
(3)查询证书数据库中相应证书的状态,检查用户证书是否被作废;
(4)用用户证书校验数据签名;
(5)验证通过的数据、数据签名及相应的签名证书序列号交由EJB服务器入*****
系统业务数据库存储;
系统业务数据库的每一条记录应当增加数字签名和签名证书序列号两个字段。
各个数据项
数据签名
签名证书的序列号
2.4.4基于WEB的签名验证管理系统
基于WEB的签名验证管理系统提供WEB方式的历史数据查询和签名校验功能,其业
务流程如下:
(1)查询历史数据和签名;
(2)根据签名证书序列号在证书数据库中查找用户证书;
(3)使用用户证书校验签名;
证书数据库中必须保存用户的所有历史证书数据,以便对历史签名数据进行校验。
2.5数据加密传输通道(SSL)
目前,*****系统采用的是普通的HTTP传输通道和明文数据传送。
通过在WEB应用服务器(WebLogic)上配置服务器证书和私钥,可以实现基于SSL的HTTPS传输通道,保证其中传送的数据的安全性。
以下几点说明:
(1)与HTTP方式相比HTTPS速度相对较慢;
(2)服务器证书的CN(CommonName)必须与站点名称一致;
(3)
单向SSL,只对服务器证书进行验证,可配置双向SSL,要求对服务端证书和客户端的用户证书都进行验证。
ServerPrivateKeyPassphrase:
Change.-.
ServerCertificatEFileName:
匝而而~
厂ClientCertfficateEnforced
血?
rClientCertificateRequestedButNetEnforced血?
ExportKeyLifespan:
:
丽-
血?
卩HostnameVerificationIgnored
也?
HostnameVerifier:
FarCompatibilityOnly
齟?
ServerKeyFileName:
柯“呵旳
血7TrustedCAFileName;丽趾小“me
图11在WebLogic控制台中配置SSL服务
3.成功案例
中科院数字图书馆()CA数字证书受理与认证系统
中国银行江苏分行网上外汇交易认证(http:
//202.102.32.19)
赛迪网安全电子邮局()CA数字证书受理与认证系统
武警部队哨位监控系统CA数字证书受理与认证
武警森林部队OA系统CA数字证书受理与认证
基于中国电信CTCA的数字证书受理系统和认证系统:
中国电信安全公务平台()
江苏电信RA数字证书受理系统(http:
//202.102.32.3)
陕西省电信RA数字证书受理系统(http:
//202.100.43.106)
贵州省电信OA系统认证
安徽省电信OA系统认证
新疆电信协同办公系统认证
湖北省电信VPN移动办公认证
中国电信集团公司市场部服务监督系统认证
中国电信集团公司综合部电信信息系统认证
中国电信集团公司财务部信息系统认证
中国电信集团公司法律部信息系统认证
中国电信集团公司监管事务部信息系统认证
4.设备软件汇总及报价
4.1基本设备及软件
设备及软件
配置
用途
数量
PCServer
XEON2.4GCPU,
证书受理服务器、
2
2G内存
签名认证服务器
Windows2000Server
2
WebLogic
WEB应用服务器
2
Sybase或Oracle
证书数据库
1
4.2CA系统设备及软件
根据所选CA类型(自建或第三方)不同,系统略有差别,以下为二选
4.2.1自建CA系统设备及软件
设备及软件
配置
用途
数量
证书管理系统
软件
基于WEB的证书管理
1
RA服务器
软件
用户证书申请/作废等请求的提交
1
CA服务器
软件
数字证书签发和密钥管理
1
加密机(可选)
SJY-05型,硬件
高质量密钥对的产生
1
422基于第三方CA的数字证书受理系统设备及软件
设备及软件
配置
用途
数量
证书管理系统
软件
基于WEB的证书管理
1
行业服务器
软件
行业数据库中用户证书申请
等请求的提交
/作废
1
网上受理服务器
软件
RA前置,协议格式转换
1
4.3数字签名认证系统设备及软件
设备及软件
配置
用途
数量
客户端浏览器签名控件
软件
表单数据和文件数据的签名
每个客户端
签名认证服务器
软件
数字证书的校验和数据签名的验证
1
签名验证管理系统
软件
基于WEB的数据查询和签名验证
1
4.4USB智能卡类型
型号
EEPROM容量
特征
EK-PKXC-16
16K
支持DES、3DES、SHA-1、RSA、ECC算法
EK-PKXC-32
32K
支持PKCS#11和CSP标准
EK-PKXC-64
64K
备注:
上述均为eKey-PK(公钥版)系列USB智能卡。
5•附录
《CA与数字签名认证系统报价》
图5自建CA的证书受理业务流程
上述流程中的相关步骤说明如下:
(1)步骤1至3,可以根据实际情况由管理员一次录入资料并自动审核;对于
系统而言,可以从系统的数据库中按要求格式导出用户数据文件,再批量导入证书申请数据库中,同时自动审核;
(2)步骤8至9,可根据实际情况由用户或管理员完成下载操作。
自建CA系统在对外提供电子认证服务时,需要通过国家密码管理局、国务院信息
升级会员 