CA数字身份认证系统名词解释综述Word文件下载.docx
- 文档编号:15344666
- 上传时间:2022-10-29
- 格式:DOCX
- 页数:15
- 大小:388.43KB
CA数字身份认证系统名词解释综述Word文件下载.docx
《CA数字身份认证系统名词解释综述Word文件下载.docx》由会员分享,可在线阅读,更多相关《CA数字身份认证系统名词解释综述Word文件下载.docx(15页珍藏版)》请在冰豆网上搜索。
。
基于上述现状,******系统需要解决数据的签名问题和法律效力问题,从而提高*****的便捷性和管理效率。
鉴于数字证书、数字签名的广泛应用和相关法律的保障,****单位规划建设CA及数字签名认证系统,主要需求如下:
(1)建设CA系统或采用第三方CA,为****用户申请数字证书;
(2)在现有*****系统中加入对数据的签名功能,存储数据签名并提供对签名的认证功能;
需求分析
为了解决网上用户的身份证明问题,需要为用户颁发数字证书。
数字证书由CA中心签发,目前在实际应用中主要存在两种类型的CA:
(1)独立的第三方CA
跨区域的CA,如:
中国电信的CTCA、中国人民银行的CFCA;
地域性的CA,如:
广东电子商务认证中心CNCA、上海电子商务认证中心SHECA,以及其他各省电子商务认证中心;
(2)各类应用系统自己建设的CA
如:
招商银行、建设银行等建设的用于服务各自网上银行的CA;
海关、税务等建设的服务各自网上报税系统的CA;
这两种类型的CA在实际使用过程中各有优劣,以下将进行分析和比较:
CA建设与使用的分析
◆采用独立权威的第三方CA与自建CA的比较
独立权威的第三方CA
自建CA
建设/使用成本
一般由第三方CA按用户收取年费,建设投入和证书使用成本较高
一次投入建设成本,建成后可为用户免费发放证书,成本较低
证书的有效性检查
由第三方CA提供的CRL(证书撤销列表,实效性较差)或者OCSP(在线证书状态查询,依赖于外部系统,易形成性能瓶颈)
与业务系统紧密结合,对证书有效性的控制和检查实时准确
定制化/灵活性
按第三方规定的流程申请证书,受制于第三方的系统,还需要将用户证书导入业务系统中,灵活性较差
可以与业务系统紧密结合,满足业务系统的定制化需求,灵活性高
故障响应时间
故障解决依赖于第三方
故障响应及时
认证资质
已通过相关单位审批,有电子认证服务资质,权威性强
建成后,对外提供电子认证服务时需要通过相关单位的审批
备注:
成本比较
权威的第三方CA的使用成本:
10元/年/用户×
10万用户=100万元/年
自建CA的系统建设成本<
100万元,并且只是一次性的投入
综合比较而言,自建CA优于采用第三方CA,因此推荐自建CA。
证书存储方式的分析
◆使用普通文件存储方式与USB智能卡存储方式的比较
普通文件
USB智能卡
成本
磁盘成本较低,优盘成本较高
USB智能卡成本适中
安全性
私钥可以复制,易泄密
私钥被固化在USB智能卡中,无法复制,安全性高
方便性
使用磁盘或优盘等方式携带,使用时需要用户选择证书和私钥
携带方便,但需要安装USB智能卡驱动,使用时可自动读取用户证书
USB智能卡自带CPU,内置芯片操作系统(COS);
采用USB接口,易于使用和携带;
支持RSA非对称算法和DES、3DES等对称算法;
支持RSA公司的PKCS#11标准和微软的CSP标准;
支持Windows98/NT/2000/XP/2003等操作系统。
USB智能卡可支持国密算法SSF33,并通过国家密码管理委员会的检测。
图1USB智能卡
签名数据类型的分析
*****系统需要进行电子签名并存储的数据主要有以下三类:
◆上报表单的数据签名
用户在网上填写的各类表单需要由用户的私钥进行电子签名;
◆上报数据文件的数据签名
用户上传的数据文件,其内容需要由用户的私钥进行电子签名;
◆下载数据文件的数据签名
用户通过****系统生成并下载的确认数据文件(如:
PDF格式),其内容需要由用户的私钥进行电子签名并回传至系统存储。
2.技术方案
系统总体架构
系统的总体架构如下图所示,主要由:
****业务系统、CA数字证书受理系统、数字签名认证系统三大部分组成。
图2系统总体架构
系统数据库
系统中包含两个数据库(Sybase):
业务数据库和证书数据库,其中证书数据库需要新建,业务数据库需要更新,以满足数字签名认证的需求。
(1)证书数据库主要包括以下数据:
用户数据:
用于用户数字证书的申请,可以由业务数据库批量导入;
证书数据:
用户证书及证书信息、证书状态;
用户与证书的关联数据:
用户信息与用户证书的对应关系;
(2)业务数据库主要包括以下数据:
用户数据:
用户的用户信息;
业务数据及签名数据:
业务的各项数据,需要增加相应的签名字段和签名证书的序列号字段;
CA数字证书受理系统
数字证书及其格式
数字证书是一种数字标识,如同我们的身份证一样,是网络上的身份证明,它是由证书授权机构(CA)签名颁发的数字文件,该签名使得第三者不能伪造和篡改证书。
ITU-T的X..509国际标准定义了数字证书的格式,目前X.509v3数字证书的主要内容,如图2所示,主要包括证书的版本号、证书的序列号、证书的有效起止日期、证书颁发者的名字和唯一标识符、证书持有者的名字和唯一标识符、证书持有者的公钥、证书扩展项以及证书颁发者的签名。
其中,证书扩展项可以根据证书的不同应用而由证书的颁发者具体定义,因而具有较强的通用性和灵活性。
由于数字证书是由相对权威的授权机构审核颁发的,因此,一方面可以用来向系统或者系统的其他实体证明自己的身份;
另一方面,由于证书携带着其持有者的公钥,也起着公钥分发的作用。
图3X.509v3数字证书的主要格式
基于****单位的现状与需求分析,建议建设自己的业务系统CA,节约总体成本投入,满足业务系统对CA认证的可靠性、灵活性、快捷性以及用户使用的方便性等方面的需求。
另外,也可以采用基于权威第三方的CA数字证书受理系统。
自建CA数字证书受理系统
图4独立建设的CA数字证书受理系统
自建CA数字证书受理系统主要由WEB应用服务器、数据库、RA服务器、CA服务器组成,采用B/S(浏览器/服务器)架构实现基于WEB的数字证书申请、审核、下载制作、更新和作废等功能。
自建CA各组成部分及其功能
✧基于WEB的证书管理系统
为用户和管理员提供WEB管理界面,完成用户证书申请信息的提交、查询、审核;
已生成的数字证书的下载和制作(存储到指定介质);
证书状态的查询和管理(证书更新、证书作废);
私钥密码的修改等功能。
✧证书数据库
存储用户信息、证书信息以及二者的关联信息,保存用户的所有历史证书数据,以备校验历史签名数据。
✧注册授权服务器(RA)
负责定期从数据库中提取已审核通过的证书申请/更新/作废信息,按既定格式打包提交到CA服务器,并接收和记录返回的结果。
✧证书签发服务器(CA)
负责密钥对(公私钥对)的产生,可采用软件方式或硬件方式(加密机);
接收RA服务器的请求,签发/更新/作废用户证书;
定期签发CRL(证书撤销列表)。
(1)CA服务器采用软件方式产生密钥对可节约系统成本;
采用硬件方式产生密钥对,则需要购置加密机(国密局认证的密码设备,得安SJY05型加密机),产生的密钥对质量高,也有利于自建的CA完成相关认证和获取资质。
(2)RA服务器和CA服务器均为软件方式的应用程序,可共用一台主机。
自建CA的主要功能和技术特点
自建CA总体上具有建设成本低、易于部署;
流程简捷高效、易于管理;
系统可定制,易于与具体业务系统相结合等特点。
系统的主要功能如下:
Ø
自定义根CA:
系统初始化时,自定义根CA证书。
CA策略管理:
支持对密钥长度、证书有效期、私钥备份等策略的管理。
证书申请信息注册:
通过WEB方式提交证书申请信息,支持个人证书、企业证书、服务器证书等,支持批量证书申请。
证书申请信息审核:
管理员通过WEB方式查询并审核用户的证书申请信息,可设置自动审核。
密钥产生和证书签发:
CA服务器支持软件方式和硬件方式(加密机或加密卡)产生密钥对,并签发证书请求,生成证书。
证书查询和下载制作:
通过WEB方式查询证书申请状态、证书状态,下载已经生成的证书,并通过WEB方式灌制到指定的存储介质。
证书作废和CRL签发:
通过WEB方式提交证书作废请求,定时签发CRL。
证书更新:
即将到期的用户证书可以通过WEB方式进行在线更新。
证书导出:
可以通过WEB方式将指定范围的用户证书按标准格式(BASE64编码)导出到文件中。
系统审计:
对证书相关的各项操作,提供详尽的系统审计功能。
系统的主要技术和功能特点:
数字证书格式遵循X.509v3国际标准
密钥长度可支持512、1024、2048位
密钥生成方式支持软件产生和硬件(加密机或加密卡)产生
支持CA策略定制(密钥长度、证书有效期、私钥备份等策略)
支持多种证书类型:
个人、企业、服务器证书等
支持多种存储介质:
磁盘、U盘、IC卡、USB智能卡(eKey)
支持证书的批量申请,支持证书申请的手工审核和自动审核
支持证书作废和证书撤销列表(CRL),支持证书更新
自建CA的证书受理业务流程
图5自建CA的证书受理业务流程
上述流程中的相关步骤说明如下:
(1)步骤1至3,可以根据实际情况由管理员一次录入资料并自动审核;
对于*****系统而言,可以从系统的数据库中按要求格式导出用户数据文件,再批量导入证书申请数据库中,同时自动审核;
(2)步骤8至9,可根据实际情况由用户或管理员完成下载操作。
自建CA系统在对外提供电子认证服务时,需要通过国家密码管理局、国务院信息产业主管部门的审查并获取电子认证许可证。
自建CA切换到第三方CA的可行性分析
自建CA在结构上具有良好的兼容性,通过RA服务器可以屏蔽不同CA中心所带来的接口问题。
当整个CA系统需要切换到第三方CA时,只需更改RA服务器,按第三方CA系统的接口格式,将证书申请数据打包提交到第三方CA系统即可实现证书的申请,原有的基于WEB的证书管理系统将仍然有效。
基于第三方(CTCA)的数字证书受理系统
目前,国内拥有CTCA、CFCA等大型CA运营系统,它们通过了相关部门的审批,具有相关资质,是对外提供电子认证服务的权威、公正的第三方CA系统。
如果采用第三方CA系统,则需要完成以下工作:
(1)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CA 数字 身份 认证 系统 名词解释 综述
![提示](https://static.bdocx.com/images/bang_tan.gif)