发布时间 : 星期三 文章CA认证系统设计更新完毕开始阅读ba5bdfed4afe04a1b071de1d
1.6 证书应用开发接口(API)
为了实现基于数字证书的安全应用集成,提供了完整的证书应用开发接口(API),提供C、JAVA和COM等多种接口,包括: ?
个人信任代理(PTA)
个人信任代理(PTA)是客户端的软件包,既包括安装在客户端的文件加密/解密程序,也包括用于数字签名和签名验证的ActiveX控件。文件加/解密模块可以产生随机数密钥对文件进行加密,以及使用输入的密钥对文件进行解密;ActiveX控件由用户访问相关网页时下载到客户端浏览器中,实现使用本地的证书(私钥)对文件进行数字签名,以及对签名进行验证。 ?
证书解析模块(CPM)
证书解析模块是一系列平台下的动态链接库,用于解析DER或PEM编码的X.509数字证书,将证书中的信息,包括用户信息、证书有效期、证书公钥等信息分解为字符串。 ?
数据签名验证模块(SVM)
数据签名及验证模块是一系列平台下的动态链接库或插件,可以应用于客户端和服务器端,实现对传输数据的数字签名,和对数字签名及其证书进行验证。证书的验证可使用CRL或OCSP来进行有效性验证。
1.7 系统工作流程设计
(1)证书发放流程
本方案设计的用户CA认证系统的证书发放采用集中发证的方式,即由管理员集中申请好证书,保存在USB KEY中,发放给用户使用。其工作流程如下图所示:
图4 证书发放流程图
(a)管理员使用浏览器,访问用户CA认证系统,进入证书申请页面,替最终用户填写证书申请信息,向用户CA认证系统提交证书申请请求。在本地(本地的USB KEY上)产生证书的公私钥对,并将公钥和用户信息一起作为证书申请请求,提交给CA认证系统;
(b)CA认证系统根据管理员提交的证书申请请求,批准并签发用户证书,将用户证书发布到数据库中。同时,将用户证书返回到管理员端,保存到USB KEY中;
(c)管理员将申请好证书的USB KEY发放给最终用户。
(2)证书吊销流程
在用户证书的私钥受到威胁、或者用户私钥丢失时,需要吊销用户的证书,根据用户信息系统的应用情况,本方案设计证书吊销由管理员进行,其工作流程如下:
(a)管理员在发现用户违反使用规定,或者用户自己向管理员发送邮件,请求吊销自己的
证书时,管理员访问CA认证系统管理员模块,进行用户证书吊销用户;
(b)管理员通过证书管理功能页面,查询到需要吊销的用户证书;
(c)管理员选择吊销操作,选择吊销用户证书的原因,向CA认证系统发送证书吊销请求;
(d)CA认证系统根据管理员的证书吊销请求,自动的吊销用户的证书,并将吊销的用户证书发布到证书吊销列表中,同时对数据库中保存的用户证书的最新状态进行更新;
(e)CA认证系统给管理员返回证书吊销成功信息,同时给用户发送电子邮件,告诉用户证书已经被吊销,不能再使用自己的证书。
(3)证书更新流程
最终用户在其证书即将过期之前,需要访问CA认证系统,更新自己的证书,其流程为:
(a)最终用户在证书即将过期前(一般为一个月),访问用户CA认证系统,登录用户服务页面,点击“证书更新”选项;
(b)系统自动识别用户是否具有用户CA认证系统颁发的数字证书,并且判断是否过期,如果即将过期,便提示进行更新;
(c)用户选择需要更新的证书,点击提交,向CA认证系统提交证书更新请求。在提交证书更新请求时,在USB KEY中,重新产生更新证书的公私钥对,将公钥和即将过期的证书一起,作为证书更新请求,提交给CA认证系统;
(d)CA认证系统自动批准证书更新请求,自动更新用户证书,将更新的证书发布到目录服务器,同时将更新证书返回到用户端,自动保存到USB KEY中。
1.8 系统性能和特点分析
采用iTrusCA系统建设的用户CA认证系统拥有下列性能和特点:
(1)符合国际和行业标准
系统在设计中遵循了相应的国际和工业标准,包括X.509标准、PKCS系列标准、IETF的PKIX工作组制定的PKI相关RFC标准,以及HTTP、SSL、LDAP等互联网通讯协议等。严格遵循这些标准,使得系统具有很好的开放性,能够与各种应用结合,成为真正的安全基础设施。
(2)证书类型多样性及灵活配置
系统能够提供各种证书的签发功能,本方案设计的CA认证系统能够签发个人身份证书。将来根据用户的需要,可以进行扩展,通过灵活配置可以签发企业证书、服务器证书、代码签名证书和VPN证书等。
(3)灵活的认证体系配置
系统采用“认证体系设计”一节设计的CA认证体系,采用树状结构,支持多级CA,支持交叉认证。
(4)注册机关(RA)建设方式多样化
本方案设计的CA认证系统采用一个RA的配置,根据用户的要求,将来可以配置多个RA和多级RA,RA界面风格可定制。
(5)高安全性和可靠性
使用高强度密码保护密钥,支持加密机、智能卡、USB KEY等硬件设备,用户关键信息
散列保存,以防遗失。
(6)高扩展性
根据客户需要,对系统进行配置和扩展,能够发放各种类型的证书;系统支持多级CA,支持交叉CA;系统支持多级RA。
(7)易于部署与使用
系统所有用户、管理员界面都是B/S模式,CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行,并具有详细的操作说明。
(8)高兼容性
支持Windows、Linux、Solaris等多种操作系统;
支持多种加密设备
支持多种数据库
支持多种证书存储介质:硬盘、USB KEY和智能卡等