證書認證系統(tǒng)設計與實現(xiàn).pdf

1、隨著信息安全技術(shù)和公鑰基礎設施的飛速發(fā)展，以及各級證書認證系統(tǒng)的建設和推廣，亟需發(fā)展可靠的、滿足多種應用的證書認證系統(tǒng)方案。CA系統(tǒng)不能滿足各種安全應用的局限性也越來越受到人們的重視。 國內(nèi)CA發(fā)展現(xiàn)狀和中國電子認證服務業(yè)的法律法規(guī)，也對證書認證系統(tǒng)提出了更高要求。CA市場的規(guī)范化、淘汰制、重組機制也迫切要求建立一個功能完善、技術(shù)先進、安全可靠、服務領先的證書認證系統(tǒng)。 本論文的證書認證系統(tǒng)體系結(jié)構(gòu)包含四個重要的實體：密

2、鑰管理中心子系統(tǒng)、CA中心子系統(tǒng)、RA中心子系統(tǒng)、OCSP/LDAP證書發(fā)布子系統(tǒng)。該證書認證系統(tǒng)提供對數(shù)字證書全生命周期的過程管理，包括用戶注冊管理、證書/證書注銷列表的生成與簽發(fā)、證書/證書注銷列表的存儲與發(fā)布、證書狀態(tài)的查詢、密鑰的生成與管理、過程安全審計等。 本論文在證書認證系統(tǒng)的設計上，采用自上而下的方法進行描述。先從網(wǎng)絡拓撲和邏輯架構(gòu)兩方面設計系統(tǒng)總體架構(gòu)；然后分析了KMC子系統(tǒng)、CA子系統(tǒng)、RA子系統(tǒng)、OCSP/L

3、DAP子系統(tǒng)的程序組成和模塊組成；最后討論和設計了證書模板機制。 本論文在證書認證系統(tǒng)的實現(xiàn)上，采用抓主要矛盾的方法進行描述。先從總體業(yè)務流程和證書申請流程兩方面介紹業(yè)務流程實現(xiàn)；然后詳細描述系統(tǒng)業(yè)務關(guān)鍵點實現(xiàn)，包括證書認證系統(tǒng)報文、RA/CA業(yè)務報文元素分析、證書管理類報文實現(xiàn)、證書申請類報文實現(xiàn)等；最后對證書模板機制、統(tǒng)一接口、系統(tǒng)安全性設計進行實現(xiàn)性描述。 與傳統(tǒng)的證書認證系統(tǒng)相比，具有以下創(chuàng)新性：（1）建立一個功

4、能完善、技術(shù)先進、安全可靠、服務領先的PKI架構(gòu)，支持RCA—CA—SCA—RA—LRA層次結(jié)構(gòu)。（2）建設完整的雙證書（加密證書和簽名證書）模式，兼容單證書模式。（3）可靈活裁減的層次化結(jié)構(gòu)，可根據(jù)應用系統(tǒng)的需求靈活組合各個子系統(tǒng)，從而構(gòu)建滿足不同應用的證書認證系統(tǒng)。（4）支持強大的證書模板申請機制、更好面對復雜的證書應用。（5）系統(tǒng)具有開放性，能二次開發(fā)，能夠適應內(nèi)外部環(huán)境的變化。 證書認證系統(tǒng)為各行各業(yè)提供基礎性服務，已在

5、電子政務領域、電子商務領域廣泛使用。目前證書認證系統(tǒng)同授權(quán)管理系統(tǒng)（PMI）、單點登錄系統(tǒng)、統(tǒng)一用戶管理系統(tǒng)的集成應用成為行業(yè)熱點；證書認證系統(tǒng)對國家標準的ECC密碼算法的應用支持也將成為行業(yè)的另一看點，也對證書認證系統(tǒng)提出更高的要求。 本文的意義在于，針對證書認證系統(tǒng)，提出了一套完整的實現(xiàn)方法，有較強的實用價值，可為各級證書認證系統(tǒng)的實際建設提供一種方案。本文的模板機制也可用在授權(quán)管理系統(tǒng)的屬性證書的簽發(fā)；本文的設計方法和分析