PKICA认证中心建设方案
背景
为了全面实施网络信息安全项目,根据用户的基本需求,需要在整个项目里增加建设认证中心系统.
由于系统的主要目的是保证信息的浏览安全性和信息查看的级别,采用传统的安全保密措施已经无法完成要求,所以在系统的建设上将采用国际通用和比较完善的PKI体系,将认证中心和SSL系统集成到业务系统中,从而最大限度的保障系统信息传输和存取权限的控制.
认证中心的主要目的是对有安全需要的并采用PKI安全体系的用户进行身份认证.我们知道,采用PKI安全体系的用户都会有一对公钥密钥对,别人用该用户的公钥加密信息,该用户用自己的私钥解密信息;用户用自己的私钥签名信息,别人用该用户的公钥验证签名.如何在公网上安全的得到对方的公钥,成为一个特别关键的问题.
为了保证用户公钥不被冒充,最好将用户的身份信息和其公钥捆绑在一起.认证中心将完成该工作.认证中心是一个可以信赖的第三方机构,即秘密通信的双方都信赖的一个组织,每个用户都将自己的身份信息和公钥信息提交该中心,由该中心负责对用户身份信息和公钥信息进行审核,审核通过,认证中心将签发一份证书给用户.用户证书中包含了如下信息:证书标准信息,签发者身份信息,证书拥有者身份信息,用户公钥信息,证书的有效期,其他附加信息,认证中心对以上信息的签名.由于认证中心的私钥是绝对保密的,那末没有谁可以对同样的信息用自己的私钥得出同样的签名.即签名是不可伪造的.又由于认证中心的公钥是以自签名证书的形式通过安全渠道提供给用户的,用户就可以对某个用户的证书用认证中心的自签名证书进行验证.验证签名通过后,就可以断定该证书中的公钥确实是证书中标识的用户拥有.因为在证书中有用户身份信息,并且证书中可以加入用户权限的私有扩展,则利用证书实现可身份识别和权限控制的功能.
鉴于应用系统中主要是解决信息库中信息的权限浏览,使用证书和SSL安全通道是比较好的解决方案.
认证中心的基本功能
认证中心主要完成中心密钥管理,用户证书的申请审核,证书的发放,证书的注销,证书的发布,黑名单的制作和发布,密钥托管,密钥恢复等,为用户提供一系列的安全认证服务.其功能列举如下:
中心密钥管理
由于认证中心负责为用户签发数字证书,其根密钥的安全性是非常重要的.如果根密钥失密,将危机到整个认证中心和数字证书用户的安全.所以认证中心的密钥管理主要完成根密钥的管理,也包括认证中心其他密钥的安全性保护.一般认证中心的根密钥的强度要求非常高,由硬件产生和管理,保证外界绝对不能窃取.
认证中心的密钥管理还包括密钥的更新和恢复.
证书请求的审核
用户要向证书中心申请数字证书,必需提交证书申请,一般包括用户的身份信息,公钥信息和身份证明.认证中心根据用户身份信息决定是否向该用户发放证书.这是由认证中心的政策决定的.只有用户身份信息得到确认,才能向用户签发证书,由于审核失误造成用户的损失,认证中心要承担责任.
证书的签发和发布
用户证书的签发一般根据证书的级别和类型采用再线和离线或实时与非实时方式发放.证书中应填写哪些项目,要由认证中心的证书发放政策决定.如证书有效期,证书密钥用途等.证书发布可以由认证中心直接发放给用户(通过电子邮件或HTTP网络),也可以统一向网上的证书发布系统(如目录服务器)发布,用户通过查询它,下载自己的证书.
有效证书的注销
在用户证书使用过程中,可能会发生在证书有效期内用户身份更改或密钥失密或丢失的情况,这样有可能被冒充的人利用,导致用户的损失.为此,在用户证书有效期内的证书在这种情况下必须向认证中心要求注销证书.注销的证书将列入黑名单(CRL),验证用户证书时,除了验证证书本身的有效性(是否接受签发证书的认证中心,签名正确性,是否在有效期内,密钥用途是否与应用相符)外,还应检查用户证书是否在黑名单内.
在黑名单内的证书也是无效的.
黑名单的制作和发布
认证中心除了发放用户证书外,还负责黑名单的维护和发布.黑名单是该认证中心签发的并注销的证书的列表,它也经过认证中心签名,用户可以验证.一般黑名单定期制作和发布.黑名单内不包括过期证书,它的发布一般也是通过目录服务器.用户可以通过黑名单发布点下载并在具体业务应用中应用.
密钥托管
一般情况下,用户自己产生密钥对,私钥自己保管,公钥交由认证中心认证,得到数字证书.有些情况下,如国家政策等,用户使用的密钥由统一的密钥管理中心(专门机构或认证中心)产生和保管,用户只有使用权.
密钥恢复
由于用户的保密信息是由密钥加密保存的,当证书过期后,需要更换新的密钥,这样,原来用旧密钥加密保存的信息就无法解密,一方面用户可以有自己的密钥管理来解决该问题,也可以由认证中心来解决,用户的密钥要经认证中心托管处理.
认证中心的拓扑结构
在为小范围内用户签发证书的体系下,认证中心一般规模比较小.用户证书申请和发放在一个地方.如果用户地理分布比较分散,用户数量巨大,认证中心的建设就会非常复杂.以下图示两种拓扑结构:
小规模
在该结构中,请求录入审核中心负责证书申请用户的身份信息和用户持有公钥信息录入和身份信息审核以及用户证书的发放和更新,用户信息和生成的用户数字证书保存在数据库中,证书管理中心负责发放证书和制作黑名单,安全服务器负责密钥产生和加解密签名验证签名等安全运算.
大规模
如果用户数量巨大且分布分散,在一个地方发放用户证书是不适合的.一般大型认证中心的建设采用认证中心CA端和用户证书申请登记中心RA端的方式,见下图:
CA端
RA端
数据流包括CA端和RA端之间的数据流,CA端的内部数据流,RA端内部的数据流,CA端和密钥备份托管机之间的数据流.
RA端数据处理
RA端证书申请:
通过录入终端接受用户的证书申请表格和有效证明(证书申请中除了用户的基本信息外,还要有用户填写的注销证书密码),由录入员通过录入界面将用户信息输入证书申请库.
由审核员通过审核界面对证书申请库中由录入员输入的用户信息 .
审核员提交有效证书申请数据,经专用网络加密提交CA端管理中心.
RA端证书密钥下载:
由制卡员通过管理界面向CA端申请下载用户的证书和密钥,如果CA端已经制作完毕,则接收CA端的下载数据包,将用户的证书和密钥写入IC卡或磁盘.并打印用户证书发放通知单.
通知用户来领取IC卡或磁盘及通知单(列明证书的序列号和注销密码).
RA端证书注销申请:
由注销员通过管理界面输入用户的名称和注销密码及用户基本信息,查询是否有用户的登记信息,如果确实申请并取走证书,则向CA端提交注销证书申请.
RA端证书查询(用户密钥和证书恢复):
由制卡员通过管理界面输入用户的名称和用户基本信息,查询是否有用户的登记信息并确实申请得到了有效证书,则向CA端提交申请下载用户的证书和密钥,如果CA端存在用户的密钥和证书,则接收CA端的下载数据包,将用户的证书和密钥写入IC卡或磁盘.并打印用户证书恢复通知单.
RA端CRL下载申请:
由制卡员通过管理界面向CA端提交下载CRL申请,并将CRL写入本地.可以以各种方式发放给用户.
CA端数据处理
CA端接收证书申请:
位于CA端的管理中心接收守候服务进程接收来自RA端的证书申请,并将申请数据按照等级分别写入自动证书申请缓冲数据库和手工证书申请缓冲数据库.
CA端密钥生成(自动和手动):
由CA负责产生用户密钥,定时密钥备份.
位于CA端的管理中心密钥生成服务进程定时探测密钥数据库,自动产生密钥添加到密钥库中.一般密钥数据库中总保持一定量的密钥对.
系统也应提供手工产生密钥的功能.
CA端用户证书生成(自动和手动):
位于CA端的管理中心证书生成服务进程检查申请数据库中的有效证书申请,按照标志:
需要自动生成的证书申请,则一方面从密钥数据库中取出一对密钥并加上用户的申请数据,制作证书,添加到证书数据库中.
需要手工生成的证书申请,则通过手工生成证书界面,一方面从密钥数据库中取出一对密钥并加上用户的申请数据,制作证书,添加到证书数据库中.
CA端证书向目录服务器发布(自动和手动):
自动方式:位于CA端的管理中心证书发布服务进程检查证书数据库,将未发布的证书向目录服务器发布.
手动方式:通过管理界面,检查证书数据库,将未发布的证书向目录服务器发布.
CA端证书注销处理(自动或手动):
位于CA端的管理中心接收守候服务进程接收来自RA端的证书注销申请,按照证书序列号查询证书数据库,如果用户信息正确,则注销证书.并将注销证书从证书库中移到注销证书库中.
CA端证书密钥下载处理:
位于CA端的管理中心接收守候服务进程接收来自RA端的证书密钥下载申请,查询数据库,如果有合法的用户数据,则构造下载数据包,向RA发送.
CA端CRL下载处理:
位于CA端的管理中心接收守侯服务进程接收来自RA端的CRL下载申请,查询数据库,如果有最新CRL,则构造下载数据包,向RA发送.
CA端CRL生成处理(手动和自动):
位于CA端的管理中心CRL生成服务进程定时(可以手动)根据注销证书库中证书去除过期证书,构造CRL,并存放在CRL库中.
CRL向目录服务器发布(自动或手动):
位于CA端的管理中心CRL发布服务进程定时或手动向目录服务器发布.
BROWSER/WEB SERVER 系统
由于CA的根证书,用户的证书和CRL可以通过目录服务器发布,所以也提供基于浏览器的证书查询下载和黑名单下载.
CA端的管理
系统管理
操作员管理.
系统参数设置.
RA参数设置.
CA参数设置.
数据库设置.
报表管理
查询证书
打印证书
证书统计
目录服务器管理
连接目录服务器
发布CA根证书
证书目录服务器发布
黑名单目录服务器发布
密钥和证书管理
生成CA的根密钥.
生成CA的根证书.
CA的根证书输出.
生成CA的加密密钥.
生成CA的加密用证书.
RA管理
生成RA的密钥和证书.
RA的密钥和证书输出
字典管理
审计管理
帮助
RA端的管理
系统管理
操作人员管理
RA参数设置
数据库管理
报表管理
密钥和证书管理
安装RA密钥和加密用证书
安装CA根证书
审计管理
通信协议设计
为了RA和CA之间进行安全数据通信,一般采用加密.所以CA端要生成加密用证书,RA要生成加密用证书.
RA和CA之间进行安全通信的数据结构是经过DER编码的.
七,硬件加密设备的应用
为了提高公钥运算速度和密钥安全性,在CA系统中我们对公钥运算采用硬件实现,使用山东大学网络信息安全研究所研制的SJY02/03/05
系列硬件设备,其中SJY02/03 是加密卡,它们可以插入具有ISA总线插槽的PC机中,操作系统支持WIN95/98/NT/SCO
UNIX等流行的操作系统,应用系统通过API调用安全服务.
安全
服务器
证书管理
中心
请求录入审核发放中心
数据库服务器
密钥备份托管
管理中心
服务器
数据库服务器 中心
安全
服务器
WWW
服务器
目录
服务器
路由器
INTERNET
专用网络或公网
用户端通用浏览器
路由器
注销
终端
审核
终端
录入
终端
管理中心和
数据库服务器
制卡设备
制卡
终端
|
网格工场