1、1.1 CA 认证系统1.1.1引入 CA 认证系统的必要性对于电子政务的交易安全而言,其基本要求为:1)信息保密性(Confidentiality):即通过密码学的方式加密,所传递的信息以防止窃取;2)信息真实性和完整性(Authenticity and integrity):即通过数字签章(Digital signature)的方式,用 Hash 方式保证信息不会被改变和假冒;3)不可否认性(Non-repudiation ):即身份认证,通过可信任的 CA 中心发放的 CA 证书来证明使用的身份。安全传递和存储信息应用权限控制其中最为关键的就是建立基于证书的认证体系,或者使用可信的 CA
2、 认证中心发放的CA 证书。1.1.2 CA 认证系统结构CA 认证系统结构客户端/浏览器 WEB服务器CA注册认证中心申请、发放、注销、恢复证书CA身份验证执行需进行认证的应用结构说明如下:采用第三方认证机构建立 CA 认证中心和 RA(证书注册中心) ,实现 CA 证书的注册、验证、管理功能;通过专线连接 CA 认证中心,在需要安装进行 CA 证书验证的应用服务器上安装接口程序,实现对 CA 证书的验证功能。当用户进行需进行 CA 认证的应用操作时 WEB SERVER 服务器自动使用 CA 认证接口程序,完成对用户身份的验证。CA 认证中心是一负责发放和管理数字证书的权威机构。CA 的主
3、要功能是:接收注册请求、处理、批准、拒绝请求、颁发证书等。用户向 CA 提交代表自己身份的信息(如身份证号码或 Email 地址) , CA 验证了用户的有效身份之后,向用户颁发一个经过 CA 私有密钥签名的证书。对于一个大型的应用环境,认证中心往往采用一种多层次的分级结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。处在最高层的是认证根中心(Root CA)。1.1.2.1认证中心主要有以下几种功能:证书的颁发中心接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否
4、受理该数字证书申请。如果中心接受该数字证书申请,则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名以后,发送到目录服务器供用户下载和查询。为了保证消息的完整性,返回给用户的所有应答信息都要使用认证中心的签名。证书的更新认证中心可以定期更新所有用户的证书,或者根据用户的请求来更新用户的证书。证书的查询证书的查询可以分为两类,其一是证书申请的查询,认证中心根据用户的查询请求返回当前用户证书申请的处理过程;其二是用户证书的查询,这类查询由目录服务器来完成,目录服务器根据用户的请求返回适当的证书。证书的作废当用户的私钥由于泄密等原因,用户证书需要申请作废时,用户需要向认证中心提出证书作废
5、请求,认证中心根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过了有效期,认证中心自动将该证书作废。认证中心通过维护证书作废列表(CertificateRevocationList,CRL )来完成上述功能。证书的归档证书具有一定的有效期,证书过了有效期之后将被作废,但我们不能将作废的证书简单地丢弃,因为有时我们可能需要验证以前的某个交易过程中产生的数字签名,这时我们就需要查询作废的证书。基于此类考虑,认证中心具备管理作废证书和作废私钥的功能。1.1.2.2认证中心具有严格的认证操作规则1)组织规则独立的中间机构:认证中心是独立于交易双方的中间机构,CA 不能参加交易,也不
6、能与交易双方具有利益关系。发挥权威作用:认证中心必须以信誉为基础,获得公认的权威可靠性。严格的内部管理制度:保证操作安全和信息安全。2)操作规则操作要求:规定操作要求。安全控制规则:规定个人活动范围、处理的业务、期限和权限。密钥管理规则:规定密钥产生、传输管理的责任制度。审核规则:规定定期审核制度。3)信息控制规则认证声明:公开有关认证活动的责任、义务、操作及相关措施。信息公开制度:发布相关认证信息,例如证书生效、失效等公开信息。用户信息保护制度:保护认证中心、用户的机密信息。1.1.3 用户使用 CA 证书的操作流程1.1.3.1 证书申请、审核、下载流程证书申请提供两种方式:通过 CA 中
7、心的 WEB 站点在线填写,或到证书发放中心(RA)面对面申请。以面对面申请为例:证书申请者采用面对面的身份验证过程。证书申请到 RA 填写证书申请表单(表单内容需要在实施时具体确定) ,向 RA 的录入管理员提交一些个人信息证明。RA 录入员将用户信息录入到未审核数据库中,等待 RA 审核员的审核。RA 的审核员对申请人提交的信息进行审核,决定同意或拒绝客户的证书申请。如果审核通过,RA 的审核员使用 RA 应用程序在 CA 系统中注册该申请用户。CA 接到操作员的证书审核通过信息后为用户产生参考号和授权码。授权码可由 CA 经过 RA 服务器传至操作员的操作平台,操作员将其打印出来交给用户
8、,也可在 RA Server端打印密码信封,由 RA 负责发放。参考号将下传至 RA 服务器,由 RA 服务器通过电子邮件传给用户,参考号和授权码的发放方式可以互换。证书申请人回到家里,登录 CA 所在网站的下载界面。证书申请人通过浏览器下载安装 CA 的 WWW 服务器的证书。下载 CA 的根证书。证书申请人在下载页面中填入参考号和授权码。用户的客户端浏览器生成密钥对。浏览器将私钥保存在本地密钥库中,将公钥及所添入的两个号码打包成 pkcs#10 的格式送往 CA。CA 接到用户的证书下载请求,生成证书。用户下载证书,并安装到浏览器中。1.1.3.2证书更新流程用户证书具有一定的使用期限,当
9、用户过期后需要申请进行更新。具体流程如下:用户证书过期时,注册中心可以通过提供新的参考号码和授权码,更新用户的证书上。与前一节证书的初始下载过程相同,用户可以使用证书下载系统的相同统一资源定位码(URL) 。用户一旦获取上述信息,就可以直接进入上述 URL,填写注册站点提供的表格,输入参考号和授权码,然后回答浏览器提供的对话框。浏览器将生成密钥和证书请求,而且将自动跟证书下载系统执行交互,以便注册。证书下载系统将检测浏览器是 Netscape 还是 Microsoft 浏览器,并采用正确的 MIME 类型和过程执行注册。1.1.3.3证书废止流程证书废止或注销主要有两种形式:主动注销和被动注销
10、。主动注销是指由用户提出注销申请,由 RA 具有相关权限的管理员对其要求进行处理,注销证书;被动注销是指当管理员确认持证人有违反证书应用规定的行为发生时采取注销证书的手段以停止对该证书的证明。具体流程为:由证书持有者本人持有效证件到申请证书的 RA 提出证书注销请求。审核管理员对有效证件进行审核。审核通过后在 RA 服务器的数据库中根据客户信息进行查询。得到用户信息后提交到 CA 进行签字。CA 签发服务器将需注销证书的证书序列号写入证书注销列表。CA 将证书注销列表直接送到目录服务器供客户查询。1.1.3.4证书恢复流程当一个用户的证书撤销后,一个管理员可能会处理和恢复这个用户。下面将提供两
11、种解决方案中典型的用户恢复处理。如果 RA 管理员决定重新将用户作为一个可信实体时,可以恢复用户证书。具体流程如下:使用 RA 系统完成对一个用户恢复密钥的设定后,一个新的参考号和授权码会提供给用户。与申请和接收证书相类似,用户可使用证书下载系统相同的 URL 地址。一旦用户获取参考号和授权码,他们将很简单地去根据 URL,填写注册站点提供的表格,输入参考号和授权码,然后回答浏览器用对话框提出的问题。浏览器将生成一把密钥和一个证书申请并会自动与证书下载系统交互,注册浏览器。证书下载系统将检查浏览器是 Netscape 浏览器还是 IE,并使用正确的 MIME 类型和步骤注册。1.1.4 CA
12、认证流程当客户端程序对网站应用进行操作时,需调用 CA 认证接口对使用人身份进行鉴定。CA 认证接口的功能分为以下两个部分:一、判断用户证书是否为合法证书具体实现流程如下:1CA 认证接口从客户请求中获取证书信息;2CA 认证接口通过专线将证书相关信息发送到 CA 认证中心相关处理服务,由 CA认证中心判断证书是否为合法的 CA 证书;3CA 认证接口接收 CA 认证中心的判断结果,一旦判断不是合法证书则终止操作。4通过口令识别技术进行身份判断二、当 CA 认证接口确定了用户证书为合法证书后,需要进一步验证用户的操作身份,具体实现流程如下:1从证书信息中取得关键信息;2提示输入对应的口令;3使用对应的口令和本地身份验证库中数据进行校验,判断编号和口令是否匹配;4如果不匹配将不允许继续操作。
