2024年4月19日发(作者:)

C

A认证系统设计

1.1 系统简介

本系统是参照国际领先的CA系统的设计思想;继承了国际领先CA系统的成熟性、先进性、

安全可靠及可扩展性;自主开发的、享有完全自主知识产权的数字证书服务系统..系统具有完善的

功能;能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求..

CA系统采用模块化结构设计;由最终用户、RA管理员、CA管理员、注册中心RA、认证中

心CA等构成;其中注册中心RA和认证中心CA又包含相应的模块;系统架构如下图:

图1 CA系统模块架构图

CA系统能提供完善的功能;包括:证书签发、证书生命周期管理、证书吊销列表CRL查询服

务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能..

CA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大型

iTrusCA;不同类型系统的网络建设架构是不同的..

CA系统具有下列特点:

A. 符合国际和行标准;

B. 证书类型多样性及灵活配置..能够发放包括邮件证书、个人身份证书、企业证书、服务器

证书、代码签名证书和VPN证书等各种类型的证书;

C. 灵活的认证体系配置..系统支持树状的客户私有的认证体系;支持多级CA;支持交叉认证;

D. 高安全性和可靠性..使用高强度密码保护密钥;支持加密机、智能卡、USBKEY等硬件设

备以及相应的网络产品证书漫游产品来保存用户的证书;

E. 高扩展性..根据客户需要;对系统进行配置和扩展;能够发放各种类型的证书;系统支持多

级CA;支持交叉CA;系统支持多级RA..

F. 易于部署与使用..系统所有用户、管理员界面都是B/S模式;CA/RA策略配置和定制以及

用户证书管理等都是通过浏览器进行;并具有详细的操作说明..

G. 高兼容性..支持各种加密机、多种数据库和支持多种证书存储介质..

1.2 认证体系设计

认证体系是指证书认证的逻辑层次结构;也叫证书认证体系..证书的信任关系是一个树状结

构;由自签名的根CA为起始;由它签发二级子CA;二级子CA又签发它的下级CA;以此递推;最后某

一级子CA签发最终用户的证书..

认证体系理论上可以无限延伸;但从技术实现与系统管理上;认证层次并非越多越好..层次越

多;技术实现越复杂;管理的难度也增大..证书认证的速度也会变慢..一般的;国际上最大型的认证体

系层次都不超过4层;并且浏览器等软件也不支持超过4层的认证体系..

本方案设计的用户的CA认证系统采用如下图所示的认证体系:

图2 用户CA认证体系图

如图所示;认证体系采用3层结构:

第一层是自签名的用户根CA;是处于离线状态的;具有用户的权威性和品牌特性..