CA认证系统(20201124160544)

1、-WORD格式 - 专业资料 - 可编辑 -1.1 CA 认证系统1.1.1 引入 CA 认证系统的必要性对于电子政务的交易安全而言，其基本要求为：1）信息保密性（ Confidentiality ）：即通过密码学的方式加密，所传递的信息以防止窃取；2）信息真实性和完整性（ Authenticity and integrity）:即通过数字签章 （Digital signature）的方式，用 Hash 方式保证信息不会被改变和假冒；3）不可否认性（Non-repudiation ） :即身份认证，通过可信任的CA 中心发放的CA 证书来证明使用的身份。安全传递和存储信息应用权限控制其中最为关

2、键的就是建立基于证书的认证体系，或者使用可信的CA 认证中心发放的CA 证书。1.1.2CA 认证系统结构CA 注册认证中心申请、发放、注销、CA 身份恢复证书执行需进行认证的应客户端 / 浏览器WEB 服务器CA 认证系统结构-WORD格式 - 专业资料 - 可编辑 -结构说明如下：采用第三方认证C 认证中RA （证书注册中C证书的注册、机构建立心和心） ，实现AA验证、管理功能；通过专线C 认证中心， 在需要C 证书验证的应用服务器上安装接口程连接安装进行AA序，实C 证书的验证功能。现对A当用户进行C认证的应用WESERV 服务器自动C 认证接需进行A操作时B使用AER口程序，完成对用户

3、身份的验证。C认证中心是一负责发放和管理数字证C 的主要功能是：接收注册A书的权威机构。A请求、处理、批准、拒绝请求、颁发C 提交代表自己身份的信息（如身份证书等。用户向A证号码或 E mail 地址）， CA 验证了用户的有效身份之后，向 私有用户颁发一个经过CA密钥签名的证书。 对于一个大型的应用环境，认证中心往往采用各级一种多层次的分级结构，最下的认证中心类似于各级行政机关， 上级认证中心负责签发和管理下级认证中心的证书，一级的认证中心直接面向最终用户。处在最高(Root。层的是认证根中心CA) 认证中心主要有以下几种功能：证书的颁发中心接收、 验证用户 （包括下级认证中心

4、和最终用户）的数字证书的申请， 将申请的内容进行备案， 并根据申请的内容确定是否受理该数字证书申请。 如果中心接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。 新证书用认证中心的私钥签名以后， 发送到目录服务器供用户下载和查询。 为了保证消息的完整性， 返回给用户的所有应答信息都要使用认证中心的签名。证书的更新认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。证书的查询-WORD格式 - 专业资料 - 可编辑 -证书的查询可以分为两类，其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成

5、，目录服务器根据用户的请求返回适当的证书。证书的作废当用户的私钥由于泄密等原因，用户证书需要申请作废时，用户需要向认证中心提出证书作废请求，认证中心根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过了有效期， 认证中心自动将该证书作废。 认证中心通过维护证书作废列表（ CertificateRevocationList,CRL）来完成上述功能。证书的归档证书具有一定的有效期，证书过了有效期之后将被作废，但我们不能将作废的证书简单-WORD格式 - 专业资料 - 可编辑 -地丢弃， 因为有时我们可能需要验证以前的某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。基于

6、此类考虑，认证中心具备管理作废证书和作废私钥的功能。 认证中心具有严格的认证操作规则1）组织规则独立的中间机构：认证中心是独立于交易双方的中间机构，CA 不能参加交易，也不能与交易双方具有利益关系。发挥权威作用：认证中心必须以信誉为基础，获得公认的权威可靠性。严格的内部管理制度：保证操作安全和信息安全。2）操作规则操作要求：规定操作要求。安全控制规则：规定个人活动范围、处理的业务、期限和权限。密钥管理规则：规定密钥产生、传输管理的责任制度。审核规则：规定定期审核制度。3）信息控制规则认证声明：公开有关认证活动的责任、义务、操作及相关措施。信息公开制度：发布相关认证信息，例如证书生

7、效、失效等公开信息。用户信息保护制度：保护认证中心、用户的机密信息。1.1.3用户使用 CA 证书的操作流程证书申请、审核、下载流程证书申请提供两种方式：通过 CA 中心的 WEB 站点在线填写， 或到证书发放中心 （ RA ）面对面申请。以面对面申请为例：证书申请者采用面对面的身证书申R 填写证书申请表单（表单内容份验证过程。请到A需要在实施时具体确R 的录入管理员提交一些个人信息证明。定），A向R录入员将用户信息录入到未审核数R 审核员的审核。A据库中，等待AR 的审核员对申请人提交的信息进行审核，决定同意或拒绝客户的证书申请。A的 员使用如果审核通RARA过，审核-WORD

8、格式 - 专业资料 - 可编辑 -应用程序在C系统中注册该申请A 用户。C接到操作员的证书审核通过信息后为用户产生参考号和授C 经A权码。授权码可由A过 R 服务器传至操作员的操作平台，操作员将其打印出来RServer交给用户，也可在AA端打印密码信R负责发放。参考号服务器，服务器通过电子邮封，由将下传至R 由RAAA件传给用户，参考号和授权码的发放方式可以互换。证书申请人回到家C 所在网站的下载界面。里，登录A证书申请人通过浏览器下载安装CA 的 WWW 服务器的证书。-WORD格式 - 专业资料 - 可编辑 -下载 CA 的根证书。证书申请人在下载页面中填入参考号和授权码。用户的客户端浏览

9、器生成密钥对。浏览器将私钥保存在本地密钥库中，将公钥及所添入的两个号码打包成pkcs#10 的格式送往CA 。CA 接到用户的证书下载请求，生成证书。用户下载证书，并安装到浏览器中。 证书更新流程用户证书具有一定的使用期限，当用户过期后需要申请进行更新。具体流程如下：用户证书过期时，注册中心可以通过提供新的参考号码和授权码，更新用户的证书上。与前一节证书的初始下载过程相同，用户可以使用证书下载系统的相同统一资源定位码（URL ）。用户一旦获取上述信息，就可URL ，填写注册站点提供的表格，以直接进入上述输入参考号和授然后回答浏览器提供的浏览器将生成密钥和证而且权码，对话框。书请求

10、，Netscape将自动跟证书下载系统执行交互，以便注册。证书下载系统将检测浏览器是还是Micros 浏览器，并采用正确的MI类型和过程执行注册。oftME 证书废止流程证书废止或注销主要有两种形式：主动注销和被动注销。主动注销是指由用户提出注销申请， 由 RA 具有相关权限的管理员对其要求进行处理，注销证书；被动注销是指当管理员确认持证人有违反证书应用规定的行为发生时采取注销证书的手段以停止对该证书的证明。具体流程为：由证书持有者本人持有效证件到申请证书的RA 提出证书注销请求。审核管理员对有效证件进行审核。审核通过后在RA 服务器的数据库中根据客户信息进行查询。得到用户信息后

11、提交到CA 进行签字。CA 签发服务器将需注销证书的证书序列号写入证书注销列表。CA 将证书注销列表直接送到目录服务器供客户查询。 证书恢复流程当一个用户的证书一个管理员可能会处理和恢下面将提供两种解撤销后，复这个用户。-WORD格式 - 专业资料 - 可编辑 -决方案中典型的用户恢如R 管理员决定重新将用户作为一个可以复处理。果可信实体时，A恢复用户证书。具体流程如下：使用 RA 系统完成对一个用户恢复密钥的设定后，一个新的参考号和授权码会提供给用-WORD格式 - 专业资料 - 可编辑 -户。与申请和接收证书相类似，用户可使用证书UR 地址。一旦用户获取下载系统相同的L参考号

12、和授权码，他们将很简URL ，填写注册站点提供的表格，输入参考号单地去根据和授权码， 然后回答浏览器用对话浏览器将生成一把密钥和一个证书申请并框提出的问题。会自动与证书下载系统交互，注册浏览器。证书下载系统将Netsca 浏览器还检查浏览器是pe是 IE ，并使用 MI 类型和步骤注册。正确的ME1.1.4CA 认证流程当客户端程序对网站应用进行操作时，需调用CA 认证接口对使用人身份进行鉴定。CA 认证接口的功能分为以下两个部分：一、判断用户证书是否为合法证书具体实现流程如下：1 CA 认证接口从客户请求中获取证书信息；2CA 认证接口通过专线将证书相关信息发送到CA 认证中心相关处理服务，由CA认证中心判断证书是否为