收藏
下载资源

联通CA中心建设方案-丁丁

上传人:人*** 文档编号:507794132 上传时间:2023-09-16 格式:DOC 页数:13 大小:821.50KB
返回 下载 相关 举报
联通CA中心建设方案-丁丁_第1页
第1页 / 共13页
联通CA中心建设方案-丁丁_第2页
第2页 / 共13页
联通CA中心建设方案-丁丁_第3页
第3页 / 共13页
联通CA中心建设方案-丁丁_第4页
第4页 / 共13页
联通CA中心建设方案-丁丁_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《联通CA中心建设方案-丁丁》由会员分享,可在线阅读,更多相关《联通CA中心建设方案-丁丁(13页珍藏版)》请在金锄头文库上搜索。

1、地址:湖南省长沙市岳麓区长沙高新技术开发区M0栋六楼电话:0731-8802998, 8807823, 8804073传真:0731-8806393邮编:410013网站: E-Mail: ec_中国联通认证系统(CUCA)建设方案中杰高科技(集团)发展有限公司Zhongjie High-Tech (Group) Development Co.,Ltd中杰软件技术有限公司Zhongjie Software Technology Co.,Ltd中国联通认证系统(CUCA)建设方案 目录第一章安全认证中心()、数字证书简介11.1安全认证中心11.2数字证书11.2.1证书分类11.2.2数字证书

2、内容2第二章中国联通认证系统层次结构32.1层次划分32.2业务受理过程32.3认证系统的层次结构示意4第三章中国联通认证系统功能及证书发放过程53.1认证中心功能53.1.1证书注册53.1.2证书管理53.1.3证书查询53.1.4废弃证书列表53.1.5安全审计63.1.6系统人员管理63.1.7数据库管理63.1.8邮件服务63.2数字证书申请流程63.2.1个人数字证书申请流程63.2.2服务器数字证书申请流程73.2.3机构数字证书申请流程73.2.4代码签名数字证书申请流程7第四章全国CA中心及各省RA中心建设方案84.1CA中心网络结构84.2试点省RA中心网络结构9第五章中国

3、联通认证系统外部接口10中杰软件技术有限公司电话: 0731-8802774 8807013传真: 0731-8806393第i页第一章 安全认证中心()、数字证书简介1.1 安全认证中心CA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。同时也可以提供时间戳、密钥管理及证书作废表()等服务。作为安全网络的公证机构,为了维护网络用户间的安

4、全通信,必须行使以下职能: 管理和维护客户的证书和 维护自身的安全 提供安全审计的依据 在基于证书的安全通信中,证书是证明用户合法身份和提供用户合法公钥的凭证,是建立保密通信的基础。因此,作为网络可信机构的证书管理设施,的主要职能就是管理和维护它所签发的证书,提供各种证书服务,包括:证书的签发、更新、回收、归档等等。在各类证书服务中,除了证书的签发过程需要人为参与控制外,其他服务都可以利用通信信道通过用户与交换证书服务消息进行。系统的主要功能是管理其辖域内的用户证书,因此,系统功能及证书的应用紧紧围绕证书的管理而展开。1.2 数字证书数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密

5、。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解

6、目前采用的1024RSA密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送以商户,然后由商户用自己的私有密钥进行解密。1.2.1 证书分类目前的证书系统包括两类:基于SET的证书体系和非SET的通用证书体系。SET协议主要由金融单位提出,用于解决电子商务交易过程中的安全支付,SET协议在金融单位、商家和用户之间进行身份认证,交易过程各环节的安全可靠性可以得到充分保证,但是交易过程比较复杂,延时较长,用户操作也比较复杂,因此目前应用不太广泛。非SET的通用证书主要遵循X.509

7、标准,并在此基础上兼容SSL、S/MIME等多种协议。通用证书使用较为简单、高效,虽然安全性弱于SET证书,但是也可以满足目前电子商务及其它各种应用的要求,因此得到了广泛的应用,目前国内已建的CA和各种电子商务网站大部分采用X.509证书。根据上述比较,本系统采用基于X.509的通用证书体系。按照使用功能来分,分为以下几种: 个人数字证书个人数字证书代表个人身份,用于发送安全电子邮件或网上信息交换的身份认证;签名算法RSA1024,RSA512;证书符合X.509 Version 3 标准,X.500,PKCS系列,证书的DER和PEM格式;对称算法168位3DES,128位RC4、IDEA;

8、在IE,Netscape等通用软件上使用;支持S/MIME邮件加密;支持Secure Socket Layer(SSL),Version 3协议。 服务器数字证书服务器数字证书代表服务器的身份 签名算法RSA1024,RSA512;证书符合X.509 Version 3 标准,X.500,PKCS系列,证书的DER和PEM格式;对称算法168位3DES,128位RC4、IDEA;能够在IIS,GoWeb,Enterprise,Domino,Apache等通用的软件上使用;支持Secure Socket Layer(SSL),Version 3协议。 机构数字证书机构数字证书代表机构身份,用于发

9、送安全电子邮件或网上信息交换的身份认证;签名算法RSA1024,RSA512;证书符合X.509 Version 3 标准,X.500,PKCS系列,证书的DER和PEM格式;对称算法168位3DES,128位RC4、IDEA;在IE,Netscape等通用的软件上使用;支持S/MIME邮件加密;支持Secure Socket Layer(SSL),Version 3协议。 代码签名数字证书代码签名数字证书代表软件开发者身份 签名算法RSA1024,RSA512;证书符合X.509 Version 3 标准,X.500,PKCS系列,证书的DER和PEM格式;对称算法168位3DES,128位

10、RC4、IDEA;能够在IE,Netscape等通用的软件上使用。1.2.2 数字证书内容一个标准的X.509数字证书包含以下一些内容: 证书的版本信息; 证书的序列号,每个证书都有一个唯一的证书序列号; 证书所使用的签名算法; 证书的发行机构名称,命名规则一般采用X.500格式; 证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049; 证书所有人的名称,命名规则一般采用X.500格式; 证书所有人的公开密钥; 证书发行者对证书的签名。第二章 中国联通认证系统层次结构2.1 层次划分根据功能划分,认证系统从层次上包括以下几部分:CA(认证)中心负责证书的发放、管

11、理,包括证书的签发、证书存储、黑名单管理、证书状态查询等,集中建设一个,认证中心的建立是实现整个网络安全解决方案的关键和基础;RA(审核受理)中心负责所管辖区域内的证书审核,从CA中心获取已签发证书并发放给用户,RA中心可以根据业务量大小按大区或省为单位建设;LRA(业务受理点)直接面向用户,接受用户的申请,向用户发放物理介质。根据联通机构和业务划分,中国联通认证系统(CUCA)采用集中建设CA、分区域建设RA、与现有营业厅合建LRA的方式,在联通总部建设CA中心,负责全国范围内的证书签发和管理,黑名单查询、证书状态查询;在业务量比较大的省建设RA中心,初期在除北京外的另外三个试点省建设RA中

12、心,其它省由总部或上述试点省代行完成RA功能;LRA受理点的功能直接由现有的联通营业厅承担,不再建设单独的业务受理点。2.2 业务受理过程CA部分负责签发和管理证书,同时负责CRL列表的维护和更新,但CA系统并不直接面对证书申请者,CA需要借助于注册机构(RA)及证书申办受理点(LRA)来为证书用户服务。有关证书的申请、撤消、废止等管理操作是在受理点办理的,有关证书申请者的信息是通过RA系统传递到CA系统的。未建RA中心的试点省进行证书申请时,由受理点连接到试点省的RA中心进行申请或直接连接到CA中心的虚拟RA中心进行申请。2.3 认证系统的层次结构示意认证系统层次结构示意图第三章 中国联通认

13、证系统功能及证书发放过程CA部分负责签发和管理证书,同时负责CRL列表的维护和更新,但CA系统并不直接面对证书申请者,CA需要借助于注册机构(RA)及证书申办受理点(LRA)来为证书用户服务。有关证书的申请、撤消、废止等管理操作是在受理点办理的,有关证书申请者的信息是通过RA系统传递到CA系统的。3.1 认证中心功能3.1.1 证书注册1、接受RA注册申请,下发注册表2、接受RA的初始注册信息,并存入证书注册受理信息表3、将初始信息提交管理终端,进行离线二级审核,并将审核结果存入注册验证信息表4、通过审核的信息存入信息注册表 3.1.2 证书管理1、对于证书申请请求,查询证书注册服务器,并将合

14、法的证书申请请求通知证书签名服务器进行证书制作2、对于证书作废请求,通知OCSP服务器更新数据3、根据CRL发布政策,定时通知CRL服务器制作新的CRL4、更新和维护CRL服务器及其镜像站点上的数据5、保存所有用户的证书记录和CRL记录6、保存证书管理服务器所有操作的操作日志 3.1.3 证书查询1、接收证书管理服务器的作废证书更新数据2、接收证书管理服务器的过期证书更新数据3、按OCSP(线证书状态协议)接受Internet客户的证书状态查询请求,并返回查询结果3.1.4 废弃证书列表1、接收证书管理服务器的定时CRL更新数据2、利用WEB服务和LDAP服务发布证书作废表3、接收网上用户对CRL的查询请求3.1.5 安全审计安全审计是指对与安全有关的事件进行审查、记录,写入审计文件中,便于进行核对,当出现安全问题时,通过对审计记录的分析查处原因,弥补安全漏洞,审计文件加密存储,任何人不得修改和删除审计文件。系统提供相应的查看审计文件的应用程序界面,由CA系统管理员启动程序运行,CA系统审计员可查看审计文件。当审计文件很大时,为了节约硬盘资源,审计文件可由CA系统自动进行覆盖处理。3.1.6 系统人员管理CA中心系统管理员和操作员的设置,可根据具体的应用情况,由系统提供相应的操作界面进行配置。3.1.7 数据库管理基于CA系统的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 营销创新

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号