ZSH公司CA系統(tǒng)方案設計.pdf

1、認證機構(CA)是公鑰基礎設施(PKI)的核心執(zhí)行機構，是PKI的主要組成部分，是數(shù)字證書的申請注冊、簽發(fā)和管理的機構。CA系統(tǒng)設計的安全性、適用性及開放性關系到一個CA系統(tǒng)能否成功運作，能否真正為用戶提供統(tǒng)一的信息安全平臺。本文從這點出發(fā)，力求設計出一個真正實用的、安全可靠的CA系統(tǒng)，滿足網(wǎng)絡應用中的機密性、真實性、完整性、不可否認性和存取控制等安全需求。
　　隨著信息安全技術和公鑰基礎設施的飛速發(fā)展，以及各級證書認證系統(tǒng)的建設

2、和推廣，亟需發(fā)展可靠的、滿足多種應用的證書認證系統(tǒng)方案。
　　本論文的證書認證系統(tǒng)結構包含四個重要的實體：密鑰管理系統(tǒng)、證書認證系統(tǒng)、證書注冊系統(tǒng)、證書發(fā)布系統(tǒng)。該證書認證系統(tǒng)提供對數(shù)字證書全生命周期的過程管理，包括用戶注冊管理、證書／證書注銷列表的生成與簽發(fā)、證書／證書注銷列表的存儲與發(fā)布、證書狀態(tài)的查詢、密鑰的生成與管理等。
　　本論文在證書認證系統(tǒng)的設計上，采用自上而下的方法進行描述。先從網(wǎng)絡拓撲和邏輯架構兩方面設計系

3、統(tǒng)總體架構；然后分析了密鑰管理系統(tǒng)、證書認證系統(tǒng)、證書注冊系統(tǒng)、證書發(fā)布系統(tǒng)的模塊組成；進而從身份證書、系統(tǒng)功能、系統(tǒng)工作流程等幾個方面進行頂層設計，并將Web服務技術應用到設計中。最后，對整個系統(tǒng)的安全性作了詳細設計，確保作為基礎設施的系統(tǒng)自身安全。
　　與傳統(tǒng)的證書認證系統(tǒng)相比，具有以下創(chuàng)新性：(1)功能完善、安全可靠的PKI結構，支持根CA—CA—RA—LRA層次結構。(2)完整的雙證書(加密證書和簽名證書)模式，兼容單證書