第三章 证书认证系统设计

3.1 证书认证系统总体架构

3.1.1 证书认证系统网络拓扑图设计

图3-1 证书认证系统总体架构图

Ø  KMC区：由KMC管理终端、KMC后台服务器、KMC数据库服务器组成。

Ø  核心区：由签发服务器、主OCSP服务器、主目录服务器、CA数据库服务器组成。其中签发服务器上按照CA后台签发程序、CRL签发程序、签名服务程序。

Ø  管理区：由CA管理终端、CA查询终端、CA审计终端、CA监控终端。其中根据硬件需要，可以把这几个终端安装在一台机器上。

Ø  服务区：由从目录服务器、从OCSP服务器等组成。

Ø  远程RA区：由制证终端、RAWeb服务器、RA数据库服务器组成。RAWeb服务器提供WEB架构的服务，RA业务终端程序和RA管理终端程序可以架设在RAWEB服务器上。

3.1.2 证书认证系统模块逻辑架构设计

证书认证系统^[13]提供对数字证书全生命周期的过程管理功能，包括用户注册管理、证书/证书注销列表的生成与签发、证书/证书注销列表的存储与发布、证书状态的查询、密钥的生成与管理、过程安全审计等。

本证书认证系统设计采用双证书机制，并建设双中心^[14]（CA中心和KMC中心）。每个用户拥有两张数字证书，一张用于数字签名，另一张用于信息加密。用于数字签名的密钥对可以由用户利用具有密码运算功能的证书载体产生；用于信息加密的密钥对由密钥管理中心产生。签名证书和加密证书一起保存在用户的证书载体中。

本证书认证系统设计如下几个主要部分：KMC子系统、CA子系统、RA子系统、面向应用接口。密钥管理中心子系统（KMC）主要提供安全、规范的密钥管理服务，实现用户密钥的生命周期管理、以及密钥管理的审计等功能；CA子系统主要提供证书/CRL的生成与签发、证书/CRL的存储与发布、证书查询统计及审计日志安全管理等；RA子系统主要提供证书申请、证书审核、证书制证、RA业务统计查询及安全审计等。各部分的组成模块为：

图3-2 证书认证系统总体模块图

KMC子系统：密钥自动产生模块、密钥发放服模块、KM管理模块、数据库模块。

CA子系统：证书签发模块、证书签发管理模块、CRL签发模块、CRL签发管理模块、签名服务模块、LDAP模块、OCSP模块、审计模块、日志管理模块、数据库模块、统计查询模块、OCSP/LDAP发布模块。

证书注册中心：RA服务模块、RA管理模块、RA数据库、LRA模块、WEB安全服务模块。

面向应用接口：OCSP客户端查询/接口模块、LDAP客户端查询/接口、用户二次开发接口等。

3.2 KMC子系统设计

3.2.1 KMC子系统结构设计

密钥管理中心提供了对生命周期内的加密证书密钥对进行全过程管理的功能，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等。KMC子系统主要由密钥后台服务程序、密钥管理终端、KM_CA安全通讯接口。其系统结构设计如下：

图3-3 KMC子系统结构设计图

3.2.2 KMC子系统功能设计

1 密钥后台服务程序：主要包括密钥生成模块、密钥申请模块、密钥恢复模块、密钥撤消模块等。

  (1) 密钥生成模块：该模块根据数据库中密钥对的配置数量，定期向加密机申请密钥对，存入密钥备用库中。

  (2) 密钥申请模块：根据用户的请求类型为用户从密钥备用库取出一密钥对，

     通过安全通讯接口传送给用户。

  (3) 密钥恢复模块：根据用户的请求类型为用户从密钥在用库取出该用户的在用密钥，从密钥历史库中取出该用户的历史密钥，通过安全通讯接口传送给用户。

  (4) 密钥撤消模块：根据用户的请求类型为用户撤消在用的加密密钥，从密钥在用库找出相应的用户在用密钥，并将其移至密钥历史库中。

2 密钥管理终端：主要包括人员管理模块、密钥配置模块、司法取证模块、内部CA模块、日志审计模块、查询统计模块等。

  (1) 人员管理模块：该模块根据人员的权限，分为操作员和管理员，每类人员进行各自的操作，并将操作结果存入数据库，以供审计。

  (2) 密钥配置模块：该模块配置KMC后台的服务端口和加密机IP地址，配置密钥后台服务程序备用密钥的数量。

  (3) 司法取证模块：该模块提供司法密钥恢复和历史密钥删除功能，司法密钥恢复包括密钥在用库的密钥恢复，密钥历史库的密钥恢复。可以根据证书查找密钥，根据下载时间或者注销时间查找密钥。

  (4) 内部CA模块：该模块提供生成数字证书的功能，这些证书主要用于KMC与各CA的安全通讯。

  (5) 日志审计模块：该模块主要是对操作员和管理员的操作日志进行审计。

  (6) 查询统计模块：该模块主要是对密钥后台进行的各种交易进行查询统计。

3 服务接口：主要包括数据库访问接口、加密机访问接口、安全通讯接口、KMC安全申请接口。

  (1) 数据库访问接口：该接口可以极快的访问各种数据库，且有断链恢复功能。

  (2) 加密机访问接口：该接口将密钥申请请求封包，传送给加密机，等待加密的返回结果。

  (3) KMC安全申请接口：通过该接口可以得到KMC提供的密钥申请、密钥恢复、密钥撤消等服务。

4 密钥管理系统数据库：主要包括密钥备用库，密钥在用库，密钥历史库，密钥备份库，日志审计数据库。

(1) 密钥备用库：存放自动生成的密钥对，备密钥申请服务使用。

(2) 密钥在用库：存放已分配给CA的密钥对。

(3) 密钥历史库：存放已注销或过期的密钥对。

(4) 密钥备份库：存放过期的密钥归档信息。

(5) 日志审计数据库：存放CA操作日志、KMC人员操作日志及审计日志。

3.3 CA子系统设计

3.3.1 CA子系统结构设计

图3-4 CA子系统结构设计图

CA子系统程序主要包括：CA管理终端管理终端程序、证书签发服务程序、黑名单签发服务程序、CA查询统计终端程序、CA审计终端程序、主目录服务器、从目录服务器、OCSP服务程序等。

3.3.2 CA管理终端功能设计

1) CA管理终端模块划分

根据CA管理终端的功能，特设计如下模块，分工完成CA体系创建、CA后台服务参考配置、CA业务维护管理等工作。

2）各个模块功能设计

（1）初始化模块：配置数据源、各个服务后台的端口和IP、各个服务后台的环境配置。

（2）证书模板管理模块：证书模块管理主要是可以创建、修改、删除、导入、导出证书模板。 

（3）CA体系管理模块：CA体系管理模块实现对多级CA的管理，包括CA创建、CA的注销、冻结、解冻、CA逻辑关系显示等一系列功能。

（4）RA体系管理模块：主要是实现RA创建、RA配置、RA冻结、RA解冻、RA查询功能。创建RA时要生成RA的设备证书等。

（5）交叉认证管理：配置任意CA与其它CA进行交叉认证，系统可以支持单向和双向的交叉认证，系统也可以解除原来配置的交叉认证。

（6）KM通信管理模块：配置KM通讯的参数，配置CA_KM安全通讯环境。 

（7）人员/设备管理模块：主要是创建设备证书、创建CA超级管理员、CA业务管理员、CA业务操作员。

（8）权限管理模块 ：可以创建用户组、修改用户组、删除用户组；也可以创建用户组的权限、修改用户组的权限、删除用户组的权限；可以把权限分配给管理员。

（9）操作员维护模块：提供手工CRL签发、提供操作员手工维护证书发布等功能。

（10）日志审计记录模块：提供操作员业务操作记录、签名记录。提供业务日志记录。提供对审计功能的支持。

3.4 RA子系统设计

3.4.1 RA子系统结构设计

RA子系统负责用户的证书申请、身份审核和证书下载，可分为本地注册管理系统和远程注册管理系统（LRA）。RA子系统主要由RA管理终端、RA业务管理终端和RAServer服务器三部分组成，其中RA管理终端、RA业务管理终端部署在Web服务器上，提供支持BS模式的RA系业务。

LRA与RA业务终端基本功能相同，都包括：请求录入、请求审核、证书下载功能。LRA可以审核的申请类型由RA授权。

RA查询/审计终端和CA查询/审计终端结构与功能类型，不再单独设计。可参考CA子系统设计部分。

RA子系统结构组成如下图。

3.4.2 RA管理终端功能设计

RA管理终端功能设计如下：

Ø 系统初始化，初始化系统的参数配置，RA管理员人员导入等功能。

Ø 系统配置，数据库信息、配置CA服务连接信息等。

Ø 操作员管理，支持操作员的添加、权限修改、冻结、解冻等。

Ø LRA管理，支持添加、修改、冻结、解冻、迁移等。

Ø 下载管理，下载RA可访问CA、下载CA的证书模板、配置申请证书模板、下载黑名单等。

3.4.3 RA业务终端功能设计

RA业务终端主要完成请求录入、请求审核、证书下载功能。

证书申请可采用在线或离线两种方式：在线方式：用户通过互联网等登录到用户注册管理系统申请证书；离线方式：用户到指定的注册机构申请证书。

证书下载可采用在线或离线两种方式：在线方式：用户通过互联网等登录到用户注册管理系统下载证书；离线方式：用户到指定的注册机构下载证书。

RA业务终端提供的业务参考表4-1RA业务终端请求报文元素实现分析、表4-2 RA业务终端应答报文元素实现分析。

3.5 证书发布子系统OCSP/LDAP设计

3.5.1 LDAP架构设计

        图3-7 LDAP子系统结构设计图

1）LDAP子系统主要由LDAP客户端接口、LDAP服务器管理程序、LDAP服务器组成。其中LDAP客户单接口供CA后台和CA前台终端调用，LDAP管理服务程序主要是接受报文，然后转发给LDAP服务器。

2）目前国内有很多LDAP服务器开发商，这样设计可兼容很多常见的产品，CA系统不需要做任何修改。

3）LDAP管理服务程序能很好提高CA发放子系统的性能。

3.5.2 OCSP架构设计

图3-8 OCSP子系统结构设计图

1）OCSP子系统主要由OCSP客户端接口、主OCSP服务程序、从OCSP服务程序、OCSP管理终端组成。其中主OCSP服务程序能提供从OCSP服务调用。

2）目前国内有很多OCSP模块开发商，这样设计可兼容很多厂家的产品，CA系统不需要做任何修改。

3.6 证书模板机制设计

3.6.1证书模板定义

证书模板概念^[15]最初由Windows 2000提出。本文证书模板是指一系列配置的规则集合，用来预定义CA中心签发数字证书所需的基本项信息、标准扩展信息和自定义扩展信息。证书模块按密钥用途可分为加密证书模板、签名证书模板；按证书用途，可分为CA证书模板、个人证书模板、单位证书模板、代码签名证书模板、VPN证书模板等。证书模板可以满足商业需求、面对复杂的现实应用。

3.6.2证书模板元素分析

由图2-1证书组成元素分析图设计，证书模板配置的元素可包括基本信息（证书模块名称、版本号、编号、创建时间等，简称TeBaseInfo）、持有者/颁发者DN项（TeDNInfo）、密钥标识符（TeKeyID）、密钥用途（TeKeyUse）、扩展密钥用途（TeExKeyUse）、签发者/持有者别名（TeAltName）、 CRL发布点（TeCRLInfo）、 策略发布点（TeCPSInfo）、CA信息访问（TeCAAccess）、其他标准扩展（TeOtherPri）和自定义私有扩展（TeUserPri）等。

3.6.3证书模板流程设计

1）CA管理终端程序初始化时，创建CA证书模板用于签发CA证书；创建人员证书模板用于签发CA内部人员证书；创建设备证书模板用于签发CA/RA设备证书；创建用户证书模板，用于签发用户证书。

2）CA管理终端程序分配证书模板集合给CA体系。

3）CA管理终端程序，创建RA、配置RA可访问的CA集合。

4）CA后台服务程序启动，接受证书管理类报文、证书申请类报文。

5）RA管理终端程序初始化时，导入RA人员和RA设备证书，承建RA中心，并启动RA服务后台程序。

6）RA管理终端程序通过RA服务后台程序发送证书管理类报文给CA后台服务程序，完成RA可访问CA配置、RA可使用的证书模板配置，配置RA证书申请时不同项目关联的证书模板。

7）RA业务终端程序通过RA服务后台程序发送证书申请类报文给CA后台服务程序，完成证书申请。CA后台服务程序分析报文类型，根据证书模板完成证书签发、根据不同证书业务完成证书的管理。证书申请业务主要包括证书新增、证书更新、证书注销、证书冻结解冻等。

8）CA管理终端程序若重新配置了CA证书模板集合，重复操作第6步、第7步即可。