CA数字身份认证系统名词解释

⽬录

1. 系统需求 (1)1.1背景概述 (1)1.2现状与需求概述 (1)1.3需求分析 (2)

1.3.1 CA建设与使⽤的分析 (2)1.3.2 证书存储⽅式的分析 (3)1.3.3 签名数据类型的分析 (3)2. 技术⽅案 (4)2.1系统总体架构 (4)2.2系统数据库 (4)

2.3CA数字证书受理系统 (5)2.3.1 数字证书及其格式 (5)2.3.2 ⾃建CA数字证书受理系统 (6)

2.3.3 ⾃建CA切换到第三⽅CA的可⾏性分析 (9)2.3.4 基于第三⽅（CTCA）的数字证书受理系统 (9)2.4数字签名认证系统 (9)

2.4.1 数字签名认证的原理及流程 (10)2.4.2 客户端浏览器签名控件 (10)

2.4.3 签名认证服务器及认证的业务流程 (11)2.4.4 基于WEB的签名验证管理系统 (12)2.5数据加密传输通道（SSL） (13)3. 成功案例 (13)

4. 设备软件汇总及报价 (14)4.1基本设备及软件 (14)4.2CA系统设备及软件 (14)4.2.1 ⾃建CA系统设备及软件 (14)

4.2.2 基于CTCA的数字证书受理系统设备及软件 (15)4.3数字签名认证系统设备及软件 (15)4.4USB智能卡类型 (15)5. 附录 (15)1. 系统需求1.1 背景概述

随着计算机⽹络技术的迅速发展和信息化建设的⼤⼒推⼴，越来越多的传统办公和业务处理模式开始⾛向电⼦化和⽹络化，从⽽极⼤地提⾼了效率、节约了成本。与传统的⾯对⾯的⼿⼯处理⽅式相⽐，基于⽹络的电⼦化业务处理系统必须解决以下问题：（1）如何在⽹络上识别⽤户的真实⾝份；（2）如何保证⽹络上传送的业务数据不被篡改；（3）如何保证⽹络上传送的业务数据的机密性；（4）如何使⽹络上的⽤户⾏为不可否认；

基于公开密钥算法的数字签名技术和加密技术，为解决上述问题提供了理论依据和技术可⾏性；同时，《中华⼈民共和国电⼦签名法》的颁布和实施为数字签名的使⽤提供了法律依据，使得数字签名与传统的⼿⼯签字和盖章具有了同等的法律效⼒。PKI（Public Key Infrastructure）是使⽤公开密钥密码技术来提供和实施安全服务的基础设施，其中CA（Certificate

Authority）系统是PKI体系的核⼼，主要实现数字证书的发放和密钥管理等功能。

数字证书由权威公正的CA中⼼签发，是⽹络⽤户的⾝份证明。使⽤数字证书，结合数字签名、数字信封等密码技术，可以实现对⽹上⽤户的⾝份认证，保障⽹上信息传送的真实性、完整性、保密性和不可否认性。

数字证书⽬前已⼴泛应⽤于安全电⼦邮件、⽹上商城、⽹上办公、⽹上签约、⽹上银⾏、⽹上证券、⽹上税务等⾏业和业务领域。

1.2 现状与需求概述现状描述。。。。。。

基于上述现状，******系统需要解决数据的签名问题和法律效⼒问题，从⽽提⾼*****的便捷性和管理效率。鉴于数字证书、数字签名的⼴泛应⽤和相关法律的保障，****单位规划建设CA及数字签名认证系统，主要需求如下：（1）建设CA系统或采⽤第三⽅CA，为****⽤户申请数字证书；

（2）在现有*****系统中加⼊对数据的签名功能，存储数据签名并提供对签名的认证功能；1.3 需求分析

为了解决⽹上⽤户的⾝份证明问题，需要为⽤户颁发数字证书。数字证书由CA中⼼签发，⽬前在实际应⽤中主要存在两种类型的CA：

（1）独⽴的第三⽅CA

跨区域的CA，如：中国电信的CTCA、中国⼈民银⾏的CFCA；

地域性的CA，如：⼴东电⼦商务认证中⼼CNCA、上海电⼦商务认证中⼼SHECA，以及其他各省电⼦商务认证中⼼；（2）各类应⽤系统⾃⼰建设的CA

如：招商银⾏、建设银⾏等建设的⽤于服务各⾃⽹上银⾏的CA；海关、税务等建设的服务各⾃⽹上报税系统的CA；这两种类型的CA在实际使⽤过程中各有优劣，以下将进⾏分析和⽐较：1.3.1 CA建设与使⽤的分析

采⽤独⽴权威的第三⽅CA与⾃建CA的⽐较

备注：成本⽐较

权威的第三⽅CA 的使⽤成本：10元/年/⽤户 × 10万⽤户 = 100万元/年⾃建CA 的系统建设成本 < 100万元，并且只是⼀次性的投⼊综合⽐较⽽⾔，⾃建CA 优于采⽤第三⽅CA ，因此推荐⾃建CA 。1.3.2 证书存储⽅式的分析

◆ 使⽤普通⽂件存储⽅式与USB 智能卡存储⽅式的⽐较

USB 智能卡⾃带CPU ，内置芯⽚操作系统（COS ）；采⽤USB 接⼝，易于使⽤和携带；⽀持RSA ⾮对称算法和DES 、3DES 等对称算法；⽀持RSA 公司的PKCS#11标准和微软的CSP 标准；⽀持Windows98/NT/2000/XP/2003等操作系统。USB 智能卡可⽀持国密算法SSF33，并通过国家密码管理委员会的检测。图1 USB 智能卡

1.3.3 签名数据类型的分析

*****系统需要进⾏电⼦签名并存储的数据主要有以下三类：◆ 上报表单的数据签名

⽤户在⽹上填写的各类表单需要由⽤户的私钥进⾏电⼦签名；◆ 上报数据⽂件的数据签名

⽤户上传的数据⽂件，其内容需要由⽤户的私钥进⾏电⼦签名；下载数据⽂件的数据签名

⽤户通过****系统⽣成并下载的确认数据⽂件（如：PDF格式），其内容需要由⽤户的私钥进⾏电⼦签名并回传⾄系统存储。2. 技术⽅案2.1 系统总体架构

系统的总体架构如下图所⽰，主要由：****业务系统、CA数字证书受理系统、数字签名认证系统三⼤部分组成。

图2 系统总体架构2.2 系统数据库

系统中包含两个数据库（Sybase）：业务数据库和证书数据库，其中证书数据库需要新建，业务数据库需要更新，以满⾜数字签名认证的需求。

（1）证书数据库主要包括以下数据：

⽤户数据：⽤于⽤户数字证书的申请，可以由业务数据库批量导⼊；证书数据：⽤户证书及证书信息、证书状态；

⽤户与证书的关联数据：⽤户信息与⽤户证书的对应关系；（2）业务数据库主要包括以下数据：⽤户数据：⽤户的⽤户信息；

业务数据及签名数据：业务的各项数据，需要增加相应的签名字段和签名证书的序列号字段；2.3 CA数字证书受理系统2.3.1 数字证书及其格式

数字证书是⼀种数字标识，如同我们的⾝份证⼀样，是⽹络上的⾝份证明，它是由证书授权机构（CA）签名颁发的数字⽂件，该签名使得第三者不能伪造和篡改证书。

ITU-T的X..509国际标准定义了数字证书的格式，⽬前X .509v3数字证书的主要内容，如图2所⽰，主要包括证书的版本号、证书的序列号、证书的有效起⽌⽇期、证书颁发者的名字和唯⼀标识符、证书持有者的名字和唯⼀标识符、证书持有者的公钥、证书扩展项以及证书颁发者的签名。其中，证书扩展项可以根据证书的不同应⽤⽽由证书的颁发者具体定义，因⽽具有较强的通⽤性和灵活性。

由于数字证书是由相对权威的授权机构审核颁发的，因此，⼀⽅⾯可以⽤来向系统或者系统的其他实体证明⾃⼰的⾝份；另⼀⽅⾯，由于证书携带着其持有者的公钥，也起着公钥分发的作⽤。

图3 X .509v3数字证书的主要格式

基于****单位的现状与需求分析，建议建设⾃⼰的业务系统CA，节约总体成本投⼊，满⾜业务系统对CA认证的可靠性、灵活性、快捷性以及⽤户使⽤的⽅便性等⽅⾯的需求。

另外，也可以采⽤基于权威第三⽅的CA数字证书受理系统。2.3.2 ⾃建CA数字证书受理系统

图4 独⽴建设的CA数字证书受理系统

⾃建CA数字证书受理系统主要由WEB应⽤服务器、数据库、RA服务器、CA服务器组成，采⽤B/S（浏览器/服务器）架构实现基于WEB的数字证书申请、审核、下载制作、更新和作废等功能。2.3.2.1 ⾃建CA各组成部分及其功能基于WEB的证书管理系统

为⽤户和管理员提供WEB管理界⾯，完成⽤户证书申请信息的提交、查询、审核；已⽣成的数字证书的下载和制作（存储到指定介质）；证书状态的查询和管理（证书更新、证书作废）；私钥密码的修改等功能。证书数据库

存储⽤户信息、证书信息以及⼆者的关联信息，保存⽤户的所有历史证书数据，以备校验历史签名数据。注册授权服务器（RA）

负责定期从数据库中提取已审核通过的证书申请/更新/作废信息，按既定格式打包提交到CA服务器，并接收和记录返回的结果。

证书签发服务器（CA）

负责密钥对（公私钥对）的产⽣，可采⽤软件⽅式或硬件⽅式（加密机）；接收RA服务器的请求，签发/更新/作废⽤户证书；定期签发CRL（证书撤销列表）。

备注：

（1）CA服务器采⽤软件⽅式产⽣密钥对可节约系统成本；采⽤硬件⽅式产⽣密钥对，则需要购置加密机（国密局认证的密码设备，得安SJY05型加密机），产⽣的密钥对质量⾼，也有利于⾃建的CA完成相关认证和获取资质。（2）RA服务器和CA服务器均为软件⽅式的应⽤程序，可共⽤⼀台主机。2.3.2.2 ⾃建CA的主要功能和技术特点

⾃建CA总体上具有建设成本低、易于部署；流程简捷⾼效、易于管理；系统可定制，易于与具体业务系统相结合等特点。系统的主要功能如下：

⾃定义根CA：系统初始化时，⾃定义根CA证书。

CA策略管理：⽀持对密钥长度、证书有效期、私钥备份等策略的管理。

证书申请信息注册：通过WEB⽅式提交证书申请信息，⽀持个⼈证书、企业证书、服务器证书等，⽀持批量证书申请。证书申请信息审核：管理员通过WEB⽅式查询并审核⽤户的证书申请信息，可设置⾃动审核。

密钥产⽣和证书签发：CA服务器⽀持软件⽅式和硬件⽅式（加密机或加密卡）产⽣密钥对，并签发证书请求，⽣成证书。证书查询和下载制作：通过WEB⽅式查询证书申请状态、证书状态，下载已经⽣成的证书，并通过WEB⽅式灌制到指定的存储介质。

证书作废和CRL签发：通过WEB⽅式提交证书作废请求，定时签发CRL。证书更新：即将到期的⽤户证书可以通过WEB⽅式进⾏在线更新。

证书导出：可以通过WEB⽅式将指定范围的⽤户证书按标准格式（BASE编码）导出到⽂件中。系统审计：对证书相关的各项操作，提供详尽的系统审计功能。系统的主要技术和功能特点：数字证书格式遵循X.509v3国际标准密钥长度可⽀持512、1024、2048位

密钥⽣成⽅式⽀持软件产⽣和硬件（加密机或加密卡）产⽣⽀持CA策略定制（密钥长度、证书有效期、私钥备份等策略）⽀持多种证书类型：个⼈、企业、服务器证书等

⽀持多种存储介质：磁盘、U盘、IC卡、USB智能卡（eKey）⽀持证书的批量申请，⽀持证书申请的⼿⼯审核和⾃动审核⽀持证书作废和证书撤销列表（CRL），⽀持证书更新2.3.2.3 ⾃建CA的证书受理业务流程

图5 ⾃建CA的证书受理业务流程上述流程中的相关步骤说明如下：

（1）步骤1⾄3，可以根据实际情况由管理员⼀次录⼊资料并⾃动审核；对于*****系统⽽⾔，可以从系统的数据库中按要求格式导出⽤户数据⽂件，再批量导⼊证书申请数据库中，同时⾃动审核；（2）步骤8⾄9，可根据实际情况由⽤户或管理员完成下载操作。

⾃建CA系统在对外提供电⼦认证服务时，需要通过国家密码管理局、信息产业主管部门的审查并获取电⼦认证许可证。2.3.3 ⾃建CA切换到第三⽅CA的可⾏性分析

⾃建CA在结构上具有良好的兼容性，通过RA服务器可以屏蔽不同CA中⼼所带来的接⼝问题。当整个CA系统需要切换到第三⽅CA时，只需更改RA服务器，按第三⽅CA系统的接⼝格式，将证书申请数据打包提交到第三⽅CA系统即可实现证书的申请，原有的基于WEB的证书管理系统将仍然有效。2.3.4 基于第三⽅（CTCA）的数字证书受理系统

⽬前，国内拥有CTCA、CFCA等⼤型CA运营系统，它们通过了相关部门的审批，具有相关资质，是对外提供电⼦认证服务的权威、公正的第三⽅CA系统。

如果采⽤第三⽅CA系统，则需要完成以下⼯作：（1）与第三⽅CA签署合作协议；（2）从第三⽅CA系统申请数字证书；（3）为申请的数字证书按年交纳使⽤费⽤；

在申请和使⽤数字证书的过程中，需要遵循第三⽅CA限定的证书申请模式，受第三⽅CA系统性能制约。从第三⽅CA系统申请数字证书的⽅式可以是⽤户分散申请⽅式或者批量申请⽅式，前者对⽤户要求较⾼且过程繁琐，后者需要将批量申请下来的数字证书⼿⼯导⼊业务系统中。

建⽴基于第三⽅CA的数字证书⽹上受理系统，是解决第三⽅CA数字证书申请的有效途径之⼀，通过该系统连接业务系统和第三⽅CA，从⽽实现数字证书申请过程以及数字证书与业务系统结合过程的⾃动化。2.4 数字签名认证系统

数字签名认证系统由客户端浏览器签名控件、签名认证服务器、基于WEB的签名验证管理系统组成。2.4.1 数字签名认证的原理及流程

图8 数字签名认证的原理

数字签名基于⾮对称加密算法和单向散列算法（Hash函数），其原理如下：⽤户A对要发送的信息⽤Hash函数进⾏摘要，并⽤⾃⼰的私钥加密该摘要；⽤户A把原始信息和私钥加密后的摘要绑定，发送给⽤户B；⽤户B⽤A的公钥解密接收到的加密摘要，并得到摘要；⽤户B对接收的原始信息⽤同⼀Hash函数进⾏摘要；将前两步所得的摘要进⾏对⽐，如果相同，即可通过验证。

利⽤证书验证签名数据时，都遵循相同的验证流程，⼀个完整的验证过程由以下⼏步：（1）将接收的数据分为原始数据流、签名数据和⽤户证书三部分；

（2）⽤CA根证书验证⽤户证书的签名完整性；

（3）检查⽤户证书是否有效（当前时间在证书的有效期内为有效）；（4）检查⽤户证书是否作废(OCSP⽅式或证书撤销列表CRL⽅式)；（5）验证⽤户证书结构中的证书⽤途；（6）⽤⽤户证书验证原始数据的签名完整性。

如果上述各项均验证通过，则接受该数据；只要有⼀项未通过，则验证失败。2.4.2 客户端浏览器签名控件

客户端浏览器签名控件采⽤ActiveX控件形式（如下图所⽰），在第⼀次使⽤系统时⾃动下载安装。

图9 客户端浏览器签名控件的⾃动下载安装⽰例

客户端签名控件可以以浏览器插件形式⾃动调⽤，也可以以脚本⽅式调⽤，主要完成以下功能：（1）对⽹页中的表单（Form）数据项进⾏签名

表单中的各数据项按约定⽅式命名，签名控件⾃动检测表单数据项并按如下格式对表单进⾏签名：

签名数据= 私钥签名（Hash（Key1=Value1&Key2=Value2&…&KeyN=ValueN））

提交到服务器的数据= 原始表单数据+ 签名数据+ ⽤户数字证书（2）对⽹页中上传的数据⽂件内容进⾏签名

上传⽂件的控件名按约定⽅式命名，签名控件⾃动检测准备上传的数据⽂件，读取⽂件内容并按如下格式对⽂件进⾏签名：签名数据= 私钥签名（Hash（上传⽂件的内容））

提交到服务器的数据= 原始⽂件数据+ 签名数据+ ⽤户数字证书2.4.3 签名认证服务器及认证的业务流程

如图2所⽰，签名认证服务器位于防⽕墙之后，与EJB服务器配合使⽤，并与证书数据库相连接，其认证的业务流程如下图所⽰：

图10 签名认证服务器的认证业务流程签名认证服务器主要完成以下功能：（1）接收EJB服务器提交的认证请求数据；

（2）从认证请求数据中获取数据、数据签名和⽤户数字证书，根据配置的CA根证书，校验⽤户证书是否由本CA签发，是否在有效期范围之内；

（3）查询证书数据库中相应证书的状态，检查⽤户证书是否被作废；（4）⽤⽤户证书校验数据签名；

（5）验证通过的数据、数据签名及相应的签名证书序列号交由EJB服务器⼊*****系统业务数据库存储；系统业务数据库的每⼀条记录应当增加数字签名和签名证书序列号两个字段。

2.4.4 基于WEB的签名验证管理系统

基于WEB的签名验证管理系统提供WEB⽅式的历史数据查询和签名校验功能，其业务流程如下：（1）查询历史数据和签名；

（2）根据签名证书序列号在证书数据库中查找⽤户证书；（3）使⽤⽤户证书校验签名；

证书数据库中必须保存⽤户的所有历史证书数据，以便对历史签名数据进⾏校验。2.5 数据加密传输通道（SSL）

⽬前，*****系统采⽤的是普通的HTTP传输通道和明⽂数据传送。通过在WEB应⽤服务器（WebLogic）上配置服务器证书和私钥，可以实现基于SSL的HTTPS传输通道，保证其中传送的数据的安全性。

以下⼏点说明：

（1）与HTTP⽅式相⽐HTTPS速度相对较慢；

（2）服务器证书的CN（Common Name）必须与站点名称⼀致；

（3）单向SSL，只对服务器证书进⾏验证，可配置双向SSL，要求对服务端证书和客户端的⽤户证书都进⾏验证。

图11 在WebLogic控制台中配置SSL服务3. 成功案例

中科院数字图书馆（https://http://www.doczj.com/doc/c4bfa5cb0c22590102029dc2.html ）CA数字证书受理与认证系统中国银⾏江苏分⾏⽹上外汇交易认证（http://202.102.32.19）

赛迪⽹安全电⼦邮局（http://www.doczj.com/doc/c4bfa5cb0c22590102029dc2.html ）CA数字证书受理与认证系统哨位监控系统CA数字证书受理与认证森林OA系统CA数字证书受理与认证基于中国电信CTCA的数字证书受理系统和认证系统：

中国电信安全公务平台（http://www.doczj.com/doc/c4bfa5cb0c22590102029dc2.html ）江苏电信RA数字证书受理系统（http://202.102.32.3）陕西省电信RA数字证书受理系统（http://202.100.43.106）贵州省电信OA系统认证安徽省电信OA系统认证电信协同办公系统认证湖北省电信VPN移动办公认证

中国电信集团公司市场部服务监督系统认证

中国电信集团公司综合部电信信息系统认证中国电信集团公司财务部信息系统认证中国电信集团公司法律部信息系统认证中国电信集团公司监管事务部信息系统认证4. 设备软件汇总及报价4.1 基本设备及软件

4.2 CA系统设备及软件

根据所选CA类型（⾃建或第三⽅）不同，系统略有差别，以下为⼆选⼀。4.2.1 ⾃建CA系统设备及软件

4.2.2 基于第三⽅CA的数字证书受理系统设备及软件

4.3 数字签名认证系统设备及软件

4.4 USB智能卡类型

备注：上述均为eKey-PK（公钥版）系列USB智能卡。5. 附录

《CA与数字签名认证系统报价》