企业CA系统建设及运维方案
1.1 PKI概述
PKI(Public Key Infrastructure )是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易,通信和互联网上的各种活动。
PKI包含了以下基本构成部分:
- CA(数字认证中心):即网络中公正的第三方,CA的根本职责是维护整套信任体系,认证网络实体身份,并利用数字签名技术,将用户密钥与用户身份进行绑定。
- RA(注册审核中心):即PKI体系中的业务机构,CA的根本职责是从业务层角度,维护数字证书的整个生命周期,如审核用户身份、发放数字证书、延期数字证书、变更数字证书等。
- 证书发布系统:CA在签发数字证书后,将数字证书发布至LDAP上,以供数字证书使用者进行查询。
- 证书作废系统:数字证书在使用过程中,由于丢失或介质损坏等情况的发生,而导致数字证书必须进行挂失或废止。证书作废系统解决了所以以上问题,负责吊销数字证书,并以黑名单的方式发布至LDAP上或提供OCSP(在线证书状态查询)的方式提供证书有效性查询。
- 密钥管理系统:密钥管理系统负责维护客户的密钥,当证书由于丢失情况发生导致文件无法解密时,需要从密钥管理系统中恢复证书密钥。密钥管理系统保存了所有用户的历史密钥,并提供恢复策略。
1.3 PKI系统建设内容
汇信科技提供的聚安数字认证系统包含了所有PKI组件,包括CA、RA、RA Online、CRL、证书发布等。
整个PKI体系发证工作流程如下:
- 终端用户至LRA申请数字证书;
- LRA将数字证书请求提交至RA系统;
- RA系统审核数字证书,并将数字证书签发请求提交CA;
- CA调用密钥管理模块,以及证书签发模块,签发完成数字证书;
- CA即时将数字证书发布至LDAP;
- CA将签发完成的数字证书返回给RA,RA将数字证书返回给LRA;
- LRA将数字证书写入硬件USBKEY。
PKI体系实质上是一个数字声明管理流程。除了数字证书心领业务外,PKI体系还维护了数字证书延期、变更、挂失、解挂、废除、重发等业务。其实质上都是在CA的协调下开展的数字证书生命周期管理流程。
1.4 PKI的应用
PKI作为信息安全的基础设施,可以应用于所有的应用系统中。但从本质上来说,PKI解决了应用系统中的以下三个问题:
- 身份认证
数字证书实现身份认证是目前业界公认的安全程度最高的身份认证方式。数字证书代表了实体在网络中的真实身份,在系统登录的过程中,向服务端提交数字证书,服务端检查数字证书的有效性,并判断登录者是否是数字证书的合法拥有者,如果是则允许用户登录。
基于数字证书实现身份认证,实际上是公钥密码学在身份领域的最经典的应用。目前已经广泛应用于网银、电子商务等领域。 - 数据安全
PKI本身是基于密码学实现的一个基础设施型技术。基于PKI可以实现传输通道加密、数据存储加密等一系列功能。
作为基础设施的PKI,可以嵌入到企业所有的应用中,对应用中的数据起到保护作用。 - 防抵赖-电子签名
PKI技术是目前可以在网络中真正实现防抵赖的唯一的一项技术。在现实环境下的手写签字盖章的功能,在网络中我们可以利用电子签名技术实现。而电子签名技术必须基于数字证书结合公钥理论实现。
在实际的应用过程中,衍生出了很多PKI应用产品,如SSL网关、SSL VPN、电子签章产品等。这些产品与具体的应用系统均可以结合使用,汇信科技提供PKI应用的全套解决方案。
