證書認證系統是對周期內的證書管理的安全系統。在邏輯上��,證書認證系統可分為核心���、管理與服務三層,具體包括��:
①核心層:由證書CRL簽發系統��、證書CRL存儲發佈系統構成。
②管理層:由證書管理系統���、安全管理系統構成。
③服務層:由用戶註冊管理系統(含遠程用戶註冊管理系統)��、證書/CRL查詢系統組成。其中用戶註冊管理系統等價於RA。
1.用戶註冊管理系統
用戶註冊管理系統申請��、下載證書��,並審核用戶身份,該系統分為本地與遠程註冊管理系統。
(1)證書申請
證書申請有在線與離線兩種。在線方式指用戶由互聯網等登至用戶註冊管理系統申請證書;離線方式指用戶到規定的註冊组织申請證書。
(2)身份審核
審核人員由用戶註冊管理系統核驗申請者的身份。
(3)證書下載
證書下載有在線與離線兩種方式。在線方式指用戶顺利获得互聯網等登至用戶註冊管理系統下載;離線方式指用戶去規定的註冊组织下載。
2.證書/CRL簽發系統
證書CRL簽發系統用來生成����、簽發數字證書和CRL。
(1)證書類型
按主體對象,證書通常可分為人員��、設備和组织3種證書類型。按功能,可分為加密和簽名2種,具體分類方式可根據實際需求設計。
(2)證書機制
當用雙證書機制時,每個用戶有兩張數字證書:一張用在數字簽名,另一張是信息加密。用戶由有密碼運算的證書載體生成數字簽名的密鑰對;由密鑰管理系統產生信息加密的密鑰對。簽名與加密證書共同保存在用戶的證書載體中。
(3)證書籤發
該系統的CA簽發用戶的數字證書,根CA簽發自己的證書,下級CA的數字證書由上級CA簽發。
(4)CRL
CRL是在證書有效期內,CA簽發的終止用證書的信息,分為用戶證書作廢列表(CRL)和CA證書作廢列表(ARL)。證書使用過程中,應用系統由檢查CRL/ARL,得到有關證書的狀態。
3.證書CRL存儲發佈系統
證書CRL存儲發佈系統來存儲和發佈數字證書��、CRL。
應用環境不一樣的原因,證書/CRL存儲發佈系統可借數據庫或目錄服務方式,完成數字證書CRL的存儲���、備份和恢復,還有查詢服務。
用目錄服務方式可用主����、從目錄結構達到主目錄服務器的安全。同時從目錄服務器可分佈式的方式設置來提高系統效率。用戶只能訪問從目錄服務器。
4.證書CRL查詢系統
證書CRL查詢系統負責給用戶和應用系統給出證書狀態查詢服務,包括���:
①CRL查詢:用戶或應用系統用數字證書中標誌的CRL地址下載它,並核實證書的有用性。
②在線證書狀態查詢:用戶或應用系統由OCSP協議在線查證書的狀態。
實際應用中,可由具體情況用以上兩種查詢方式之一或兩者。
5.證書管理系統
證書管理系統是證書認證系統中完成申請����、審核���、生成����、簽發����、存儲���、發佈��、作廢��、歸檔證書CRL的管理控制系統。
6.安全管理系統
安全管理系統主要含安全審計系統與安全防護系統。
安全審計系統審計事件,記錄跟蹤��、統計和分析有系統安全的行為���、人員��、時間等。
安全防護系統可訪問控制��、入侵檢測��、漏洞掃描����、病毒防治。
