证书认证系统是对周期内的证书管理的安全系统。在逻辑上,证书认证系统可分为核心、管理与服务三层,具体包括:
①核心层:由证书CRL签发系统、证书CRL存储发布系统构成。
②管理层:由证书管理系统、安全管理系统构成。
③服务层:由用户注册管理系统(含远程用户注册管理系统)、证书/CRL查询系统组成。其中用户注册管理系统等价于RA。
1.用户注册管理系统
用户注册管理系统申请、下载证书,并审核用户身份,该系统分为本地与远程注册管理系统。
(1)证书申请
证书申请有在线与离线两种。在线方式指用户由互联网等登至用户注册管理系统申请证书;离线方式指用户到规定的注册机构申请证书。
(2)身份审核
审核人员由用户注册管理系统核验申请者的身份。
(3)证书下载
证书下载有在线与离线两种方式。在线方式指用户通过互联网等登至用户注册管理系统下载;离线方式指用户去规定的注册机构下载。
2.证书/CRL签发系统
证书CRL签发系统用来生成、签发数字证书和CRL。
(1)证书类型
按主体对象,证书通常可分为人员、设备和机构3种证书类型。按功能,可分为加密和签名2种,具体分类方式可根据实际需求设计。
(2)证书机制
当用双证书机制时,每个用户有两张数字证书:一张用在数字签名,另一张是信息加密。用户由有密码运算的证书载体生成数字签名的密钥对;由密钥管理系统产生信息加密的密钥对。签名与加密证书共同保存在用户的证书载体中。
(3)证书签发
该系统的CA签发用户的数字证书,根CA签发自己的证书,下级CA的数字证书由上级CA签发。
(4)CRL
CRL是在证书有效期内,CA签发的终止用证书的信息,分为用户证书作废列表(CRL)和CA证书作废列表(ARL)。证书使用过程中,应用系统由检查CRL/ARL,得到有关证书的状态。
3.证书CRL存储发布系统
证书CRL存储发布系统来存储和发布数字证书、CRL。
应用环境不一样的原因,证书/CRL存储发布系统可借数据库或目录服务方式,完成数字证书CRL的存储、备份和恢复,还有查询服务。
用目录服务方式可用主、从目录结构达到主目录服务器的安全。同时从目录服务器可分布式的方式设置来提高系统效率。用户只能访问从目录服务器。
4.证书CRL查询系统
证书CRL查询系统负责给用户和应用系统给出证书状态查询服务,包括:
①CRL查询:用户或应用系统用数字证书中标志的CRL地址下载它,并核实证书的有用性。
②在线证书状态查询:用户或应用系统由OCSP协议在线查证书的状态。
实际应用中,可由具体情况用以上两种查询方式之一或两者。
5.证书管理系统
证书管理系统是证书认证系统中完成申请、审核、生成、签发、存储、发布、作废、归档证书CRL的管理控制系统。
6.安全管理系统
安全管理系统主要含安全审计系统与安全防护系统。
安全审计系统审计事件,记录跟踪、统计和分析有系统安全的行为、人员、时间等。
安全防护系统可访问控制、入侵检测、漏洞扫描、病毒防治。
