(Registration Authority)子系统组成,其一般设计原则如下:1)CA 子系统创建证书模板,分配证书模板集合。2)RA 子系统下载可使用的证书模板集合。3)RA 子系统根据证书模板要求填写证书各种扩展和属性。4)CA 子系统根据证书模板和RA 上传的报文签发用户证书。其模块组成见图1。
王保明 周大水 山东大学网络信息安全研究所应用数学专业 250100密钥管理中心子系统(KMC )主要提
供安全、规范的密钥管理服务,实现用户密钥的生命周期管理以及密钥管理的审计等
功能。
CA 子系统模块由CA 后台服务器模块、CA 前台管理模块、OCSP/LDAP服务模块、CRL 服务模块、CA 查询统计/CA1 引言
审计模块等组成。CA 后台服务器模块提供随着信息安全技术和公钥基础设施体
根据证书模板签发证书/证书注销列表,完系(Public Key Infrastructure ,PKI) 的飞
成证书的LDAP 存储、OCSP 发布管理;CA
速发展,以及各级证书认证中心
前台管理模块主要提供CA 创建、CA 策略
(Certificate Authority ,CA )系统的建设
配置,提供RA 的创建、配置、RA 设备证
和推广,亟需发展可靠的、满足多种应用的
书更新、注销管理,提供CA 内部设备、人
CA 系统方案。数字证书是保证安全的基
员证书管理,提供证书模块的管理功能,提
石,它在身份识别、访问控制, 以及安全通供CA 支持的证书模板分配功能。
信等方面起到越来越重要的作用。CA 系统RA 子系统模块由RA 后台服务器模
及数字证书不能满足各种安全应用的局限块、RA 管理终端模块、RA 业务终端模块、性也越来越受到人们的重视。通过在传统RA 查询统计/RA审计模块等组成。RA 后C A 系统中增加证书模板(C e r t i f i c a t e 台服务器模块提供用户信息数据库录入、Template )管理机制可以很好的实现CA 系证书请求申请、RA_CA间安全通讯等功统与应用的无缝结合。能。RA 业务终端模块主要提供用户信息的2 支持证书模板的证书认证系统简录入、用户身份审核及证书安装功能等。
RA 管理终端模块主要为RA 业务终端提供介配置功能,包括RA 设备证书、RA 人员证证书认证系统提供对数字证书全生命
证书申请时使用的项目信息、证书周期的过程管理功能,包括用户注册管理、书导入,
模板信息配置,以及RA 可访问CA 列表下证书/证书注销列表的生成与签发、证书/
载等。通过RA 管理终端专司配置,可满足证书注销列表的存储与发布、证书状态的
RA 业务终端多变的业务,面对更复杂的现查询、密钥的生成与管理、过程安全审计
实应用。等。
3 证书模板定义与分析支持证书模板机制的证书认证系统可
由密钥管理中心子系统(Key Man ager 3.1 证书模板定义
C e n t e r ,K M C )、C A 子系统、R A 证书模板概念最初由Windows 2000
证书认证系统
证书模板设计与实现
图1 证书认证系统模块组成图图2 证书组成元素分析图
(8) CA 管理终端程序若重新配置了提出。本文证书模板是指一系列配置的规
CA 证书模板集合,重复操作第6步、第7则集合,用来预定义CA 中心签发数字证书
步即可。所需的基本项信息、标准扩展信息和自定
4.2 证书模板安全性分析义扩展信息。证书模块按密钥用途可分为
证书模板在CA 子系统创建、在RA 子加密证书模板、签名证书模板;按证书用
系统下载并保存RA 数据库中,证书模板信途,可分为CA 证书模板、个人证书模板、
息安全性非常重要。证书模板安全性设计单位证书模板、代码签名证书模板、VPN
完整性、安全传输证书模板等。证书模板可以满足商业需求、主要体现在授权安全性、
性、使用操作不可否认性。面对复杂的现实应用。
CA 子系统创建、管理证书模板机制是3.2 证书模板元素分析
证书模板授权安全性的重要保障。CA 管理证书模板的元素组成直接与数字证书
员通过强身份认证机制登陆CA 前台管理的组成密切相关。数字证书是一种“网络身
程序,管理证书模板、配置CA 证书模板集份证”,它由证书认证中心签发;它是一种
合。CA 前台管理程序与CA 后台服务程序包含持有者信息、持有者公钥、颁发者、颁
统一协调完成证书模板服务、证书的签发,发者签名等信息的电子文件。
方便RA 子系统的承建与证书灵活申请。为了适应PKI 技术的发展,IETF 制定
证书模板完整性要求证书模板在RA 在Internet 上使用X.509和CRL 的标准。X.
数据库长期存放过程中,防止信息篡改。本509 V3版本证书组成元素分析见图2。
证书模板机制通过在模板结构中增加创建通过以上分析,证书模板配置的元素
可包括基本信息(证书模块名称、版本号、者签名来实现。将待签名数据
(tbsTemplet ),签名值和签名算法组成完整编号、创建时间等,简称TeBaseInfo )、持
证书模板数据。tbsTemplet 由TeBaseInfo 、有者/颁发者DN 项(TeDNInfo )、密钥标
T e D N I n f o 、T e K e y I D 、识符(TeKeyID )、密钥用途(TeKeyUse )、
TeExKeyUseTeAltName 、TeCRLInfo 、扩展密钥用途(TeExKeyUse )、签发者/
TeCPSInfo 、TeCAAccess 、TeOtherPri 、持有者别名(TeAltName )、 CRL发布点
(TeCRLInfo )、 策略发布点(TeCPSInfo )、TeUserPri 等组成。
证书模板安全传输通过R A 子系统、CA 信息访问(TeCAAccess )、其他标准扩
CA 子系统安全通讯来保证,一般RA_CA展(T e O t h e r P r i )和自定义私有扩展
安全通讯通过SSL 或者VPN 机制来保证。(TeUserPri )等。
证书模板使用不可否认性通过RA 业4 证书模板机制设计
务操作员每一笔业务增加操作员签名、审
4.1 证书模板流程设计
计日志来保证。(1) CA前台管理程序初始化时,创建
定义填写特性等组成。自定义扩展界面显
示名称用于RA 子系统前台界面显示,自定义填写特性用于指明本扩展是RA 子系统用户录入填写,还是CA 服务后台程序自动生成填写。其ASN.1语法表示如下:
5.2 证书模板ASN.1语法描述
6 总结
本文对证书模板机制的分析实现在现实CA 方案建设中具有很强的理论指导和实用价值。本文证书模板机制设计思路可以很方便的应用在证书注销列表签发、PMI 系统中属性证书(attribute certificates)的签发流程中。随着证书认证系统在证券、政府、银行、大型企业的广泛应用,证书模板机制的证书认证系统更需要人们关注、研究和实现。
5 证书模板机制实现CA 证书模板用于签发CA 证书;创建人员
开发系统互联(O p e n S y s t e m s 证书模板用于签发CA 内部人员证书;创建
I n t e r c o n n e c t i o n ,O S I )使用A S N. 1设备证书模板用于签发CA/RA设备证书;
(Abstract Syntax Notation One ,X.208) 创建用户证书模板,用于签发用户证书。
描述抽象对象。BER 规则(Basic Encoding(2) CA前台管理程序分配证书模板集
Rules )负责将这些抽象对象编码为0、1表合给CA 体系。
示的比特串,B E R 的子集D E R (3) CA前台管理程序,创建RA 、配
(Distinguished Encoding Rules )进一步置RA 可访问的CA 集合。
保证这种编码的唯一性。PKIX 的X.509证(4) CA后台服务程序启动,接受证书
书、RSA 的PKCS 标准均是使用ASN.1定管理类报文、证书申请类报文。
义。本系统证书模板设计采用ASN.1语法(5) RA管理终端程序初始化时,导入
描述、使用DER 编码实现,生成的证书模RA 人员和RA 设备证书,承建RA 中心,并
板数据能跨平台使用。启动RA 服务后台程序。
5.1 证书模板自定义私有扩展配置实(6) RA管理终端程序通过RA 服务后
现台程序发送证书管理类报文给CA 后台服
证书私有扩展的ASN.1语法描述如务程序,完成RA 可访问CA 配置、RA 可
下:使用的证书模板配置,配置RA 证书申请时
不同项目关联的证书模板。
(7) RA业务终端程序通过RA 服务后台程序发送证书申请类报文给CA 后台服务程序,完成证书申请。CA 后台服务程序分析报文类型,根据证书模板完成证书签发、根据不同证书业务完成证书的管理。证证书模板的自定义扩展配置需要由自书申请业务主要包括证书新增、证书更新、定义扩展OID 值、自定义扩展关键性、自证书注销、证书冻结解冻等。定义扩展值、自定义扩展界面显示名称、自
-
(Registration Authority)子系统组成,其一般设计原则如下:1)CA 子系统创建证书模板,分配证书模板集合。2)RA 子系统下载可使用的证书模板集合。3)RA 子系统根据证书模板要求填写证书各种扩展和属性。4)CA 子系统根据证书模板和RA 上传的报文签发用户证书。其模块组成见图1。
王保明 周大水 山东大学网络信息安全研究所应用数学专业 250100密钥管理中心子系统(KMC )主要提
供安全、规范的密钥管理服务,实现用户密钥的生命周期管理以及密钥管理的审计等
功能。
CA 子系统模块由CA 后台服务器模块、CA 前台管理模块、OCSP/LDAP服务模块、CRL 服务模块、CA 查询统计/CA1 引言
审计模块等组成。CA 后台服务器模块提供随着信息安全技术和公钥基础设施体
根据证书模板签发证书/证书注销列表,完系(Public Key Infrastructure ,PKI) 的飞
成证书的LDAP 存储、OCSP 发布管理;CA
速发展,以及各级证书认证中心
前台管理模块主要提供CA 创建、CA 策略
(Certificate Authority ,CA )系统的建设
配置,提供RA 的创建、配置、RA 设备证
和推广,亟需发展可靠的、满足多种应用的
书更新、注销管理,提供CA 内部设备、人
CA 系统方案。数字证书是保证安全的基
员证书管理,提供证书模块的管理功能,提
石,它在身份识别、访问控制, 以及安全通供CA 支持的证书模板分配功能。
信等方面起到越来越重要的作用。CA 系统RA 子系统模块由RA 后台服务器模
及数字证书不能满足各种安全应用的局限块、RA 管理终端模块、RA 业务终端模块、性也越来越受到人们的重视。通过在传统RA 查询统计/RA审计模块等组成。RA 后C A 系统中增加证书模板(C e r t i f i c a t e 台服务器模块提供用户信息数据库录入、Template )管理机制可以很好的实现CA 系证书请求申请、RA_CA间安全通讯等功统与应用的无缝结合。能。RA 业务终端模块主要提供用户信息的2 支持证书模板的证书认证系统简录入、用户身份审核及证书安装功能等。
RA 管理终端模块主要为RA 业务终端提供介配置功能,包括RA 设备证书、RA 人员证证书认证系统提供对数字证书全生命
证书申请时使用的项目信息、证书周期的过程管理功能,包括用户注册管理、书导入,
模板信息配置,以及RA 可访问CA 列表下证书/证书注销列表的生成与签发、证书/
载等。通过RA 管理终端专司配置,可满足证书注销列表的存储与发布、证书状态的
RA 业务终端多变的业务,面对更复杂的现查询、密钥的生成与管理、过程安全审计
实应用。等。
3 证书模板定义与分析支持证书模板机制的证书认证系统可
由密钥管理中心子系统(Key Man ager 3.1 证书模板定义
C e n t e r ,K M C )、C A 子系统、R A 证书模板概念最初由Windows 2000
证书认证系统
证书模板设计与实现
图1 证书认证系统模块组成图图2 证书组成元素分析图
(8) CA 管理终端程序若重新配置了提出。本文证书模板是指一系列配置的规
CA 证书模板集合,重复操作第6步、第7则集合,用来预定义CA 中心签发数字证书
步即可。所需的基本项信息、标准扩展信息和自定
4.2 证书模板安全性分析义扩展信息。证书模块按密钥用途可分为
证书模板在CA 子系统创建、在RA 子加密证书模板、签名证书模板;按证书用
系统下载并保存RA 数据库中,证书模板信途,可分为CA 证书模板、个人证书模板、
息安全性非常重要。证书模板安全性设计单位证书模板、代码签名证书模板、VPN
完整性、安全传输证书模板等。证书模板可以满足商业需求、主要体现在授权安全性、
性、使用操作不可否认性。面对复杂的现实应用。
CA 子系统创建、管理证书模板机制是3.2 证书模板元素分析
证书模板授权安全性的重要保障。CA 管理证书模板的元素组成直接与数字证书
员通过强身份认证机制登陆CA 前台管理的组成密切相关。数字证书是一种“网络身
程序,管理证书模板、配置CA 证书模板集份证”,它由证书认证中心签发;它是一种
合。CA 前台管理程序与CA 后台服务程序包含持有者信息、持有者公钥、颁发者、颁
统一协调完成证书模板服务、证书的签发,发者签名等信息的电子文件。
方便RA 子系统的承建与证书灵活申请。为了适应PKI 技术的发展,IETF 制定
证书模板完整性要求证书模板在RA 在Internet 上使用X.509和CRL 的标准。X.
数据库长期存放过程中,防止信息篡改。本509 V3版本证书组成元素分析见图2。
证书模板机制通过在模板结构中增加创建通过以上分析,证书模板配置的元素
可包括基本信息(证书模块名称、版本号、者签名来实现。将待签名数据
(tbsTemplet ),签名值和签名算法组成完整编号、创建时间等,简称TeBaseInfo )、持
证书模板数据。tbsTemplet 由TeBaseInfo 、有者/颁发者DN 项(TeDNInfo )、密钥标
T e D N I n f o 、T e K e y I D 、识符(TeKeyID )、密钥用途(TeKeyUse )、
TeExKeyUseTeAltName 、TeCRLInfo 、扩展密钥用途(TeExKeyUse )、签发者/
TeCPSInfo 、TeCAAccess 、TeOtherPri 、持有者别名(TeAltName )、 CRL发布点
(TeCRLInfo )、 策略发布点(TeCPSInfo )、TeUserPri 等组成。
证书模板安全传输通过R A 子系统、CA 信息访问(TeCAAccess )、其他标准扩
CA 子系统安全通讯来保证,一般RA_CA展(T e O t h e r P r i )和自定义私有扩展
安全通讯通过SSL 或者VPN 机制来保证。(TeUserPri )等。
证书模板使用不可否认性通过RA 业4 证书模板机制设计
务操作员每一笔业务增加操作员签名、审
4.1 证书模板流程设计
计日志来保证。(1) CA前台管理程序初始化时,创建
定义填写特性等组成。自定义扩展界面显
示名称用于RA 子系统前台界面显示,自定义填写特性用于指明本扩展是RA 子系统用户录入填写,还是CA 服务后台程序自动生成填写。其ASN.1语法表示如下:
5.2 证书模板ASN.1语法描述
6 总结
本文对证书模板机制的分析实现在现实CA 方案建设中具有很强的理论指导和实用价值。本文证书模板机制设计思路可以很方便的应用在证书注销列表签发、PMI 系统中属性证书(attribute certificates)的签发流程中。随着证书认证系统在证券、政府、银行、大型企业的广泛应用,证书模板机制的证书认证系统更需要人们关注、研究和实现。
5 证书模板机制实现CA 证书模板用于签发CA 证书;创建人员
开发系统互联(O p e n S y s t e m s 证书模板用于签发CA 内部人员证书;创建
I n t e r c o n n e c t i o n ,O S I )使用A S N. 1设备证书模板用于签发CA/RA设备证书;
(Abstract Syntax Notation One ,X.208) 创建用户证书模板,用于签发用户证书。
描述抽象对象。BER 规则(Basic Encoding(2) CA前台管理程序分配证书模板集
Rules )负责将这些抽象对象编码为0、1表合给CA 体系。
示的比特串,B E R 的子集D E R (3) CA前台管理程序,创建RA 、配
(Distinguished Encoding Rules )进一步置RA 可访问的CA 集合。
保证这种编码的唯一性。PKIX 的X.509证(4) CA后台服务程序启动,接受证书
书、RSA 的PKCS 标准均是使用ASN.1定管理类报文、证书申请类报文。
义。本系统证书模板设计采用ASN.1语法(5) RA管理终端程序初始化时,导入
描述、使用DER 编码实现,生成的证书模RA 人员和RA 设备证书,承建RA 中心,并
板数据能跨平台使用。启动RA 服务后台程序。
5.1 证书模板自定义私有扩展配置实(6) RA管理终端程序通过RA 服务后
现台程序发送证书管理类报文给CA 后台服
证书私有扩展的ASN.1语法描述如务程序,完成RA 可访问CA 配置、RA 可
下:使用的证书模板配置,配置RA 证书申请时
不同项目关联的证书模板。
(7) RA业务终端程序通过RA 服务后台程序发送证书申请类报文给CA 后台服务程序,完成证书申请。CA 后台服务程序分析报文类型,根据证书模板完成证书签发、根据不同证书业务完成证书的管理。证证书模板的自定义扩展配置需要由自书申请业务主要包括证书新增、证书更新、定义扩展OID 值、自定义扩展关键性、自证书注销、证书冻结解冻等。定义扩展值、自定义扩展界面显示名称、自
-