[RA系统安装及初始化.pptVIP

RA系统安装及初始化 西部安全认证中心有限责任公司 一、背景 网络系统的应用安全需求 数据必威体育官网网址 数据完整 身份认证 行为抵赖 相关技术和标准 密码技术 数据签名 PKI技术体系 CA建设的国际/国内/行业的相关标准 政策要求 密码管理主管部门的要求 电子签名法的要求 建设PKI的必要性 二、CA系统 CA 简介 电子证书认证系统是电子证书的申请、审核、签发、注销、恢复、更新、查询的综合管理系统。 颁发的电子证书遵循X.509v3的规范。在证书有效的情况下，保证公钥能与确定的实体唯一相对应。 CA的职责 为网络世界中的实体颁发数字证书 CA所能解决的问题 身份认证－－数字证书 数据必威体育官网网址－－结合相关的密码技术 数据完整－－数字签名 防抵赖 －－数字签名 CA系统组成 CA系统逻辑结构 神华宁煤CA系统架构 神华宁煤RA系统网络结构图 发证流程 1、证书申请 第一步：用户带有效证件到RA受理点申请用户证书 第二步：用户填写证书申请信息表单 第三步：RA录入管理员将用户信息录入到系统中 第四步：用户到RA审核员处要求审核，RA审核员查询已录入的用户申请信息 第五步：RA审核员验证用户身份的真实性。如果用户身份真实，则发放身份识别码和用户授权码给用户或代理制证人员，否则拒绝用户的申请。身份识别码和用户授权码发送给用户。拒绝申请通知以电子邮件或信笺的形式通知用户。 第六步：用户或代理制证人员在收到身份识别码和用户授权码后，通过IE进行制证。证书将直接由智能密码钥匙进行存放和保护。 2、证书审核 RA审核人员对用户证书具有审核功能，审核流程如下： （1）、审核员根据用户填写的证书申请书直接对用户进行审核。 （2）、审核通过后，为该用户产生与其身份识别码相对应的授权码（AuthCode）。 （3）、以安全的方式将用户授权码传送给用户。 3、证书下载 用户从RA管理员处得到证书的两码（参考号，授权码），通过西部CA的注册系统下载自己的证书（可以自已下载证书也可以让管理员帮助下载证书）。 证书下载流程 用户使用的证书存储介质是KEY，该KEY支持RSA算法和SSF33算法。 用户在客户端软件上选择证书下载功能，并输入自己的Ref# AuthCode； 客户端软件驱动KEY产生两对RSA密钥对（一对用于签名证书A，一对用于传递加密证书的私钥B），私钥存储在KEY中，公钥和用户的Ref# AuthCode一起用私钥签名后发送给神华宁煤证书注册服务器； 神华宁煤注册服务器将用户的请求下载信息传送给签发服务器； 签发服务器在验证用户的签名正确之后，向密钥管理中心申请一对加密证书的密钥对C，同时将B的公钥Pb也提交给KMC； KMC产生一个用于SSF33算法使用的对称密钥K，用K加密C的私钥Sc，再用Pb加密K，然后将Pc+K（Sc）+Pb（K）回传给签发服务器； 签发服务器为用户签发两张证书，然后将两张证书以及加密后的私钥（K（Sc））以及Pb（K）传递给神华宁煤注册服务器； 神华宁煤注册服务器将上述信息回传给用户； 客户端软件利用KEY中的RSA算法解密K，再使用SSF33算法解密Sc，然后将证书和私钥写入用户的KEY中；这些操作都是在KEY中完成的，保证了Sc不会被其它人得到。 经过上述过程，就完成了证书的下载。 系统功能特点 三、签发系统组成 签发系统主要功能 四、KMC系统组成 KMC系统主要功能 五、注册审核系统（RA）组成 注册系统主要功能 RA系统-证书管理功能 证书管理 证书申请 证书冻结 证书解冻 证书更新 证书注销 证书授权码更新 证书制作 证书查询 用户信息维护 企业信息维护 RA系统-证书审核功能 证书审核 审核证书申请 审核证书冻结 审核证书解冻 审核证书更新 审核证书注销 审核授权码更新 RA系统-业务员证书管理功能 业务员证书管理 申请证书 冻结证书 解冻证书 更新证书 注销证书 更新授权码 证书查询 RA系统-权限管理功能 权限管理 授权业务员权限 修改业务员权限 增加角色 更新角色 删除角色 RA系统-系统设置功能 系统设置 模版更新 修改审核策略 归档业务日志 RA系统-统计、批量制证、设计管理功能 证书统计 证书统计 批量申请和制证 批量申请 批量制证 审计管理 查询业务日志 高安全性 符合国家有关安全规定 整体安全 物理与环境安全 数据安全：核心数据备份、目录服务主从结构 网络安全 主机安全 产品安全：高强度安全协议、支持硬件加密设备 安全策略 人员安全：管理员采用数字证书进行身份验证使用权限列表进行访问控制 高安全性－－运行安全 建立运行管理机构 人员管理规范 运行管理规范：认证中心管理规范、技术操作规范、安全与审计规范、档案归档管理规范 信息系统应急方案 电力系统应急方案 消防系