CA数字签名认证系统.doc

CA数字签名认证系统 技术方案 北京科技有限公司 本文档的版权属于北京科技有限公司，任何使用、复制和公开此文档的行为都必须经过北京科技有限公司的书面许可。 目 录 1. 系统需求 1 1.1 背景概述 1 1.2 现状与需求概述 1 1.3 需求分析 2 1.3.1 CA建设与使用的分析 2 1.3.2 证书存储方式的分析 3 1.3.3 签名数据类型的分析 4 2. 技术方案 4 2.1 系统总体架构 4 2.2 系统数据库 5 2.3 CA数字证书受理系统 5 2.3.1 数字证书及其格式 5 2.3.2 自建CA数字证书受理系统 6 2.3.3 自建CA切换到第三方CA的可行性分析 9 2.3.4 基于第三方（CTCA）的数字证书受理系统 10 2.4 数字签名认证系统 12 2.4.1 数字签名认证的原理及流程 12 2.4.2 客户端浏览器签名控件 13 2.4.3 签名认证服务器及认证的业务流程 14 2.4.4 基于WEB的签名验证管理系统 15 2.5 数据加密传输通道（SSL） 15 3. 成功案例 16 4. 设备软件汇总及报价 17 4.1 基本设备及软件 17 4.2 CA系统设备及软件 17 4.2.1 自建CA系统设备及软件 17 4.2.2 基于CTCA的数字证书受理系统设备及软件 17 4.3 数字签名认证系统设备及软件 18 4.4 USB智能卡类型 18 5. 附录 18 系统需求 背景概述 随着计算机网络技术的迅速发展和信息化建设的大力推广，越来越多的传统办公和业务处理模式开始走向电子化和网络化，从而极大地提高了效率、节约了成本。与传统的面对面的手工处理方式相比，基于网络的电子化业务处理系统必须解决以下问题： 如何在网络上识别用户的真实身份； 如何保证网络上传送的业务数据不被篡改； 如何保证网络上传送的业务数据的机密性； 如何使网络上的用户行为不可否认； 基于公开密钥算法的数字签名技术和加密技术，为解决上述问题提供了理论依据和技术可行性；同时，《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据，使得数字签名与传统的手工签字和盖章具有了同等的法律效力。 PKI（Public Key Infrastructure）是使用公开密钥密码技术来提供和实施安全服务的基础设施，其中CA（Certificate Authority）系统是PKI体系的核心，主要实现数字证书的发放和密钥管理等功能。 数字证书由权威公正的CA中心签发，是网络用户的身份证明。使用数字证书，结合数字签名、数字信封等密码技术，可以实现对网上用户的身份认证，保障网上信息传送的真实性、完整性、必威体育官网网址性和不可否认性。 数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、网上证券、网上税务等行业和业务领域。 现状与需求概述 现状描述。。。。。。 基于上述现状，******系统需要解决数据的签名问题和法律效力问题，从而提高*****的便捷性和管理效率。鉴于数字证书、数字签名的广泛应用和相关法律的保障，****单位规划建设CA及数字签名认证系统，主要需求如下： 建设CA系统或采用第三方CA，为****用户申请数字证书； 在现有*****系统中加入对数据的签名功能，存储数据签名并提供对签名的认证功能； 需求分析 为了解决网上用户的身份证明问题，需要为用户颁发数字证书。数字证书由CA中心签发，目前在实际应用中主要存在两种类型的CA： 独立的第三方CA 跨区域的CA，如：中国电信的CTCA、中国人民银行的CFCA； 地域性的CA，如：广东电子商务认证中心CNCA、上海电子商务认证中心SHECA，以及其他各省电子商务认证中心； 各类应用系统自己建设的CA 如：招商银行、建设银行等建设的用于服务各自网上银行的CA；海关、税务等建设的服务各自网上报税系统的CA； 这两种类型的CA在实际使用过程中各有优劣，以下将进行分析和比较： CA建设与使用的分析 采用独立权威的第三方CA与自建CA的比较 独立权威的第三方CA 自建CA 建设/使用成本 一般由第三方CA按用户收取年费，建设投入和证书使用成本较高 一次投入建设成本，建成后可为用户免费发放证书，成本较低 证书的有效性检查 由第三方CA提供的CRL（证书撤销列表，实效性较差）或者OCSP（在线证书状态查询，依赖于外部系统，易形成性能瓶颈） 与业务系统紧密结合，对证书有效性的控制和检查实时准确 定制化/灵活性 按第三方规定的流程申请证书，受制于第三方的系统，还需要将用户证书导入业务系统中，灵活性较差 可以与业务系统紧密结合，满足业务系统的定制化需求，灵活性高 故障响应时间 故障解决依赖于第三方 故障响应及时 认证资质 已通过相关单位审批，有电子认证