图3-1 证书认证系统总体架构图
Ø KMC区:由KMC管理终端、KMC后台服务器、KMC数据库服务器组成。
Ø 核心区:由签发服务器、主OCSP服务器、主目录服务器、CA数据库服务器组成。其中签发服务器上按照CA后台签发程序、CRL签发程序、签名服务程序。
Ø 管理区:由CA管理终端、CA查询终端、CA审计终端、CA监控终端。其中根据硬件需要,可以把这几个终端安装在一台机器上。
Ø 服务区:由从目录服务器、从OCSP服务器等组成。
Ø 远程RA区:由制证终端、RAWeb服务器、RA数据库服务器组成。RAWeb服务器提供WEB架构的服务,RA业务终端程序和RA管理终端程序可以架设在RAWEB服务器上。
证书认证系统[13]提供对数字证书全生命周期的过程管理功能,包括用户注册管理、证书/证书注销列表的生成与签发、证书/证书注销列表的存储与发布、证书状态的查询、密钥的生成与管理、过程安全审计等。
本证书认证系统设计采用双证书机制,并建设双中心[14](CA中心和KMC中心)。每个用户拥有两张数字证书,一张用于数字签名,另一张用于信息加密。用于数字签名的密钥对可以由用户利用具有密码运算功能的证书载体产生;用于信息加密的密钥对由密钥管理中心产生。签名证书和加密证书一起保存在用户的证书载体中。
本证书认证系统设计如下几个主要部分: KMC 子系统、 CA 子系统、 RA 子系统、面向应用接口。密钥管理中心子系统( KMC )主要提供安全、规范的密钥管理服务,实现用户密钥的生命周期管理、以及密钥管理的审计等功能; CA 子系统主要提供证书 /CRL 的生成与签发、证书 /CRL 的存储与发布、证书查询统计及审计日志安全管理等; RA 子系统主要提供证书申请、证书审核、证书制证、 RA 业务统计查询及安全审计等。各部分的组成模块为:
图3-2 证书认证系统总体模块图
KMC子系统:密钥自动产生模块、密钥发放服模块、KM管理模块、数据库模块。
CA子系统:证书签发模块、证书签发管理模块、CRL签发模块、CRL签发管理模块、签名服务模块、LDAP模块、OCSP
最低0.47元/天 解锁文章
1421
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
