CA数字证书认证系统培训资料.doc

CA数字证书认证系统培训资料 目　录 第1章 前言 5 1.1 物理安全 5 1.1.1 主要功能 6 1.1.2 组成部分 6 1.1.3 技术标准 6 1.2 网络及系统安全 7 1.2.1 主要功能 7 1.2.2 组成部分 7 1.2.3 遵循的标准 8 1.3 应用系统安全 8 1.3.1 主要功能 8 1.3.2 组成部分 9 1.4 安全管理和审计 9 1.4.1 安全管理的主要内容 10 1.4.2 安全审计的主要内容 10 第2章 PKI的概念 11 2.1 什么是PKI 11 2.1.1 数据机密性 11 2.1.2 可认证性 11 2.1.3 数据完整性 12 2.1.4 不可抵赖性 12 2.2 PKI中涉及到的密码算法 12 2.2.1 对称算法 13 2.2.2 非对称算法 14 2.2.3 数字签名算法 18 2.2.4 摘要算法 19 第3章 PKI的组成 21 3.1 典型PKI结构 21 3.2 X.509证书 21 3.2.1 X.509 V3 22 3.2.2 X.509C V3 24 3.2.3 标准扩展项 25 3.2.4 证书结构 26 3.3 PKI的功能 27 3.3.1 一个简单的PKI系统 27 3.3.2 PKI提供的核心服务 28 第4章 PKI/CA系统的结构 30 4.1 PKI/CA体系结构 30 4.2 PKI/CA主要功能 31 4.2.1 认证功能 31 4.2.2 数字证书管理功能 31 4.2.3 密钥管理功能 32 4.2.4 数据加密安全通信功能 32 4.2.5 数据完整性服务功能 32 4.2.6 访问控制功能 32 4.2.7 双密钥支持 33 4.2.8 支持数字签名的不可否认 33 4.2.9 支持CA间交叉认证 33 4.2.10 支持历史密钥的管理和恢复 33 4.2.11 支持时间戳服务 33 4.2.12 支持用户端应用软件 34 4.2.13 支持标准化密码算法应用 34 第5章 CA证书认证系统的结构 35 5.1 证书认证系统的总体结构 35 5.1.1 RCA 35 5.1.2 CA 35 5.1.3 SCA 35 5.1.4 RA 35 5.1.5 LA 36 5.2 证书认证系统的基本功能 36 5.3 证书认证系统的逻辑结构 36 5.4 证书认证系统的分层结构 37 第6章 CA证书认证系统的功能 39 6.1 证书签发服务器 39 6.2 密钥管理服务器 40 6.3 证书管理服务器 40 6.4 CA中心审计系统 41 6.5 CA中心计费系统 41 6.6 CA中心管理系统 41 6.7 网络监控预警系统 42 6.8 注册服务器RS 42 6.9 WWW服务器 42 6.10 LDAP证书和查询与发布服务器 42 6.11 证书状态实时查询服务器 43 第7章 CA证书认证系统的实施 44 7.1 系统的设计原则 44 7.1.1 规范化原则 44 7.1.2 安全性原则 44 7.1.3 先进性原则 44 7.1.4 标准化原则 44 7.1.5 可扩展性原则 44 7.1.6 实用性原则 44 7.1.7 模块化原则 45 7.2 系统的技术要求 45 7.3 系统的安全防护 46 7.3.1 防火墙 46 7.3.2 入侵检测 47 7.3.3 漏洞扫描 48 7.3.4 病毒防治 48 7.3.5 安全审计 49 7.3.6 Web信息防篡改 49 7.3.7 物理安全与容灾备份 50 7.4 工作协议和流程 50 7.4.1 CA系统工作流程 51 7.4.2 系统初始化流程 52 7.4.3 身份认证流程 52 7.4.4 业务工作流程 53 7.5 一个CA系统实例 53 7.5.1 总体结构 53 7.5.2 CA的设计 54 7.5.3 KM的设计 56 7.5.4 RA的设计 57 7.5.5 LA的设计 57 7.5.6 LDAP的设计 58 7.5.7 OCSP的设计 59 7.5.8 用户载休 60 7.5.9 备份系统 60 7.5.10 网络安全设计 61 第8章 相关技术标准 64 8.1 正在制订的标准或规范 64 8.2 已发布的标准或规范 64 8.3 主要应用标准 67 8.4 密码函数 67 8.5 数据格式和协议： 68 8.6 PKCS标准协议 68 前言 随着计算机技术、通信技术以及互联网技术的飞速发展，社会信息化进程逐渐加快，信息资源在整个社会的各个领域中的地位和作用变得越来越突出，各项社会活动(包括国家政治、经济、军事、科技、文化等方面)都将依赖于信息资源和信息系统的支撑。信息资源及其应用环境——信息基础设施将是整个信息化社会中最关键性的资源，是信息化社