CA认证系统

课程设计报告课程名称通信技术课程设计报告题目烟草商业CA认证系统的分析与设计院（系）信息与控制工程学院专业班级通信1102班姓名屈冰慧学号110630207指导教师彭晓天2014年12月17日摘要基于互联网的公开性、匿名性等特点，网络信息的安全问题也墨益突出目前，在网络信息安全领域，本论文以烟草商业信息系统的网络现状为主要的研究对象，对烟草CA系统的发展作了研究、规划、设计。本文主要介绍了烟草CA系统建设的项目背景，对烟草CA系统的安全需求进行分析，并基于需求分析，提出CA系统建设方案的总体规划设计，并详细设计CA系统的CA认证中心(CAServer)的建设方案。其中对证书的申请、审核、下载、更新、撤销流程，密钥生成和管理等内容进行了重点的论述。关键词：网络安全，公钥基础设施，认证中心，注册机构，密钥管理中心目录1课题背景与意义...........................................................................................................................42身份认证技术发展现状...............................................................................................................23系统安全风险分析.......................................................................................................................43.1现有系统安全风险分析....................................................................................................43.2CA系统总体设计...............................................................................................................43.2.1逻辑框架.................................................................................................................43.2.2网络构架.................................................................................................................54CA系统详细设计.........................................................................................................................74.1CA认证中心(CAServer)网络结构................................................................................74.2功能设计............................................................................................................................74.2.1证书设计.................................................................................................................74.2.2证书管理.................................................................................................................94.2.3证书注销列表(CRL)管理.......................................................................................94.2.4权限管理...............................................................................................................104.3流程设计..........................................................................................................................115测试及实验结果.........................................................................................................................145.1测试环境..........................................................................................................................145.2测试方案及测试数据......................................................................................................146总结与展望.................................................................................................................................166.1课题总结..........................................................................................................................166.2展望..................................................................................................................................16参考文献........................................................................................................................................181课题背景与意义随着信息技术的发展和普及，信息化已经逐渐深入各个领域，信息化特色已经成为政府、企业信息建设的一种必然趋势。信息化的程度已经成为制约综合业务水平和发展速度的重要指标。信息网络技术的应用正日益普及，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，已经在典型的如金融业务系统、网上交易业务系统、企业内部应用系统、政府办公系统等系统广泛应用。在这股信息化浪潮的推动下，为了提高办事效率，各个单位纷纷利用先进的IT技术来降低政务办公的成本和加强信息管理，广泛地开展电子政务[1]。虽然Internet的普及应用为企业带来了很多商业利益，对人们的生活也带来了更多方便，但是同时也增加了企业网络的安全风险，为怀有恶意企图的黑客留下了一扇永不关闭的窗口。所以，企业信息化建设万万不能忽视信息安全的保护，尤其要注意企业数据信息的加密和网络安全监控。如果没有对系统和网络的安全性进行评估，也没有对企业核心数据的保密和安全防范，那么灾难的发生就仅仅是一个时间的问题了。建立以PKI技术为基础的CA认证系统，实现基于数字证书的身份认证、通信安全和数据安全，解决计算机应用系统的身份认证和应用安全势在必行。由于业务发展的需要，烟草商业信息系统建设项目中，为了保证系统的正常运转，希望采取安全的措施来保障各个应用系统运行的安全。这些安全问题，需要采用先进的安全技术对网上信息的发送方、接收方进行身份确认，以保证各方信息传递的安全性、完整性、可靠性，以及交易和签名的不可抵赖性。PKI/CA(公钥基础设施/认证中心)作为一种建立在密码技术基础上的信息安全技术和安全体系架构，是目前唯一能够同时解决身份认证、访问控制、信息保密和抗抵赖的安全技术，是保证电子商务、电子政务、网上核心业务的权威性、可信任性的关键技术。因此需要建设一个安全、稳定、高效的PKI/CA运营平台，来保障烟草商业信息系统安全建设项目项目中的身份认证、信息加密、信息抗抵赖等安全问题。22身份认证技术发展现状信息系统中，对用户的身份认证手段也大体可以分为三种，仅通过一个条件的符合来证明一个人的身份称之为单因子认证，由于仅使用一种条件判断用户的身份容易被仿冒，可以通过组合两种不同条件来证明一个人的身份，称之为双因子认证。身份认证技术从是否使用硬件可以分为软件认证和硬件认证，从认证信息来看，可以分为静态认证和动态认证。身份认证技术的发展，经历了从软件认证到硬件认证，从单因子认证到双因子认证，从静态认证到动态认证的过程。现在计算机及网络系统中常用的身份认证方式主要有以下几种：(1)用户名/密码方式用户名/密码是最简单也是最常用的身份认证方法。每个用户的密码是由这个用户自己设定的，只有他自己才知道，因此只要能够正确输入密码，计算机就认为他就是这个用户。这种方式是一种极不安全的身份认证方式。(2)IC卡认证IC卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份，通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。因此，静态验证的方式还是存在根本的安全隐患。(4)动态口令动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。动态口令技术采用一次一密的方法，有效地保证了用户身份的安全性。但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登陆的问题。并且用户每次登录时还需要通过键盘输入一长串无规律的密码，一旦看错或输错就要重新来过，用户的使用非常不方便。(5)生物特征认证生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。(6)USBKey认证基于USBKey的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内3置的密码学算法实现对用户身份的认证。基于