认证机构CA的安全体系设计.pdf

第30卷增刊计算机工程 2004年12月竖2墨兰旦墨些￡型!!丝!塑绝￡芭曼坚丝竺竺竺竺翌竺!!!望望g!望!!!!璺曼 Q!竺!堡垒!!!壁Q兰·安全技术· 文章编号:t900—3428(2004)靳1|—0288.-03 文献标识码:A 中圈分类号t TP 认证机构CA的安全体系设计聂小逛”,郑东‘,赢健2 (,上海200030;,无锡214083) 摘要:认证机构CA是电子商务和电子政务的基础设施,CA自身的安全是重中之重。该文从分析认证机构CA面临的安全威胁入手,从体系结构、密码支撑、物理安全、网络安全、系统和数据安全等多角度、全方位考虑CA系统的安全体系设计。关键词:公钥基础设施PKI;认证机构CA;安全性;网络隔离;安全策略 Securitv Research ofCertificate Authentication NIE Xiaofeng“2,ZHENG Dong。,GU Jian2 ( Science and Engineering,Shanghai Jiaotong University,Shanghai 200030; puting Technology,Wuxi 214083) [Abstractl Certificateauthentication the merce and E-government affair,thus thesatety ofCA the most paper analyses CA faced with,then discusses thesafetydesign ofCA from much angle andeach aspect such assystem framework,cipher support,safe environment,work,safe dataandsafesystem. [Keywordsl Publickey infrastt·ucture;Certificate authentication;work isolation;Security policy PKI是一个采用非对称算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种主体(包括组织和个人)身份的惟一性、真实性和合法陛,保护信息网络空间中各种主体的安全利益。一个完整的PKI系统由认证机构(cA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)5大系统构成。其中,认证机构CA是PKI的核心,是PKI应用中权威的、可信任的、公正的第3方机构。CA在公钥加密技术基础上实现证书的产生、归档、发放以及作废等管理功能, 并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范,为PKI体系中的各成员提供全部的安全服务,也就是身份认证、数据保密性、数据完整性以及不可否认性服务。CA系统是整个使用PKI的网络系统的安全关键,安全性是保证CA公正、可信赖、权威的基础。在CA系统的建设中,安全问题是重中之重。必须对威胁系统安全的各方面因素综合考虑,制定切实可行的安全策略和防范手段,建立完