【正文】 一個過程，并且從錄入到審核這個時間是沒有辦法估量。證書內(nèi)容的描述：fCertificate ::= SEQUENCE{ ftbsCertificate fTBSCertificate fsinnatureAlgorithm fAlgorithmIdentifier fsignatureValue BIT STRING}簽名算法為CA對證書簽名時的算法，其類型為AlgorithmIdentifier。 CA、證書持有者、依賴方和資料庫。數(shù)字證書的內(nèi)容一般包括版本號、證書主體、主體公鑰信息、簽發(fā)者、序列號、有效期等合理性信息。KMC的大概工作過程就是：解析CA發(fā)來的申請密鑰信息，然后從備用數(shù)據(jù)庫中取出密鑰，并且將申請人信息與密鑰保存在在用數(shù)據(jù)庫中，然后構(gòu)成返回信息，最后通過網(wǎng)絡(luò)安全通道傳送給CA。KMC中主要包括三個數(shù)據(jù)庫、加密卡和通訊密鑰對。RA不僅僅可以直接與用戶進(jìn)行交互，管理用戶信息以及證書等相關(guān)業(yè)務(wù)，在后期的維護(hù)以及其對用戶信息的審核都有著重要的作用。 RA的工作過程驗證者提交公鑰和自己的身份信息后，RA首先要檢測申請者擁有相應(yīng)的私鑰，另外還要對密鑰的安全強(qiáng)度（密鑰長度、密鑰的使用期密鑰種子）、密鑰托管和恢復(fù)、算法等進(jìn)行審核；然后，RA系統(tǒng)要進(jìn)行對申請著身份的驗證，確定申請者就是證書所標(biāo)識的試題，或者申請者有足夠的權(quán)限來代替其他的申請者，還要檢查申請者身份信息中的各個方面的內(nèi)容（姓名等）進(jìn)行檢查。中國商用PKI系統(tǒng)結(jié)構(gòu)圖如圖21所示：圖21 中國商用PKI系統(tǒng)結(jié)構(gòu)圖 RA 注冊機(jī)構(gòu) 什么是RARA是證書注冊機(jī)構(gòu)，是CA與用戶之間的接口。 CA的工作過程CA作為可信第三方，就必須讓信任實體擁有追究自己責(zé)任的能力。 該規(guī)范的組件有證書管理系統(tǒng)和證書/CRL簽發(fā)系統(tǒng)（證書的簽發(fā)、證書撤銷和CRL簽發(fā)，即CA）、用戶注冊管理系統(tǒng)和遠(yuǎn)程用戶注冊管理系統(tǒng)（RA）、證書/CRL存儲發(fā)布系統(tǒng)和證書/CRL查詢系統(tǒng)（資料庫）、密鑰安全中心（KMC）和安全管理系統(tǒng)（系統(tǒng)審計和安全防護(hù)）。比如，PKI保證下載文件不被黑客篡改，可以保證護(hù)照等證件的真實性。憑借自己的優(yōu)勢已經(jīng)漸漸滲入網(wǎng)絡(luò)的各個層面。輔助組建不是必須的，只是在某種情況下用來更加完善PKI系統(tǒng)，使其更好的完成服務(wù)。PKI最基本的組件是證書認(rèn)證中心（CA）、證書持有者和依賴方。 PKI的技術(shù)的研究內(nèi)容 PKI在公開密碼學(xué)的基礎(chǔ)上，主要解決密鑰認(rèn)證的問題。該論文第一章是引言；第二章主要講述身份管理與數(shù)字證書同步系統(tǒng)所遇到的相關(guān)技術(shù)和算法；第三章會結(jié)合身份管理與數(shù)字證書同步系統(tǒng)，來更加完美的展示這種同步技術(shù)；第四章是對本系統(tǒng)進(jìn)行測試，用實際總結(jié)該系統(tǒng)優(yōu)缺點；最后總結(jié)了一下經(jīng)驗教訓(xùn)，確定自己今后在這個課題上的研究方向。 論文的研究意義 該系統(tǒng)并不是每個用戶都可以自動創(chuàng)建證書，而必須是擁有某種權(quán)限的人才可以，即擁有足夠權(quán)限的數(shù)字證書登錄的時候才可以自動創(chuàng)建證書，并且可以根據(jù)數(shù)字證書里面的信息判斷證書的類型等相關(guān)屬性，這樣便可以有法則的安全的創(chuàng)建并管理用戶。 但是在管理著用這種方法對龐大的用戶信息進(jìn)行管理的時候出新了一個新的問題，就是操作的復(fù)雜性。rootcertificate,and admins can digital certificate technology.身份管理與數(shù)字證書同步系統(tǒng)解決了這個問題，只需要一次根證書的認(rèn)證，就可以在信息管理系統(tǒng)中自動調(diào)用申請接口，自動完整數(shù)字證書的簽發(fā)過程，既保證了安全，又帶來了方便。授權(quán)和管理在兩個系統(tǒng)間反復(fù)的輸入用戶信息。in the management of using the PKIIt only needs ainterface of applying cert when managing users’ it can automatically plete digital certificate issuance .Obviously ,it is safety and the era with efficiency and security,The Identity Management and Digital Certificate Information Synchronization System should be produced.Keywords： PKI digital certificate Information security 目 錄1 引言 1 論文的選題背景 1 論文的研究意義 1 論文的內(nèi)容安排 22 相關(guān)技術(shù)簡介與研究意義 2 PKI 2 什么是PKI 2 PKI的技術(shù)的研究內(nèi)容 2 PKI優(yōu)點 3 PKI的意義 4 中國商用PKI系統(tǒng)體系 4 CA 證書認(rèn)證中心 4 什么是CA 4 CA的工作過程 4 RA 注冊機(jī)構(gòu) 5 什么是RA 5 RA的工作過程 6 RA的意義 6 KMC 6 什么是KMC 6 KMC的工作過程 6 KMC研究的意義 7 數(shù)字證書 7 什么是數(shù)字證書 7 數(shù)字證書的描述方法 7 標(biāo)準(zhǔn) 8 8 83 關(guān)于身份管理與數(shù)字證書同步系統(tǒng)的設(shè)計分析 13 系統(tǒng)用例圖 13 RA證書審核模型 13 CA數(shù)字證書頒發(fā)模型 15 KMC密鑰生成模型 17 接口說明 18 證書申請接口applyCert 18 證書制作接口writeCertToKey 19 自動申請并制作證書接口autoApplyAndWriteKey 20 證書更新接口updateCert 21 重要數(shù)據(jù)庫表的設(shè)計 224 測試與分析 25 測試實例說明 26 環(huán)境部署 26 必備的開發(fā)工具 26 配置步驟 26 操作以及代碼說 31 證書申請 31 證書制作 33 自主制證 36 證書更新 38結(jié) 論 40參 考 文 獻(xiàn) 41致 謝 42 2 1 引言 論文的選題背景近年來，對著Internet的迅速崛起，互聯(lián)網(wǎng)已經(jīng)進(jìn)入了人們工作學(xué)習(xí)的各個方便，不僅僅是各個大中小企業(yè)對員工的信息管理，還有各個購物網(wǎng)站，資料網(wǎng)站還有各種方便人們交流生活的平臺的信息管理，如何在不影響用戶方便性的同時保證用戶信息的安全性是一個重大的挑戰(zhàn)，PKI數(shù)字證書的設(shè)計與實現(xiàn)為信息的安全性帶來了生機(jī)。于是身份管理與數(shù)字證書信息同步系統(tǒng)應(yīng)運(yùn)而生。 論文的內(nèi)容安排經(jīng)過了半個多學(xué)期的研究之后，有一定的成果，下面就以論文的形式展示出來，一下詳細(xì)介紹一下論文的大概內(nèi)容安排。 綜上所述，即PKI是用公鑰概念和技術(shù)實施的，支持公開密鑰的管理并提供真實性、保密性、完整性以及可追究性安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。PKI的研究對象包括：數(shù)字證書、頒發(fā)數(shù)字證書的證書認(rèn)證中心、證書持有者、證書使用者、證書注冊機(jī)構(gòu)、證書存儲和查詢服務(wù)器、證書狀態(tài)查詢服務(wù)器和證書驗證服務(wù)器等。PKI的輔助組件有注冊機(jī)構(gòu)（registration authority，RA）、資料庫(repository）系統(tǒng)、密鑰管理系統(tǒng)(key management system）、OCSP（online certificate status protocol）服務(wù)器、CRL Issuer等。 PKI優(yōu)點 PKI具有強(qiáng)大的生命力，以公鑰密碼技術(shù)為靈魂，以數(shù)字證書為核心。另外，PKI支持很多以前無法實現(xiàn)的服務(wù)。 中國商用PKI系統(tǒng)體系《證書認(rèn)證系統(tǒng)密碼及其相關(guān)技術(shù)規(guī)范》是由中華人民共各國國家密碼管理局頒布的標(biāo)準(zhǔn)，主要是指導(dǎo)公眾服務(wù)證書認(rèn)證系統(tǒng)的建設(shè)和檢測評估。因為CA是PKI系統(tǒng)中被通信的雙方信任的實體，故被稱為可信第三方（trusted third party,TTP），也因此其簽名認(rèn)證是不可否認(rèn)的。當(dāng)然，如果用戶因為信任了證書而導(dǎo)致了損失，證書可作為有效的證據(jù)來追究簽名CA的責(zé)任。另外，為了與用戶更好的交互，完善PKI系統(tǒng)的功能，RA注冊機(jī)構(gòu)也會對用戶身份信息進(jìn)行管理，以及安全的數(shù)字證書的下載、發(fā)放等功能。 RA的意義為了使PKI系統(tǒng)的建設(shè)保證網(wǎng)絡(luò)信息以及網(wǎng)絡(luò)通訊的