【文章內(nèi)容簡介】 sCertificate ）、簽名算法 （ sinnatureAlgorithm ）和簽名結(jié)構(gòu)（ signatureValue）。 證書內(nèi)容的描述： fCertificate ::= SEQUENCE{ ftbsCertificate fTBSCertificate fsinnatureAlgorithm fAlgorithmIdentifier fsignatureValue BIT STRING } 簽名算法為 CA 對(duì)證書簽名時(shí)的算法，其類型為 AlgorithmIdentifier。 fAlgorithmIdentifier ::= SEQUENCE{ fAlgorithm OBJECT IDENTIFIER, fParameters ANY DEFINED BY algorithm OPTIONAL 河北工業(yè)大學(xué) 20xx 屆本科畢業(yè)論文 9 } fTBSCertificate ::= SEQUENCE{ fVersion [0] EXPLICIT Version DEFAULT v1, fserialNumber fCertificateSerialNumber, fsignature fAlgorithmIdentifier, fissuer fName, fvalidity fValidity, fsubject fName, fsubjectPublicKeyInfo fSubjectPublicKeyInfo, fissuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL fsubjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL fextensions [3] EXPLICIT Ectensions OPTIONAL } issuerUniqueID 為簽發(fā)者唯一標(biāo)識(shí)， subjectUniqueID 為主體唯一標(biāo)識(shí)。版本號(hào)、序列號(hào)用整數(shù)方式給出。簽發(fā)者與證書序列號(hào)配合，唯一標(biāo)識(shí)一張數(shù)字證書。 fVersion ::= INTEGER{v1(0),v2(1),v3(2)} fCertificateSerialNumber ::= INTEGER 簽發(fā)者和主體 河北工業(yè)大學(xué) 20xx 屆本科畢業(yè)論文 10 fName ::= CHOICE{ fRDNSequence } fRDNSequence ::= SEQUENCE OF fRelativeDistinguishedName fRelativeDistinguishedName ::= SET OF AttributeTypeAndValue fAttributeTypeAndValue ::= SEQUENCE{ ftype AttributeType fvalue AttributeValue } 證書的有效期 fValidity ::= SEQUENCE{ fnotBefore fTime, fnotAfter fTime } fTime ::= CHOICE{ futcTime UTCTime, fgeneralTime GeneralizedTime } 河北工業(yè)大學(xué) 20xx 屆本科畢業(yè)論文 11 主體公鑰信息 fSubjectPublicKeyInfo ::= SEQUENCE{ falgorithm fAlgorithmIdentifier, fsubjectPublicKey BIT STRING } 簽發(fā)者和主體唯一標(biāo)識(shí)符 fSubjectPublicKeyInfo ::= BIT STRING 下面是本系統(tǒng)證書屬性的圖片（圖 2圖 23） 圖 22 證書格式（ 1） 河北工業(yè)大學(xué) 20xx 屆本科畢業(yè)論文 12 圖 23 證書格式（ 2） 3 關(guān)于身份管理與數(shù)字證書同步系統(tǒng)的設(shè)計(jì)分析 系統(tǒng)用例圖 管 理 員證 書 申 請(qǐng)證 書 制 作自 動(dòng) 制 證證 書 更 新 圖 31 系統(tǒng)用例圖 河北工業(yè)大學(xué) 20xx 屆本科畢業(yè)論文 13 RA 證 書審核模型 RA 的證書審核包括了申請(qǐng)人信息的錄入以及身份的核實(shí)，這是認(rèn)為參與最多的一個(gè)過程，并且從錄入到審核這個(gè)時(shí)間是沒有辦法估量。此外 RA 系統(tǒng)對(duì)于用戶資料和維護(hù)等作用，下圖主要說明一下 RA 參數(shù)證書制作過程中的作用，即用戶信息的注冊(cè)申請(qǐng)以及用戶身份的審核。 RA 服務(wù)是可以錄入產(chǎn)生系統(tǒng)證書的申請(qǐng)信息且產(chǎn)出證書的申請(qǐng)文件的一項(xiàng)比較面向用戶的服務(wù)。 管理員 A 錄入證書的申請(qǐng)信息，然后經(jīng)過核實(shí)申請(qǐng)人身份后，如果申請(qǐng)人符合證書申請(qǐng)的條件則審核通過，否則審核不通過；未通過審核的申請(qǐng)人依然處于待審核狀態(tài)，如果審核通過后將允 許制作證書， RA 將申請(qǐng)信息發(fā)送給 CA 進(jìn)行制證， CA 將制作好的證書以及其他相關(guān)信息發(fā)送給 RA；最后 RA 將反饋?zhàn)C書的制作情況（成功或者失?。@示成功即證明已經(jīng)把證書制作好并且將證書保存在了對(duì)應(yīng)的 Key 里。 CA 數(shù)字證書頒發(fā)模型 在 RA 審核完申請(qǐng)人的身份后會(huì)向 CA 發(fā)送請(qǐng)求，那么 CA 是如何處理這些請(qǐng)求的呢？如圖 32 在申請(qǐng)人通過 RA 的審核后， RA 準(zhǔn)備證書的申請(qǐng)信息， RA 根據(jù)證書的申請(qǐng)信息構(gòu)造 XML 文件， XML 文件還要包括證書的類型，其中簽名證書（包括雙證證書）的申請(qǐng)信息內(nèi)包括 PXCS10 信息。然后 RA 用自己的加密卡將 XML 申請(qǐng)信息加密后， 將申請(qǐng)文件通過安全通道發(fā)送給 CA，下面 CA 系統(tǒng)才真正的開始工作。 CA 系統(tǒng)開始解析包含申請(qǐng)信息的 XML 文件，解析完成后，把申請(qǐng)信息保存到數(shù)據(jù)庫中；然后判斷申請(qǐng)信息中是否有加密信息。如果有則證明申請(qǐng)者需要的證書為是加密證書或者雙證， CA 構(gòu)造密鑰申請(qǐng)信息，并且將密鑰申請(qǐng)信息通過安全通道傳送到 KMC 中， KMC 接收到申請(qǐng)后對(duì)信息進(jìn)行處理，獲得密鑰對(duì)后構(gòu)造返回信息，然后完成對(duì)返回信息的加密，最后將信息通過安全通道發(fā)送會(huì) CA 中， CA對(duì)返回信息進(jìn)行解析，并且根據(jù)返回信息中的密鑰重構(gòu) 申請(qǐng)信息，然后 CA 對(duì)證書進(jìn)行簽名，即制作證書；如果為簽名證書則不用向 KMC 中發(fā)送密鑰申請(qǐng)，直接制作證書；最后將證書通過安全通道發(fā)送給 RA，然后 RA 對(duì)證書進(jìn)行管理和頒發(fā)。 河北工業(yè)大學(xué) 20xx 屆本科畢業(yè)論文 14 圖 33 為 CA 數(shù)字證書頒發(fā)模型 證 書 申 請(qǐng)錄 入 / 修 改申 請(qǐng) 信 息審 核允 許 / 拒 絕證 書 制 作成 功 / 失 敗完 成提 示 錯(cuò) 誤信 息允 許成 功失 敗拒 絕R A 注 冊(cè) 服 務(wù) 證 書 錄入 證 書 錄 入 申 請(qǐng) 圖 32 RA 證書審核模型 KMC 密鑰生成模型 對(duì)與 KMC，與其說是密鑰生成，不如說是密鑰管理，其主要的功能便是管理密鑰，下面介紹一下 KMC 的工作過程（如圖 34）。 河北工業(yè)大學(xué) 20xx 屆本科畢業(yè)論文 15 證 書 制 作構(gòu) 造 證 書申 請(qǐng) 信 息通 過 安 全通 道 發(fā) 送C A 簽 發(fā) 服 處 理申 請(qǐng) 信 息是 否 有 加 密信 息制 作 證 書通 過 安 全通 道 發(fā) 送R A 注 冊(cè) 服 務(wù) 處理 證 書 信 息結(jié) 束沒 有構(gòu) 造 秘 鑰申 請(qǐng) 信 息有通 過 安 全 通 道發(fā) 送K M C 處 理 申 請(qǐng)根 據(jù) 密 鑰 重 新構(gòu) 造 申 請(qǐng) 信 息通 過 安 全通 道 發(fā) 送R A 注 冊(cè) 服 務(wù) 系 統(tǒng) ： R A 根 據(jù) 用 戶 的 申 請(qǐng) 信 息 構(gòu) 造 成X M L 申 請(qǐng) 信 息 ， 如 果 為 簽 名 證 書 （ 或 雙 證 證 書 ）則 申 請(qǐng) 信 息 中 包 括 P K C S 1 0 信 息R A 注 冊(cè) 服 務(wù) : 通 過 安 全 通 道 發(fā) 送 證書 申 請(qǐng) 信 息 到 C A 簽 發(fā) 服 務(wù)C A 簽 發(fā) 服 務(wù) : 處 理 申 請(qǐng) 信 息 （ X M L ） , 解 析 信息 并 保 存 申 請(qǐng) 信 息 到 數(shù) 據(jù) 庫R A 注 冊(cè) 服 務(wù) : 解 析 C A 簽 發(fā) 服 務(wù) 發(fā) 送 來 的 證 書 信息 ， 保 存 證 書 信 息 到 數(shù) 據(jù) 庫 中C A 簽 發(fā) 服 務(wù) : 通 過 安 全 通 道 發(fā) 送 證書 申 請(qǐng) 信 息 到 R A 注 冊(cè) 服 務(wù)C A 簽 發(fā) 服 務(wù) : 根 據(jù) 申 請(qǐng) 信 息 ，構(gòu) 造 證 書 結(jié) 構(gòu) 體 ， 通 過 加 密 機(jī)或 軟 算 法 進(jìn) 行 簽 發(fā) 運(yùn) 算 ， 制 作出 證 書C A 簽 發(fā) 服 務(wù) : 如 果 申 請(qǐng) 為 加 密 證 書 或 雙 證 證書 ， 則 需 要 通 過 K M C 獲 取 密 鑰 對(duì)C A 簽 發(fā) 服 務(wù) : 通 過 安 全通 道 發(fā) 送 證 書 申 請(qǐng) 信 息到 K M C 服 務(wù)C A 簽 發(fā) 服 務(wù) : 通 過 安 全 通 道 發(fā) 送 證書 申 請(qǐng) 信 息 到 K M C 服 務(wù)K M C 密 鑰 管 理 系統(tǒng) :根 據(jù) 密 鑰 申 請(qǐng) 信息 ， 通 過 數(shù) 據(jù) 庫獲 得 密 鑰 ， 并 構(gòu)造 成 返 回 信 息 發(fā)送 給 C A 簽 發(fā) 服 務(wù)系 統(tǒng)K M C 密 鑰 管 理 系 統(tǒng) : 通 過 安 全 通 道 發(fā) 送證 書 申 請(qǐng) 信 息 到 C A 簽 發(fā) 服 務(wù) 圖 33 CA 數(shù)字證書頒發(fā)模型 河北工業(yè)大學(xué) 20xx 屆本科畢業(yè)論文 16 當(dāng) RA 申請(qǐng)信息有加密信息時(shí)， CA解析發(fā)現(xiàn)后就會(huì)向 KMC 發(fā)送信息以申請(qǐng)密鑰，然后通過網(wǎng)絡(luò)安全通道進(jìn)行送申請(qǐng)密鑰的信息， KMC 獲得并解析完申請(qǐng)信息后，訪問數(shù)據(jù)庫（ KMC 中的加密卡事先生成的密鑰對(duì)存儲(chǔ)在數(shù)據(jù)庫中），獲得密鑰對(duì)，然后用密鑰對(duì)和獲得的申請(qǐng)信息重構(gòu)返回信息， KMC 將返回信息通過網(wǎng)絡(luò)安全通道發(fā)送給 CA，交給 CA 進(jìn)行處理。 C A 發(fā) 送 密 鑰申 請(qǐng)C A 簽 發(fā) 服 務(wù) ： 制 作 有 加 密信 息 的 證 書 向 K M C 申 請(qǐng) 構(gòu) 造密 鑰 ， 發(fā) 送 申 請(qǐng) 信 息 到 K M C服 務(wù) 中獲 得 密 鑰申 請(qǐng) 信 息獲 得 密 鑰后 構(gòu) 造 返回 信 息數(shù) 據(jù) 庫通 過 密 鑰 申 請(qǐng) 信 息 訪 問數(shù) 據(jù) 庫 ， 獲 得 密 鑰通 過 安 全 通 道發(fā) 送結(jié) 束通 過 安 全 通 道 發(fā) 送 信 息到