5.2 功能描述

5.2.2　概述

證書認證系統提供了對生命周期內的數字證書進行全過程管理的功能，包括用戶注冊管理、證書/證書撤銷列表的生成與簽發、證書/證書撤銷列表的存儲與發布、證書狀態的查詢和密鑰的生成與管理以及安全管理等。

5.2.3　用戶注冊管理系統

用戶注冊管理系統負責用戶的證書申請、身份審核和證書下載，可分為本地注冊管理系統和遠程注冊管理系統。

5.2.4　證書申請

證書申請可采用在線或離線兩種方式：

a) 在線方式：用戶通過互聯網等登錄到用戶注冊管理系統申請證書；

b) 離線方式：用戶到指定的注冊機構申請證書。

5.2.5　身份審核

審核人員通過用戶注冊管理系統，對證書申請者進行身份審核。

5.2.6　證書下載

證書下載可采用在線或離線兩種方式：

a) 在線方式：用戶通過互聯網等登錄到用戶注冊管理系統下載證書；

b) 離線方式：用戶到指定的注冊機構下載證書。

5.2.7　證書/證書撤銷列表生成與簽發系統

5.2.7.1　功能

證書/證書撤銷列表生成與簽發系統負責生成、簽發數字證書和證書撤銷列表。

5.2.7.2　證書類型

按主體對象，證書分為人員證書、設備證書和機構證書三種類型；

按功能，證書分為加密證書和簽名證書兩種類型。

5.2.7.3　證書機制

證書認證系統采用雙證書機制。每個用戶擁有兩張數字證書，一張用于數字簽名，另一張用于數據加密。用于數字簽名的密鑰對可以由用戶利用具有密碼運算功能的證書載體產生；用于數據加密的密鑰對由密鑰管理中心產生并負責安全管理。簽名證書和加密證書一起保存在用戶的證書載體中。

5.2.7.4　證書生成/簽發

用戶的數字證書由該系統的CA簽發，根CA的數字證書由根CA自己簽發，下級CA的數字證書由上級CA簽發。

5.2.7.5　證書撤銷列表

證書撤銷列表是在證書有效期之內，CA簽發的終止使用證書的信息，分為用戶證書撤銷列表（CRL）和CA證書撤銷列表（ARL）兩類。在證書的使用過程中，應用系統通過檢查CRL/ARL，獲取有關證書的狀態。

5.2.7.6　證書/證書撤銷列表存儲與發布系統

證書/證書撤銷列表存儲與發布系統負責數字證書、證書撤銷列表的存儲和發布。

根據應用環境的不同，證書/證書撤銷列表存儲與發布系統應采用數據庫或目錄服務方式，實現數字證書/證書撤銷列表的存儲、備份和恢復等功能，并提供查詢服務。

使用目錄服務方式，應采用主、從目錄服務器結構以保證主目錄服務器的安全，同時從目錄服務器可以采用分布式的方式進行設置，以提高系統的效率。用戶只能訪問從目錄服務器。

5.2.7.7　證書狀態查詢系統

證書狀態查詢系統應為用戶和應用系統提供證書狀態查詢服務，包括：

a) CRL查詢：用戶或應用系統利用數字證書中標識的CRL地址，下載CRL，并檢驗證書有效性。

b) 在線證書狀態查詢：用戶或應用系統按照在RFC 6960第4章“Details of the Protocol”中規定的方法，實時在線查詢證書的狀態。

在實際應用中，可以根據具體情況采用上述兩種查詢方式之一或全部。

5.2.7.8　證書管理系統

證書管理系統是證書認證系統中實現對證書/證書撤銷列表的申請、審核、生成、簽發、存儲、發布、注銷、歸檔等功能的管理控制系統。

5.2.7.9　安全管理系統

安全管理系統主要包括安全審計系統和安全防護系統。

安全審計系統提供事件級審計功能，對涉及系統安全的行為、人員、時間等記錄進行跟蹤、統計和分析。

安全防護系統提供訪問控制、入侵檢測（入侵防御）、漏洞掃描、病毒防治等網絡安全功能。