身份认证方法及CA服务器管理

目前，身份认证主要包括四种方式：一是口令方式，这是用户身份认证最简单、最广泛的一种方法，口令由数字、字形和特殊字符等组成。这种认证方式操作十分简单，但安全程度最低。二是标记方式，即用户所持有的某个秘密信息（如卡片），上面记录着用于系统识别的个人信息。三是生物学方式，即通过某些人体生物学特征，如指纹、声音、视网膜扫描图案等进行身份认证。四是数字证书方式，使用认证中心颁发的数字证书进行网上身份的识别。

一款兵棋系统，通常不会只局限于一个固定的参演团队，甚至可能每次参加推演的人员都不一样。因此，第二、三种方式的灵活性和适用性较差，通常考虑第一种和第四种认证方式。第一种方式相对较为简单，多数兵棋系统都可以设计运用，很多固定在某一个场地，依托封闭的局域网运行的训练型兵棋系统，其数据并非完全采用真实的作战数据，则采用这种方式即可。而有些兵棋系统，需要支持异地推演，或者需要采用真实的作战数据，则可能需要考虑设计运用第四种方式，即基于数字证书的强身份认证方式。

如果兵棋系统需要采取基于数字证书的强身份认证方式，则需要在内网搭建自己独立的CA服务器。整个系统由注册中心（RA）、认证中心（CA）构成，分为三类角色：最终用户、RA管理员、CA管理员。其基本结构如图9.1所示。

图9.1 CA系统结构设计示意

认证中心（CA）是PKI/CA平台的核心，提供证书服务和管理的主要功能。认证中心（CA）分为前台、后台两部分，前台主要用于与外界的交互及进行信息转换，后台完成核心的操作。CA前台提供的服务包括：证书目录服务（LDAP）、证书吊销表服务（CRL）、证书状态查询服务（OCSP）和时戳服务等；后台的服务包括：证书管理服务、系统管理服务、证书数据库、签名服务器和密码设备等。

注册中心（RA）是PKI/CA平台的前台，为最终用户提供用户证书服务功能，为RA管理员提供RA管理服务功能。为最终用户提供的证书服务功能包括：证书申请、证书查找、证书下载、证书吊销和证书更新等。(www.xing528.com)

CA管理员负责对CA系统、RA账户及RA管理员进行管理。CA管理员负责对各RA账户进行管理，包括RA账户批准、创建和修改，以及对RA管理员证书的批准和吊销等管理。整个系统的策略配置，以及操作审计日志也由CA管理员管理。

RA管理员主要处理RA系统的管理以及RA端的用户请求，包括批准证书、废止证书、拒绝请求、通知用户下载和管理员维护等处理。RA管理员使用RA管理员证书访问管理站点进行管理。

RA与最终用户之间使用服务端鉴别的SSL协议通信，RA与CA之间使用专门的安全通信协议。需要注意的是，此处的RA、CA管理员与兵棋系统的管理员没有任何关系，虽然实际上可能是同一个团队担负，但本质上这是完全相互独立的职能。

最终用户是CA系统的最终服务对象，实际上就是所有需要运用兵棋推演的人员，包括所有组训人员和受训人员。通过CA系统，最终用户申请获得数字证书，并进行各种各样的证书管理工作。这些最终用户证书管理功能包括：证书申请、证书下载、证书查询和证书更新等。除了证书管理，最终用户还是证书使用者，整个兵棋系统中数字证书用户就是使用兵棋系统的人员。必要时，最终用户之间传输的各类信息，也都要求使用数字证书完成传输信息的加密与签名来保证信息的机密性和完整性。

数字证书可采取多种存储方式，如硬盘、软盘、USB卡等，从安全性、方便性、经济性方面考虑，可以使用USB卡作为存储介质。在每次兵棋推演前，当面交付所有参加人员的数字证书，推演结束后统一交回，这样可以较好地保证数字证书使用的可靠性和唯一性。