身份认证 iKey2032在CFCA中国金融认证中心的企业应用

身份认证 iKey2032在CFCA中国金融认证中心的企业应用

iKey2032在CFCA(中国金融认证中心)系统中的应用主要是用来安全地存放用户证书和用户私钥。由于在PKI体系中用户私钥是用户身份的代表，因此用户私钥的安全也是整个系统的安全。
因为CA一般采用符合业界标准的技术，所以iKey2032也适用于CFCA以外的证书。

CFCA和iKey2032
CFCA的Non-SET系统采用了Entrust公司的系统，包括用户客户端软件和后台服务器软件。由于iKey2032是一个Entrust-ready产品，所以iKey2032可直接用于Entrust系统用来安全保存用户证书和用户私钥。
iKey2032被用作存放用户私钥和证书的介质，在网上银行业务中发挥作用。在企业网上银行应用中，用户私钥和证书发挥了传统业务的印章的功能，用以认证用户的身份是否合法，保障用户资金账户的安全。
用户在网上银行进行登录、查询、转账、汇款等业务中，均须使用用户私钥进行签名确认，用用户证书加密和银行服务器之间交换的数据。而用户私钥和用户证书被安全的存放在iKey2032中。
iKey2032用硬件实现签名算法，使得用户私钥从生成开始，到使用、更新、销毁的整个私钥生命周期中，用户私钥始终在iKey2032内部存放，并且全部使用私钥的运算都在iKey2032内部完成，这样就最大限度的保障了用户私钥的安全。

在Entrust中使用iKey2032
1, 安装Entrust 客户端软件Direct Client
安装Entrust客户端软件和安装一般的Windows应用程序一样。Entrust的配置参数存放在entrust.ini文件中，这个文件一般在windows\system目录下，或客户端软件的安装目录下。一般管理员会配置一个通用的.ini文件包含网络地址、签名算法、密钥长度等信息。
在安装完Entrust客户端软件后安装iKey2032软件，如果Entrust客户端软件安装在C:\根目录下，请将整个Entrust客户端软件移动到C:\windows或C:\winnt目录下，在安装iKey2032软件过程接近结束的时候，如果iKey2032安装程序发现系统中有Entrust客户端软件以及.ini文件，那么会自动更新.ini文件这样Entrust客户端软件就可以用iKey2032了。更新的内容为添加类似下面这条语句：
CryptokiLibrary95=c:\windows\system\dkck132e.DLL
该语句指定了iKey2032提供的CryptKi(PKCS#11)库文件的地址。

2，建立用户配置文件/新建用户


建立用户配置文件的流程如上图所示：
1) RA初始化建立新用户的流程(选择菜单用户新用户)。一个新用户的资料就被添加到数据库。同时生成并存储用户的第一个密钥对和证书。
2) 管理员生成一组参考码和授权码并安全的传送给用户。
3) 用户在本地选择新建用户，并输入参考码和授权码。
4) Entrust客户端软件将用户的配置信息装入iKey2032。在装入过程中，一对签名密钥对在iKey2032内部生成并且从Entrust CA处得到一个证书。
5) Entrust管理员将用户状态更新为”激活的”。用户就可以登录到Entrust PKI应用程序中去了。

3，恢复用户配置文件
如果用户的配置文件由于某些原因(如PIN锁死，iKey2032损坏)而不可操作,配置文件可从Entrust管理系统恢复。由于签名密钥是在iKey2032内部产生的，所以签名密钥会被重新生成，而相对应的签名证书也会重新从Entrust管理系统处下载。基本的恢复操作步骤如下：
1) 用户通知RA需要恢复配置文件。
2) RA验证用户的身份，并初始化密钥恢复。
3) RA保证安全的传送参考码和授权码给用户。
4) 用户初始化”恢复配置文件”操作。
a, 输入参考码和授权码
b, 选择”将配置文件存到硬件加密设备上”
5) 用户的配置信息从Entrust管理系统中下载并重新安装到iKey2032中去。
6) Entrust管理系统将用户状态从”恢复密钥”更新到”激活的”状态。


4，更新用户密钥
为了确保安全，用户密钥需要定期更新。Entrust提供了企业级自动密钥管理功能。Entrust管理系统可以为每个用户制定一个密钥更新日程。当密钥更新日程到期，下次用户登陆时Entrust系统和客户端软件会自动更新用户的配置文件。新的加密加密密钥对和证书会自动安装到iKey2032中去。新的签名密钥和证书也会生成并安装到iKey2032内。