CA认证系统是基于PKI体系的信息安全系统。外交部办公系统身份认证和访问控制需要对整个电子化办公采用统一的身份认证来加强对系统的安全管理，本项目中采用时代亿信公司（www.eetrust.com）基于PKI CA体系的身份认证技术平台。在系统的建设过程中与外交部其它系统无缝结合。具体需求描述如下：

　　（1）建立CA证书服务器、证书发卡与管理中心。

　　（2）由于外交部分内外两套网络，内外之间都部署物理隔离、防火墙、防病毒网关等设备，这些设备只开放80、389和443这三个端口，就需要CA软件遵循标准的协议，完全符合业界的规范。

　　（3）保证现有网络系统的稳定性，不作大的改动（避免修改现有网络设备配置）。

　　（4）建立跨系统的统一的身份认证和访问控制机制，具体包括：WIN32平台系统、电子邮件系统、SQL SERVER和ORACLE数据库系统、建立业务系统用户身份认证和资源管理与授权统一安全平台，改造目前已有的系统（B/S模式、C/S模式），实现现有系统的统一的用户身份认证和授权。

　　（5）建立SQL SERVER和ORACLE等数据库系统统一的身份认证中心，实现数据库用户在建立数据库连接中，用户身份的安全登录。

　　（6）建立业务系统（C/S和B/S模式）统一身份认证机制，根据需求，可以建立跨地域的统一的身份认证系统。本身份认证和第三方授权系统结合在一起。

　　（7）建立各系统的用户身份认证和访问控制独立的审计总中心。

　　一、PKI体系概述

　　1、什么是PKI？

　　公开密钥体系（Public Key Infrastructure：PKI）是一种遵循既定标准的密钥管理平台，是为网络应用提供加密和数字签名等密码服务及所需密钥和证书的管理体系。PKI由公开密钥密码技术、数字证书、认证机构（CA）和有关公开密钥的安全策略等基本部分组成。

　　为解决网络的安全问题，世界各国对其进行了多年的研究，已形成一套完整的网络安全解决方案，即目前被广泛采用的公钥基础设施---PKI。PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行安全通信。

　　2、目前国内PKI体系现状及存在的问题

　　现在每个行业系统甚至更小的单位都有各自的信任机制，并且与国家的信任机制并存。PKI并不是一种产品，也不仅仅是一张证书，而是一套安全机制。虽然国家在大力倡导开放的PKI架构，但单独谈论PKI毫无意义，它只有深入到应用的骨髓，与应用连为一体，才能产生真正的价值。而目前国内在PKI的应用领域中，存在许多应用系统与信任体系难以结合的问题。

　　3、如何构建一套完整的PKI体系？

　　典型的PKI系统由五个基本部分组成：证书申请者（Subscriber）、注册机构（Registration Authority，RA）、认证中心 （Certificate Authority，CA）、证书库（Certificate Repository，CR） 和证书信任方（Relying Party）。其中，认证中心、注册机构和证书库三部分是PKI的核心，证书申请者和证书信任方则是利用PKI进行网上交易的参与者。在具体应用中，各部分的功能是有弹性的，有些功能并不在所有的应用中出现，PKI的许多详细功能要根据业务的操作规程确定。