【正文】 CA 系統(tǒng)應(yīng)用 安全 解決 方案 (版本： ) CA 系 統(tǒng) 應(yīng) 用 安 全 解 決 方案 目錄 目 錄 1 前言 ..................................................................................................................................... 1 2 應(yīng)用安全需求概述 ............................................................................................................. 1 3 方案總體設(shè)計(jì)思想 ............................................................................................................. 2 4 CA 認(rèn)證系統(tǒng)設(shè)計(jì) ............................................................................................................... 3 iTrusCA 系統(tǒng)簡介 ....................................................................................................... 3 認(rèn)證體系設(shè)計(jì) .............................................................................................................. 5 系統(tǒng)網(wǎng)絡(luò)架構(gòu) .............................................................................................................. 6 證書存儲介質(zhì) .............................................................................................................. 7 CA 系統(tǒng)功能 ................................................................................................................ 7 證書應(yīng)用開發(fā)接口（ API） ........................................................................................ 9 系統(tǒng)工作流程設(shè)計(jì) .................................................................................................... 10 系統(tǒng)性能和特點(diǎn)分析 ................................................................................................ 11 5 應(yīng)用系統(tǒng)安全集成方案 ................................................................................................... 12 郵件系統(tǒng)安全應(yīng)用 .................................................................................................... 13 VPN 安全應(yīng)用 ............................................................................................................. 14 VPN 安全登錄實(shí)現(xiàn)原理 ...................................................................................... 14 VPN 證書介紹 ...................................................................................................... 15 VPN 證書應(yīng)用 ...................................................................................................... 16 安全域登錄應(yīng)用 ........................................................................................................ 16 域登陸 ................................................................................................................. 16 智能卡及數(shù)字證書 ............................................................................................. 17 智能卡域登錄 ..................................................................................................... 18 B/S 系統(tǒng)安全應(yīng)用 ..................................................................................................... 19 B/S 架構(gòu)系統(tǒng)安全原理 ...................................................................................... 19 應(yīng)用系統(tǒng)安全架構(gòu) ............................................................................................. 22 應(yīng)用系統(tǒng)身份認(rèn)證流程 ..................................................................................... 23 應(yīng)用系統(tǒng)簽名流程 ............................................................................................. 24 C/S 架構(gòu)系統(tǒng)安全應(yīng)用 ............................................................................................. 25 系統(tǒng)集成原理 ..................................................................................................... 25 CA 系 統(tǒng) 應(yīng) 用 安 全 解 決 方案 目錄 系統(tǒng)安全架構(gòu) ..................................................................................................... 27 證書應(yīng)用開發(fā)接口（ API） ............................................................................... 27 系統(tǒng)工作流程 ..................................................................................................... 28 6 總結(jié) ................................................................................................................................... 29 CA系統(tǒng)應(yīng)用安全解決 方案 第 1頁 共 29頁 1 前言 以 Inter 為代表的全球性信息化浪潮迅猛發(fā)展，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向 大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，從典型的如金融業(yè)務(wù)系統(tǒng)、網(wǎng)上證券交易業(yè)務(wù)系統(tǒng)、企業(yè)內(nèi)部應(yīng)用系統(tǒng)，逐漸擴(kuò)展到政府辦公系統(tǒng)應(yīng)用。在這股浪潮的推動下，為了提高 企業(yè) 的辦事效率， 各個企業(yè)紛紛 利用先進(jìn)的 IT 技術(shù)來降低政務(wù)辦公的成本和加強(qiáng)信息管理，廣泛的開展電子政務(wù)。 由于業(yè)務(wù)發(fā)展的需要， 用戶 也建設(shè)了自己的各種應(yīng)用信息系統(tǒng)，為了保證系統(tǒng)的正常運(yùn)轉(zhuǎn)，有必要采取安全的措施來保障各個應(yīng)用系統(tǒng)運(yùn)行的安全。 本文主要目的是旨在分析 用戶 的 系統(tǒng) 安全需求，然后闡明采用 PKI/CA 技術(shù)，來保障 用戶 的信息系統(tǒng) 安全。 2 應(yīng)用安全 需求概述 隨著 用戶 信息 系統(tǒng) 的建設(shè) ， 大量的辦公業(yè)務(wù)數(shù)據(jù)文件通過網(wǎng)絡(luò)相互傳遞，同時(shí)大量的數(shù)據(jù)文件也保存于文件服務(wù)器之上。如果不能保證 這些系統(tǒng)的用戶登錄認(rèn)證安全，保證 這些數(shù)據(jù)的傳輸安全，其后果是可想而知的。此外，在實(shí)現(xiàn)資源和數(shù)據(jù)共享的同時(shí)，也面臨巨大的威脅和風(fēng)險(xiǎn)，我們必須對 這些資料進(jìn)行嚴(yán)格控制，保證只有被授權(quán)的人員才能夠訪問合法的資源，并且對于每個人產(chǎn)生的信息，需要保留相應(yīng)的記錄。 由于互聯(lián)網(wǎng)的廣泛性和開放性，給 應(yīng)用 系統(tǒng)帶來了很多安全隱患，主要體現(xiàn)在如下幾個方面： （ 1）身份認(rèn)證 目前， 應(yīng)用系統(tǒng) 是采用“用戶名＋密碼”的方式來驗(yàn)證訪問用戶的身 份。采用“用戶名＋密碼”的方式登錄應(yīng)用系統(tǒng)時(shí)，用戶輸入的用戶名和密碼都是通過明文的方式，傳輸給系統(tǒng)服務(wù)器，系統(tǒng)服務(wù)器根據(jù)用戶提交的用戶名和密碼，查詢數(shù)據(jù)庫，來判斷用戶的身份是否真實(shí)。這種方式存在巨大的安全隱患，非法用戶可以通過口令攻擊、猜測或竊取口令等方式，假冒合法用戶的身份，登錄系統(tǒng)進(jìn)行非法操作或獲取機(jī)密信息。因此，需要采用安全的手段，解決 應(yīng)用系統(tǒng) 身份認(rèn)證需求。 CA系統(tǒng)應(yīng)用安全解決 方案 第 2頁 共 29頁 （ 2）訪問控制 對于系統(tǒng)的不同用戶，具有不同的訪問操作權(quán)限。因此， 應(yīng)用系統(tǒng) 在身份認(rèn)證的基礎(chǔ)上，需要給不同的身份授予不同的訪問權(quán)限，使他們能夠進(jìn)行 相應(yīng)授權(quán)的操作。因此，需要采用有效的手段，解決 應(yīng)用系統(tǒng) 訪問控制的需求。 （ 3）信息機(jī)密性和完整性 通過 應(yīng)用系統(tǒng) 傳輸很多敏感資料，如通過 應(yīng)用系統(tǒng) ，需要通過開放的互聯(lián)網(wǎng)，非法用戶很容易監(jiān)聽網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)甚至篡改相關(guān)數(shù)據(jù)，或者入侵到 應(yīng)用系統(tǒng) ，竊取有關(guān)資料。因此，需要采用有效的方式保證 應(yīng)用系統(tǒng) 傳輸數(shù)據(jù)的機(jī)密性和完整性。 （ 4）信息抗抵賴 信息抗抵賴是指信息的發(fā)送者不能對自己發(fā)送的信息進(jìn)行抵賴。在 應(yīng)用 系統(tǒng)中傳輸?shù)暮芏嘈畔?，都需要?shí)現(xiàn)信息抗抵賴。比如 財(cái)務(wù)部進(jìn)行財(cái)務(wù)匯報(bào)時(shí) ，如果采用紙質(zhì)的方式，可以在 財(cái)務(wù)報(bào)表 上簽字蓋章。但 是通過電子數(shù)據(jù)共享和傳輸，不可能像紙質(zhì)文件那樣進(jìn)行手寫簽字和蓋章。而如果沒有有效的手段保證電