【正文】 控制（ Access Control） 訪問控制就是滿足 “ 最小授權 ” 原 則，防止未授權用戶訪問未授予其權限的資源，以確保信息的保密性和完整性。 ? 應用層的訪問控制，如通過應用訪問控制系統(tǒng)來禁止或者允許用戶對某些業(yè)務資源的訪問。 3 PKI 體系建設說明 PKI 體系建設說明 PKI 是 “ Public Key Infrastructure” 的縮寫，意為 “ 公鑰基礎設施 ” ，是一個用非對稱密碼算法原理和技術實現(xiàn)的、具有通用性的安全基礎設施。 ” （ Generally, an entity can be said to “ trust” a second entity when it (the first entity) makes the assumption that the second entity will behave exactly as the first entity expects） 。 其次，要保證 數(shù)據(jù)秘密性和完整性。 最后， “ 信任 ” 的一個關鍵因素：不可抵賴性。它不僅僅是一個簡單的身份認證系統(tǒng)，事實上，它可以作為提供統(tǒng)一信任管理服務的有效平臺，在系統(tǒng)與系統(tǒng)、用戶與系統(tǒng)、用戶與用戶之間建立起一種信任關系 ，從而保證了系統(tǒng)的安全性，這種信任關系不是只通過身份認證就能夠實現(xiàn)的，它包含了更加豐富的內容，如數(shù)字簽名、信息加解密等。 2． 認證中心（ CA）系統(tǒng)： CA 認證中心是 PKI 公鑰基礎設施的核心，它主要完成生成 /簽 發(fā)證書、生成 /簽發(fā)證書撤消列表（ CRL）、發(fā)布證書和 CRL 到目錄服務器、維護證書數(shù)據(jù)庫和審計日志庫等功能。 LDAP 提供證書和 CRL 的目錄瀏覽服務；自建 CA解決方案 15 OCSP 提供證書狀態(tài)在線查詢服務；注冊服務為用戶提供在線注冊的功能。 PKI 信任體系的建立 PKI 體系的建設是一個大型系統(tǒng)工程，可根據(jù)實際的建設模式定位為多級的信任模式，并根據(jù) PKI 體系的基本組成部分進行具體的設計實現(xiàn)，下圖的CA 信任體系描述了 PKI 安全體系的分布式結構，具體結構形式如圖所示。 根以下的其它各級 CA 負責本轄區(qū)的安全，為本轄區(qū)用戶和下級 CA 簽發(fā)證書，并管理所發(fā)證書。 RA 機構的設置也可根據(jù)企業(yè)行政管理機構的設立 /劃分來進行，一個 RA中心系統(tǒng)下可設立多級下屬 RA 中心或業(yè)務受理點 LRA。 一般來說，每一個 CA 中心都需要有一個 KMC 負責該 CA 區(qū)域內的密鑰自建 CA解決方案 17 管理任務。證書和 CRL 采用標準的 LDAP 協(xié)議發(fā)布到 LDAP 服務器上，應用程序可以通過發(fā)布系統(tǒng)發(fā)布的信息驗證用戶證書的合法性； OCSP 提供證書狀態(tài)的實時在線查詢功能。 PKI 運營 管理建設的主要內容包括： ? 人員管理規(guī)范：根據(jù)系統(tǒng)的需要，劃分角色，配置人員，設置權限，制定相應的人員管理制度和管理策略，保證人員管理的安全性。 ? 機房的安全建設 ：全面規(guī)劃機房，針對不同安全級別劃分安全區(qū)域，建立完善的機房管理制度。 本次項目中應本著滿足現(xiàn)有 用戶規(guī)模 ，但同時應在產品選擇中充分考慮業(yè)務需求和安全需求的不斷增長，提出 CA 產品的擴容和性能擴展的解決方案。在系統(tǒng)設計實現(xiàn)中要充分體現(xiàn)我國現(xiàn)行的密碼管理政策，確保相關密碼設備和密鑰可管可控。設計的密碼產品選用通過國密局技術鑒定的產品。 4）繼承與發(fā)展原則。 6）可擴展性原則。充分考慮系統(tǒng)復雜的特點，保證系統(tǒng)安全有效的運行、數(shù)據(jù)有效的保護、設計功能可以充分的實現(xiàn)、操作方便等。 2. 應用層安全 ? 證書認證系統(tǒng) CA 提供核心的身份認證系統(tǒng)部分，通過數(shù)字證書實現(xiàn)用戶物理身份與數(shù)字身份的綁定 ? 證書注冊系統(tǒng) RA 提供客戶身份信息的管理，提供靈活的、完善的、可定制的證書管理功能 ? SSL 安全通道接入 (SSL 安全網關 ) 保護用戶數(shù)據(jù)能夠通過互聯(lián)網安全的傳輸，并實現(xiàn)用戶身份的確認及SSL 安全接入的訪問控制 ? 數(shù)字簽名及驗證系統(tǒng) 業(yè)務系統(tǒng)通過調用數(shù)字簽名驗證接口，實現(xiàn)用戶身份確認、保護數(shù)據(jù)完整性、保存交易憑據(jù)以實現(xiàn)事后審計及責任認定 3. 網絡層安全 ? 通過防火墻、入侵檢測系統(tǒng)等實現(xiàn)網絡層的訪問控制 ? 通過主機系統(tǒng)加固實現(xiàn)主機系統(tǒng)的安全 ? 通過采用負載均衡設備實現(xiàn)業(yè)務系統(tǒng)和安全接入系統(tǒng)的高可用性和較高的性能 4. 物理層安全 ? 通過門禁系統(tǒng)、監(jiān)控系統(tǒng)等防止未授權人員對物理設備、機房的訪問 5. 系統(tǒng)安全管理建設 PKI 安全 體系建設的目的是為應用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運行的保障。對于一個大型的分布式企業(yè)應用系統(tǒng)，可根據(jù)應用系統(tǒng)的分布情況和組織結構自建 CA解決方案 22 設立多級 CA 機構，包括根 CA 和各下級 CA。它是 CA 認證中心的延伸，在邏輯上 RA 和 CA 是一個整體， 它向 CA 中心提交各種證書請求，接收來自 CA 的處理結果， 主要負責提供證書注冊、審核以及發(fā)證功能 ，并負責為管理員提供證書管理服務。 2. 業(yè)務安全服務平臺 ? SSL 安 全通道系統(tǒng) 。 ? 數(shù)字簽名驗證服務系統(tǒng) 。 3. 系統(tǒng)安全管理建設 建立完善的管理制度，以保證整個 PKI 體系在運營過程中正常運行。主要包括信息系統(tǒng)應急 方案、電力系統(tǒng)故障、消防系統(tǒng)應急方案、病毒應急方案、系統(tǒng)備份應急方案、人員異動情況應急方案、安全事故處理方法、安全應急事件及事故處理的程序等等。 5 整體 建設 格爾數(shù)字認證系統(tǒng) (ECPKI)是一套數(shù)字證書管理平臺，該系統(tǒng)在格爾公司SRQ15 產品上進行功能性擴展，在保留對 RSA 密鑰格式支持的基礎上，新增加了對中國國家標準算法 SM2 的支持，可以簽發(fā)、管理符合國家標準 SM2密鑰存儲與傳遞格式規(guī)范 的 ECC 密鑰證書。下級 CA 采用在線服務方式，可以為一個或多個 RA 同時提供證書服務。CA 系統(tǒng)和 RA 系統(tǒng)間使用安全通訊協(xié)議保證證書服務的安全，安全通訊協(xié)議采用國家密碼管理局批準使用的對稱算法。 RA 系統(tǒng)使用三權分離的管理模式，由申請管理員負責信息的錄入、審核管理員負責信息的合法準確、操作管理員最后執(zhí)行證書安裝。 流程說明 : 1) 首先，由硬件控制面板或后臺系統(tǒng)生成一定數(shù)量的內部密鑰對。 4) CA 系統(tǒng)將公鑰、證書主題信息及其它證書項構建成待簽名的數(shù)據(jù)。 簽名證書簽發(fā) 簽名證書在應用系統(tǒng)中通常用于身份鑒別和防抵賴，因此簽名證書的密鑰對必須在硬件介質內部產生，其中的私鑰不可導出，只有擁有相應私鑰口令的用戶才能進行數(shù)據(jù)簽名操作，保證私鑰和用戶實體的唯一 綁定關系。 4) CA 根據(jù)證書模板策略，構造待簽名的數(shù)據(jù) 5) CA 將待簽發(fā)數(shù)據(jù)傳送到硬件加密機，由硬件加密機內部完成數(shù)據(jù)簽名 自建 CA解決方案 29 6) CA 將加密機返回的簽名值和待簽名數(shù)據(jù)一起構建成正確的簽名證書，并以 CMP 格式返回到 RA 系統(tǒng)。由于加密數(shù)據(jù)需要長期保存并隨機可以解密，所以不能使用簽名證書進行加密，否則當保存簽名證書的介質損壞或丟失時，會導致加密數(shù)據(jù)無法解密。 3) RA 將 CMP 格式證書請求發(fā)送到 CA 系統(tǒng)。 10) RA 系統(tǒng)將 CMP 響應返回到介質設備 11) 介質設備使用簽名私鑰對數(shù)字信封進行 解密，最后將簽名證書、加密證書及加密私鑰一并安裝到介質。 證書策略模塊 證書策略模塊 用于管理用戶證書的簽發(fā)策略。 證書服務模塊 證書服務模塊 是 CA 系統(tǒng)的核心系統(tǒng)，本模塊為 RA 提供證書簽發(fā)、證書更新、證書恢復、證書吊銷等證書功能。 策略模板管理模塊 模板管理模塊 是 CA 系統(tǒng)的輔助性功能模塊，提供證書策略的預定義、新增加、更新、刪除等功能。 CA 系統(tǒng)同時支持 RSA、ECC、管理根、 SPKM 四個加密機， RSA 加密機用于簽發(fā) RSA 密鑰格式用戶自建 CA解決方案 33 證書， ECC 加密機密鑰格式用戶證書，管理根加密機用于簽發(fā) CA 系統(tǒng)管理員證書， SPKM 加密機用于 SPKM 安全通訊。 RA 系統(tǒng)使用 CA 證書服務時，需要通過部署碼的特定標識取得 CA 授權。 自建 CA解決方案 34 RA 系統(tǒng)結構 用戶管理功能 ? 用戶注冊 用戶信息、企業(yè)信息或設備信息通過在線或離線的方式完成注冊并記錄入系統(tǒng)數(shù)據(jù)庫。 ? 用戶注銷 用戶注冊系統(tǒng)操作員可以把證書已經廢除而不再申請證書的用戶信息通過用戶注銷的方式將 用戶信息轉入用戶信息歷史庫中。 ? 證書更新申請 當用戶信息、企業(yè)信息或設備信息變更時，將向系統(tǒng)自動提交證 書更新審核申請。 ? 密鑰更新審核 用戶注冊系統(tǒng)操作員對用戶信息、企業(yè)信息或設備信息進行審核，同意或拒絕更新申請。 ? 證書廢除 吊銷實體證書，可以由 RA 中心發(fā)起，也可以由擁有該證書的用戶直接發(fā)起。 ? 變更 RA 機構名稱 修改 RA 機構的名稱，但不改變其機構代碼。 身份驗證內容包括：證書的有效性、證書的真實性、證書持有人的權限等等。 管理員管理 其功能 RA 管理員與操作員的發(fā)放，查詢，廢除等。如：證書的廢除原來可以直接執(zhí)行，現(xiàn)在需要改為申請－ 審核 執(zhí)行的過程，這可以非常簡單的通過修改兩個配置文件（證書狀態(tài)機配置文件和證書業(yè)務配置文件）來實現(xiàn)。用戶界面的布局、風格等可以通過少量的定制開發(fā)快速變更，迅速適應用戶要求。其目的是通過自動 管理密鑰和證書，為用戶建立和維持一個令人信任的、安全的網絡運行環(huán)境，使數(shù)據(jù)在傳輸過程中不被非授權者偷看、不被非法篡改、不能否認，保障了互聯(lián)網電子商務中交易信息的保密性；交易信息的完整性；交易各方身份真實性；交易的不可否認性四個方面的安全要素。 ECPKI 系統(tǒng)利用了公鑰體系的真實身份認證方面的特點，對于申請加密證書的用戶，將使 用用戶的簽名公鑰來產生數(shù)字信封，該數(shù)字信封中保存的用戶加密密鑰只能被持有和用戶簽名公鑰所匹配的私鑰所解密，這就保證了加密密鑰的安全傳輸。其它角色為了操作方便，單人登錄即可操作?？蛻舳丝丶鶕?jù)配置會提示繼續(xù)插入管理員 KEY，然后系統(tǒng)會得到控件傳輸過來的管理員信息， 判斷其是否合法?？蛻舳顺绦蚴褂迷撁荑€對構造 PKCS10 證書請求并發(fā)送給 RA 服務器； RA 服務器驗證用戶合法性和用戶證書請求是否已獲批準，然后將請求發(fā)送給 CA 服務器； CA 服務器驗證該 PKCS10 證書請求中的簽名 ，然后根據(jù)簽名證書的策略模版 簽發(fā)該證書，此時得到雙證書的第一張證書 (簽名證書 )； 然后 CA 向密鑰管理中心請求生成用戶加密密鑰對； 密鑰管理中心 處理 CA 的密鑰 請求， 從備份密鑰庫中取出一對加密密鑰對；該密鑰對在發(fā)送前保存到在用庫，并標記該密鑰被哪個 CA 的哪個用戶使用。 自建 CA解決方案 40 密鑰不落地機制 下圖給出了密鑰生成和傳遞的流程。超級管理員和審計管理員采用的是 M 選 N 登錄機制，即部署時生成 M 個管理員，只有 N 個管理員全部登錄成功 (M 選 N 需要滿足條件 N ?M， N 大于等于 2)后，才能使用系統(tǒng)，通過這種約束機制保證了高級操作的安全性。如下圖所示： 自建 CA解決方案 39 超級管理員和審計管理員都在部署時生成，相互獨立。私鑰不能通過公鑰計算出來。通過組合這些 “ 原子業(yè)務 ” 可以快速實現(xiàn)新的基本業(yè)務，對于更特殊自建 CA解決方案 38 的業(yè)務也可以通過繼承、重載原有的 “ 原子業(yè)務 ” 或增加新的 “ 原子業(yè)務 ” 來實現(xiàn)。在業(yè)務數(shù)據(jù)項發(fā)生變化的情況下，只需要修改 JSP 頁面和數(shù)據(jù)庫字段，這類工作甚至系統(tǒng)管理員就可以完成。 “ 應需而變 ” 的 RA 系統(tǒng)設計 本方案設計中使用的 RA 系統(tǒng)具有如下特點： ? 充分的用戶化定制開發(fā)能力：根據(jù)項目建設需求和對今后應用前景的自建 CA解決方案 37 分析，本方案提供的 RA 系統(tǒng)具有強大的客戶化定制開發(fā)能力，雖然客戶化定制開發(fā)能力不是一項 具體的業(yè)務功能，但對于用戶來說， RA系統(tǒng)能否快速的適應用戶的業(yè)務變化、能否顯著的縮短建設周期，將是決定業(yè)務成敗的關鍵； ? 強大的 RA 管理功能：包括信息統(tǒng)計、機構管理、人員管理功能等； ? 對物理分級和邏輯分級的靈活支持：可以支持多級的物理 RA 機構，在每個物理 RA 機構內部，又可以支持多級的邏輯 RA 機構。 日志服務功能 其功能主要包括： ? 記錄管理員和操作員的所有動作； ? 記錄 整個系統(tǒng)中各子系統(tǒng)的內部運行錯