【正文】 第 9頁 共 29頁 ? RA 策略配置管理，包括語言、聯(lián)系方法、證書類型、是否發(fā)布到LDAP 等； ? CA 策 略配置管理，包括證書 DN 重用性檢查、 CA 別名設置等。 （ 4）目錄服務功能 CA 認證系統(tǒng)支持目錄服務，支持 LDAP V3 規(guī)范， CA 認證系統(tǒng)在簽發(fā)用戶證書時或者對證書進行吊銷處理時，會及時更新目錄內(nèi)容。 （ 2）證書生命周期管理 通過 CA 認證系統(tǒng)，可以實現(xiàn)證書的生命周期管理，包括： ? 證書申請 最終用戶使用瀏覽器，訪問 CA 認證系統(tǒng)，可以進行證書申請，在線提交證書申請請求； ? 證書批準 管理員登錄管理員站點，完成證書批準功能可以查看和審最終用戶的證書申請請求； ? 證書查詢 最終用戶可以通過 CA 認證系統(tǒng)，查詢自己或別人的數(shù)字證書； ? 證書下載 通過 CA 認證系統(tǒng)，可以下載簽發(fā)的數(shù)字證書； ? 證書吊銷 最終用戶在使用證書期間，有可能 會出現(xiàn)一些問題，如：證書丟失、忘記密碼等，最終用戶就需要將原證書吊銷。 為了在發(fā)生 USB KEY 丟失等情況時 ，私鑰 可以 恢復或者還可以 用私鑰 解密以前的加密郵件，在申請證書時，密鑰對可以在系統(tǒng)中產(chǎn)生 而不是在 USB KEY 中產(chǎn)生 ， 當證書 申請成功后，再將私鑰 和證書 導入到 USB KEY 中；同時系統(tǒng)可以以文件的形式保留私鑰 和證書的備份，這就提供了在 USB KEY 丟失時對用戶私鑰和證書的保護措施。管理員 （包括CA 管理員和 RA 管理員 ，可以是同一個管理員擔任 ）使用瀏覽器，訪問 CA 服務器，進行證書管理和 CA 管理。這樣，使得用戶 CA 認證體系具有很好的可操作性。 CA系統(tǒng)應用安全解決 方案 第 6頁 共 29頁 （ 2） 具有很好的可擴展性 如圖所示體系具有很好的可擴展性，采用三層結構為體系的擴展預留了空間（因為大多數(shù)應用都只支持四層以下），根據(jù) 用戶 實際應用需求，將來可以在子CA 下，簽發(fā)下級子 CA；或者針對別的應用再簽發(fā)子 CA 這樣，使得 用戶 CA 認證體系具有很好的可擴展性。 本方案設計的 用戶 的 CA 認證系統(tǒng)采用如下圖所示的認證體系： 圖 2 用戶 CA 認證體系圖 如圖所示，認證體系采用 3 層結構： ? 第一層是自簽名的 用戶 根 CA，是處于離線狀態(tài)的，具有 用戶 的權威性和品牌特性。 認證體系理論上可以無限延伸，但從技術實現(xiàn)與系統(tǒng)管理上，認證層次并非越多越好。 G. 高兼容性。使用高強度密碼保護密鑰，支持加密機、智能卡、 USB KEY 等硬件設備以及相應的網(wǎng)絡產(chǎn)品（證書漫游產(chǎn)品）來保存用戶的證書； E. 高擴展性。 iTrusCA 系統(tǒng)按照用戶數(shù)量的不同分為小型 iTrusCA、標準型 iTrusCA、企業(yè)型iTrusCA 和大型 iTrusCA，不同類型系統(tǒng)的網(wǎng)絡建設架構是不同的。 4 CA 認證系統(tǒng)設計 CA 認證系統(tǒng)負責為 用戶 提供安全認證服務，本方案采用 iTrusCA 產(chǎn)品進行設計和建設。 3 方案 總體設計思想 根據(jù) 用戶 的 系統(tǒng) 安全需求，基于自身在 PKI/CA 領域的技術優(yōu)勢，采用自主開發(fā)的PKI 產(chǎn)品 —— iTrusCA 系統(tǒng)，為 用戶 提供了完善的安全解決方案，解決方案總體框架包含如下幾個基本思想： 一、 采用 iTrusCA 系統(tǒng)，為 用戶 建設 一套功能完善的 CA 認證系統(tǒng)，為 用戶 各個應用 系統(tǒng) 的 用戶頒發(fā)數(shù)字證書，提供安全認證服務。一旦出現(xiàn) 問題，將沒有任何有效的證據(jù)，對肇事者進行追究。在 應用 系統(tǒng)中傳輸?shù)暮芏嘈畔?，都需要實現(xiàn)信息抗抵賴。因此，需要采用有效的手段，解決 應用系統(tǒng) 訪問控制的需求。這種方式存在巨大的安全隱患，非法用戶可以通過口令攻擊、猜測或竊取口令等方式，假冒合法用戶的身份，登錄系統(tǒng)進行非法操作或獲取機密信息。如果不能保證 這些系統(tǒng)的用戶登錄認證安全，保證 這些數(shù)據(jù)的傳輸安全，其后果是可想而知的。在這股浪潮的推動下，為了提高 企業(yè) 的辦事效率， 各個企業(yè)紛紛 利用先進的 IT 技術來降低政務辦公的成本和加強信息管理，廣泛的開展電子政務。 由于業(yè)務發(fā)展的需要， 用戶 也建設了自己的各種應用信息系統(tǒng)，為了保證系統(tǒng)的正常運轉，有必要采取安全的措施來保障各個應用系統(tǒng)運行的安全。此外，在實現(xiàn)資源和數(shù)據(jù)共享的同時，也面臨巨大的威脅和風險，我們必須對 這些資料進行嚴格控制，保證只有被授權的人員才能夠訪問合法的資源，并且對于每個人產(chǎn)生的信息，需要保留相應的記錄。因此，需要采用安全的手段，解決 應用系統(tǒng) 身份認證需求。 （ 3）信息機密性和完整性 通過 應用系統(tǒng) 傳輸很多敏感資料，如通過 應用系統(tǒng) ，需要通過開放的互聯(lián)網(wǎng)，非法用戶很容易監(jiān)聽網(wǎng)絡傳輸?shù)臄?shù)據(jù)甚至篡改相關數(shù)據(jù)，或者入侵到 應用系統(tǒng) ，竊取有關資料。比如 財務部進行財務匯報時 ，如果采用紙質(zhì)的方式，可以在 財務報表 上簽字蓋章。另外，對于通過應用 系統(tǒng)進行網(wǎng)上申報與審批時，如果沒有抗抵賴性，申報者將可以否認自己的申報數(shù)據(jù)和行為，審批者也可以否認自己的審批意見和行為，甚至出現(xiàn)假冒他人進行申報或?qū)徟男袨椤? CA系統(tǒng)應用安全解決 方案 第 3頁 共 29頁 二、 用戶 應用 系統(tǒng) 集成數(shù)字證書的應用， 用戶 登錄 系統(tǒng) 時，必須提交 CA 認證系統(tǒng)頒發(fā)的用戶證書，系 統(tǒng)通過用戶證書來實現(xiàn)身份認證和訪問控制，同時通過加密技術和數(shù)字簽名技術，實現(xiàn)信息傳輸?shù)臋C密性和抗抵賴性 等安全需求 。 iTrusCA 系統(tǒng) 簡介 iTrusCA 系統(tǒng) 是參照國際領先的 CA 系統(tǒng)的設計思想，繼承了國際領先 CA 系統(tǒng)的成熟性、先進性、安全可靠及可擴展性，自主開發(fā)的、享有完全自主知識產(chǎn)權的數(shù)字證書服務系統(tǒng)。 iTrusCA 系統(tǒng)具有下列特點 ： A. 符合國際和行標準； B. 證書類型多樣性及靈活配置。根據(jù)客戶需要，對系統(tǒng)進行配置和擴展，能夠發(fā)放各種類型的證書；系統(tǒng)支持多級 CA，支持交叉 CA；系統(tǒng)支持多級 RA。支持各種加密機、多種數(shù)據(jù)庫和支持多種證書存儲介質(zhì)。層次越多，技術實現(xiàn)越復雜，管理的難度也增大。 ? 第二層是由 用戶 根 CA 簽發(fā)的 用戶 子 CA，處于在線狀態(tài)，它是簽發(fā)系統(tǒng)用戶證書的子 CA。 （ 3） 具有很好的可操作性 采用三層體系結構，相對比較簡單，在 CA 的創(chuàng)建和管理上也相當比較容易。 系統(tǒng)網(wǎng)絡架構 采用 iTrusCA 系統(tǒng)將為 用戶 建設一個 CA 中心和一個 RA 中心， iTrusCA 系統(tǒng)的所有模塊可以安裝在同一臺服務器上，也可以采用多臺服務器分別安裝各模塊。 CA系統(tǒng)應用安全解決 方案 第 7頁 共 29頁 證書存儲介質(zhì) 本方案推薦使用 USB KEY 來保存用戶的證書及私鑰。 CA 系統(tǒng) 功能 iTrusCA 系統(tǒng)具有完善的功能，采用 iTrusCA 系統(tǒng)設計的 用戶 CA 認證系統(tǒng) 也具有完善的功能，包括： （ 1）證書簽發(fā) 通過 CA 認證系統(tǒng)，能夠申請、產(chǎn)生和分發(fā)數(shù)字證書，具有證書簽發(fā)功能。用戶吊銷證書時，可CA系統(tǒng)應用安全解決 方案 第 8頁 共 29頁 以直接訪問 CA 認證系統(tǒng)，在線的向 CA 提交證書吊銷請求， CA 認證系統(tǒng)根據(jù)用戶的選擇，自動吊銷用戶的證書，并將吊銷的證書添加到證書吊銷列表（ CRL）中，按照證書吊銷列表的發(fā)布周期進行發(fā)布； ? 證書更新 在用戶證書到期前，用戶需要更新證書，用戶訪問 CA 認證系統(tǒng)，查詢用戶的證書狀態(tài)，對即將過期的用戶證書進行更新。證書服務的功能提供給用戶進行證書查詢的功能，用戶可以通過電子郵件（ Email）、用戶名稱（ Common Name）、單位名稱（ Organization）和部門名稱（ OU）等字段查找 CA認證系統(tǒng)簽發(fā)的用戶證書。 （ 6）日志與審計功能 系統(tǒng)具有完善的日志與審計功能，可以查看和統(tǒng)計各種日志，包括： ? 統(tǒng)計各 CA、 RA 賬號證書頒發(fā)情況； ? 記錄所有 RA 與 CA 的操作日志； ? 對所有操作人員的操作行為進行審計。 ? 證書解析模塊（ CPM） 證書解析模塊是一系列平臺下的動態(tài)鏈接庫，用于解析 DER 或 PEM 編碼的 數(shù)字證書 ，將證書中的信息，包括用戶信息、證書有效期、證書公鑰等信息分解為字符串。 其工作流程如下圖所示： 圖 4 證書發(fā)放 流程圖 (a) 管理員 使 用瀏覽器，訪問 用戶 CA 認證系統(tǒng) ，進入證書申請頁面， 替最終用戶 填寫證書申請信息，向 用戶 CA 認證系統(tǒng) 提交證書申請請求。 （ 3） 證書更新 流程 最終用戶在其證書即將過期之前，需要訪問 CA 認證系統(tǒng)，更新自己的證書，其流程為： (a) 最終用戶 在證書即將過期前（一般為一個月）， 訪問 用戶 CA 認證系統(tǒng) ，登錄用戶服務頁面， 點擊 “ 證書更新 ”選項 ； (b) 系統(tǒng) 自動識別用戶是否具有 用戶 CA 認證系統(tǒng) 頒發(fā)的數(shù)字證書，并且判斷是否過期，如果即將過期，便提示進行更新； (c) 用戶選擇需要更新的證書，點擊提交，向 CA 認證系統(tǒng)提交證書更新請求。 （ 2） 證書類型多樣性及靈活配置 系統(tǒng)能夠提供各種證書的簽發(fā)功能， 本方案設計的 CA 認證系統(tǒng)能夠簽發(fā)個人身份證書。 （ 5） 高安全性和可靠性 使用高強度密碼保護密鑰，支持加密機、智能卡、 USB KEY 等硬件設備，用戶關鍵信息散列保存，以防遺失。 郵件系統(tǒng)安全 應用 郵件用戶從管理員處獲得保存有證書的 USB 令牌之后，在所在單位的郵件管理員的指導下，安裝 USB 令牌的驅(qū)動，將 USB 令牌插入到計算機，對郵件客戶端進行安全配置，如下圖所示為對 Outlook郵件客戶端進行安全配置的示例： 圖 5 Outlook安全配置示意圖 在完成郵件客戶端的安全配置之后，用戶就可以使用郵件客戶端發(fā)送加密和或簽名的安全電子郵件，可以實現(xiàn) ： ? 對電子郵件的內(nèi)容和附件進行加密，確保在傳輸?shù)倪^程中不被他人閱讀、截取和篡改。 VPN 安全應用 對于采用標準協(xié)議實現(xiàn)的 VPN 設備 ，由于 VPN 設備對數(shù)字證書的支持，我們可以通過 CA 認證系統(tǒng)為 VPN 設備頒發(fā)數(shù)字證書，為客戶端頒發(fā)個人證書，利用 CA 系統(tǒng)進行相應的數(shù)字證書發(fā)放和管理。而目前比較通常的做法是在配置 VPN時，就在 VPN 客戶端和 VPN 服務端（ VPN 網(wǎng)關）之間配置一個共享的對稱密鑰。接收者使用自己的證書私鑰解密會話密鑰，再用會話密鑰解密被加密的數(shù)據(jù)； VPN 證書介紹 VPN 證書也是 人們常說的 IPSec 證書，包括兩種證書： ? 一是 VPN 客戶端證書，就是通常的用戶證書，可以存放在 IPSec 客戶端軟件中管理，也可以存放在 IE 瀏覽器或者 USB KEY 等其他存儲介質(zhì)內(nèi)。 VPN 證書可識別使用 IPSec（ IP 安全）協(xié)議進行安全通信的設備。 VPN 證書應用 根據(jù)以往的 VPN 證書應用經(jīng)驗，證書 的應用流程主要有： （ 1） 登錄 CA 服務器，下載 VPN 根證書，將 CA 根證書 上傳到設備系統(tǒng)中； （ 2） 為 VPN 設備申請設備證書，將設備證書上傳到 VPN 設備中； 配置 VPN 設備中使用證書的身份認證方式和加密方式等的參數(shù)； （ 3） 為用戶申請用戶證書，將證書保存在 USB KEY 中； 并配置客戶端程序，使 VPN系統(tǒng)使用證書進行登錄身份認證； （ 4） 用戶在登錄系統(tǒng)時，跟原來的流程一樣， VPN 系統(tǒng)自動通過證書驗證用戶端額身份，根據(jù)用戶的權限建立相應的連接；并通過證書來交換 VPN 加密通道的 會話密鑰 ； （ 5） 整個認證過程采用證書進行用戶身份認證，并使用證書交換會話密鑰，增強了系統(tǒng)的安全性。 CA系統(tǒng)應用安全解決 方案 第 17頁 共 29頁 圖 7 域登錄流程示意圖