【正文】 第 9頁 共 29頁 ? RA 策略配置管理，包括語言、聯(lián)系方法、證書類型、是否發(fā)布到LDAP 等； ? CA 策 略配置管理，包括證書 DN 重用性檢查、 CA 別名設(shè)置等。 （ 4）目錄服務(wù)功能 CA 認(rèn)證系統(tǒng)支持目錄服務(wù)，支持 LDAP V3 規(guī)范， CA 認(rèn)證系統(tǒng)在簽發(fā)用戶證書時或者對證書進(jìn)行吊銷處理時，會及時更新目錄內(nèi)容。 （ 2）證書生命周期管理 通過 CA 認(rèn)證系統(tǒng)，可以實(shí)現(xiàn)證書的生命周期管理，包括： ? 證書申請 最終用戶使用瀏覽器，訪問 CA 認(rèn)證系統(tǒng)，可以進(jìn)行證書申請，在線提交證書申請請求； ? 證書批準(zhǔn) 管理員登錄管理員站點(diǎn)，完成證書批準(zhǔn)功能可以查看和審最終用戶的證書申請請求； ? 證書查詢 最終用戶可以通過 CA 認(rèn)證系統(tǒng)，查詢自己或別人的數(shù)字證書； ? 證書下載 通過 CA 認(rèn)證系統(tǒng)，可以下載簽發(fā)的數(shù)字證書； ? 證書吊銷 最終用戶在使用證書期間，有可能 會出現(xiàn)一些問題，如：證書丟失、忘記密碼等，最終用戶就需要將原證書吊銷。 為了在發(fā)生 USB KEY 丟失等情況時 ，私鑰 可以 恢復(fù)或者還可以 用私鑰 解密以前的加密郵件，在申請證書時，密鑰對可以在系統(tǒng)中產(chǎn)生 而不是在 USB KEY 中產(chǎn)生 ， 當(dāng)證書 申請成功后，再將私鑰 和證書 導(dǎo)入到 USB KEY 中；同時系統(tǒng)可以以文件的形式保留私鑰 和證書的備份，這就提供了在 USB KEY 丟失時對用戶私鑰和證書的保護(hù)措施。管理員 （包括CA 管理員和 RA 管理員 ，可以是同一個管理員擔(dān)任 ）使用瀏覽器，訪問 CA 服務(wù)器，進(jìn)行證書管理和 CA 管理。這樣，使得用戶 CA 認(rèn)證體系具有很好的可操作性。 CA系統(tǒng)應(yīng)用安全解決 方案 第 6頁 共 29頁 （ 2） 具有很好的可擴(kuò)展性 如圖所示體系具有很好的可擴(kuò)展性，采用三層結(jié)構(gòu)為體系的擴(kuò)展預(yù)留了空間（因為大多數(shù)應(yīng)用都只支持四層以下），根據(jù) 用戶 實(shí)際應(yīng)用需求，將來可以在子CA 下，簽發(fā)下級子 CA；或者針對別的應(yīng)用再簽發(fā)子 CA 這樣，使得 用戶 CA 認(rèn)證體系具有很好的可擴(kuò)展性。 本方案設(shè)計的 用戶 的 CA 認(rèn)證系統(tǒng)采用如下圖所示的認(rèn)證體系： 圖 2 用戶 CA 認(rèn)證體系圖 如圖所示，認(rèn)證體系采用 3 層結(jié)構(gòu)： ? 第一層是自簽名的 用戶 根 CA，是處于離線狀態(tài)的，具有 用戶 的權(quán)威性和品牌特性。 認(rèn)證體系理論上可以無限延伸，但從技術(shù)實(shí)現(xiàn)與系統(tǒng)管理上，認(rèn)證層次并非越多越好。 G. 高兼容性。使用高強(qiáng)度密碼保護(hù)密鑰，支持加密機(jī)、智能卡、 USB KEY 等硬件設(shè)備以及相應(yīng)的網(wǎng)絡(luò)產(chǎn)品（證書漫游產(chǎn)品）來保存用戶的證書； E. 高擴(kuò)展性。 iTrusCA 系統(tǒng)按照用戶數(shù)量的不同分為小型 iTrusCA、標(biāo)準(zhǔn)型 iTrusCA、企業(yè)型iTrusCA 和大型 iTrusCA，不同類型系統(tǒng)的網(wǎng)絡(luò)建設(shè)架構(gòu)是不同的。 4 CA 認(rèn)證系統(tǒng)設(shè)計 CA 認(rèn)證系統(tǒng)負(fù)責(zé)為 用戶 提供安全認(rèn)證服務(wù)，本方案采用 iTrusCA 產(chǎn)品進(jìn)行設(shè)計和建設(shè)。 3 方案 總體設(shè)計思想 根據(jù) 用戶 的 系統(tǒng) 安全需求，基于自身在 PKI/CA 領(lǐng)域的技術(shù)優(yōu)勢，采用自主開發(fā)的PKI 產(chǎn)品 —— iTrusCA 系統(tǒng)，為 用戶 提供了完善的安全解決方案，解決方案總體框架包含如下幾個基本思想： 一、 采用 iTrusCA 系統(tǒng)，為 用戶 建設(shè) 一套功能完善的 CA 認(rèn)證系統(tǒng)，為 用戶 各個應(yīng)用 系統(tǒng) 的 用戶頒發(fā)數(shù)字證書，提供安全認(rèn)證服務(wù)。一旦出現(xiàn) 問題，將沒有任何有效的證據(jù)，對肇事者進(jìn)行追究。在 應(yīng)用 系統(tǒng)中傳輸?shù)暮芏嘈畔ⅲ夹枰獙?shí)現(xiàn)信息抗抵賴。因此，需要采用有效的手段，解決 應(yīng)用系統(tǒng) 訪問控制的需求。這種方式存在巨大的安全隱患，非法用戶可以通過口令攻擊、猜測或竊取口令等方式，假冒合法用戶的身份，登錄系統(tǒng)進(jìn)行非法操作或獲取機(jī)密信息。如果不能保證 這些系統(tǒng)的用戶登錄認(rèn)證安全，保證 這些數(shù)據(jù)的傳輸安全，其后果是可想而知的。在這股浪潮的推動下，為了提高 企業(yè) 的辦事效率， 各個企業(yè)紛紛 利用先進(jìn)的 IT 技術(shù)來降低政務(wù)辦公的成本和加強(qiáng)信息管理，廣泛的開展電子政務(wù)。 由于業(yè)務(wù)發(fā)展的需要， 用戶 也建設(shè)了自己的各種應(yīng)用信息系統(tǒng)，為了保證系統(tǒng)的正常運(yùn)轉(zhuǎn)，有必要采取安全的措施來保障各個應(yīng)用系統(tǒng)運(yùn)行的安全。此外，在實(shí)現(xiàn)資源和數(shù)據(jù)共享的同時，也面臨巨大的威脅和風(fēng)險，我們必須對 這些資料進(jìn)行嚴(yán)格控制，保證只有被授權(quán)的人員才能夠訪問合法的資源，并且對于每個人產(chǎn)生的信息，需要保留相應(yīng)的記錄。因此，需要采用安全的手段，解決 應(yīng)用系統(tǒng) 身份認(rèn)證需求。 （ 3）信息機(jī)密性和完整性 通過 應(yīng)用系統(tǒng) 傳輸很多敏感資料，如通過 應(yīng)用系統(tǒng) ，需要通過開放的互聯(lián)網(wǎng)，非法用戶很容易監(jiān)聽網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)甚至篡改相關(guān)數(shù)據(jù)，或者入侵到 應(yīng)用系統(tǒng) ，竊取有關(guān)資料。比如 財務(wù)部進(jìn)行財務(wù)匯報時 ，如果采用紙質(zhì)的方式，可以在 財務(wù)報表 上簽字蓋章。另外，對于通過應(yīng)用 系統(tǒng)進(jìn)行網(wǎng)上申報與審批時，如果沒有抗抵賴性，申報者將可以否認(rèn)自己的申報數(shù)據(jù)和行為，審批者也可以否認(rèn)自己的審批意見和行為，甚至出現(xiàn)假冒他人進(jìn)行申報或?qū)徟男袨椤? CA系統(tǒng)應(yīng)用安全解決 方案 第 3頁 共 29頁 二、 用戶 應(yīng)用 系統(tǒng) 集成數(shù)字證書的應(yīng)用， 用戶 登錄 系統(tǒng) 時，必須提交 CA 認(rèn)證系統(tǒng)頒發(fā)的用戶證書，系 統(tǒng)通過用戶證書來實(shí)現(xiàn)身份認(rèn)證和訪問控制，同時通過加密技術(shù)和數(shù)字簽名技術(shù)，實(shí)現(xiàn)信息傳輸?shù)臋C(jī)密性和抗抵賴性 等安全需求 。 iTrusCA 系統(tǒng) 簡介 iTrusCA 系統(tǒng) 是參照國際領(lǐng)先的 CA 系統(tǒng)的設(shè)計思想，繼承了國際領(lǐng)先 CA 系統(tǒng)的成熟性、先進(jìn)性、安全可靠及可擴(kuò)展性，自主開發(fā)的、享有完全自主知識產(chǎn)權(quán)的數(shù)字證書服務(wù)系統(tǒng)。 iTrusCA 系統(tǒng)具有下列特點(diǎn) ： A. 符合國際和行標(biāo)準(zhǔn)； B. 證書類型多樣性及靈活配置。根據(jù)客戶需要，對系統(tǒng)進(jìn)行配置和擴(kuò)展，能夠發(fā)放各種類型的證書；系統(tǒng)支持多級 CA，支持交叉 CA；系統(tǒng)支持多級 RA。支持各種加密機(jī)、多種數(shù)據(jù)庫和支持多種證書存儲介質(zhì)。層次越多，技術(shù)實(shí)現(xiàn)越復(fù)雜，管理的難度也增大。 ? 第二層是由 用戶 根 CA 簽發(fā)的 用戶 子 CA，處于在線狀態(tài)，它是簽發(fā)系統(tǒng)用戶證書的子 CA。 （ 3） 具有很好的可操作性 采用三層體系結(jié)構(gòu)，相對比較簡單，在 CA 的創(chuàng)建和管理上也相當(dāng)比較容易。 系統(tǒng)網(wǎng)絡(luò)架構(gòu) 采用 iTrusCA 系統(tǒng)將為 用戶 建設(shè)一個 CA 中心和一個 RA 中心， iTrusCA 系統(tǒng)的所有模塊可以安裝在同一臺服務(wù)器上，也可以采用多臺服務(wù)器分別安裝各模塊。 CA系統(tǒng)應(yīng)用安全解決 方案 第 7頁 共 29頁 證書存儲介質(zhì) 本方案推薦使用 USB KEY 來保存用戶的證書及私鑰。 CA 系統(tǒng) 功能 iTrusCA 系統(tǒng)具有完善的功能，采用 iTrusCA 系統(tǒng)設(shè)計的 用戶 CA 認(rèn)證系統(tǒng) 也具有完善的功能，包括： （ 1）證書簽發(fā) 通過 CA 認(rèn)證系統(tǒng)，能夠申請、產(chǎn)生和分發(fā)數(shù)字證書，具有證書簽發(fā)功能。用戶吊銷證書時，可CA系統(tǒng)應(yīng)用安全解決 方案 第 8頁 共 29頁 以直接訪問 CA 認(rèn)證系統(tǒng)，在線的向 CA 提交證書吊銷請求， CA 認(rèn)證系統(tǒng)根據(jù)用戶的選擇，自動吊銷用戶的證書，并將吊銷的證書添加到證書吊銷列表（ CRL）中，按照證書吊銷列表的發(fā)布周期進(jìn)行發(fā)布； ? 證書更新 在用戶證書到期前，用戶需要更新證書，用戶訪問 CA 認(rèn)證系統(tǒng)，查詢用戶的證書狀態(tài)，對即將過期的用戶證書進(jìn)行更新。證書服務(wù)的功能提供給用戶進(jìn)行證書查詢的功能，用戶可以通過電子郵件（ Email）、用戶名稱（ Common Name）、單位名稱（ Organization）和部門名稱（ OU）等字段查找 CA認(rèn)證系統(tǒng)簽發(fā)的用戶證書。 （ 6）日志與審計功能 系統(tǒng)具有完善的日志與審計功能，可以查看和統(tǒng)計各種日志，包括： ? 統(tǒng)計各 CA、 RA 賬號證書頒發(fā)情況； ? 記錄所有 RA 與 CA 的操作日志； ? 對所有操作人員的操作行為進(jìn)行審計。 ? 證書解析模塊（ CPM） 證書解析模塊是一系列平臺下的動態(tài)鏈接庫，用于解析 DER 或 PEM 編碼的 數(shù)字證書 ，將證書中的信息，包括用戶信息、證書有效期、證書公鑰等信息分解為字符串。 其工作流程如下圖所示： 圖 4 證書發(fā)放 流程圖 (a) 管理員 使 用瀏覽器，訪問 用戶 CA 認(rèn)證系統(tǒng) ，進(jìn)入證書申請頁面， 替最終用戶 填寫證書申請信息，向 用戶 CA 認(rèn)證系統(tǒng) 提交證書申請請求。 （ 3） 證書更新 流程 最終用戶在其證書即將過期之前，需要訪問 CA 認(rèn)證系統(tǒng)，更新自己的證書，其流程為： (a) 最終用戶 在證書即將過期前（一般為一個月）， 訪問 用戶 CA 認(rèn)證系統(tǒng) ，登錄用戶服務(wù)頁面， 點(diǎn)擊 “ 證書更新 ”選項 ； (b) 系統(tǒng) 自動識別用戶是否具有 用戶 CA 認(rèn)證系統(tǒng) 頒發(fā)的數(shù)字證書，并且判斷是否過期，如果即將過期，便提示進(jìn)行更新； (c) 用戶選擇需要更新的證書，點(diǎn)擊提交，向 CA 認(rèn)證系統(tǒng)提交證書更新請求。 （ 2） 證書類型多樣性及靈活配置 系統(tǒng)能夠提供各種證書的簽發(fā)功能， 本方案設(shè)計的 CA 認(rèn)證系統(tǒng)能夠簽發(fā)個人身份證書。 （ 5） 高安全性和可靠性 使用高強(qiáng)度密碼保護(hù)密鑰，支持加密機(jī)、智能卡、 USB KEY 等硬件設(shè)備，用戶關(guān)鍵信息散列保存，以防遺失。 郵件系統(tǒng)安全 應(yīng)用 郵件用戶從管理員處獲得保存有證書的 USB 令牌之后，在所在單位的郵件管理員的指導(dǎo)下，安裝 USB 令牌的驅(qū)動，將 USB 令牌插入到計算機(jī)，對郵件客戶端進(jìn)行安全配置，如下圖所示為對 Outlook郵件客戶端進(jìn)行安全配置的示例： 圖 5 Outlook安全配置示意圖 在完成郵件客戶端的安全配置之后，用戶就可以使用郵件客戶端發(fā)送加密和或簽名的安全電子郵件，可以實(shí)現(xiàn) ： ? 對電子郵件的內(nèi)容和附件進(jìn)行加密，確保在傳輸?shù)倪^程中不被他人閱讀、截取和篡改。 VPN 安全應(yīng)用 對于采用標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)的 VPN 設(shè)備 ，由于 VPN 設(shè)備對數(shù)字證書的支持，我們可以通過 CA 認(rèn)證系統(tǒng)為 VPN 設(shè)備頒發(fā)數(shù)字證書，為客戶端頒發(fā)個人證書，利用 CA 系統(tǒng)進(jìn)行相應(yīng)的數(shù)字證書發(fā)放和管理。而目前比較通常的做法是在配置 VPN時，就在 VPN 客戶端和 VPN 服務(wù)端（ VPN 網(wǎng)關(guān)）之間配置一個共享的對稱密鑰。接收者使用自己的證書私鑰解密會話密鑰，再用會話密鑰解密被加密的數(shù)據(jù)； VPN 證書介紹 VPN 證書也是 人們常說的 IPSec 證書，包括兩種證書： ? 一是 VPN 客戶端證書，就是通常的用戶證書，可以存放在 IPSec 客戶端軟件中管理，也可以存放在 IE 瀏覽器或者 USB KEY 等其他存儲介質(zhì)內(nèi)。 VPN 證書可識別使用 IPSec（ IP 安全）協(xié)議進(jìn)行安全通信的設(shè)備。 VPN 證書應(yīng)用 根據(jù)以往的 VPN 證書應(yīng)用經(jīng)驗，證書 的應(yīng)用流程主要有： （ 1） 登錄 CA 服務(wù)器，下載 VPN 根證書，將 CA 根證書 上傳到設(shè)備系統(tǒng)中； （ 2） 為 VPN 設(shè)備申請設(shè)備證書，將設(shè)備證書上傳到 VPN 設(shè)備中； 配置 VPN 設(shè)備中使用證書的身份認(rèn)證方式和加密方式等的參數(shù)； （ 3） 為用戶申請用戶證書，將證書保存在 USB KEY 中； 并配置客戶端程序，使 VPN系統(tǒng)使用證書進(jìn)行登錄身份認(rèn)證； （ 4） 用戶在登錄系統(tǒng)時，跟原來的流程一樣， VPN 系統(tǒng)自動通過證書驗證用戶端額身份，根據(jù)用戶的權(quán)限建立相應(yīng)的連接；并通過證書來交換 VPN 加密通道的 會話密鑰 ； （ 5） 整個認(rèn)證過程采用證書進(jìn)行用戶身份認(rèn)證，并使用證書交換會話密鑰，增強(qiáng)了系統(tǒng)的安全性。 CA系統(tǒng)應(yīng)用安全解決 方案 第 17頁 共 29頁 圖 7 域登錄流程示意圖