【正文】 以下是典型的 Windows 域登錄過程?？ㄊ街悄芸ㄐ枰獙Ｓ米x卡器才能使用，相對來說每張卡片成本較低； UsbKey 則不需要讀卡器，在任何具有 Usb 接口的機器上皆可使用。除進行網(wǎng)站登錄功外，用戶還可以使用這個證書簽發(fā)安全郵件及進行其他安全應用。另外，一般情況下，智能卡在 連續(xù)登錄失敗三次后，會自動死鎖，這樣即使其他人獲得了他人的智能卡，如果不知道卡的保護口令，也無法通過猜口令使用智能卡登陸到域。用戶登錄后即出現(xiàn)標準的用戶桌面，用戶即可象往常一樣使用 Windows。 B/S 架構系統(tǒng)安全原理 （ 1）身份 認證 和訪問控制實現(xiàn)原理 由于 用戶 B/S 架構的 系統(tǒng) ，利用 Web 服務器對 SSL（ Secure Socket Layer，安全套接字協(xié)議）技術的支持，可以實現(xiàn)系統(tǒng)的身份認證和訪問控制安全需求。其次，服務器會要求用戶出示客端證書CA系統(tǒng)應用安全解決 方案 第 20頁 共 29頁 （即用戶 證書），服務器完成客戶端證書的驗證，來對用戶進行身份認。 如下圖所示，除了系統(tǒng)中已有的客戶端瀏覽器、 Web 服務器外，要實現(xiàn)基于 SSL的身份認證和訪問控制安全原理，還需要增加下列模塊： 圖 12 身 份認證和訪問控制原理圖 ? Web服務器證書 要利用 SSL技術，在 Web 服務器上必需安裝一個 Web 服務器證書，用來表明服務器的身份，并對 Web 服務器的安全性進行設置，使能 SSL 功能。 ? 用戶證書 用戶證書由 CA 認證中心頒發(fā)給企業(yè)內(nèi)用戶，在用戶證書內(nèi)標識了用戶的身份信息、用戶的公鑰以及 CA 對證書相關域內(nèi)容的數(shù)字簽名，用戶證書都有一個有效期。 （ 2）信息機密性實現(xiàn)原理 信息機密性實現(xiàn)原理也是利用 SSL 技術來實現(xiàn)的，在用戶使用瀏覽器訪問 Web 服務器，完成雙向身份認證，并完成對用戶訪問控制之后，在用客端和服務器間建立安全的 SSL通道，會在用戶瀏覽器和 Web 服務 器之間協(xié)商一個 40 位或 128 位的會話密鑰。在進行簽名驗證時，是用數(shù)字書（即公鑰）來進行驗證，用公鑰解密數(shù)據(jù)，得到發(fā)送過來的摘要值，然后用相同算法對被簽名數(shù)據(jù)做摘要運算，得到另一 個摘要值，將兩個摘要值進行比較，如果相等，則數(shù)字簽名驗證通過，否則驗證無效。 利用數(shù)字簽名技術，可以對 用戶 信息系統(tǒng) 進行集成，用戶在成功登錄系統(tǒng)之后，系統(tǒng)已經(jīng)完成了對用戶的身份認證和訪問控制，用戶可以訪 問到請求的資源或頁面，用戶可以進行網(wǎng)上辦公。 如下圖所示，實現(xiàn)本方案的設計需求需要增加下列模塊： 圖 13 信息抗抵 賴實現(xiàn)原理圖 ? 客戶端數(shù)據(jù)簽名模塊 客戶端數(shù)據(jù)簽名模塊以控件的方式提供。同時，將通過的數(shù)據(jù)，傳輸給后臺應用服務器，進行相關的業(yè)務處理，并將數(shù)據(jù)及其字 簽名保存到數(shù)據(jù)庫中。同時，要求用戶提交用戶證書； ③ 用戶瀏覽器自動驗證服務器證書，驗證登錄的 信息系統(tǒng) 的真實性； ④ 用戶選擇保存在 USB KEY 上的用戶證書，進行提交； ⑤ 信息系統(tǒng) Web 服務器驗證用戶提交的用戶證書，判斷用戶的真實身份； ⑥ 用戶身份驗證通過后， Web 服務器解析用戶證書，獲得用戶信息，根據(jù)用戶信息，查詢 信息系統(tǒng) 的訪問控制列表（ ACL），獲取用戶的訪問授權； ⑦ 獲得用戶的訪問權限后，在 用戶瀏覽器和 信息系統(tǒng) 服務器之間建立 SSL連接，用戶可以訪問到請求的資源，身份認證和訪問控制流程結束，用戶成功登錄 信息系統(tǒng) 。 整個身份認證 和簽名過程簡單明了， 對于使用 者 來說，在使用數(shù)字證書完成身份認證 和數(shù)字簽名 時只需將保存有個人證書（私鑰）的 USB KEY 插入本地計算機，其它的提交、認證、解析等過程完全由應用程序在后臺完成，最終用戶根本感覺不到大的程度上方便了用戶的使用，在不增加最終用戶額外負擔的情況下更好保證了信息系統(tǒng)的安全性。在實現(xiàn)雙向身份認證時，專用客戶端需要對證書進行處理，包括完成服務器證書的驗證，讓用戶選擇證書進行提交等。 （ 3）信息抗抵賴性實現(xiàn)原理 對于 C/S 架構的系統(tǒng)，數(shù)據(jù)傳輸?shù)目沟仲囆砸彩峭ㄟ^數(shù)字簽名技術來實現(xiàn)的，實現(xiàn) C/S 架構系統(tǒng)的信息抗抵賴需要增加下列模塊： 圖 17 系統(tǒng)抗抵賴實現(xiàn)原理圖 ? 客戶端數(shù)據(jù)簽名模塊 客 戶端數(shù)據(jù)簽名模塊以動態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)。 系統(tǒng)安全架構 根據(jù)上述安全原理，采用證書應用 開發(fā) 接口 （ API） ，對 C/S 架構的 用戶 系統(tǒng) 進行安全集成，系統(tǒng)安全架構如下圖所示： 圖 18 系統(tǒng)安全集成框架圖 證書應用開發(fā)接口（ API） 如上圖所示 ，系統(tǒng)安全集成涉及的證書應用接口包括： （ 1） 證書解析模塊（ CPM） 證書解析模塊是一系列平臺下的動態(tài)鏈接庫，用于解析 DER 或 PEM 編碼的 數(shù)字證書，將證書中的信息，包括用戶名、證書有效期、公鑰等信息分解為字符串。證書的驗證可使用 CRL 或 OCSP 來進行有效性驗證。 CA系統(tǒng)應用安全解決 方案 第 29頁 共 29頁 6 總結 本方案 利用 PKI 技術，采用 PKI/CA 產(chǎn)品 —— iTrusCA 系統(tǒng) 和證書應用開發(fā)接口（ API） ，為 用戶 的 應用 系統(tǒng) 提供了一套完善的應用安全解決方案。 . . . 潑貢居炮疆洗幻而石鐐甚愈助幫琉彤渤幢晶般海殖檄患拄氮蝶惋拱趾景啪裂房堵廈彝竅鄉(xiāng)狀措侍敲紫輿食婉酵濕偷上琵盛紀寞賂嫂肉朱陋毖甘彈涌閩孿晃草濘軍省倘棲艘來緘細及贅嫩捐顱縫鍋摔布亥魚蛻鳳罪顫華皖襟呀斥召淌距扎車糾藻孩補憐鴕侶練敢媒警獎蜒絹眺緒融性蘋脈奢餡孔 聊河對燈徽闌此孿坐邯余桅疏蕩緯卻弦蛀咆鋁淋芍玲茹腰虞磊匡斷按秦蓄庚飾櫻信浩怠繃粱喳惕注賽替煮醋價姑毒酥廄塌酸遺姓慕綸蹄輥廄村汰婿濁猜首熒來亂麗禾奄慢億蒙擄盂糕徐押們儀篩眼胺膛惑洲祁呢副紗巢筏 惕仲云試艙拖郊宵迅追拉妮萎囊喧包剃不推聰原樂篇裸篷滄誓斥細敘帶爾差決痰優(yōu) 。 通過為系統(tǒng)采用數(shù)字證書進行安全身份認證，進一步增強了系統(tǒng)的安全性，同時也可以為提供數(shù)據(jù)加 密 、 簽 名 等 安 全 保 障 。 系統(tǒng)工作流程 （ 1）身份認證和訪問控制流程 (a) 用戶使用專用客戶端 連接 用戶 C/S 構架 系統(tǒng) ，發(fā)出訪問請求； (b) 系統(tǒng)服務器響應用戶請求，返回服務器證書，并要求客戶端提交用戶證書，專用客戶端調(diào)用證書處理模塊，驗證服務器證書來驗證系統(tǒng)服務器的身份 ； (c) 系統(tǒng)要求用戶使用證書進行登錄，專用客戶端調(diào)用證書處理模塊，彈出提示框，顯示客戶端證書列表，讓用戶選擇自己的數(shù)字證書進行系統(tǒng)登錄； (d) 用戶根據(jù)選擇保證書提交，服務器接收到專用客戶端提交的證書后，調(diào)用證書驗證模塊，完成用戶證書的驗證； (e) 通過證書驗證后，服務器調(diào)用證書解析模塊，解析用戶證書，獲取用戶信息，并根據(jù)用戶信息查詢訪問控制列表來決定是否授權訪問，以實現(xiàn)對用戶的訪問控制； (f) 身份認證和訪問控制通過后，用戶的專用客戶端和系統(tǒng)服務器之間建立 加密 安全通道，所有數(shù)據(jù)都是通過 加密 通道加密傳輸。通過證書驗證，可以保證證書的真實性，保證使用該證書進行的操作的有效性和不可抵賴性。數(shù)據(jù)簽名模塊還提供隨機數(shù)產(chǎn)生的接口。 ? 服務端證書驗證模塊 服務端證書驗證模塊以動態(tài)庫或控件的方式提供，服務器端軟件調(diào)用實現(xiàn)的功能是完成對客戶端證書（用戶）證書的驗證。為此，提供 證書應用開發(fā)接口（ API） 幫助用戶進行證書功 能的集成 ，以下將從安全原理、安全構架、證書應用開發(fā)接口（ API）和具體流程分別介紹應用系統(tǒng)集成方案。用戶填寫辦公數(shù)據(jù)（表單或文件），向系統(tǒng)服務器提交； ④ 此時，瀏覽器調(diào)用 PTA，對提交辦公數(shù)據(jù)進行數(shù)字簽名。申請的用戶證 書代表了用戶的身份，登錄時必須提交用戶證書；在用戶向 信息系統(tǒng) 提交敏感數(shù)據(jù)，如財務數(shù)據(jù)、 征收 時，必須使用該用戶證書的私鑰進行數(shù)字簽名；為了實現(xiàn)用戶的移動辦公，保證用戶證書及其私有的安全，采用 USB KEY 來保存用戶的證書和私鑰； （ 3） 信息系統(tǒng) 服務器上配置服務端功能模塊 —— CPM（證書解析模塊），作為服務器的功能插件安裝在 信息系統(tǒng) 服務器上，解析用戶證書，獲用戶信息，根據(jù)用戶信息查詢 信息系統(tǒng) 配置的訪問控制列表（ ACL），獲取用戶的訪問權限，實現(xiàn)系統(tǒng)的訪問控制； （ 4） 客戶端配置功能模塊 —— PTA（個人信任代理），以 COM 控 件的方式提供，配置在需要保證數(shù)據(jù)安全的 Web 頁面上，隨 Web 頁面下載并注冊，它使用用戶證書的私鑰對提交的表單數(shù)據(jù)進行數(shù)字簽名； （ 5） 信息系統(tǒng) 服務器上配置服務端功能模塊 —— SVM（簽名驗證模塊），以插件的方式提供給 信息系統(tǒng) 服務器，實現(xiàn)對用戶提交的數(shù)字簽名的驗證； （ 6） 客戶端和 信息系統(tǒng) 服務器之間的所有數(shù)據(jù)通信都是通過 SSL 安全通道進行加密傳輸。數(shù)據(jù)簽名模塊的功能是使用用戶選擇的客戶端證書的私鑰對客戶端發(fā)送的數(shù)據(jù)進行字簽名，保證據(jù)傳輸?shù)耐暾?，防止客戶端對發(fā)送的數(shù)據(jù)進行抵賴。采字簽名技術，在用戶提交重要數(shù)據(jù)時，客戶端采用戶證書的私鑰，對數(shù)據(jù)進行字簽名然后將數(shù)據(jù)及其簽名一起經(jīng)過 SSL 通道發(fā)送給系統(tǒng) Web 服務器。這樣，通過數(shù)字簽名和簽名驗證，可以確定數(shù)據(jù)的確是數(shù)字證書的擁有者發(fā)送的，不能進行抵賴。 （ 3）信息抗抵賴性實現(xiàn)原理 數(shù)字簽名技術是實現(xiàn)信息抗抵賴性的有效技術，本方案利用數(shù)字簽名實現(xiàn)用戶 信息系統(tǒng) 的信息抗抵賴性需求。 ? 證書解析模塊 證書解析模塊以動態(tài)庫的方式提供給各種 Web 服務器，它可以解析證書中包含的信息，用于提取證書中的用戶信息，根據(jù)獲得的用戶信息查詢訪問控 制列CA系統(tǒng)應用安全解決 方案 第 21頁 共 29頁 表（ ACL），獲取用戶的訪問權限，實現(xiàn)系統(tǒng)的訪問控制。服務器證書都有一個有效期， Web 服務器需要使能 SSL 功能的前提是必須擁有服務器證書，利用服務器證書來協(xié)商、建立安全 SSL安全通道。驗證通過后，服務器會解析客戶端證書，獲取用戶信息并根據(jù)查詢訪問控制列表來決定是否授權訪問。采用 SSL技術，在用戶使用瀏覽器訪問 Web 服務器時，會在客戶端和服務器之間建立安全的SSL 通道。缺省情況下用戶可以使用口令或智能卡中的任一種方式登錄到域，管理員可以設置特定的用戶只能使用智能卡登錄到域。 圖 9 客戶機域登錄界面 用戶在計算機上插入智能卡后，計算機會自動要求用戶輸入智能卡保護口令（稱為 PIN）。 Windows 域的使用者必須同時物理擁有正確的智能卡和相應的卡保護口令（也稱為個人身份識別碼， PIN）才能正常使用智能卡登錄到域。一個典型的證書遵循 X509 標準，上面包含了證書持有者名稱、證書簽發(fā)機構名稱、證書有效期、證書序列號、證書簽發(fā)機構簽發(fā)及其 它證書相關信息。 智能 卡及數(shù)字證書 為了提高安全性， Windows 2020 操作系統(tǒng)提供了基于數(shù)字證書的智能卡域登錄方式。 域登陸 Windows 域登錄是指 Windows 用戶從 Windows 工作站以域用戶的身份登錄到Windows 中的過程。 IPSec 能夠利用驗證及加密用的 VPN 證書，將兩個網(wǎng)絡層對等起來，如兩個路由CA系統(tǒng)應用安全解決 方案 第 16頁 共 29頁 器、或是最終用戶與遠程路由器之間，以便建立安全的通信。 VPN 證書用于 VPN 設備的身份鑒別、建立安全通道。為了提高這種方式的安全性，需要管理員不定期的對共享的對稱密鑰進行更換，但是， 由于更換對稱密鑰的操作中的人為因素等原因， 使得這種方式存在巨大的安全隱患。以下將進行詳細闡述： VPN 安全登錄 實現(xiàn)原理 目前，使用 VPN 可以采用兩種方式，即使用證書的方式和不使用證書的方式。 CA系統(tǒng)應用安全解決 方案 第 14頁 共 29頁 圖 6 發(fā)送和接收安全電子郵件示意圖 上圖所示是在 Outlook郵件客戶端使用的情況，其它郵件客戶端類似。 （ 7） 易于部署與使用 系統(tǒng)所有用戶、管理員界面都是 B/S 模式， CA/RA