【正文】 策略配置和定制以及用戶證書管理等都是通過(guò)瀏覽器進(jìn)行，并具有詳細(xì)的操作說(shuō)明。 （ 3） 靈活的認(rèn)證體系配置 系統(tǒng) 采用“認(rèn)證體系設(shè)計(jì)”一節(jié)設(shè)計(jì)的 CA 認(rèn)證體系，采用樹狀結(jié)構(gòu)， 支持多級(jí)CA，支持交叉認(rèn)證。 系統(tǒng)性能和特點(diǎn)分析 采用 iTrusCA 系統(tǒng)建設(shè)的 用戶 CA 認(rèn)證系統(tǒng)擁有下列性能和特點(diǎn)： （ 1） 符合國(guó)際和行業(yè)標(biāo)準(zhǔn) 系統(tǒng)在設(shè)計(jì)中遵循了相應(yīng)的國(guó)際和工業(yè)標(biāo)準(zhǔn)，包括 標(biāo)準(zhǔn)、 PKCS 系列標(biāo)準(zhǔn)、IETF 的 PKIX 工作組制定的 PKI 相關(guān) RFC 標(biāo)準(zhǔn)，以及 HTTP、 SSL、 LDAP 等互聯(lián)網(wǎng)通訊協(xié)議等。同時(shí)， 將用戶證書返回到管理員端，保存到 USB KEY 中 ； (c) 管理員將申請(qǐng)好 證書的 USB KEY 發(fā)放給最終用戶。證書的驗(yàn)證可使用 CRL或 OCSP 來(lái)進(jìn)行有效性驗(yàn)證。 證書應(yīng)用開發(fā)接口（ API） 為了實(shí)現(xiàn)基于數(shù)字證書的安全應(yīng)用集成，提供了完整的證書應(yīng)用開發(fā)接口（ API），提供 C、 JAVA 和 COM等多種接口，包括： ? 個(gè)人信任代理（ PTA） 個(gè)人信任代理（ PTA）是客戶端的軟件包，既括安裝在客戶端的文件加密 /解密程序，也包括用于數(shù)字簽名和簽名驗(yàn)證的 ActiveX 控件。 ? 賬號(hào)管理 ? 個(gè)人賬號(hào)管理，包括注冊(cè)信息，證書信息等管理； ? RA 賬號(hào)管理，包括 RA 賬號(hào)申請(qǐng)、批準(zhǔn)、吊銷、額外管理員證書申請(qǐng)等。 CA 認(rèn)證系統(tǒng)定時(shí)產(chǎn)生 CRL 列表，并將產(chǎn)生的 CRL 發(fā)布至 Web 層 CRL服務(wù)模塊，可以通過(guò)手工下載該 CRL。用戶 CA 認(rèn)證系統(tǒng)，獲取簽發(fā)的證書。 USB KEY 可以設(shè)置用戶口令保護(hù)，增強(qiáng)了證書及私鑰的安全性。最終用戶使用瀏覽器，訪問(wèn) CA 服務(wù)器，進(jìn)行證書申請(qǐng)和管理。而采用三層結(jié)構(gòu)是目前業(yè)界比較通用的、 標(biāo)準(zhǔn)的做法。 采用這種認(rèn)證體系 具有下列特點(diǎn)： （ 1） 體現(xiàn) 用戶 的權(quán)威性 從認(rèn)證體系上看， 用戶 CA 具有自己的統(tǒng)一的根 CA，由 用戶 進(jìn)行統(tǒng)一管理，負(fù)責(zé)整個(gè) 用戶 的認(rèn)證體系、 CA 策略和證 書策略的定制與管理，這樣充分體現(xiàn)了 用戶 的權(quán)威性。一般的，國(guó)際上最大型的認(rèn)證體系層次都不超過(guò) 4 層，并且瀏覽器等軟件也不支持超過(guò) 4 層的認(rèn)證體系。證書的信任關(guān)系是一個(gè)樹狀結(jié)構(gòu)，由自簽名的根 CA 為起始，由它簽發(fā)二級(jí)子 CA，二級(jí)子 CA 又簽發(fā)它的下級(jí) CA，以此遞推，最后某一級(jí)子 CA 簽發(fā)最終用戶的證書。系統(tǒng)所有用戶、管理員界面都是 B/S 模式， CA/RA 策略配置和定制以及用戶證書管理等都是通過(guò)瀏覽器進(jìn)行，并具有詳細(xì)的操作說(shuō)明。系統(tǒng)支持樹狀的客戶私有的 認(rèn)證體系，支持多級(jí) CA，支持交叉認(rèn)證； D. 高安全性和可靠性。 iTrusCA 系統(tǒng)采用模塊化結(jié)構(gòu)設(shè)計(jì) ，由最終用戶、 RA 管理員、 CA 管理員、注冊(cè)中心（ RA）、認(rèn)證中心（ CA）等構(gòu)成，其中注冊(cè)中心（ RA）和認(rèn)證中心（ CA）又包含相應(yīng)的模塊，系統(tǒng)架構(gòu)如下圖： CA系統(tǒng)應(yīng)用安全解決 方案 第 4頁(yè) 共 29頁(yè) 圖 1 iTrusCA 系統(tǒng)模塊架構(gòu)圖 iTrusCA 系統(tǒng)能提供完善的功能， 包括：證書簽發(fā)、證書生命周期管理、證書吊銷列表（ CRL） 查詢服務(wù) 、目錄查詢服務(wù)、 CA 管理、密鑰管理和日志審計(jì)等全面的功能。 以下， 將分別對(duì)方案總體框架描述中 CA 認(rèn)證系統(tǒng) 、 應(yīng)用 系統(tǒng) 安全集成方案 等幾部分 分別 進(jìn)行描述。 為此， 根據(jù) 用戶 的信息系統(tǒng)安全現(xiàn)狀 ，采用 PKI（ Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）技術(shù)， 為 用戶 設(shè)計(jì) 了 基于數(shù)字證書的應(yīng)用安全解決方案。而如果沒(méi)有有效的手段保證電子數(shù)據(jù)共享和傳輸?shù)目沟仲嚕?財(cái)務(wù)部 可以否認(rèn)自己共享和傳輸過(guò)的電子數(shù)據(jù)。 （ 4）信息抗抵賴 信息抗抵賴是指信息的發(fā)送者不能對(duì)自己發(fā)送的信息進(jìn)行抵賴。因此， 應(yīng)用系統(tǒng) 在身份認(rèn)證的基礎(chǔ)上，需要給不同的身份授予不同的訪問(wèn)權(quán)限，使他們能夠進(jìn)行 相應(yīng)授權(quán)的操作。采用“用戶名＋密碼”的方式登錄應(yīng)用系統(tǒng)時(shí)，用戶輸入的用戶名和密碼都是通過(guò)明文的方式，傳輸給系統(tǒng)服務(wù)器，系統(tǒng)服務(wù)器根據(jù)用戶提交的用戶名和密碼，查詢數(shù)據(jù)庫(kù)，來(lái)判斷用戶的身份是否真實(shí)。 2 應(yīng)用安全 需求概述 隨著 用戶 信息 系統(tǒng) 的建設(shè) ， 大量的辦公業(yè)務(wù)數(shù)據(jù)文件通過(guò)網(wǎng)絡(luò)相互傳遞，同時(shí)大量的數(shù)據(jù)文件也保存于文件服務(wù)器之上。 CA 系統(tǒng)應(yīng)用 安全 解決 方案 (版本： ) CA 系 統(tǒng) 應(yīng) 用 安 全 解 決 方案 目錄 目 錄 1 前言 ..................................................................................................................................... 1 2 應(yīng)用安全需求概述 ............................................................................................................. 1 3 方案總體設(shè)計(jì)思想 ............................................................................................................. 2 4 CA 認(rèn)證系統(tǒng)設(shè)計(jì) ............................................................................................................... 3 iTrusCA 系統(tǒng)簡(jiǎn)介 ....................................................................................................... 3 認(rèn)證體系設(shè)計(jì) .............................................................................................................. 5 系統(tǒng)網(wǎng)絡(luò)架構(gòu) .............................................................................................................. 6 證書存儲(chǔ)介質(zhì) .............................................................................................................. 7 CA 系統(tǒng)功能 ................................................................................................................ 7 證書應(yīng)用開發(fā)接口（ API） ........................................................................................ 9 系統(tǒng)工作流程設(shè)計(jì) .................................................................................................... 10 系統(tǒng)性能和特點(diǎn)分析 ................................................................................................ 11 5 應(yīng)用系統(tǒng)安全集成方案 ................................................................................................... 12 郵件系統(tǒng)安全應(yīng)用 .................................................................................................... 13 VPN 安全應(yīng)用 ............................................................................................................. 14 VPN 安全登錄實(shí)現(xiàn)原理 ...................................................................................... 14 VPN 證書介紹 ...................................................................................................... 15 VPN 證書應(yīng)用 ...................................................................................................... 16 安全域登錄應(yīng)用 ........................................................................................................ 16 域登陸 ................................................................................................................. 16 智能卡及數(shù)字證書 ............................................................................................. 17 智能卡域登錄 ..................................................................................................... 18 B/S 系統(tǒng)安全應(yīng)用 ..................................................................................................... 19 B/S 架構(gòu)系統(tǒng)安全原理 ...................................................................................... 19 應(yīng)用系統(tǒng)安全架構(gòu) ............................................................................................. 22 應(yīng)用系統(tǒng)身份認(rèn)證流程 ..................................................................................... 23 應(yīng)用系統(tǒng)簽名流程 ............................................................................................. 24 C/S 架構(gòu)系統(tǒng)安全應(yīng)用 ............................................................................................. 25 系統(tǒng)集成原理 ..................................................................................................... 25 CA 系 統(tǒng) 應(yīng) 用 安 全 解 決 方案