【正文】 很好的可擴(kuò)展性，采用三層結(jié)構(gòu)為體系的擴(kuò)展預(yù)留了空間（因為大多數(shù)應(yīng)用都只支持四層以下），根據(jù) 用戶 實(shí)際應(yīng)用需求，將來可以在子CA 下，簽發(fā)下級子 CA；或者針對別的應(yīng)用再簽發(fā)子 CA 這樣，使得 用戶 CA 認(rèn)證體系具有很好的可擴(kuò)展性。這樣，使得 用戶CA 認(rèn)證體系具有很好的可操作性。管理員（包括 CA管理員和 RA 管理員 ，可以是同一個管理員擔(dān)任 ）使用瀏覽器，訪問 CA 服務(wù)器，進(jìn)行證書管理和 CA 管理。 為了在發(fā)生 USB KEY 丟失等情況 時 ，私鑰 可以 恢復(fù)或者還可以 用私鑰 解密以前的加密郵件，在申請證書時，密鑰對可以在系統(tǒng)中產(chǎn)生 而不是在 USB KEY 中產(chǎn)生 ， 當(dāng)證書 申請成功后，再將私鑰 和證書 導(dǎo)入到 USB KEY 中；同時系統(tǒng)可以以文件的形式保留私鑰 和證書的備份，這就提供了在 USB KEY 丟失時對用戶私鑰和證書的保護(hù)措施。 （ 2）證書生命周期管理 通過 CA 認(rèn)證系統(tǒng)，可以實(shí)現(xiàn)證書的生命周期管理，包括： ? 證書申請 最終用戶使用瀏覽器，訪問 CA 認(rèn)證系統(tǒng)，可以進(jìn)行證書申請，在線提交證書申請請求； ? 證書批準(zhǔn) 管理員登錄管理員站點(diǎn)，完成證書批準(zhǔn)功能，可以查看和審批最終用戶的證書申請請求； ? 證書查詢 最終用戶可以通過 CA 認(rèn)證系統(tǒng)，查詢自己或別人的數(shù) 字證書； ? 證書下載 通過 CA 認(rèn)證系統(tǒng)，可以下載簽發(fā)的數(shù)字證書； ? 證書吊銷 最終用戶在使用證書期間，有可能會出現(xiàn)一些問題，如：證書丟失、忘記密碼等，最終用戶就需要將原證書吊銷。 （ 4）目錄服務(wù)功能 CA 認(rèn)證系統(tǒng)支持目錄服務(wù)，支持 LDAP V3 規(guī)范， CA 認(rèn)證系統(tǒng)在簽發(fā)用戶證書時或者對證書進(jìn)行吊銷處理時，會及時更新目錄內(nèi)容。 ? 策略管理 ? 證書策略配置管理，高度靈活和可擴(kuò)展的配置 CA 所簽發(fā)證書的有效期、主題、擴(kuò)展、版本 、密鑰長度、類型等方面； ? RA 策略配置管理，包括語言、聯(lián)系方法、證書類型、是否發(fā)布到LDAP 等； ? CA 策略配置管理，包括證書 DN 重用性檢查、 CA 別名設(shè)置等。文件加 /解密模塊可以產(chǎn)生隨機(jī)數(shù)密鑰對文件進(jìn)行加密，以及使用輸入的密鑰對文件進(jìn)行解密；ActiveX 控件由用戶訪問相關(guān)網(wǎng)頁時下載到客戶端瀏覽器中，實(shí)現(xiàn)使用本地的證書（私鑰）對文件進(jìn)行數(shù)字簽名，以及對簽名進(jìn)行驗證。 系統(tǒng)工作流程 設(shè)計 （ 1）證書發(fā)放流程 本方案設(shè)計的 用戶 CA 認(rèn)證系統(tǒng) 的證書發(fā)放采用 集中發(fā)證 的方式， 即由管理員集中申請好證 書，保存在 USB KEY 中，發(fā)放給用戶使用。 （ 2） 證書吊銷 流程 在用戶證書的私鑰受到威脅、或者用戶私鑰丟失時，需要吊銷用戶的證書，根據(jù) 用戶 信息系統(tǒng) 的應(yīng)用情況，本方案設(shè)計證書吊銷由管理員進(jìn)行，其工作流程如下： (a) 管理員在發(fā)現(xiàn)用戶違反使用規(guī)定，或者用戶自己向管理員發(fā)送郵件，請求吊銷自己的證書時，管理員訪問 CA 認(rèn)證系統(tǒng)管理員模塊，進(jìn)行用戶證書吊銷用戶； (b) 管理員通過證書管理功能頁面，查詢到需要吊銷的用戶證書； (c) 管理員選擇吊銷操作，選擇吊銷用戶證書的原因，向 CA 認(rèn)證系統(tǒng)發(fā)送證書吊銷請求； (d) CA 認(rèn)證系統(tǒng)根據(jù)管理員的證書吊銷請求，自動的吊銷用戶的證書，并將吊銷的用戶證書發(fā)布到證書吊銷列表中，同時對數(shù)據(jù)庫中保存的用戶證書的最新狀態(tài)進(jìn)行更新； (e) CA 認(rèn)證系統(tǒng)給管理員返回證書吊銷成功信息，同時給用戶發(fā)送電子郵件，告訴用戶證書已經(jīng)被吊銷，不能再使用自己的證書。嚴(yán)格遵循這些標(biāo)準(zhǔn)，使得系統(tǒng)具有很好的開放性，能夠與各種應(yīng)用結(jié)合成為真正的安全基礎(chǔ)設(shè)施。 （ 4） 注冊機(jī)關(guān)（ RA）建設(shè)方式多樣化 本方案設(shè)計的 CA 認(rèn)證系統(tǒng)采用一個 RA 的配置，根據(jù) 用戶 的要求，將來可以配置多個 RA 和多級 RA， RA 界面風(fēng)格可定制。 （ 8） 高兼容性 支持 Windows、 Linux、 Solaris 等多種操作系統(tǒng)； 支持多種加密設(shè)備：軟加密庫、山大加密機(jī)和天融信加密機(jī)等； 支持多種數(shù)據(jù)庫： Oracle 和 SQL server 等； 支持多種證書存儲介質(zhì)：硬盤、 USB KEY 和智能卡等 5 應(yīng)用 系統(tǒng) 安全集成方案 本方案主要目的是解決 用戶 應(yīng)用 系統(tǒng) 的 安全 問題， 采用 iTrusCA 系統(tǒng)利用數(shù)字證書在不增加用戶 額外負(fù)擔(dān)的情況 下更好的保證了身份認(rèn)證系統(tǒng)的安全性，以下將從安全原理、安全構(gòu)架 和具體 應(yīng)用 流程 等方面入手，針對用戶中常見的一些應(yīng)用系統(tǒng)， 介紹 我們的 應(yīng)用系統(tǒng)集成方案 。想對郵件進(jìn)行簽名和加密，只需要按下“簽名”和“加密 ”按鈕就可以了，系統(tǒng)后臺使用您的證書所對應(yīng)的私鑰對郵件進(jìn)行簽名，再使用接收者的證書的公鑰對郵件進(jìn)行加密；在收到郵件時，系統(tǒng)自動使用您的證書所對應(yīng)的私鑰對郵件進(jìn)行解密和并自動使用發(fā)送者的公鑰驗證發(fā)送者的簽名，并提示接收者郵件的安全情況，沒出現(xiàn)安全問題，直接打開郵件，當(dāng)出現(xiàn)安全問題時，則提示郵件接收者，郵件什么地方存在安全隱患，如上圖所示。對于不使用證書的方式建立的 VPN 存在下列風(fēng)險： （ 1） 不使用證書的方式建立 VPN 時，是基于“用戶名和口令”的認(rèn)證，我們知道“用戶名和口令”的認(rèn)證強(qiáng)度低，存在很多安全弱點(diǎn)，無法滿足較高的安全需求； （ 2） 其次，不使用證書的方式存在 VPN 密鑰分發(fā)的困難， VPN 密鑰是一個對稱密鑰，用來對 VPN 鏈路層數(shù)據(jù)的加密。 為此， VPN 應(yīng)用引入了證書，來解決不使用證書方式存在的安全隱患： （ 1） VPN 證書（包括 VPN 設(shè)備證書和 VPN 用戶證書）是 VPN 設(shè)備和用戶的護(hù)照，表明設(shè)備和用戶的身份，基于數(shù)字證書的身份認(rèn)證是一種強(qiáng)身份認(rèn)證，完 全可以滿足應(yīng)用的身份認(rèn)證需求； CA系統(tǒng)應(yīng)用安全解決 方案 第 15頁 共 28頁 （ 2） 使用 VPN 證書（包括 VPN 設(shè)備證書和 VPN 用戶證書）可以實(shí)現(xiàn)協(xié)商會話密鑰，在進(jìn)行數(shù)據(jù)通信時，發(fā)送方產(chǎn)生會話密鑰，對發(fā)送數(shù)據(jù)進(jìn)行加密，然后使用接收者的證書（公鑰）加密會話密鑰。有了 VPN 證書，客戶可在開放的、不安全的 Inter 上構(gòu)建安全虛擬專用網(wǎng)，實(shí)現(xiàn)各分支機(jī)構(gòu)、合作伙伴和遠(yuǎn)端用戶之間的安全數(shù)據(jù)通訊。通過本方案設(shè)計的 CA 認(rèn)證系統(tǒng)可以簽發(fā) VPN 客戶端證書（即用戶證書）和 VPN 設(shè)備證書。域 用戶登錄到域后，可以不用再次登錄就可以訪問域中其它服務(wù)器所有有效資源。常見的智能卡從實(shí)現(xiàn)上主要分為兩大類：卡片式智能卡和 UsbKey（見下圖）。 智能卡 域 登錄 為 用戶 提供基于數(shù)字證書的完整的智能卡登錄解決方案，智能卡內(nèi)含有遵循 X509標(biāo)準(zhǔn)的 Windows 智能卡登錄 證書。登錄域時，由于使用了公開密碼學(xué)的原理，用戶的口令不會在網(wǎng)絡(luò)上以任何形式傳輸，而且身份不會被假冒。 CA系統(tǒng)應(yīng)用安全解決 方案 第 18頁 共 28頁 圖 10 客戶幾域登錄界面 如果口令正確， Windows 底層安全模塊會自動調(diào)用智能卡中的證書及相關(guān)信息，通過有關(guān)的密碼技術(shù)完成用戶身份的驗證，驗證通過后用戶登錄到域。 B/S 系統(tǒng)安全應(yīng)用 以下對 B/S 架構(gòu)的系統(tǒng)安全原理、架構(gòu)和應(yīng)用流程進(jìn)行規(guī)劃。在 SSL 會話產(chǎn)生時：首先，服務(wù)器會傳送它的服務(wù)器證書，客戶端會自動的分析服務(wù)器證書，來驗證服務(wù)器的身份。所有的過程都會在幾秒鐘內(nèi)自動完成，對用戶是透明的。 這樣，在用戶使用瀏覽器訪問 Web 服務(wù)器，發(fā)出 SSL 握手時， Web 服務(wù)器將配置的服務(wù)器證書返回給客戶端，通過驗證服務(wù)器書來 證他所訪問的網(wǎng)站是否真實(shí)可靠。 ? 訪問 控制列表（ ACL） 訪問控制列表是根據(jù)應(yīng)用系統(tǒng)不同用戶建設(shè)的訪問授權(quán)列表，保存在數(shù)據(jù)庫中，在用戶使用數(shù)字證書訪問應(yīng)用系統(tǒng)時，應(yīng)根據(jù)從證書中解析得到的用戶信息，查詢訪問控制列表，獲取用戶的訪問權(quán)限，實(shí)現(xiàn)對用戶的訪問控制。 數(shù)字簽名技術(shù)的實(shí)現(xiàn)是指使用數(shù)字證書的私鑰，對被簽名數(shù)據(jù)的摘要值進(jìn)行加密，加密的結(jié)果就是數(shù)字簽名。數(shù)據(jù)在發(fā)送的過程中，沒有被別人竄改過的，是完整的。服務(wù)器接收到提交的信息，完成對簽名的驗證，將數(shù)據(jù)傳輸給后臺處理，并將用戶提交的數(shù)據(jù)及其簽名保存到數(shù)據(jù)庫中，以便將來用戶進(jìn)行抵賴時查詢。 ? 服務(wù)端簽名驗證模塊 服務(wù)端簽名驗證模塊以插件或動態(tài)庫方式提供，安裝在服務(wù)器端實(shí)現(xiàn)對客戶端數(shù)據(jù)簽名的驗證，對客戶端數(shù)據(jù)簽名證書的有效性驗。 應(yīng)用 系統(tǒng)身份認(rèn)證流程 B/S 架構(gòu)系統(tǒng) 集成安全功能之后，用戶登錄信息系統(tǒng)的流程如下圖所示： CA系統(tǒng)應(yīng)用安全解決 方案 第 23頁 共 28頁 圖 15 身份認(rèn)證和訪問控制流程圖 ① 用戶在計算機(jī)中插入保存有用戶證書的 USB KEY，采用安全連接方式（ HTTPs 方式）訪問信息系統(tǒng)，進(jìn)行系統(tǒng)登錄； ② 信息系統(tǒng) Web 服務(wù)器發(fā)出回應(yīng)，并出示服務(wù)器證書，顯示 Web 服務(wù)器的真實(shí)身份。瀏覽器會彈出提示，提示用戶是否對提交的數(shù)據(jù)進(jìn)行數(shù)字簽名，并顯示瀏覽器中的證書，供用戶選擇； ⑤ 用戶選擇自己的證書，點(diǎn)擊“簽名”， PTA 利用用戶選擇證書的私鑰對提交的信息進(jìn)行數(shù)字簽名 操作，并將提交的信息及其簽名一起發(fā)送給系統(tǒng)服務(wù)器； ⑥ 系統(tǒng)服務(wù)器接收到用戶提交的信息后，服務(wù)器調(diào)用 SVM（簽名驗證模塊）來驗證用戶提交數(shù)據(jù)的數(shù)字簽名； ⑦ 驗證通過，將用戶提交的辦公數(shù)據(jù)及其簽名一起保存到數(shù)據(jù)庫中，并進(jìn)行后續(xù)的業(yè)務(wù)操作。 系統(tǒng)集成原理 （ 1）雙向身份認(rèn)證實(shí)現(xiàn)原理 針對 C/S 結(jié)構(gòu)的 用戶 系統(tǒng)，實(shí)現(xiàn)雙向身份認(rèn)證的原理是通過雙向認(rèn)證的加密通道來實(shí)現(xiàn)。 （ 2）信息機(jī)密性實(shí)現(xiàn)原理 信息機(jī)密性實(shí)現(xiàn)原理是通過加密通道進(jìn)行數(shù)據(jù)加密傳輸，保證系統(tǒng)的機(jī)密性。 ? 服務(wù)端簽名驗證模塊 服務(wù)端簽名驗證模塊以插件或動態(tài)庫方式提供，服務(wù)器端 軟件調(diào)用，實(shí)現(xiàn)對客戶端數(shù)據(jù)簽名的驗證和簽名證書的有效性驗證。 （ 3） 數(shù)據(jù)簽名 /驗證模塊（ SVM） 數(shù)據(jù)簽名及驗證模塊是一系列平臺下的動態(tài)鏈接庫或控件，可以應(yīng)用于客戶端和服務(wù)器端，實(shí)現(xiàn)對傳輸數(shù)據(jù)的數(shù)字簽名，和對及其證書進(jìn)行驗。 （ 2）上傳數(shù)據(jù)安全傳輸流程 (a) 用戶使用專用客戶端產(chǎn)生上傳數(shù)據(jù)，連接 用戶 C/S 架構(gòu) 系統(tǒng) ，進(jìn)行數(shù)據(jù)上傳； (b) 連接時通過雙向身份認(rèn)證和訪問控制，專用客戶端和系統(tǒng)服務(wù)器之間建立 加密CA系統(tǒng)應(yīng)用安全解決 方案 第 28頁 共 28頁 通道； (c) 專用客戶端調(diào)用數(shù)據(jù)簽名模塊，使用用戶選擇的證 書（私鑰），對上傳數(shù)據(jù)進(jìn)行數(shù)字簽名處理； (d) 專用客戶端通過 加密 通道，將上傳數(shù)據(jù)及其簽名加密傳輸給系統(tǒng)服務(wù)器； (e) 系統(tǒng)服務(wù)器得到上傳的數(shù)據(jù)后，調(diào)用數(shù)據(jù)簽名驗證模塊，對上傳數(shù)據(jù)的數(shù)字簽名進(jìn)行驗證，驗證通過后將上傳數(shù)據(jù)傳輸給后臺，進(jìn)行相關(guān)的業(yè)務(wù)處理，同時將上傳數(shù)據(jù)及其數(shù)字簽名保存到審計數(shù)據(jù)庫中，上傳數(shù)據(jù)安全傳輸流程結(jié)束。