【正文】 目錄 系統(tǒng)安全架構(gòu) ..................................................................................................... 27 證書應(yīng)用開發(fā)接口（ API） ............................................................................... 27 系統(tǒng)工作流程 ..................................................................................................... 28 6 總結(jié) ................................................................................................................................... 29 CA系統(tǒng)應(yīng)用安全解決 方案 第 1頁 共 29頁 1 前言 以 Inter 為代表的全球性信息化浪潮迅猛發(fā)展，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向 大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，從典型的如金融業(yè)務(wù)系統(tǒng)、網(wǎng)上證券交易業(yè)務(wù)系統(tǒng)、企業(yè)內(nèi)部應(yīng)用系統(tǒng)，逐漸擴展到政府辦公系統(tǒng)應(yīng)用。 本文主要目的是旨在分析 用戶 的 系統(tǒng) 安全需求，然后闡明采用 PKI/CA 技術(shù)，來保障 用戶 的信息系統(tǒng) 安全。 由于互聯(lián)網(wǎng)的廣泛性和開放性，給 應(yīng)用 系統(tǒng)帶來了很多安全隱患，主要體現(xiàn)在如下幾個方面： （ 1）身份認證 目前， 應(yīng)用系統(tǒng) 是采用“用戶名＋密碼”的方式來驗證訪問用戶的身 份。 CA系統(tǒng)應(yīng)用安全解決 方案 第 2頁 共 29頁 （ 2）訪問控制 對于系統(tǒng)的不同用戶，具有不同的訪問操作權(quán)限。因此，需要采用有效的方式保證 應(yīng)用系統(tǒng) 傳輸數(shù)據(jù)的機密性和完整性。但 是通過電子數(shù)據(jù)共享和傳輸，不可能像紙質(zhì)文件那樣進行手寫簽字和蓋章。這樣，將導(dǎo)致整個 應(yīng)用 系統(tǒng)不能正常工作，將給企業(yè)造成巨大的損失。 三、 用戶證書保存在 USB KEY 中， USB KEY 是一種安全的證書存儲介質(zhì)，可以設(shè)置口令，保證證書和私鑰的安全 ， 使用 USB KEY 也 可以 實現(xiàn) 對 移動辦公的 安全 需求。系統(tǒng)具有完善的功能，能夠完成從企業(yè)自主建立標準 CA 到政府、行業(yè)建立大型服務(wù)型 CA 等全面的需求。能夠發(fā)放包括郵件證書、個人身份證書、企業(yè)證書、服務(wù)器證書、代碼簽名證書和 VPN 證書等各種類型的證書； C. 靈活的認證體系配置。 F. 易于部署與使用。 CA系統(tǒng)應(yīng)用安全解決 方案 第 5頁 共 29頁 認證體 系設(shè)計 認證體系是指證書認證的邏輯層次結(jié)構(gòu)，也叫證書認證體系。證書認證的速度也會變慢。 ? 第三層為用戶證書，由 用戶 子 CA 簽發(fā)，從用戶證書的證書信任鏈中可以看出整個 用戶 的 CA 認證體系結(jié)構(gòu)，用戶證書在 用戶 的應(yīng)用范圍內(nèi)受到信任。雖然從技術(shù)上認證體系支持無限擴展，但是層次越多，技術(shù)實現(xiàn)越復(fù)雜，管理的難度也增大。系統(tǒng)網(wǎng)絡(luò)架構(gòu)如下圖所示： 圖 3 CA 系統(tǒng)網(wǎng)絡(luò)架構(gòu) 示意 圖 如圖所示，將 iTrusCA 系統(tǒng)的 CA 認證中心和 RA 注冊中心各模塊安裝在 CA 服務(wù)器上，為了保證系統(tǒng)的安全， CA 服務(wù)器必須位于安全的區(qū)域，即采用防火墻與外界進行隔離。 USB KEY 是以 USB 為接口的存儲設(shè)備，它便于攜帶和使用，可以實現(xiàn)在所有的機器（具有 USB 接口）上的漫游，可以滿足 用戶 移動辦公的需求。用戶訪問 CA 認證系統(tǒng)，提交證書申請請求，申請數(shù)字證書； RA 管理員訪問管理員站點，審查和批準用戶的證書申請請求； CA 認證中心根據(jù) RA 管理 員的批準，簽發(fā)用戶證書，并將數(shù)字證書發(fā)布到目錄服務(wù)器中。 （ 3） CRL 服務(wù)功能 CA 認證系統(tǒng)支持證書黑名單列表（ CRL）功能，能夠配置指定 RA 的 CRL 下載地點及 CRL發(fā)布時間。 （ 5） CA 管理功能 CA 認證系統(tǒng)具有完善的 CA 管 理功能，包括： ? 管理員管理 ? RA 管理員管理，包括初始化 RA 管理員申請、增加 RA 管理員、刪除 RA 管理員； ? CA 管理員管理，包括初始化 CA 管理員申請、后續(xù) CA 管理員證書申請、吊銷 CA 管理員證書。 （ 7） CA 密鑰管理 系統(tǒng)支持 CA 密鑰管理功能，包括： ? CA 密鑰產(chǎn)生和存儲（軟件與硬件）； ? CA 證書（包括根 CA 和子 CA）的產(chǎn)生和管理； ? CA 密鑰歸檔與備份。 ? 數(shù)據(jù)簽名驗證模塊（ SVM） CA系統(tǒng)應(yīng)用安全解決 方案 第 10頁 共 29頁 數(shù)據(jù)簽名及驗證模塊是一系列平臺下的動態(tài)鏈接庫或插件，可以應(yīng)用于客戶端和服務(wù)器端，實現(xiàn)對傳輸數(shù)據(jù)的數(shù)字簽名，和對數(shù)字及其證書進行驗。在本地（本地的 USB KEY 上）產(chǎn)生證書的公私鑰對，并將公鑰和用戶信息一起作為證書申請請求，提交給 CA 認證系統(tǒng)； (b) CA 認證系統(tǒng)根據(jù) 管理員提交的證書申請請求，批準并 簽發(fā)用戶證書，將用戶證書發(fā)布到數(shù)據(jù)庫中。在提交證書更新請求時，在 USB KEY 中，重新產(chǎn)生更新證書的公私鑰對，將公鑰和即將過期的證書一起，作為證書更新請求，提交給 CA 認證系統(tǒng) ； (d) CA 認證系統(tǒng)自動批準證書更新請求，自動更新用戶證書，將更新的證書發(fā)布到目錄服務(wù)器，同時將更新證書返回到用戶端，自動保存到 USB KEY 中。將來 根據(jù) 用戶 的 需要 ， 可以 進行擴展，通過 靈活配置 可以簽發(fā) 企業(yè)證書、服務(wù)器證書、代碼簽名證書和 VPN 證書等。 （ 6） 高擴展性 根據(jù)客戶需要，對系統(tǒng)進行配置和擴展，能夠發(fā)放各種類型的證書；系統(tǒng)支持多級 CA，支持交叉 CA；系統(tǒng)支持多級 RA。 ? 對電子郵件進行簽名，使得接收方可以確認該電子郵件 是由發(fā)送方發(fā)送的，并且在傳送過程中未被篡改。證書的加密和驗證數(shù)據(jù)在這些設(shè)備之間進行傳送，產(chǎn)生了一個安全的虛擬專用網(wǎng)絡(luò)。但是這種方式的對稱密鑰的安全性不高，很容易被泄漏。 ? 二是 VPN 設(shè)備證書，是標準的 證書，存放在 IPSec 設(shè)備中，如帶有 VPN功能的路由器、防火墻內(nèi)，由設(shè)備的 VPN 功能模塊來配置、管理。 IPSec 是一套支持 IP 包安全交換的協(xié)議，不像 SSL 那樣在應(yīng)用層運行， IPSec 在IP 網(wǎng)絡(luò)層中運行，對 IP 包進行加密。 安全域登錄 應(yīng)用 為 用戶 提供基于數(shù)字 證書的 Windows 域登錄解決方案，使用戶安全方便地使用Windows 域中的各種資源。 Windows 用戶在登錄時輸入用戶名、密碼，選擇所屬的域（見下圖），并確認；域服務(wù)器通過密碼確認用戶后，返回登錄成功及其它相關(guān)信息； Windows 用戶登錄入域。 圖 8 卡片式智能卡和 UsbKey 數(shù)字證書是由證書簽發(fā)機構(gòu)簽發(fā)的一組信息，它可用來標識用戶的身份，可保證用戶在電子世界身份的真實性，該證書簽發(fā)機構(gòu)稱為 CA— Certification Authority。 基于證書的智能卡登錄使用了雙因子認證機制。 系統(tǒng)布署完成后，客戶機器登錄界面上多一個智能卡登錄圖標。 圖 11 客戶機域登錄成功 基于安全需要，用戶還可以設(shè)置在拔下智能卡時用戶自動鎖定或注銷。 目前， SSL 技術(shù)已被大部份的 Web Server 及 Browser 廣泛支持和使用。客端證書的驗證包括驗證客戶端證書是否由服務(wù)器信任的證書頒發(fā)機構(gòu)、客戶端是否在有效期內(nèi)、客戶端證書是否有效（即是否被竄改等）和客戶端證書吊銷等。服務(wù)器證書由 CA 認證中心頒發(fā)，在服務(wù)器證書內(nèi)表示了服務(wù)器的域名等證明服務(wù)器身份的信息、 Web 服務(wù)器端的公鑰以及 CA 對證書相關(guān)域內(nèi)容的數(shù)字簽名。在建立 SSL 通道過程中，可以對服務(wù)器的 SSL 功能配置成必須要求用戶證書，服務(wù)器驗證用戶證書來驗證用戶的真實身份。此時，在客戶端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)都是采用給會話密鑰進行加密傳輸，從而保證了系統(tǒng)機密性安全需求。數(shù)字簽名技術(shù)的實現(xiàn)依賴于下列兩個事：一是每信息的摘要值是唯一的，找不到兩個摘要值相同的不信息；二是證書私鑰只有數(shù)字證書的擁有者才擁有，其他人得不到擁有者的私鑰。此時，需要對用戶在線提交的辦公的敏感數(shù)據(jù)，如財務(wù)數(shù)據(jù)、 征收信息 等，進行數(shù)字簽名，防止用戶對提交的數(shù)據(jù)進行抵賴。用戶使用瀏覽器訪問 Web 服務(wù)器時，該模塊作為控件進行下載，注冊安裝在用戶瀏覽器中。 應(yīng)用 系統(tǒng)安全架構(gòu) 根據(jù)上述安全原理，采用 證書應(yīng)用開發(fā) 產(chǎn)品，對 用戶 B/S 構(gòu)架 系統(tǒng) 進行安全集成，系統(tǒng)安全架構(gòu)如下圖所示： 圖 14 系統(tǒng) 安全集成框架圖 如上圖所示，系統(tǒng)安全集成的實現(xiàn)如下描述： （ 1） 在 用戶 B/S 架構(gòu)系統(tǒng) Web 服務(wù)器上，配置服務(wù)器證書，配置 SSL 功能，用戶必須使用 HTTPs 訪問，并要求用戶證書，配置服務(wù)器的可信 CA 為 用戶CA系統(tǒng)應(yīng)用安全解決 方案 第 23頁 共 29頁 根 CA，只有 用戶 CA 認證 體系下的用戶證書才能訪問 信息系統(tǒng) ； （ 2） 客戶端（即用戶使用的瀏覽器）必須從 用戶 CA 認證系統(tǒng)申請用戶證書，才能進行 信息系統(tǒng) 登錄。 應(yīng)用系統(tǒng)簽名流程 B/S 結(jié)構(gòu)的系統(tǒng)集成安全功能后，用戶通過簽名功能，對系統(tǒng)中上傳和下放的文件進行簽名，進一步的提高系統(tǒng)的安全性，其流程如下圖所示： ① 用戶在計算機中插入保存有用戶證書的 USB KEY， 使用瀏覽器，訪問系統(tǒng)，進行系統(tǒng)登錄； ② 系統(tǒng)對用戶完成身份認證和訪問控制流程，在用戶瀏覽器系統(tǒng)服務(wù)之間建CA系統(tǒng)應(yīng)用安全解決 方案 第 25頁 共 29頁 立 SSL 安全通道； ③ 用戶訪問請求的資源，進入到信息發(fā)布、公文流轉(zhuǎn) 網(wǎng)上申報和財務(wù) 數(shù)據(jù)上傳等操作的 網(wǎng)頁，和網(wǎng)頁一起將 PTA（個人信任代理）下載并注冊到瀏覽器中。 C/S 架構(gòu) 系統(tǒng) 安全 應(yīng)用 C/S 的架構(gòu) 系統(tǒng) 不能直接集成證書應(yīng)用。 C/S 架構(gòu)系統(tǒng)實現(xiàn)雙向身份認證的原理如下圖所示，需要增加下列模塊： CA系統(tǒng)應(yīng)用安全解決 方案 第 26頁 共 29頁 圖 16 雙向 身份認證原理圖 ? 證書處理模塊 證書處理模塊以動態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)實現(xiàn)的功 能包括對證書的驗證，對本地證書的檢索，顯示成列表，供用戶選擇提交。數(shù)據(jù)簽名模塊的功能是使用用戶選擇的用戶證書的私鑰對客端發(fā)送數(shù)據(jù)進行數(shù)字簽。 （ 2） 證書驗證模塊（ CVM） 證書驗證模塊以插件或動態(tài)庫方式提供，實現(xiàn)對證書的驗可選使用 CRL 或 OCSP 驗證有效性。 （ 4） 證書處理模塊 證書處理模塊以動態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)實現(xiàn)的CA系統(tǒng)應(yīng)用安全解決 方案 第 28頁 共 29頁 功能包括對證書的驗證，對本地證書的檢索，顯示成列表，供用戶選擇提交。方案中為 用戶 建設(shè)的 CA 認證系統(tǒng)不僅能夠 完全 滿足 現(xiàn)有 各個應(yīng)用 系統(tǒng) 的 身份認證 安全需求， 并且我們 針對各個應(yīng)用系統(tǒng)的不同結(jié)構(gòu)，分別設(shè)計 了 相應(yīng)的安全