【正文】 方案中為 用戶 建設(shè)的 CA 認證系統(tǒng)不僅能夠 完全 滿足 現(xiàn)有 各個應用 系統(tǒng) 的 身份認證 安全需求， 并且我們 針對各個應用系統(tǒng)的不同結(jié)構(gòu)，分別設(shè)計 了 相應的安全解決方案。 （ 2） 證書驗證模塊（ CVM） 證書驗證模塊以插件或動態(tài)庫方式提供，實現(xiàn)對證書的驗可選使用 CRL 或 OCSP 驗證有效性。 C/S 架構(gòu)系統(tǒng)實現(xiàn)雙向身份認證的原理如下圖所示，需要增加下列模塊： CA系統(tǒng)應用安全解決 方案 第 26頁 共 29頁 圖 16 雙向 身份認證原理圖 ? 證書處理模塊 證書處理模塊以動態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)實現(xiàn)的功 能包括對證書的驗證，對本地證書的檢索，顯示成列表，供用戶選擇提交。 應用系統(tǒng)簽名流程 B/S 結(jié)構(gòu)的系統(tǒng)集成安全功能后，用戶通過簽名功能，對系統(tǒng)中上傳和下放的文件進行簽名，進一步的提高系統(tǒng)的安全性，其流程如下圖所示： ① 用戶在計算機中插入保存有用戶證書的 USB KEY， 使用瀏覽器，訪問系統(tǒng)，進行系統(tǒng)登錄； ② 系統(tǒng)對用戶完成身份認證和訪問控制流程，在用戶瀏覽器系統(tǒng)服務(wù)之間建CA系統(tǒng)應用安全解決 方案 第 25頁 共 29頁 立 SSL 安全通道； ③ 用戶訪問請求的資源，進入到信息發(fā)布、公文流轉(zhuǎn) 網(wǎng)上申報和財務(wù) 數(shù)據(jù)上傳等操作的 網(wǎng)頁，和網(wǎng)頁一起將 PTA（個人信任代理）下載并注冊到瀏覽器中。用戶使用瀏覽器訪問 Web 服務(wù)器時，該模塊作為控件進行下載，注冊安裝在用戶瀏覽器中。數(shù)字簽名技術(shù)的實現(xiàn)依賴于下列兩個事：一是每信息的摘要值是唯一的，找不到兩個摘要值相同的不信息；二是證書私鑰只有數(shù)字證書的擁有者才擁有，其他人得不到擁有者的私鑰。在建立 SSL 通道過程中，可以對服務(wù)器的 SSL 功能配置成必須要求用戶證書，服務(wù)器驗證用戶證書來驗證用戶的真實身份?？投俗C書的驗證包括驗證客戶端證書是否由服務(wù)器信任的證書頒發(fā)機構(gòu)、客戶端是否在有效期內(nèi)、客戶端證書是否有效（即是否被竄改等）和客戶端證書吊銷等。 圖 11 客戶機域登錄成功 基于安全需要，用戶還可以設(shè)置在拔下智能卡時用戶自動鎖定或注銷。 基于證書的智能卡登錄使用了雙因子認證機制。 Windows 用戶在登錄時輸入用戶名、密碼，選擇所屬的域（見下圖），并確認；域服務(wù)器通過密碼確認用戶后，返回登錄成功及其它相關(guān)信息； Windows 用戶登錄入域。 IPSec 是一套支持 IP 包安全交換的協(xié)議，不像 SSL 那樣在應用層運行， IPSec 在IP 網(wǎng)絡(luò)層中運行，對 IP 包進行加密。但是這種方式的對稱密鑰的安全性不高，很容易被泄漏。 ? 對電子郵件進行簽名，使得接收方可以確認該電子郵件 是由發(fā)送方發(fā)送的，并且在傳送過程中未被篡改。將來 根據(jù) 用戶 的 需要 ， 可以 進行擴展，通過 靈活配置 可以簽發(fā) 企業(yè)證書、服務(wù)器證書、代碼簽名證書和 VPN 證書等。在本地（本地的 USB KEY 上）產(chǎn)生證書的公私鑰對，并將公鑰和用戶信息一起作為證書申請請求，提交給 CA 認證系統(tǒng)； (b) CA 認證系統(tǒng)根據(jù) 管理員提交的證書申請請求，批準并 簽發(fā)用戶證書，將用戶證書發(fā)布到數(shù)據(jù)庫中。 （ 7） CA 密鑰管理 系統(tǒng)支持 CA 密鑰管理功能，包括： ? CA 密鑰產(chǎn)生和存儲（軟件與硬件）； ? CA 證書（包括根 CA 和子 CA）的產(chǎn)生和管理； ? CA 密鑰歸檔與備份。 （ 3） CRL 服務(wù)功能 CA 認證系統(tǒng)支持證書黑名單列表（ CRL）功能，能夠配置指定 RA 的 CRL 下載地點及 CRL發(fā)布時間。 USB KEY 是以 USB 為接口的存儲設(shè)備，它便于攜帶和使用，可以實現(xiàn)在所有的機器（具有 USB 接口）上的漫游，可以滿足 用戶 移動辦公的需求。雖然從技術(shù)上認證體系支持無限擴展，但是層次越多，技術(shù)實現(xiàn)越復雜，管理的難度也增大。證書認證的速度也會變慢。 F. 易于部署與使用。系統(tǒng)具有完善的功能，能夠完成從企業(yè)自主建立標準 CA 到政府、行業(yè)建立大型服務(wù)型 CA 等全面的需求。這樣，將導致整個 應用 系統(tǒng)不能正常工作，將給企業(yè)造成巨大的損失。因此，需要采用有效的方式保證 應用系統(tǒng) 傳輸數(shù)據(jù)的機密性和完整性。 由于互聯(lián)網(wǎng)的廣泛性和開放性，給 應用 系統(tǒng)帶來了很多安全隱患，主要體現(xiàn)在如下幾個方面： （ 1）身份認證 目前， 應用系統(tǒng) 是采用“用戶名＋密碼”的方式來驗證訪問用戶的身 份。 CA 系統(tǒng)應用 安全 解決 方案 (版本： ) CA 系 統(tǒng) 應 用 安 全 解 決 方案 目錄 目 錄 1 前言 ..................................................................................................................................... 1 2 應用安全需求概述 ............................................................................................................. 1 3 方案總體設(shè)計思想 ............................................................................................................. 2 4 CA 認證系統(tǒng)設(shè)計 ............................................................................................................... 3 iTrusCA 系統(tǒng)簡介 ....................................................................................................... 3 認證體系設(shè)計 .............................................................................................................. 5 系統(tǒng)網(wǎng)絡(luò)架構(gòu) .............................................................................................................. 6 證書存儲介質(zhì) .............................................................................................................. 7 CA 系統(tǒng)功能 ................................................................................................................ 7 證書應用開發(fā)接口（ API） ........................................................................................ 9 系統(tǒng)工作流程設(shè)計 .................................................................................................... 10 系統(tǒng)性能和特點分析 ................................................................................................ 11 5 應用系統(tǒng)安全集成方案 ................................................................................................... 12 郵件系統(tǒng)安全應用 .................................................................................................... 13 VPN 安全應用 ............................................................................................................. 14 VPN 安全登錄實現(xiàn)原理 ...................................................................................... 14 VPN 證書介紹 ...................................................................................................... 15 VPN 證書應用 ...................................................................................................... 16 安全域登錄應用 ........................................................................................................ 16 域登陸 ................................................................................................................. 16 智能卡及數(shù)字證書 ............................................................................................. 17 智能卡域登錄 ..................................................................................................... 18 B/S 系統(tǒng)安全應用 ..................................................................................................... 19 B/S 架構(gòu)系統(tǒng)安全原理 ...................................................................................... 19 應用系統(tǒng)安全架構(gòu) ............................................................................................. 22 應用系統(tǒng)身份認證流程 ..................................................................................... 23 應用系統(tǒng)簽名流程 ............................................................................................. 24 C/S 架構(gòu)系統(tǒng)安全應用 ............................................................................................. 25 系統(tǒng)集成原理 ..................................................................................................... 25 CA 系