【正文】 統(tǒng) 應(yīng) 用 安 全 解 決 方案 目錄 系統(tǒng)安全架構(gòu) ..................................................................................................... 27 證書應(yīng)用開發(fā)接口（ API） ............................................................................... 27 系統(tǒng)工作流程 ..................................................................................................... 28 6 總結(jié) ................................................................................................................................... 29 CA系統(tǒng)應(yīng)用安全解決 方案 第 1頁(yè) 共 29頁(yè) 1 前言 以 Inter 為代表的全球性信息化浪潮迅猛發(fā)展，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向 大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，從典型的如金融業(yè)務(wù)系統(tǒng)、網(wǎng)上證券交易業(yè)務(wù)系統(tǒng)、企業(yè)內(nèi)部應(yīng)用系統(tǒng)，逐漸擴(kuò)展到政府辦公系統(tǒng)應(yīng)用。采用“用戶名＋密碼”的方式登錄應(yīng)用系統(tǒng)時(shí)，用戶輸入的用戶名和密碼都是通過明文的方式，傳輸給系統(tǒng)服務(wù)器，系統(tǒng)服務(wù)器根據(jù)用戶提交的用戶名和密碼，查詢數(shù)據(jù)庫(kù)，來(lái)判斷用戶的身份是否真實(shí)。 （ 4）信息抗抵賴 信息抗抵賴是指信息的發(fā)送者不能對(duì)自己發(fā)送的信息進(jìn)行抵賴。 為此， 根據(jù) 用戶 的信息系統(tǒng)安全現(xiàn)狀 ，采用 PKI（ Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）技術(shù)， 為 用戶 設(shè)計(jì) 了 基于數(shù)字證書的應(yīng)用安全解決方案。 iTrusCA 系統(tǒng)采用模塊化結(jié)構(gòu)設(shè)計(jì) ，由最終用戶、 RA 管理員、 CA 管理員、注冊(cè)中心（ RA）、認(rèn)證中心（ CA）等構(gòu)成，其中注冊(cè)中心（ RA）和認(rèn)證中心（ CA）又包含相應(yīng)的模塊，系統(tǒng)架構(gòu)如下圖： CA系統(tǒng)應(yīng)用安全解決 方案 第 4頁(yè) 共 29頁(yè) 圖 1 iTrusCA 系統(tǒng)模塊架構(gòu)圖 iTrusCA 系統(tǒng)能提供完善的功能， 包括：證書簽發(fā)、證書生命周期管理、證書吊銷列表（ CRL） 查詢服務(wù) 、目錄查詢服務(wù)、 CA 管理、密鑰管理和日志審計(jì)等全面的功能。系統(tǒng)所有用戶、管理員界面都是 B/S 模式， CA/RA 策略配置和定制以及用戶證書管理等都是通過瀏覽器進(jìn)行，并具有詳細(xì)的操作說(shuō)明。一般的，國(guó)際上最大型的認(rèn)證體系層次都不超過 4 層，并且瀏覽器等軟件也不支持超過 4 層的認(rèn)證體系。而采用三層結(jié)構(gòu)是目前業(yè)界比較通用的、 標(biāo)準(zhǔn)的做法。 USB KEY 可以設(shè)置用戶口令保護(hù)，增強(qiáng)了證書及私鑰的安全性。 CA 認(rèn)證系統(tǒng)定時(shí)產(chǎn)生 CRL 列表，并將產(chǎn)生的 CRL 發(fā)布至 Web 層 CRL服務(wù)模塊，可以通過手工下載該 CRL。 證書應(yīng)用開發(fā)接口（ API） 為了實(shí)現(xiàn)基于數(shù)字證書的安全應(yīng)用集成，提供了完整的證書應(yīng)用開發(fā)接口（ API），提供 C、 JAVA 和 COM等多種接口，包括： ? 個(gè)人信任代理（ PTA） 個(gè)人信任代理（ PTA）是客戶端的軟件包，既括安裝在客戶端的文件加密 /解密程序，也包括用于數(shù)字簽名和簽名驗(yàn)證的 ActiveX 控件。同時(shí)， 將用戶證書返回到管理員端，保存到 USB KEY 中 ； (c) 管理員將申請(qǐng)好 證書的 USB KEY 發(fā)放給最終用戶。 （ 3） 靈活的認(rèn)證體系配置 系統(tǒng) 采用“認(rèn)證體系設(shè)計(jì)”一節(jié)設(shè)計(jì)的 CA 認(rèn)證體系，采用樹狀結(jié)構(gòu)， 支持多級(jí)CA，支持交叉認(rèn)證。 CA系統(tǒng)應(yīng)用安全解決 方案 第 14頁(yè) 共 29頁(yè) 圖 6 發(fā)送和接收安全電子郵件示意圖 上圖所示是在 Outlook郵件客戶端使用的情況，其它郵件客戶端類似。為了提高這種方式的安全性，需要管理員不定期的對(duì)共享的對(duì)稱密鑰進(jìn)行更換，但是， 由于更換對(duì)稱密鑰的操作中的人為因素等原因， 使得這種方式存在巨大的安全隱患。 IPSec 能夠利用驗(yàn)證及加密用的 VPN 證書，將兩個(gè)網(wǎng)絡(luò)層對(duì)等起來(lái)，如兩個(gè)路由CA系統(tǒng)應(yīng)用安全解決 方案 第 16頁(yè) 共 29頁(yè) 器、或是最終用戶與遠(yuǎn)程路由器之間，以便建立安全的通信。 智能 卡及數(shù)字證書 為了提高安全性， Windows 2020 操作系統(tǒng)提供了基于數(shù)字證書的智能卡域登錄方式。 Windows 域的使用者必須同時(shí)物理?yè)碛姓_的智能卡和相應(yīng)的卡保護(hù)口令（也稱為個(gè)人身份識(shí)別碼， PIN）才能正常使用智能卡登錄到域。缺省情況下用戶可以使用口令或智能卡中的任一種方式登錄到域，管理員可以設(shè)置特定的用戶只能使用智能卡登錄到域。驗(yàn)證通過后，服務(wù)器會(huì)解析客戶端證書，獲取用戶信息并根據(jù)查詢?cè)L問控制列表來(lái)決定是否授權(quán)訪問。 ? 證書解析模塊 證書解析模塊以動(dòng)態(tài)庫(kù)的方式提供給各種 Web 服務(wù)器，它可以解析證書中包含的信息，用于提取證書中的用戶信息，根據(jù)獲得的用戶信息查詢?cè)L問控 制列CA系統(tǒng)應(yīng)用安全解決 方案 第 21頁(yè) 共 29頁(yè) 表（ ACL），獲取用戶的訪問權(quán)限，實(shí)現(xiàn)系統(tǒng)的訪問控制。這樣，通過數(shù)字簽名和簽名驗(yàn)證，可以確定數(shù)據(jù)的確是數(shù)字證書的擁有者發(fā)送的，不能進(jìn)行抵賴。數(shù)據(jù)簽名模塊的功能是使用用戶選擇的客戶端證書的私鑰對(duì)客戶端發(fā)送的數(shù)據(jù)進(jìn)行字簽名，保證據(jù)傳輸?shù)耐暾?，防止客戶端?duì)發(fā)送的數(shù)據(jù)進(jìn)行抵賴。用戶填寫辦公數(shù)據(jù)（表單或文件），向系統(tǒng)服務(wù)器提交； ④ 此時(shí)，瀏覽器調(diào)用 PTA，對(duì)提交辦公數(shù)據(jù)進(jìn)行數(shù)字簽名。 ? 服務(wù)端證書驗(yàn)證模塊 服務(wù)端證書驗(yàn)證模塊以動(dòng)態(tài)庫(kù)或控件的方式提供，服務(wù)器端軟件調(diào)用實(shí)現(xiàn)的功能是完成對(duì)客戶端證書（用戶）證書的驗(yàn)證。通過證書驗(yàn)證，可以保證證書的真實(shí)性，保證使用該證書進(jìn)行的操作的有效性和不可抵賴性。 通過為系統(tǒng)采用數(shù)字證書進(jìn)行安全身份認(rèn)證，進(jìn)一步增強(qiáng)了系統(tǒng)的安全性，同時(shí)也可以為提供數(shù)據(jù)加 密 、 簽 名 等 安 全 保 障 。 CA系統(tǒng)應(yīng)用安全解決 方案 第 29頁(yè) 共 29頁(yè) 6 總結(jié) 本方案 利用 PKI 技術(shù)，采用 PKI/CA 產(chǎn)品 —— iTrusCA 系統(tǒng) 和證書應(yīng)用開發(fā)接口（ API） ，為 用戶 的 應(yīng)用 系統(tǒng) 提供了一套完善的應(yīng)用安全解決方案。 系統(tǒng)安全架構(gòu) 根據(jù)上述安全原理，采用證書應(yīng)用 開發(fā) 接口 （ API） ，對(duì) C/S 架構(gòu)的 用戶 系統(tǒng) 進(jìn)行安全集成，系統(tǒng)安全架構(gòu)如下圖所示： 圖 18 系統(tǒng)安全集成框架圖 證書應(yīng)用開發(fā)接口（ API） 如上圖所示 ，系統(tǒng)安全集成涉及的證書應(yīng)用接口包括： （ 1） 證書解析模塊（ CPM） 證書解析模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù)，用于解析 DER 或 PEM 編碼的 數(shù)字證書，將證書中的信息，包括用戶名、證書有效期、公鑰等信息分解為字符串。在實(shí)現(xiàn)雙向身份認(rèn)證時(shí)，專用客戶端需要對(duì)證書進(jìn)行處理，包括完成服務(wù)器證書的驗(yàn)證，讓用戶選擇證書進(jìn)行提交等。同時(shí)，要求用戶提交用戶證書； ③ 用戶瀏覽器自動(dòng)驗(yàn)證服務(wù)器證書，驗(yàn)證登錄的 信息系統(tǒng) 的真實(shí)性； ④ 用戶選擇保存在 USB KEY 上的用戶證書，進(jìn)行提交； ⑤ 信息系統(tǒng) Web 服務(wù)器驗(yàn)證用戶提交的用戶證書，判斷用戶的真實(shí)身份； ⑥ 用戶身份驗(yàn)證通過后， Web 服務(wù)器解析用戶證書，獲得用戶信息，根據(jù)用戶信息，查詢 信息系統(tǒng) 的訪問控制列表（ ACL），獲取用戶的訪問授權(quán)； ⑦ 獲得用戶的訪問權(quán)限后，在 用戶瀏覽器和 信息系統(tǒng) 服務(wù)器之間建立 SSL連接，用戶可以訪問到請(qǐng)求的資源，身份認(rèn)證和訪問控制流程結(jié)束，用戶成功登錄 信息系統(tǒng) 。 如下圖所示，實(shí)現(xiàn)本方案的設(shè)計(jì)需求需要增加下列模塊： 圖 13 信息抗抵 賴實(shí)現(xiàn)原理圖 ? 客戶端數(shù)據(jù)簽名模塊 客戶端數(shù)據(jù)簽名模塊以控件的方式提供。在進(jìn)行簽名驗(yàn)證時(shí)，是用數(shù)字書（即公鑰）來(lái)進(jìn)行驗(yàn)證，用公鑰解密數(shù)據(jù)，得到發(fā)送過來(lái)的摘要值，然后用相同算法對(duì)被簽名數(shù)據(jù)做摘要運(yùn)算，得到另一 個(gè)摘要值，將兩個(gè)摘要值進(jìn)行比較，如果相等，則數(shù)字簽名驗(yàn)證通過，否則驗(yàn)證無(wú)效。 ? 用戶證書 用戶證書由 CA 認(rèn)證中心頒發(fā)給企業(yè)內(nèi)用戶，在用戶證書內(nèi)標(biāo)識(shí)了用戶的身份信息、用戶的公鑰以及 CA 對(duì)證書相關(guān)域內(nèi)容的數(shù)字簽名，用戶證書都有一個(gè)有效期。其次，服務(wù)器會(huì)要求用戶出示客端證書CA系統(tǒng)應(yīng)用安全解決 方案 第 20頁(yè) 共 29頁(yè) （即用戶 證書），服務(wù)器完成客戶端證書的驗(yàn)證，來(lái)對(duì)用戶進(jìn)行身份認(rèn)。用戶登錄后即出現(xiàn)標(biāo)準(zhǔn)的用戶桌面，用戶即可象往常一樣使用 Windows。除進(jìn)行網(wǎng)站登錄功外，用戶還可以使用這個(gè)證書簽發(fā)安全郵件及進(jìn)行其他安全應(yīng)用。 CA系統(tǒng)應(yīng)用安全解決 方案 第 17頁(yè) 共 29頁(yè) 圖 7 域登錄流程示意圖 以下是典型的 Windows 域登錄過程。 VPN 證書可識(shí)別使用 IPSec（ IP 安全）協(xié)議進(jìn)行安全通信的設(shè)備。而目前比較通常的做法是在配置 VPN時(shí)，就在 VPN 客戶端和 VPN 服務(wù)端（ VPN 網(wǎng)關(guān)）之間配置一個(gè)共享的對(duì)稱密鑰。 郵件系統(tǒng)安全 應(yīng)用 郵件用戶從管理員處獲得保存有證書的 USB 令牌之后，在所在單位的郵件管理員的指導(dǎo)下，安裝 USB 令牌的驅(qū)動(dòng)，將 USB 令牌插入到計(jì)算機(jī)，對(duì)郵件客戶端進(jìn)行安全配置，如下圖所示為對(duì) Outlook郵件客戶端進(jìn)行安全配置的示例： 圖 5 Outlook安全配置示意圖 在完成郵件客戶端的安全配置之后，用戶就可以使用郵件客戶端發(fā)送加密和或簽名的安全電子郵件，可以實(shí)現(xiàn) ： ? 對(duì)電子郵件的內(nèi)容和附件進(jìn)行加密，確保在傳輸?shù)倪^程中不被他人閱讀、截取和篡改。 （ 2） 證書類型多樣性及靈活配置 系統(tǒng)能夠提供各種證書的簽發(fā)功能， 本方案設(shè)計(jì)的 CA 認(rèn)證系統(tǒng)能夠簽發(fā)個(gè)人身份證書。 其工作流程如下圖所示： 圖 4 證書發(fā)放 流程圖 (a) 管理員 使 用瀏覽器，訪問 用戶 CA 認(rèn)證系統(tǒng) ，進(jìn)入證書申請(qǐng)頁(yè)面， 替最終用戶 填寫證書申請(qǐng)信息，向 用戶 CA 認(rèn)證系統(tǒng) 提交證書申請(qǐng)請(qǐng)求。 （ 6）日志與審計(jì)功能 系統(tǒng)具有完善的日志與審計(jì)功能，可以查看和統(tǒng)計(jì)各種日志，包括： ? 統(tǒng)計(jì)各 CA、 RA 賬號(hào)證書頒發(fā)情況； ? 記錄所有 RA 與 CA 的操作日志； ? 對(duì)所有操作人員的操作行為進(jìn)行審計(jì)。用戶吊銷證書時(shí)，可CA系統(tǒng)應(yīng)用安全解決 方案 第 8頁(yè) 共 29頁(yè) 以直接訪問 CA 認(rèn)證系統(tǒng)，在線的向 CA 提交證書吊銷請(qǐng)求， CA 認(rèn)證系統(tǒng)根據(jù)用戶的選擇，自動(dòng)吊銷用戶的證書，并將吊銷的證書添加到證書吊銷列