【正文】 統(tǒng) 應(yīng) 用 安 全 解 決 方案 目錄 系統(tǒng)安全架構(gòu) ..................................................................................................... 27 證書應(yīng)用開發(fā)接口（ API） ............................................................................... 27 系統(tǒng)工作流程 ..................................................................................................... 28 6 總結(jié) ................................................................................................................................... 29 CA系統(tǒng)應(yīng)用安全解決 方案 第 1頁 共 29頁 1 前言 以 Inter 為代表的全球性信息化浪潮迅猛發(fā)展，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向 大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，從典型的如金融業(yè)務(wù)系統(tǒng)、網(wǎng)上證券交易業(yè)務(wù)系統(tǒng)、企業(yè)內(nèi)部應(yīng)用系統(tǒng)，逐漸擴展到政府辦公系統(tǒng)應(yīng)用。采用“用戶名＋密碼”的方式登錄應(yīng)用系統(tǒng)時，用戶輸入的用戶名和密碼都是通過明文的方式，傳輸給系統(tǒng)服務(wù)器，系統(tǒng)服務(wù)器根據(jù)用戶提交的用戶名和密碼，查詢數(shù)據(jù)庫，來判斷用戶的身份是否真實。 （ 4）信息抗抵賴 信息抗抵賴是指信息的發(fā)送者不能對自己發(fā)送的信息進行抵賴。 為此， 根據(jù) 用戶 的信息系統(tǒng)安全現(xiàn)狀 ，采用 PKI（ Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）技術(shù)， 為 用戶 設(shè)計 了 基于數(shù)字證書的應(yīng)用安全解決方案。 iTrusCA 系統(tǒng)采用模塊化結(jié)構(gòu)設(shè)計 ，由最終用戶、 RA 管理員、 CA 管理員、注冊中心（ RA）、認(rèn)證中心（ CA）等構(gòu)成，其中注冊中心（ RA）和認(rèn)證中心（ CA）又包含相應(yīng)的模塊，系統(tǒng)架構(gòu)如下圖： CA系統(tǒng)應(yīng)用安全解決 方案 第 4頁 共 29頁 圖 1 iTrusCA 系統(tǒng)模塊架構(gòu)圖 iTrusCA 系統(tǒng)能提供完善的功能， 包括：證書簽發(fā)、證書生命周期管理、證書吊銷列表（ CRL） 查詢服務(wù) 、目錄查詢服務(wù)、 CA 管理、密鑰管理和日志審計等全面的功能。系統(tǒng)所有用戶、管理員界面都是 B/S 模式， CA/RA 策略配置和定制以及用戶證書管理等都是通過瀏覽器進行，并具有詳細(xì)的操作說明。一般的，國際上最大型的認(rèn)證體系層次都不超過 4 層，并且瀏覽器等軟件也不支持超過 4 層的認(rèn)證體系。而采用三層結(jié)構(gòu)是目前業(yè)界比較通用的、 標(biāo)準(zhǔn)的做法。 USB KEY 可以設(shè)置用戶口令保護，增強了證書及私鑰的安全性。 CA 認(rèn)證系統(tǒng)定時產(chǎn)生 CRL 列表，并將產(chǎn)生的 CRL 發(fā)布至 Web 層 CRL服務(wù)模塊，可以通過手工下載該 CRL。 證書應(yīng)用開發(fā)接口（ API） 為了實現(xiàn)基于數(shù)字證書的安全應(yīng)用集成，提供了完整的證書應(yīng)用開發(fā)接口（ API），提供 C、 JAVA 和 COM等多種接口，包括： ? 個人信任代理（ PTA） 個人信任代理（ PTA）是客戶端的軟件包，既括安裝在客戶端的文件加密 /解密程序，也包括用于數(shù)字簽名和簽名驗證的 ActiveX 控件。同時， 將用戶證書返回到管理員端，保存到 USB KEY 中 ； (c) 管理員將申請好 證書的 USB KEY 發(fā)放給最終用戶。 （ 3） 靈活的認(rèn)證體系配置 系統(tǒng) 采用“認(rèn)證體系設(shè)計”一節(jié)設(shè)計的 CA 認(rèn)證體系，采用樹狀結(jié)構(gòu)， 支持多級CA，支持交叉認(rèn)證。 CA系統(tǒng)應(yīng)用安全解決 方案 第 14頁 共 29頁 圖 6 發(fā)送和接收安全電子郵件示意圖 上圖所示是在 Outlook郵件客戶端使用的情況，其它郵件客戶端類似。為了提高這種方式的安全性，需要管理員不定期的對共享的對稱密鑰進行更換，但是， 由于更換對稱密鑰的操作中的人為因素等原因， 使得這種方式存在巨大的安全隱患。 IPSec 能夠利用驗證及加密用的 VPN 證書，將兩個網(wǎng)絡(luò)層對等起來，如兩個路由CA系統(tǒng)應(yīng)用安全解決 方案 第 16頁 共 29頁 器、或是最終用戶與遠(yuǎn)程路由器之間，以便建立安全的通信。 智能 卡及數(shù)字證書 為了提高安全性， Windows 2020 操作系統(tǒng)提供了基于數(shù)字證書的智能卡域登錄方式。 Windows 域的使用者必須同時物理擁有正確的智能卡和相應(yīng)的卡保護口令（也稱為個人身份識別碼， PIN）才能正常使用智能卡登錄到域。缺省情況下用戶可以使用口令或智能卡中的任一種方式登錄到域，管理員可以設(shè)置特定的用戶只能使用智能卡登錄到域。驗證通過后，服務(wù)器會解析客戶端證書，獲取用戶信息并根據(jù)查詢訪問控制列表來決定是否授權(quán)訪問。 ? 證書解析模塊 證書解析模塊以動態(tài)庫的方式提供給各種 Web 服務(wù)器，它可以解析證書中包含的信息，用于提取證書中的用戶信息，根據(jù)獲得的用戶信息查詢訪問控 制列CA系統(tǒng)應(yīng)用安全解決 方案 第 21頁 共 29頁 表（ ACL），獲取用戶的訪問權(quán)限，實現(xiàn)系統(tǒng)的訪問控制。這樣，通過數(shù)字簽名和簽名驗證，可以確定數(shù)據(jù)的確是數(shù)字證書的擁有者發(fā)送的，不能進行抵賴。數(shù)據(jù)簽名模塊的功能是使用用戶選擇的客戶端證書的私鑰對客戶端發(fā)送的數(shù)據(jù)進行字簽名，保證據(jù)傳輸?shù)耐暾?，防止客戶端對發(fā)送的數(shù)據(jù)進行抵賴。用戶填寫辦公數(shù)據(jù)（表單或文件），向系統(tǒng)服務(wù)器提交； ④ 此時，瀏覽器調(diào)用 PTA，對提交辦公數(shù)據(jù)進行數(shù)字簽名。 ? 服務(wù)端證書驗證模塊 服務(wù)端證書驗證模塊以動態(tài)庫或控件的方式提供，服務(wù)器端軟件調(diào)用實現(xiàn)的功能是完成對客戶端證書（用戶）證書的驗證。通過證書驗證，可以保證證書的真實性，保證使用該證書進行的操作的有效性和不可抵賴性。 通過為系統(tǒng)采用數(shù)字證書進行安全身份認(rèn)證，進一步增強了系統(tǒng)的安全性，同時也可以為提供數(shù)據(jù)加 密 、 簽 名 等 安 全 保 障 。 CA系統(tǒng)應(yīng)用安全解決 方案 第 29頁 共 29頁 6 總結(jié) 本方案 利用 PKI 技術(shù)，采用 PKI/CA 產(chǎn)品 —— iTrusCA 系統(tǒng) 和證書應(yīng)用開發(fā)接口（ API） ，為 用戶 的 應(yīng)用 系統(tǒng) 提供了一套完善的應(yīng)用安全解決方案。 系統(tǒng)安全架構(gòu) 根據(jù)上述安全原理，采用證書應(yīng)用 開發(fā) 接口 （ API） ，對 C/S 架構(gòu)的 用戶 系統(tǒng) 進行安全集成，系統(tǒng)安全架構(gòu)如下圖所示： 圖 18 系統(tǒng)安全集成框架圖 證書應(yīng)用開發(fā)接口（ API） 如上圖所示 ，系統(tǒng)安全集成涉及的證書應(yīng)用接口包括： （ 1） 證書解析模塊（ CPM） 證書解析模塊是一系列平臺下的動態(tài)鏈接庫，用于解析 DER 或 PEM 編碼的 數(shù)字證書，將證書中的信息，包括用戶名、證書有效期、公鑰等信息分解為字符串。在實現(xiàn)雙向身份認(rèn)證時，專用客戶端需要對證書進行處理，包括完成服務(wù)器證書的驗證，讓用戶選擇證書進行提交等。同時，要求用戶提交用戶證書； ③ 用戶瀏覽器自動驗證服務(wù)器證書，驗證登錄的 信息系統(tǒng) 的真實性； ④ 用戶選擇保存在 USB KEY 上的用戶證書，進行提交； ⑤ 信息系統(tǒng) Web 服務(wù)器驗證用戶提交的用戶證書，判斷用戶的真實身份； ⑥ 用戶身份驗證通過后， Web 服務(wù)器解析用戶證書，獲得用戶信息，根據(jù)用戶信息，查詢 信息系統(tǒng) 的訪問控制列表（ ACL），獲取用戶的訪問授權(quán)； ⑦ 獲得用戶的訪問權(quán)限后，在 用戶瀏覽器和 信息系統(tǒng) 服務(wù)器之間建立 SSL連接，用戶可以訪問到請求的資源，身份認(rèn)證和訪問控制流程結(jié)束，用戶成功登錄 信息系統(tǒng) 。 如下圖所示，實現(xiàn)本方案的設(shè)計需求需要增加下列模塊： 圖 13 信息抗抵 賴實現(xiàn)原理圖 ? 客戶端數(shù)據(jù)簽名模塊 客戶端數(shù)據(jù)簽名模塊以控件的方式提供。在進行簽名驗證時，是用數(shù)字書（即公鑰）來進行驗證，用公鑰解密數(shù)據(jù)，得到發(fā)送過來的摘要值，然后用相同算法對被簽名數(shù)據(jù)做摘要運算，得到另一 個摘要值，將兩個摘要值進行比較，如果相等，則數(shù)字簽名驗證通過，否則驗證無效。 ? 用戶證書 用戶證書由 CA 認(rèn)證中心頒發(fā)給企業(yè)內(nèi)用戶，在用戶證書內(nèi)標(biāo)識了用戶的身份信息、用戶的公鑰以及 CA 對證書相關(guān)域內(nèi)容的數(shù)字簽名，用戶證書都有一個有效期。其次，服務(wù)器會要求用戶出示客端證書CA系統(tǒng)應(yīng)用安全解決 方案 第 20頁 共 29頁 （即用戶 證書），服務(wù)器完成客戶端證書的驗證，來對用戶進行身份認(rèn)。用戶登錄后即出現(xiàn)標(biāo)準(zhǔn)的用戶桌面，用戶即可象往常一樣使用 Windows。除進行網(wǎng)站登錄功外，用戶還可以使用這個證書簽發(fā)安全郵件及進行其他安全應(yīng)用。 CA系統(tǒng)應(yīng)用安全解決 方案 第 17頁 共 29頁 圖 7 域登錄流程示意圖 以下是典型的 Windows 域登錄過程。 VPN 證書可識別使用 IPSec（ IP 安全）協(xié)議進行安全通信的設(shè)備。而目前比較通常的做法是在配置 VPN時，就在 VPN 客戶端和 VPN 服務(wù)端（ VPN 網(wǎng)關(guān)）之間配置一個共享的對稱密鑰。 郵件系統(tǒng)安全 應(yīng)用 郵件用戶從管理員處獲得保存有證書的 USB 令牌之后，在所在單位的郵件管理員的指導(dǎo)下，安裝 USB 令牌的驅(qū)動，將 USB 令牌插入到計算機，對郵件客戶端進行安全配置，如下圖所示為對 Outlook郵件客戶端進行安全配置的示例： 圖 5 Outlook安全配置示意圖 在完成郵件客戶端的安全配置之后，用戶就可以使用郵件客戶端發(fā)送加密和或簽名的安全電子郵件，可以實現(xiàn) ： ? 對電子郵件的內(nèi)容和附件進行加密，確保在傳輸?shù)倪^程中不被他人閱讀、截取和篡改。 （ 2） 證書類型多樣性及靈活配置 系統(tǒng)能夠提供各種證書的簽發(fā)功能， 本方案設(shè)計的 CA 認(rèn)證系統(tǒng)能夠簽發(fā)個人身份證書。 其工作流程如下圖所示： 圖 4 證書發(fā)放 流程圖 (a) 管理員 使 用瀏覽器，訪問 用戶 CA 認(rèn)證系統(tǒng) ，進入證書申請頁面， 替最終用戶 填寫證書申請信息，向 用戶 CA 認(rèn)證系統(tǒng) 提交證書申請請求。 （ 6）日志與審計功能 系統(tǒng)具有完善的日志與審計功能，可以查看和統(tǒng)計各種日志，包括： ? 統(tǒng)計各 CA、 RA 賬號證書頒發(fā)情況； ? 記錄所有 RA 與 CA 的操作日志； ? 對所有操作人員的操作行為進行審計。用戶吊銷證書時，可CA系統(tǒng)應(yīng)用安全解決 方案 第 8頁 共 29頁 以直接訪問 CA 認(rèn)證系統(tǒng)，在線的向 CA 提交證書吊銷請求， CA 認(rèn)證系統(tǒng)根據(jù)用戶的選擇，自動吊銷用戶的證書，并將吊銷的證書添加到證書吊銷列