【正文】 CA系統(tǒng)應(yīng)用安全解決 方案 第 19頁(yè) 共 29頁(yè) 圖 10 客戶幾域登錄界面 如果口令正確， Windows 底層安全模塊會(huì)自動(dòng)調(diào)用智能卡中的證書及相 關(guān)信息，通過有關(guān)的密碼技術(shù)完成用戶身份的驗(yàn)證，驗(yàn)證通過后用戶登錄到域。 CA系統(tǒng)應(yīng)用安全解決 方案 第 18頁(yè) 共 29頁(yè) 智能卡 域 登錄 為 用戶 提供基于數(shù)字證書的完整的智能卡登錄解決方案，智能卡內(nèi)含有遵循 X509標(biāo)準(zhǔn)的 Windows 智能卡登錄證書。域用戶登錄到域后，可以不用再次登錄就可以訪問域中其它服務(wù)器所有有效資源。有了 VPN 證書，客戶可在開放的、不安全的 Inter 上構(gòu)建安全虛擬專用網(wǎng)，實(shí)現(xiàn)各分支機(jī)構(gòu)、合作伙伴和遠(yuǎn)端用戶之間的安全數(shù)據(jù)通訊。對(duì)于不使用證書的方式建立的 VPN 存在下列風(fēng)險(xiǎn)： CA系統(tǒng)應(yīng)用安全解決 方案 第 15頁(yè) 共 29頁(yè) （ 1） 不使用證書的方式建立 VPN 時(shí)，是基于“用戶名 和口令”的認(rèn)證，我們知道“用戶名和口令”的認(rèn)證強(qiáng)度低，存在很多安全弱點(diǎn)，無(wú)法滿足 較高的 安全需求； （ 2） 其次，不使用證書的方式存在 VPN 密鑰分發(fā)的困難， VPN 密鑰是一個(gè)對(duì)稱密鑰，用來(lái)對(duì) VPN 鏈路層數(shù)據(jù)的加密。 （ 8） 高兼容性 支持 Windows、 Linux、 Solaris 等多種操作系統(tǒng)； 支持多種加密設(shè)備：軟加密庫(kù)、山大加密機(jī)和天融信加密機(jī)等； 支持多種數(shù)據(jù)庫(kù)： Oracle 和 SQL server 等； 支持多種證書存儲(chǔ)介質(zhì)：硬盤、 USB KEY 和智能卡等 5 應(yīng)用 系統(tǒng) 安全集成方案 本方案主要目的是解決 用戶 應(yīng)用 系統(tǒng) 的 安全 問題， 采用 iTrusCA 系統(tǒng)利用數(shù)字證書在不增加用戶 額外負(fù)擔(dān)的情況 下更好的保證了身份認(rèn)證系統(tǒng)的安全性，以下將從安全原理、安全構(gòu)架 和具體 應(yīng)用 流程 等方面入手，針對(duì)用戶中常見的一些應(yīng)用系統(tǒng)， 介CA系統(tǒng)應(yīng)用安全解決 方案 第 13頁(yè) 共 29頁(yè) 紹 我們的 應(yīng)用系統(tǒng)集 成方案 。嚴(yán)格遵循這些標(biāo)準(zhǔn)，使得系統(tǒng)具有很好的開放性，能夠與各種應(yīng)用結(jié)合CA系統(tǒng)應(yīng)用安全解決 方案 第 12頁(yè) 共 29頁(yè) 成為真正的安全基礎(chǔ)設(shè)施。 系統(tǒng)工作流程 設(shè)計(jì) （ 1）證書發(fā)放流程 本方案設(shè)計(jì)的 用戶 CA 認(rèn)證系統(tǒng) 的證書發(fā)放采用 集中發(fā)證 的方式， 即由管理員集中申請(qǐng)好證書，保存在 USB KEY 中，發(fā)放給用戶使用。 ? 策略管理 ? 證書策略配置管理，高度靈活和可擴(kuò)展的配置 CA 所簽發(fā)證書的有效期、主題、擴(kuò)展、版本、密鑰長(zhǎng)度、類型等方面； CA系統(tǒng)應(yīng)用安全解決 方案 第 9頁(yè) 共 29頁(yè) ? RA 策略配置管理，包括語(yǔ)言、聯(lián)系方法、證書類型、是否發(fā)布到LDAP 等； ? CA 策 略配置管理，包括證書 DN 重用性檢查、 CA 別名設(shè)置等。 （ 2）證書生命周期管理 通過 CA 認(rèn)證系統(tǒng)，可以實(shí)現(xiàn)證書的生命周期管理，包括： ? 證書申請(qǐng) 最終用戶使用瀏覽器，訪問 CA 認(rèn)證系統(tǒng)，可以進(jìn)行證書申請(qǐng)，在線提交證書申請(qǐng)請(qǐng)求； ? 證書批準(zhǔn) 管理員登錄管理員站點(diǎn)，完成證書批準(zhǔn)功能可以查看和審最終用戶的證書申請(qǐng)請(qǐng)求； ? 證書查詢 最終用戶可以通過 CA 認(rèn)證系統(tǒng)，查詢自己或別人的數(shù)字證書； ? 證書下載 通過 CA 認(rèn)證系統(tǒng)，可以下載簽發(fā)的數(shù)字證書； ? 證書吊銷 最終用戶在使用證書期間，有可能 會(huì)出現(xiàn)一些問題，如：證書丟失、忘記密碼等，最終用戶就需要將原證書吊銷。管理員 （包括CA 管理員和 RA 管理員 ，可以是同一個(gè)管理員擔(dān)任 ）使用瀏覽器，訪問 CA 服務(wù)器，進(jìn)行證書管理和 CA 管理。 CA系統(tǒng)應(yīng)用安全解決 方案 第 6頁(yè) 共 29頁(yè) （ 2） 具有很好的可擴(kuò)展性 如圖所示體系具有很好的可擴(kuò)展性，采用三層結(jié)構(gòu)為體系的擴(kuò)展預(yù)留了空間（因?yàn)榇蠖鄶?shù)應(yīng)用都只支持四層以下），根據(jù) 用戶 實(shí)際應(yīng)用需求，將來(lái)可以在子CA 下，簽發(fā)下級(jí)子 CA；或者針對(duì)別的應(yīng)用再簽發(fā)子 CA 這樣，使得 用戶 CA 認(rèn)證體系具有很好的可擴(kuò)展性。 認(rèn)證體系理論上可以無(wú)限延伸，但從技術(shù)實(shí)現(xiàn)與系統(tǒng)管理上，認(rèn)證層次并非越多越好。使用高強(qiáng)度密碼保護(hù)密鑰，支持加密機(jī)、智能卡、 USB KEY 等硬件設(shè)備以及相應(yīng)的網(wǎng)絡(luò)產(chǎn)品（證書漫游產(chǎn)品）來(lái)保存用戶的證書； E. 高擴(kuò)展性。 4 CA 認(rèn)證系統(tǒng)設(shè)計(jì) CA 認(rèn)證系統(tǒng)負(fù)責(zé)為 用戶 提供安全認(rèn)證服務(wù)，本方案采用 iTrusCA 產(chǎn)品進(jìn)行設(shè)計(jì)和建設(shè)。一旦出現(xiàn) 問題，將沒有任何有效的證據(jù)，對(duì)肇事者進(jìn)行追究。因此，需要采用有效的手段，解決 應(yīng)用系統(tǒng) 訪問控制的需求。如果不能保證 這些系統(tǒng)的用戶登錄認(rèn)證安全，保證 這些數(shù)據(jù)的傳輸安全，其后果是可想而知的。 由于業(yè)務(wù)發(fā)展的需要， 用戶 也建設(shè)了自己的各種應(yīng)用信息系統(tǒng)，為了保證系統(tǒng)的正常運(yùn)轉(zhuǎn)，有必要采取安全的措施來(lái)保障各個(gè)應(yīng)用系統(tǒng)運(yùn)行的安全。因此，需要采用安全的手段，解決 應(yīng)用系統(tǒng) 身份認(rèn)證需求。比如 財(cái)務(wù)部進(jìn)行財(cái)務(wù)匯報(bào)時(shí) ，如果采用紙質(zhì)的方式，可以在 財(cái)務(wù)報(bào)表 上簽字蓋章。 CA系統(tǒng)應(yīng)用安全解決 方案 第 3頁(yè) 共 29頁(yè) 二、 用戶 應(yīng)用 系統(tǒng) 集成數(shù)字證書的應(yīng)用， 用戶 登錄 系統(tǒng) 時(shí)，必須提交 CA 認(rèn)證系統(tǒng)頒發(fā)的用戶證書，系 統(tǒng)通過用戶證書來(lái)實(shí)現(xiàn)身份認(rèn)證和訪問控制，同時(shí)通過加密技術(shù)和數(shù)字簽名技術(shù)，實(shí)現(xiàn)信息傳輸?shù)臋C(jī)密性和抗抵賴性 等安全需求 。 iTrusCA 系統(tǒng)具有下列特點(diǎn) ： A. 符合國(guó)際和行標(biāo)準(zhǔn)； B. 證書類型多樣性及靈活配置。支持各種加密機(jī)、多種數(shù)據(jù)庫(kù)和支持多種證書存儲(chǔ)介質(zhì)。 ? 第二層是由 用戶 根 CA 簽發(fā)的 用戶 子 CA，處于在線狀態(tài)，它是簽發(fā)系統(tǒng)用戶證書的子 CA。 系統(tǒng)網(wǎng)絡(luò)架構(gòu) 采用 iTrusCA 系統(tǒng)將為 用戶 建設(shè)一個(gè) CA 中心和一個(gè) RA 中心， iTrusCA 系統(tǒng)的所有模塊可以安裝在同一臺(tái)服務(wù)器上，也可以采用多臺(tái)服務(wù)器分別安裝各模塊。 CA 系統(tǒng) 功能 iTrusCA 系統(tǒng)具有完善的功能，采用 iTrusCA 系統(tǒng)設(shè)計(jì)的 用戶 CA 認(rèn)證系統(tǒng) 也具有完善的功能，包括： （ 1）證書簽發(fā) 通過 CA 認(rèn)證系統(tǒng)，能夠申請(qǐng)、產(chǎn)生和分發(fā)數(shù)字證書，具有證書簽發(fā)功能。證書服務(wù)的功能提供給用戶進(jìn)行證書查詢的功能，用戶可以通過電子郵件（ Email）、用戶名稱（ Common Name）、單位名稱（ Organization）和部門名稱（ OU）等字段查找 CA認(rèn)證系統(tǒng)簽發(fā)的用戶證書。 ? 證書解析模塊（ CPM） 證書解析模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù)，用于解析 DER 或 PEM 編碼的 數(shù)字證書 ，將證書中的信息，包括用戶信息、證書有效期、證書公鑰等信息分解為字符串。 （ 3） 證書更新 流程 最終用戶在其證書即將過期之前，需要訪問 CA 認(rèn)證系統(tǒng)，更新自己的證書，其流程為： (a) 最終用戶 在證書即將過期前（一般為一個(gè)月）， 訪問 用戶 CA 認(rèn)證系統(tǒng) ，登錄用戶服務(wù)頁(yè)面， 點(diǎn)擊 “ 證書更新 ”選項(xiàng) ； (b) 系統(tǒng) 自動(dòng)識(shí)別用戶是否具有 用戶 CA 認(rèn)證系統(tǒng) 頒發(fā)的數(shù)字證書，并且判斷是否過期，如果即將過期，便提示進(jìn)行更新； (c) 用戶選擇需要更新的證書，點(diǎn)擊提交，向 CA 認(rèn)證系統(tǒng)提交證書更新請(qǐng)求。 （ 5） 高安全性和可靠性 使用高強(qiáng)度密碼保護(hù)密鑰，支持加密機(jī)、智能卡、 USB KEY 等硬件設(shè)備，用戶關(guān)鍵信息散列保存，以防遺失。 VPN 安全應(yīng)用 對(duì)于采用標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)的 VPN 設(shè)備 ，由于 VPN 設(shè)備對(duì)數(shù)字證書的支持，我們可以通過 CA 認(rèn)證系統(tǒng)為 VPN 設(shè)備頒發(fā)數(shù)字證書，為客戶端頒發(fā)個(gè)人證書，利用 CA 系統(tǒng)進(jìn)行相應(yīng)的數(shù)字證書發(fā)放和管理。接收者使用自己的證書私鑰解密會(huì)話密鑰，再用會(huì)話密鑰解密被加密的數(shù)據(jù)； VPN 證書介紹 VPN 證書也是 人們常說的 IPSec 證書，包括兩種證書： ? 一是 VPN 客戶端證書，就是通常的用戶證書，可以存放在 IPSec 客戶端軟件中管理，也可以存放在 IE 瀏覽器或者 USB KEY 等其他存儲(chǔ)介質(zhì)內(nèi)。 VPN 證書應(yīng)用 根據(jù)以往的 VPN 證書應(yīng)用經(jīng)驗(yàn)，證書 的應(yīng)用流程主要有： （ 1） 登錄 CA 服務(wù)器，下載 VPN 根證書，將 CA 根證書 上傳到設(shè)備系統(tǒng)中； （ 2） 為 VPN 設(shè)備申請(qǐng)?jiān)O(shè)備證書，將設(shè)備證書上傳到 VPN 設(shè)備中； 配置 VPN 設(shè)備中使用證書的身份認(rèn)證方式和加密方式等的參數(shù)； （ 3） 為用戶申請(qǐng)用戶證書，將證書保存在 USB KEY 中； 并配置客戶端程序，使 VPN系統(tǒng)使用證書進(jìn)行登錄身份認(rèn)證； （ 4） 用戶在登錄系統(tǒng)時(shí)，跟原來(lái)的流程一樣， VPN 系統(tǒng)自動(dòng)通過證書驗(yàn)證用戶端額身份，根據(jù)用戶的權(quán)限建立相應(yīng)的連接；并通過證書來(lái)交換 VPN 加密通道的 會(huì)話密鑰 ； （ 5） 整個(gè)認(rèn)證過程采用證書進(jìn)行用戶身份認(rèn)證，并使用證書交換會(huì)話密鑰，增強(qiáng)了系統(tǒng)的安全性?？ㄊ街悄芸ㄐ枰獙Ｓ米x卡器才能使用，相對(duì)來(lái)說每張卡片成本較低； UsbKey 則不需要讀卡器，在任何具有 Usb 接口的機(jī)器上皆可使用。另外，一般情況下，智能卡在 連續(xù)登錄失敗三次后，會(huì)自動(dòng)死鎖，這樣即使其他人獲得了他人的智能卡，如果不知道卡的保護(hù)口令，也無(wú)法通過猜口令使用智能卡登陸到域。 B/S 架構(gòu)系統(tǒng)安全原理 （ 1）身份 認(rèn)證 和訪問控制實(shí)現(xiàn)原理 由于 用戶 B/S 架構(gòu)的 系統(tǒng) ，利用 Web 服務(wù)器對(duì) SSL（ Secure Socket Layer，安全套接字協(xié)議）技術(shù)的支持，可以實(shí)現(xiàn)系統(tǒng)的身份認(rèn)證和訪問控制安全需求。 如下圖所示，除了系統(tǒng)中已有的客戶端瀏覽器、 Web 服務(wù)器外，要實(shí)現(xiàn)基于 SSL的身份認(rèn)證和訪問控制安全原理，還需要增加下列模塊： 圖 12 身 份認(rèn)證和訪問控制原理圖 ? Web服務(wù)器證書 要利用 SSL技術(shù)，在 Web 服務(wù)器上必需安裝一個(gè) Web 服務(wù)器證書，用來(lái)表明服務(wù)器的身份，并對(duì) Web 服務(wù)器的安全性進(jìn)行設(shè)置，使能 SSL 功能。 （ 2）信息機(jī)密性實(shí)現(xiàn)原理 信息機(jī)密性實(shí)現(xiàn)原理也是利用 SSL 技術(shù)來(lái)實(shí)現(xiàn)的，在用戶使用瀏覽器訪問 Web 服務(wù)器，完成雙向身份認(rèn)證，并完成對(duì)用戶訪問控制之后，在用客端和服務(wù)器間建立安全的 SSL通道，會(huì)在用戶瀏覽器和 Web 服務(wù) 器之間協(xié)商一個(gè) 40 位或 128 位的會(huì)話密鑰。 利用數(shù)字簽名技術(shù)，可以對(duì) 用戶 信息系統(tǒng) 進(jìn)行集成，用戶在成功登錄系統(tǒng)之后，系統(tǒng)已經(jīng)完成了對(duì)用戶的身份認(rèn)證和訪問控制，用戶可以訪 問到請(qǐng)求的資源或頁(yè)面，用戶可以進(jìn)行網(wǎng)上辦公。同時(shí)，將通過的數(shù)據(jù)，傳輸給后臺(tái)應(yīng)用服務(wù)器，進(jìn)行相關(guān)的業(yè)務(wù)處理，并將數(shù)據(jù)及其字 簽名保存到數(shù)據(jù)庫(kù)中。 整個(gè)身份認(rèn)證 和簽名過程簡(jiǎn)單明了， 對(duì)于使用 者 來(lái)說，在使用數(shù)字證書完成身份認(rèn)證 和數(shù)字簽名 時(shí)只需將保存有個(gè)人證書（私鑰）的 USB KEY 插入本地計(jì)算機(jī)，其它的提交、認(rèn)證、解析等過程完全由應(yīng)用程序在后臺(tái)完成，最終用戶根本感覺不到大的程度上方便了用戶的使用，在不增加最終用戶額外負(fù)擔(dān)的情況下更好保證了信息系統(tǒng)的安全性。 （ 3）信息抗抵賴性實(shí)現(xiàn)原理 對(duì)于 C/S 架構(gòu)的系統(tǒng)，數(shù)據(jù)傳輸?shù)目沟仲囆砸彩峭ㄟ^數(shù)字簽名技術(shù)來(lái)實(shí)現(xiàn)的，實(shí)現(xiàn) C/S 架構(gòu)系統(tǒng)的信息抗抵賴需要增加下列模塊： 圖