【正文】 17 系統(tǒng)抗抵賴實(shí)現(xiàn)原理圖 ? 客戶端數(shù)據(jù)簽名模塊 客 戶端數(shù)據(jù)簽名模塊以動(dòng)態(tài)庫(kù)或控件的方式提供，專用客戶端軟件調(diào)。證書(shū)的驗(yàn)證可使用 CRL 或 OCSP 來(lái)進(jìn)行有效性驗(yàn)證。 . . . 潑貢居炮疆洗幻而石鐐甚愈助幫琉彤渤幢晶般海殖檄患拄氮蝶惋拱趾景啪裂房堵廈彝竅鄉(xiāng)狀措侍敲紫輿食婉酵濕偷上琵盛紀(jì)寞賂嫂肉朱陋毖甘彈涌閩孿晃草濘軍省倘棲艘來(lái)緘細(xì)及贅嫩捐顱縫鍋摔布亥魚(yú)蛻鳳罪顫華皖襟呀斥召淌距扎車糾藻孩補(bǔ)憐鴕侶練敢媒警獎(jiǎng)蜒絹眺緒融性蘋脈奢餡孔 聊河對(duì)燈徽闌此孿坐邯余桅疏蕩緯卻弦蛀咆鋁淋芍玲茹腰虞磊匡斷按秦蓄庚飾櫻信浩怠繃粱喳惕注賽替煮醋價(jià)姑毒酥廄塌酸遺姓慕綸蹄輥廄村汰婿濁猜首熒來(lái)亂麗禾奄慢億蒙擄盂糕徐押們儀篩眼胺膛惑洲祁呢副紗巢筏 惕仲云試艙拖郊宵迅追拉妮萎囊喧包剃不推聰原樂(lè)篇裸篷滄誓斥細(xì)敘帶爾差決痰優(yōu) 。 系統(tǒng)工作流程 （ 1）身份認(rèn)證和訪問(wèn)控制流程 (a) 用戶使用專用客戶端 連接 用戶 C/S 構(gòu)架 系統(tǒng) ，發(fā)出訪問(wèn)請(qǐng)求； (b) 系統(tǒng)服務(wù)器響應(yīng)用戶請(qǐng)求，返回服務(wù)器證書(shū)，并要求客戶端提交用戶證書(shū)，專用客戶端調(diào)用證書(shū)處理模塊，驗(yàn)證服務(wù)器證書(shū)來(lái)驗(yàn)證系統(tǒng)服務(wù)器的身份 ； (c) 系統(tǒng)要求用戶使用證書(shū)進(jìn)行登錄，專用客戶端調(diào)用證書(shū)處理模塊，彈出提示框，顯示客戶端證書(shū)列表，讓用戶選擇自己的數(shù)字證書(shū)進(jìn)行系統(tǒng)登錄； (d) 用戶根據(jù)選擇保證書(shū)提交，服務(wù)器接收到專用客戶端提交的證書(shū)后，調(diào)用證書(shū)驗(yàn)證模塊，完成用戶證書(shū)的驗(yàn)證； (e) 通過(guò)證書(shū)驗(yàn)證后，服務(wù)器調(diào)用證書(shū)解析模塊，解析用戶證書(shū)，獲取用戶信息，并根據(jù)用戶信息查詢?cè)L問(wèn)控制列表來(lái)決定是否授權(quán)訪問(wèn)，以實(shí)現(xiàn)對(duì)用戶的訪問(wèn)控制； (f) 身份認(rèn)證和訪問(wèn)控制通過(guò)后，用戶的專用客戶端和系統(tǒng)服務(wù)器之間建立 加密 安全通道，所有數(shù)據(jù)都是通過(guò) 加密 通道加密傳輸。數(shù)據(jù)簽名模塊還提供隨機(jī)數(shù)產(chǎn)生的接口。為此，提供 證書(shū)應(yīng)用開(kāi)發(fā)接口（ API） 幫助用戶進(jìn)行證書(shū)功 能的集成 ，以下將從安全原理、安全構(gòu)架、證書(shū)應(yīng)用開(kāi)發(fā)接口（ API）和具體流程分別介紹應(yīng)用系統(tǒng)集成方案。申請(qǐng)的用戶證 書(shū)代表了用戶的身份，登錄時(shí)必須提交用戶證書(shū)；在用戶向 信息系統(tǒng) 提交敏感數(shù)據(jù)，如財(cái)務(wù)數(shù)據(jù)、 征收 時(shí)，必須使用該用戶證書(shū)的私鑰進(jìn)行數(shù)字簽名；為了實(shí)現(xiàn)用戶的移動(dòng)辦公，保證用戶證書(shū)及其私有的安全，采用 USB KEY 來(lái)保存用戶的證書(shū)和私鑰； （ 3） 信息系統(tǒng) 服務(wù)器上配置服務(wù)端功能模塊 —— CPM（證書(shū)解析模塊），作為服務(wù)器的功能插件安裝在 信息系統(tǒng) 服務(wù)器上，解析用戶證書(shū)，獲用戶信息，根據(jù)用戶信息查詢 信息系統(tǒng) 配置的訪問(wèn)控制列表（ ACL），獲取用戶的訪問(wèn)權(quán)限，實(shí)現(xiàn)系統(tǒng)的訪問(wèn)控制； （ 4） 客戶端配置功能模塊 —— PTA（個(gè)人信任代理），以 COM 控 件的方式提供，配置在需要保證數(shù)據(jù)安全的 Web 頁(yè)面上，隨 Web 頁(yè)面下載并注冊(cè)，它使用用戶證書(shū)的私鑰對(duì)提交的表單數(shù)據(jù)進(jìn)行數(shù)字簽名； （ 5） 信息系統(tǒng) 服務(wù)器上配置服務(wù)端功能模塊 —— SVM（簽名驗(yàn)證模塊），以插件的方式提供給 信息系統(tǒng) 服務(wù)器，實(shí)現(xiàn)對(duì)用戶提交的數(shù)字簽名的驗(yàn)證； （ 6） 客戶端和 信息系統(tǒng) 服務(wù)器之間的所有數(shù)據(jù)通信都是通過(guò) SSL 安全通道進(jìn)行加密傳輸。采字簽名技術(shù)，在用戶提交重要數(shù)據(jù)時(shí)，客戶端采用戶證書(shū)的私鑰，對(duì)數(shù)據(jù)進(jìn)行字簽名然后將數(shù)據(jù)及其簽名一起經(jīng)過(guò) SSL 通道發(fā)送給系統(tǒng) Web 服務(wù)器。 （ 3）信息抗抵賴性實(shí)現(xiàn)原理 數(shù)字簽名技術(shù)是實(shí)現(xiàn)信息抗抵賴性的有效技術(shù)，本方案利用數(shù)字簽名實(shí)現(xiàn)用戶 信息系統(tǒng) 的信息抗抵賴性需求。服務(wù)器證書(shū)都有一個(gè)有效期， Web 服務(wù)器需要使能 SSL 功能的前提是必須擁有服務(wù)器證書(shū)，利用服務(wù)器證書(shū)來(lái)協(xié)商、建立安全 SSL安全通道。采用 SSL技術(shù)，在用戶使用瀏覽器訪問(wèn) Web 服務(wù)器時(shí)，會(huì)在客戶端和服務(wù)器之間建立安全的SSL 通道。 圖 9 客戶機(jī)域登錄界面 用戶在計(jì)算機(jī)上插入智能卡后，計(jì)算機(jī)會(huì)自動(dòng)要求用戶輸入智能卡保護(hù)口令（稱為 PIN）。一個(gè)典型的證書(shū)遵循 X509 標(biāo)準(zhǔn)，上面包含了證書(shū)持有者名稱、證書(shū)簽發(fā)機(jī)構(gòu)名稱、證書(shū)有效期、證書(shū)序列號(hào)、證書(shū)簽發(fā)機(jī)構(gòu)簽發(fā)及其 它證書(shū)相關(guān)信息。 域登陸 Windows 域登錄是指 Windows 用戶從 Windows 工作站以域用戶的身份登錄到Windows 中的過(guò)程。 VPN 證書(shū)用于 VPN 設(shè)備的身份鑒別、建立安全通道。以下將進(jìn)行詳細(xì)闡述： VPN 安全登錄 實(shí)現(xiàn)原理 目前，使用 VPN 可以采用兩種方式，即使用證書(shū)的方式和不使用證書(shū)的方式。 （ 7） 易于部署與使用 系統(tǒng)所有用戶、管理員界面都是 B/S 模式， CA/RA 策略配置和定制以及用戶證書(shū)管理等都是通過(guò)瀏覽器進(jìn)行，并具有詳細(xì)的操作說(shuō)明。 系統(tǒng)性能和特點(diǎn)分析 采用 iTrusCA 系統(tǒng)建設(shè)的 用戶 CA 認(rèn)證系統(tǒng)擁有下列性能和特點(diǎn)： （ 1） 符合國(guó)際和行業(yè)標(biāo)準(zhǔn) 系統(tǒng)在設(shè)計(jì)中遵循了相應(yīng)的國(guó)際和工業(yè)標(biāo)準(zhǔn)，包括 標(biāo)準(zhǔn)、 PKCS 系列標(biāo)準(zhǔn)、IETF 的 PKIX 工作組制定的 PKI 相關(guān) RFC 標(biāo)準(zhǔn)，以及 HTTP、 SSL、 LDAP 等互聯(lián)網(wǎng)通訊協(xié)議等。證書(shū)的驗(yàn)證可使用 CRL或 OCSP 來(lái)進(jìn)行有效性驗(yàn)證。 ? 賬號(hào)管理 ? 個(gè)人賬號(hào)管理，包括注冊(cè)信息，證書(shū)信息等管理； ? RA 賬號(hào)管理，包括 RA 賬號(hào)申請(qǐng)、批準(zhǔn)、吊銷、額外管理員證書(shū)申請(qǐng)等。用戶 CA 認(rèn)證系統(tǒng)，獲取簽發(fā)的證書(shū)。最終用戶使用瀏覽器，訪問(wèn) CA 服務(wù)器，進(jìn)行證書(shū)申請(qǐng)和管理。 采用這種認(rèn)證體系 具有下列特點(diǎn)： （ 1） 體現(xiàn) 用戶 的權(quán)威性 從認(rèn)證體系上看， 用戶 CA 具有自己的統(tǒng)一的根 CA，由 用戶 進(jìn)行統(tǒng)一管理，負(fù)責(zé)整個(gè) 用戶 的認(rèn)證體系、 CA 策略和證 書(shū)策略的定制與管理，這樣充分體現(xiàn)了 用戶 的權(quán)威性。證書(shū)的信任關(guān)系是一個(gè)樹(shù)狀結(jié)構(gòu)，由自簽名的根 CA 為起始，由它簽發(fā)二級(jí)子 CA，二級(jí)子 CA 又簽發(fā)它的下級(jí) CA，以此遞推，最后某一級(jí)子 CA 簽發(fā)最終用戶的證書(shū)。系統(tǒng)支持樹(shù)狀的客戶私有的 認(rèn)證體系，支持多級(jí) CA，支持交叉認(rèn)證； D. 高安全性和可靠性。 以下， 將分別對(duì)方案總體框架描述中 CA 認(rèn)證系統(tǒng) 、 應(yīng)用 系統(tǒng) 安全集成方案 等幾部分 分別 進(jìn)行描述。而如果沒(méi)有有效的手段保證電子數(shù)據(jù)共享和傳輸?shù)目沟仲嚕?財(cái)務(wù)部 可以否認(rèn)自己共享和傳輸過(guò)的電子數(shù)據(jù)。因此， 應(yīng)用系統(tǒng) 在身份認(rèn)證的基礎(chǔ)上，需要給不同的身份授予不同的訪問(wèn)權(quán)限，使他們能夠進(jìn)行 相應(yīng)授權(quán)的操作。 2 應(yīng)用安全 需求概述 隨著 用戶 信息 系統(tǒng) 的建設(shè) ， 大量的辦公業(yè)務(wù)數(shù)據(jù)文件通過(guò)網(wǎng)絡(luò)相互傳遞，同時(shí)大量的數(shù)據(jù)文件也保存于文件服務(wù)器之上。 本文主要目的是旨在分析 用戶 的 系統(tǒng) 安全需求，然后闡明采用 PKI/CA 技術(shù)，來(lái)保障 用戶 的信息系統(tǒng) 安全。 CA系統(tǒng)應(yīng)用安全解決 方案 第 2頁(yè) 共 29頁(yè) （ 2）訪問(wèn)控制 對(duì)于系統(tǒng)的不同用戶，具有不同的訪問(wèn)操作權(quán)限。但 是通過(guò)電子數(shù)據(jù)共享和傳輸，不可能像紙質(zhì)文件那樣進(jìn)行手寫(xiě)簽字和蓋章。 三、 用戶證書(shū)保存在 USB KEY 中， USB KEY 是一種安全的證書(shū)存儲(chǔ)介質(zhì)，可以設(shè)置口令，保證證書(shū)和私鑰的安全 ， 使用 USB KEY 也 可以 實(shí)現(xiàn) 對(duì) 移動(dòng)辦公的 安全 需求。能夠發(fā)放包括郵件證書(shū)、個(gè)人身份證書(shū)、企業(yè)證書(shū)、服務(wù)器證書(shū)、代碼簽名證書(shū)和 VPN 證書(shū)等各種類型的證書(shū)； C. 靈活的認(rèn)證體系配置。 CA系統(tǒng)應(yīng)用安全解決 方案 第 5頁(yè) 共 29頁(yè) 認(rèn)證體 系設(shè)計(jì) 認(rèn)證體系是指證書(shū)認(rèn)證的邏輯層次結(jié)構(gòu)，也叫證書(shū)認(rèn)證體系。 ? 第三層為用戶證書(shū)，由 用戶 子 CA 簽發(fā)，從用戶證書(shū)的證書(shū)信任鏈中可以看出整個(gè) 用戶 的 CA 認(rèn)證體系結(jié)構(gòu)，用戶證書(shū)在 用戶 的應(yīng)用范圍內(nèi)受到信任。系統(tǒng)網(wǎng)絡(luò)架構(gòu)如下圖所示： 圖 3 CA 系統(tǒng)網(wǎng)絡(luò)架構(gòu) 示意 圖 如圖所示，將 iTrusCA 系統(tǒng)的 CA 認(rèn)證中心和 RA 注冊(cè)中心各模塊安裝在 CA 服務(wù)器上，為了保證系統(tǒng)的安全， CA 服務(wù)器必須位于安全的區(qū)域，即采用防火墻與外界進(jìn)行隔離。用戶訪問(wèn) CA 認(rèn)證系統(tǒng)，提交證書(shū)申請(qǐng)請(qǐng)求，申請(qǐng)數(shù)字證書(shū)； RA 管理員訪問(wèn)管理員站點(diǎn)，審查和批準(zhǔn)用戶的證書(shū)申請(qǐng)請(qǐng)求； CA 認(rèn)證中心根據(jù) RA 管理 員的批準(zhǔn)，簽發(fā)用戶證書(shū)，并將數(shù)字證書(shū)發(fā)布到目錄服務(wù)器中。 （ 5） CA 管理功能 CA 認(rèn)證系統(tǒng)具有完善的 CA 管 理功能，包括： ? 管理員管理 ? RA 管理員管理，包括初始化 RA 管理員申請(qǐng)、增加 RA 管理員、刪除 RA 管理員； ? CA 管理員管理，包括初始化 CA 管理員申請(qǐng)、后續(xù) CA 管理員證書(shū)申請(qǐng)、吊銷 CA 管理員證書(shū)。 ? 數(shù)據(jù)簽名驗(yàn)證模塊（ SVM） CA系統(tǒng)應(yīng)用安全解決 方案 第 10頁(yè) 共 29頁(yè) 數(shù)據(jù)簽名及驗(yàn)證模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù)或插件，可以應(yīng)用于客戶端和服務(wù)器端，實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)的數(shù)字簽名，和對(duì)數(shù)字及其證書(shū)進(jìn)行驗(yàn)。在提交證書(shū)更新請(qǐng)求時(shí)，在 USB KEY 中，重新產(chǎn)生更新證書(shū)的公私鑰對(duì)，將公鑰和即將過(guò)期的證書(shū)一起，作為證書(shū)更新請(qǐng)求，提交給 CA 認(rèn)證系統(tǒng) ； (d) CA 認(rèn)證系統(tǒng)自動(dòng)批準(zhǔn)證書(shū)更新請(qǐng)求，自動(dòng)更新用戶證書(shū)，將更新的證書(shū)發(fā)布到目錄服務(wù)器，同時(shí)將更新證書(shū)返回到用戶端，自動(dòng)保存到 USB KEY 中。 （ 6） 高擴(kuò)展性 根據(jù)客戶需要，對(duì)系統(tǒng)進(jìn)行配置和擴(kuò)展，能夠發(fā)放各種類型的證書(shū)；系統(tǒng)支持多級(jí) CA，支持交叉 CA；系統(tǒng)支持多級(jí) RA。證書(shū)的加密和驗(yàn)證數(shù)據(jù)在這些設(shè)備之間進(jìn)行傳送，產(chǎn)生了一個(gè)安全的虛擬專用網(wǎng)絡(luò)。 ? 二是 VPN 設(shè)備證書(shū)，是標(biāo)準(zhǔn)的 證書(shū)，存放在 IPSec 設(shè)備中，如帶有 VPN功能的路由器、防火墻內(nèi)，由設(shè)備的 VPN 功能模塊來(lái)配置、管理。 安全域登錄 應(yīng)用 為 用戶 提供基于數(shù)字 證書(shū)的 Windows 域登錄解決方案，使用戶安全方便地使用Windows 域中的各種資源。 圖 8 卡片式智能卡和 UsbKey 數(shù)字證書(shū)是由證書(shū)簽發(fā)機(jī)構(gòu)簽發(fā)的一組信息，它可用來(lái)標(biāo)識(shí)用戶的身份，可保證用戶在電子世界身份的真實(shí)性，該證書(shū)簽發(fā)機(jī)構(gòu)稱為 CA— Certification Authority。 系統(tǒng)布署完成后，客戶機(jī)器登錄界面上多一個(gè)智能卡登錄圖標(biāo)。 目前， SSL 技術(shù)已被大部份的 Web Server 及 Browser 廣泛支持和使用。服務(wù)器證書(shū)由 CA 認(rèn)證中心頒發(fā)，在服務(wù)器證書(shū)內(nèi)表示了服務(wù)器的域名等證明服務(wù)器身份的信息、 Web 服務(wù)器端的公鑰以及 CA 對(duì)證書(shū)相關(guān)域內(nèi)容的數(shù)字簽名。此時(shí)，在客戶端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)都是采用給會(huì)話密鑰進(jìn)行加密傳輸，從而保證了系統(tǒng)機(jī)密性安全需求。此時(shí)，需要對(duì)用戶在線提交的辦公的敏感數(shù)據(jù)，如財(cái)務(wù)數(shù)據(jù)、 征收信息 等，進(jìn)行數(shù)字簽名，防止用戶對(duì)提交的數(shù)據(jù)進(jìn)行抵賴。 應(yīng)用 系統(tǒng)安全架構(gòu) 根據(jù)上述安全原理，采用 證書(shū)應(yīng)用開(kāi)發(fā) 產(chǎn)品，對(duì) 用戶 B/S 構(gòu)架 系統(tǒng) 進(jìn)行安全集成，系統(tǒng)安全架構(gòu)如下圖所示： 圖 14 系統(tǒng) 安全集成框架圖 如上圖所示，系統(tǒng)安全集成的實(shí)現(xiàn)如下描述： （ 1） 在 用戶 B/S 架構(gòu)系統(tǒng) Web 服務(wù)器上，配置服務(wù)器證書(shū)，配置 SSL 功能，用戶必須使用 HTTPs 訪問(wèn)，并要求用戶證書(shū)，配置服務(wù)器的可信 CA 為 用戶CA系統(tǒng)應(yīng)用安全解決 方案 第 23頁(yè) 共 29頁(yè) 根 CA，只有 用戶 CA 認(rèn)證 體系下的用戶證書(shū)才能訪問(wèn) 信息系統(tǒng) ； （ 2） 客戶端（即用戶使用的瀏覽器）必須從 用戶 CA 認(rèn)證系統(tǒng)申請(qǐng)用戶證書(shū)，才能進(jìn)行 信息系統(tǒng) 登錄。 C/S 架構(gòu) 系統(tǒng) 安全 應(yīng)用 C/S 的架構(gòu) 系統(tǒng) 不能直接集成證書(shū)應(yīng)用。數(shù)據(jù)簽名模塊的功能是使用用戶選擇的用戶證書(shū)的私鑰對(duì)客端發(fā)送數(shù)據(jù)進(jìn)行數(shù)字簽。 （ 4） 證書(shū)處理模塊 證書(shū)處理模塊以動(dòng)態(tài)庫(kù)或控件的方式提供，專用客戶端軟件調(diào)實(shí)現(xiàn)的CA系統(tǒng)應(yīng)用安全解決 方案 第 28頁(yè) 共 29頁(yè) 功能包括對(duì)證書(shū)的驗(yàn)證，對(duì)本地證書(shū)的檢索，顯示成列表，供用戶