【正文】 2）上傳數(shù)據(jù)安全傳輸 流程 (a) 用戶使用專用客戶端產(chǎn)生上傳數(shù)據(jù)，連接 用戶 C/S 架構(gòu) 系統(tǒng) ，進(jìn)行數(shù)據(jù)上傳； (b) 連接時(shí)通過(guò)雙向身份認(rèn)證和訪問(wèn)控制，專用客戶端和系統(tǒng)服務(wù)器之間建立 加密通道； (c) 專用客戶端調(diào)用數(shù)據(jù)簽名模塊，使用用戶選擇的證書(shū)（私鑰），對(duì)上傳數(shù)據(jù)進(jìn)行數(shù)字簽名處理； (d) 專用客戶端通過(guò) 加密 通道，將上傳數(shù)據(jù)及其簽名加密傳輸給系統(tǒng)服務(wù)器； (e) 系統(tǒng)服務(wù)器得到上傳的數(shù)據(jù)后，調(diào)用數(shù)據(jù)簽名驗(yàn)證模塊，對(duì)上傳數(shù)據(jù)的數(shù)字簽名進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)后將上傳數(shù)據(jù)傳輸給后臺(tái)，進(jìn)行相關(guān)的業(yè)務(wù)處理，同時(shí)將上傳數(shù)據(jù)及其數(shù)字簽名保存到審計(jì)數(shù)據(jù)庫(kù)中，上傳數(shù)據(jù)安全傳輸流程結(jié)束。 （ 3） 數(shù)據(jù)簽名 /驗(yàn)證模塊（ SVM） 數(shù)據(jù)簽名及驗(yàn)證模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù)或控件，可以應(yīng) 用于客戶端和服務(wù)器端，實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)的數(shù)字簽名，和對(duì)數(shù)字及其證書(shū)進(jìn)行驗(yàn)。瀏覽器會(huì)彈出提示，提示用戶是否對(duì)提交的數(shù)據(jù)進(jìn)行數(shù)字簽名，并顯示瀏覽器中的證書(shū)，供用戶選擇； ⑤ 用戶選擇自己的證書(shū)，點(diǎn)擊“簽名” PTA 利用用戶選擇證書(shū)的私鑰對(duì)提交的信息進(jìn)行數(shù)字簽名操作，并將提交的信息及其簽名一起發(fā)送給系統(tǒng)服務(wù)器； ⑥ 系統(tǒng)服務(wù)器接收到用戶提交的信息后，服務(wù)器調(diào) SVM（簽名驗(yàn)證模塊）來(lái)驗(yàn)證用戶提交數(shù)據(jù)的數(shù)字簽名； ⑦ 驗(yàn) 證通過(guò)，將用戶提交的辦公數(shù)據(jù)及其簽名一起保存到數(shù)據(jù)庫(kù)中，并進(jìn)行后續(xù)的業(yè)務(wù)操作。數(shù)據(jù)在送的過(guò)程中，沒(méi)有被別人竄改過(guò)的，是完整的。所有的過(guò)程都會(huì)在幾秒鐘內(nèi)自動(dòng)完成，對(duì)用戶是透明的。登錄域時(shí)，由于使用了公開(kāi)密碼學(xué)的原理，用戶的口令不會(huì)在網(wǎng)絡(luò)上以任何形式傳輸，而且身份不會(huì)被假冒。通過(guò)本方案設(shè)計(jì)的 CA 認(rèn)證系統(tǒng)可以簽發(fā) VPN 客戶端證書(shū)（即用戶證書(shū)）和 VPN 設(shè)備證書(shū)。想對(duì)郵件進(jìn)行簽名和加密，只需要按下“簽名”和“加密”按鈕就可以了，系統(tǒng)后臺(tái)使用您的證書(shū)所對(duì)應(yīng)的私鑰對(duì)郵件進(jìn)行簽名，再使用接收者的證書(shū)的公鑰對(duì)郵件進(jìn)行加密；在收到郵件時(shí)，系統(tǒng)自動(dòng)使用您的證書(shū)所對(duì)應(yīng)的私鑰對(duì)郵件進(jìn)行解密和并自動(dòng)使用發(fā)送者的公鑰驗(yàn)證發(fā)送者的簽名，并提示接收者郵件的安全情況，沒(méi)出現(xiàn)安全問(wèn)題，直接打開(kāi)郵件，當(dāng)出現(xiàn)安全問(wèn)題時(shí)，則提示郵件接收者，郵件什 么地方存在安全隱患，如上圖所示。 （ 2） 證書(shū)吊銷 流程 在用戶證書(shū)的私鑰受到威脅、或者用戶私鑰丟失時(shí)，需要吊銷用戶的證書(shū)， 根據(jù) 用戶 信息系統(tǒng) 的應(yīng)用情況，本方案設(shè)計(jì)證書(shū)吊銷由管理員進(jìn)行，其工作流程如下： CA系統(tǒng)應(yīng)用安全解決 方案 第 11頁(yè) 共 29頁(yè) (a) 管理員在發(fā)現(xiàn)用戶違反使用規(guī)定，或者用戶自己向管理員發(fā)送郵件，請(qǐng)求吊銷自己的證書(shū)時(shí)，管理員訪問(wèn) CA 認(rèn)證系統(tǒng)管理員模塊，進(jìn)行用戶證書(shū)吊銷用戶； (b) 管理員通過(guò)證書(shū)管理功能頁(yè)面，查詢到需要吊銷的用戶證書(shū)； (c) 管理員選擇吊銷操作，選擇吊銷用戶證書(shū)的原因，向 CA 認(rèn)證系統(tǒng)發(fā)送證書(shū)吊銷請(qǐng)求； (d) CA 認(rèn)證系統(tǒng)根據(jù)管理員的證書(shū)吊銷請(qǐng)求，自動(dòng)的吊銷用戶的證書(shū)，并將吊銷的用戶證書(shū)發(fā)布到證書(shū)吊銷列表中，同時(shí)對(duì)數(shù)據(jù)庫(kù)中保存的用戶證書(shū)的最新?tīng)顟B(tài)進(jìn)行更新； (e) CA 認(rèn)證系 統(tǒng)給管理員返回證書(shū)吊銷成功信息，同時(shí)給用戶發(fā)送電子郵件，告訴用戶證書(shū)已經(jīng)被吊銷，不能再使用自己的證書(shū)。 （ 4）目錄服務(wù)功能 CA 認(rèn)證系統(tǒng)支持目錄服務(wù)，支持 LDAP V3 規(guī)范， CA 認(rèn)證系統(tǒng)在簽發(fā)用戶證書(shū)時(shí)或者對(duì)證書(shū)進(jìn)行吊銷處理時(shí)，會(huì)及時(shí)更新目錄內(nèi)容。這樣，使得用戶 CA 認(rèn)證體系具有很好的可操作性。 G. 高兼容性。 3 方案 總體設(shè)計(jì)思想 根據(jù) 用戶 的 系統(tǒng) 安全需求，基于自身在 PKI/CA 領(lǐng)域的技術(shù)優(yōu)勢(shì)，采用自主開(kāi)發(fā)的PKI 產(chǎn)品 —— iTrusCA 系統(tǒng)，為 用戶 提供了完善的安全解決方案，解決方案總體框架包含如下幾個(gè)基本思想： 一、 采用 iTrusCA 系統(tǒng)，為 用戶 建設(shè) 一套功能完善的 CA 認(rèn)證系統(tǒng)，為 用戶 各個(gè)應(yīng)用 系統(tǒng) 的 用戶頒發(fā)數(shù)字證書(shū)，提供安全認(rèn)證服務(wù)。這種方式存在巨大的安全隱患，非法用戶可以通過(guò)口令攻擊、猜測(cè)或竊取口令等方式，假冒合法用戶的身份，登錄系統(tǒng)進(jìn)行非法操作或獲取機(jī)密信息。此外，在實(shí)現(xiàn)資源和數(shù)據(jù)共享的同時(shí)，也面臨巨大的威脅和風(fēng)險(xiǎn)，我們必須對(duì) 這些資料進(jìn)行嚴(yán)格控制，保證只有被授權(quán)的人員才能夠訪問(wèn)合法的資源，并且對(duì)于每個(gè)人產(chǎn)生的信息，需要保留相應(yīng)的記錄。另外，對(duì)于通過(guò)應(yīng)用 系統(tǒng)進(jìn)行網(wǎng)上申報(bào)與審批時(shí)，如果沒(méi)有抗抵賴性，申報(bào)者將可以否認(rèn)自己的申報(bào)數(shù)據(jù)和行為，審批者也可以否認(rèn)自己的審批意見(jiàn)和行為，甚至出現(xiàn)假冒他人進(jìn)行申報(bào)或?qū)徟男袨?。根?jù)客戶需要，對(duì)系統(tǒng)進(jìn)行配置和擴(kuò)展，能夠發(fā)放各種類型的證書(shū)；系統(tǒng)支持多級(jí) CA，支持交叉 CA；系統(tǒng)支持多級(jí) RA。 （ 3） 具有很好的可操作性 采用三層體系結(jié)構(gòu)，相對(duì)比較簡(jiǎn)單，在 CA 的創(chuàng)建和管理上也相當(dāng)比較容易。用戶吊銷證書(shū)時(shí)，可CA系統(tǒng)應(yīng)用安全解決 方案 第 8頁(yè) 共 29頁(yè) 以直接訪問(wèn) CA 認(rèn)證系統(tǒng)，在線的向 CA 提交證書(shū)吊銷請(qǐng)求， CA 認(rèn)證系統(tǒng)根據(jù)用戶的選擇，自動(dòng)吊銷用戶的證書(shū)，并將吊銷的證書(shū)添加到證書(shū)吊銷列表（ CRL）中，按照證書(shū)吊銷列表的發(fā)布周期進(jìn)行發(fā)布； ? 證書(shū)更新 在用戶證書(shū)到期前，用戶需要更新證書(shū)，用戶訪問(wèn) CA 認(rèn)證系統(tǒng)，查詢用戶的證書(shū)狀態(tài)，對(duì)即將過(guò)期的用戶證書(shū)進(jìn)行更新。 其工作流程如下圖所示： 圖 4 證書(shū)發(fā)放 流程圖 (a) 管理員 使 用瀏覽器，訪問(wèn) 用戶 CA 認(rèn)證系統(tǒng) ，進(jìn)入證書(shū)申請(qǐng)頁(yè)面， 替最終用戶 填寫證書(shū)申請(qǐng)信息，向 用戶 CA 認(rèn)證系統(tǒng) 提交證書(shū)申請(qǐng)請(qǐng)求。 郵件系統(tǒng)安全 應(yīng)用 郵件用戶從管理員處獲得保存有證書(shū)的 USB 令牌之后，在所在單位的郵件管理員的指導(dǎo)下，安裝 USB 令牌的驅(qū)動(dòng)，將 USB 令牌插入到計(jì)算機(jī)，對(duì)郵件客戶端進(jìn)行安全配置，如下圖所示為對(duì) Outlook郵件客戶端進(jìn)行安全配置的示例： 圖 5 Outlook安全配置示意圖 在完成郵件客戶端的安全配置之后，用戶就可以使用郵件客戶端發(fā)送加密和或簽名的安全電子郵件，可以實(shí)現(xiàn) ： ? 對(duì)電子郵件的內(nèi)容和附件進(jìn)行加密，確保在傳輸?shù)倪^(guò)程中不被他人閱讀、截取和篡改。 VPN 證書(shū)可識(shí)別使用 IPSec（ IP 安全）協(xié)議進(jìn)行安全通信的設(shè)備。除進(jìn)行網(wǎng)站登錄功外，用戶還可以使用這個(gè)證書(shū)簽發(fā)安全郵件及進(jìn)行其他安全應(yīng)用。其次，服務(wù)器會(huì)要求用戶出示客端證書(shū)CA系統(tǒng)應(yīng)用安全解決 方案 第 20頁(yè) 共 29頁(yè) （即用戶 證書(shū)），服務(wù)器完成客戶端證書(shū)的驗(yàn)證，來(lái)對(duì)用戶進(jìn)行身份認(rèn)。在進(jìn)行簽名驗(yàn)證時(shí)，是用數(shù)字書(shū)（即公鑰）來(lái)進(jìn)行驗(yàn)證，用公鑰解密數(shù)據(jù)，得到發(fā)送過(guò)來(lái)的摘要值，然后用相同算法對(duì)被簽名數(shù)據(jù)做摘要運(yùn)算，得到另一 個(gè)摘要值，將兩個(gè)摘要值進(jìn)行比較，如果相等，則數(shù)字簽名驗(yàn)證通過(guò)，否則驗(yàn)證無(wú)效。同時(shí)，要求用戶提交用戶證書(shū)； ③ 用戶瀏覽器自動(dòng)驗(yàn)證服務(wù)器證書(shū)，驗(yàn)證登錄的 信息系統(tǒng) 的真實(shí)性； ④ 用戶選擇保存在 USB KEY 上的用戶證書(shū)，進(jìn)行提交； ⑤ 信息系統(tǒng) Web 服務(wù)器驗(yàn)證用戶提交的用戶證書(shū)，判斷用戶的真實(shí)身份； ⑥ 用戶身份驗(yàn)證通過(guò)后， Web 服務(wù)器解析用戶證書(shū)，獲得用戶信息，根據(jù)用戶信息，查詢 信息系統(tǒng) 的訪問(wèn)控制列表（ ACL），獲取用戶的訪問(wèn)授權(quán)； ⑦ 獲得用戶的訪問(wèn)權(quán)限后，在 用戶瀏覽器和 信息系統(tǒng) 服務(wù)器之間建立 SSL連接，用戶可以訪問(wèn)到請(qǐng)求的資源，身份認(rèn)證和訪問(wèn)控制流程結(jié)束，用戶成功登錄 信息系統(tǒng) 。 系統(tǒng)安全架構(gòu) 根據(jù)上述安全原理，采用證書(shū)應(yīng)用 開(kāi)發(fā) 接口 （ API） ，對(duì) C/S 架構(gòu)的 用戶 系統(tǒng) 進(jìn)行安全集成，系統(tǒng)安全架構(gòu)如下圖所示： 圖 18 系統(tǒng)安全集成框架圖 證書(shū)應(yīng)用開(kāi)發(fā)接口（ API） 如上圖所示 ，系統(tǒng)安全集成涉及的證書(shū)應(yīng)用接口包括： （ 1） 證書(shū)解析模塊（ CPM） 證書(shū)解析模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù)，用于解析 DER 或 PEM 編碼的 數(shù)字證書(shū)，將證書(shū)中的信息，包括用戶名、證書(shū)有效期、公鑰等信息分解為字符串。 通過(guò)為系統(tǒng)采用數(shù)字證書(shū)進(jìn)行安全身份認(rèn)證，進(jìn)一步增強(qiáng)了系統(tǒng)的安全性，同時(shí)也可以為提供數(shù)據(jù)加 密 、 簽 名 等 安 全 保 障 。 ? 服務(wù)端證書(shū)驗(yàn)證模塊 服務(wù)端證書(shū)驗(yàn)證模塊以動(dòng)態(tài)庫(kù)或控件的方式提供，服務(wù)器端軟件調(diào)用實(shí)現(xiàn)的功能是完成對(duì)客戶端證書(shū)（用戶）證書(shū)的驗(yàn)證。數(shù)據(jù)簽名模塊的功能是使用用戶選擇的客戶端證書(shū)的私鑰對(duì)客戶端發(fā)送的數(shù)據(jù)進(jìn)行字簽名，保證據(jù)傳輸?shù)耐暾?，防止客戶端?duì)發(fā)送的數(shù)據(jù)進(jìn)行抵賴。 ? 證書(shū)解析模塊 證書(shū)解析模塊以動(dòng)態(tài)庫(kù)的方式提供給各種 Web 服務(wù)器，它可以解析證書(shū)中包含的信息，用于提取證書(shū)中的用戶信息，根據(jù)獲得的用戶信息查詢?cè)L問(wèn)控 制列CA系統(tǒng)應(yīng)用安全解決 方案 第 21頁(yè) 共 29頁(yè) 表（ ACL），獲取用戶的訪問(wèn)權(quán)限，實(shí)現(xiàn)系統(tǒng)的訪問(wèn)控制。缺省情況下用戶可以使用口令或智能卡中的任一種方式登錄到域，管理員可以設(shè)置特定的用戶只能使用智能卡登錄到域。 智能 卡及數(shù)字證書(shū) 為了提高安全性， Windows 2020 操作系統(tǒng)提供了基于數(shù)字證書(shū)的智能卡域登錄方式。為了提高這種方式的安全性，需要管理員不定期的對(duì)共享的對(duì)稱密鑰進(jìn)行更換，但是， 由于更換對(duì)稱密鑰的操作中的人為因素等原因， 使得這種方式存在巨大的安全隱患。 （ 3） 靈活的認(rèn)證體系配置 系統(tǒng) 采用“認(rèn)證體系設(shè)計(jì)”一節(jié)設(shè)計(jì)的 CA 認(rèn)證體系，采用樹(shù)狀結(jié)構(gòu)， 支持多級(jí)CA，支持交叉認(rèn)證。 證書(shū)應(yīng)用開(kāi)發(fā)接口（ API） 為了實(shí)現(xiàn)基于數(shù)字證書(shū)的安全應(yīng)用集成，提供了完整的證書(shū)應(yīng)用開(kāi)發(fā)接口（ API），提供 C、 JAVA 和 COM等多種接口，包括： ? 個(gè)人信任代理（ PTA） 個(gè)人信任代理（ PTA）是客戶端的軟件包，既括安裝在客戶端的文件加密 /解密程序，也包括用于數(shù)字簽名和簽名驗(yàn)證的 ActiveX 控件。 USB KEY 可以設(shè)置用戶口令保護(hù)，增強(qiáng)了證書(shū)及私鑰的安全性。一般的，國(guó)際上最大型的認(rèn)證體系層次都不超過(guò) 4 層，并且瀏覽器等軟件也不支持超過(guò) 4 層的認(rèn)證體系。 iTrusCA 系統(tǒng)采用模塊化結(jié)構(gòu)設(shè)計(jì) ，由最終用戶、 RA 管理員、 CA 管理員、注冊(cè)中心（ RA）、認(rèn)證中心（ CA）等構(gòu)成，其中注冊(cè)中心（ RA）和認(rèn)證中心（ CA）又包含相應(yīng)的模塊，系統(tǒng)架構(gòu)如下圖： CA系統(tǒng)應(yīng)用安全解決 方案 第 4頁(yè) 共 29頁(yè) 圖 1 iTrusCA 系統(tǒng)模塊架構(gòu)圖 iTrusCA 系統(tǒng)能提供完善的功能， 包括：證書(shū)簽發(fā)、證書(shū)生命周期管理、證書(shū)吊銷列表（ CRL） 查詢服務(wù) 、目錄查詢服務(wù)、 CA 管理、密鑰管理和日志審計(jì)等全面的功能。 （ 4）信息抗抵賴 信息抗抵賴是指信息的發(fā)送者不能對(duì)自己發(fā)送的信息進(jìn)行抵賴。 CA 系統(tǒng)應(yīng)用 安全 解決 方案 (版本： ) CA 系 統(tǒng) 應(yīng) 用 安 全 解 決 方案 目錄 目 錄 1 前言 ..................................................................................................................................... 1 2 應(yīng)用安全需求概述 ............................................................................................................. 1 3 方案總體設(shè)計(jì)思想 ............