【正文】 2）上傳數(shù)據(jù)安全傳輸 流程 (a) 用戶使用專用客戶端產生上傳數(shù)據(jù)，連接 用戶 C/S 架構 系統(tǒng) ，進行數(shù)據(jù)上傳； (b) 連接時通過雙向身份認證和訪問控制，專用客戶端和系統(tǒng)服務器之間建立 加密通道； (c) 專用客戶端調用數(shù)據(jù)簽名模塊，使用用戶選擇的證書（私鑰），對上傳數(shù)據(jù)進行數(shù)字簽名處理； (d) 專用客戶端通過 加密 通道，將上傳數(shù)據(jù)及其簽名加密傳輸給系統(tǒng)服務器； (e) 系統(tǒng)服務器得到上傳的數(shù)據(jù)后，調用數(shù)據(jù)簽名驗證模塊，對上傳數(shù)據(jù)的數(shù)字簽名進行驗證，驗證通過后將上傳數(shù)據(jù)傳輸給后臺，進行相關的業(yè)務處理，同時將上傳數(shù)據(jù)及其數(shù)字簽名保存到審計數(shù)據(jù)庫中，上傳數(shù)據(jù)安全傳輸流程結束。 （ 3） 數(shù)據(jù)簽名 /驗證模塊（ SVM） 數(shù)據(jù)簽名及驗證模塊是一系列平臺下的動態(tài)鏈接庫或控件，可以應 用于客戶端和服務器端，實現(xiàn)對傳輸數(shù)據(jù)的數(shù)字簽名，和對數(shù)字及其證書進行驗。瀏覽器會彈出提示，提示用戶是否對提交的數(shù)據(jù)進行數(shù)字簽名，并顯示瀏覽器中的證書，供用戶選擇； ⑤ 用戶選擇自己的證書，點擊“簽名” PTA 利用用戶選擇證書的私鑰對提交的信息進行數(shù)字簽名操作，并將提交的信息及其簽名一起發(fā)送給系統(tǒng)服務器； ⑥ 系統(tǒng)服務器接收到用戶提交的信息后，服務器調 SVM（簽名驗證模塊）來驗證用戶提交數(shù)據(jù)的數(shù)字簽名； ⑦ 驗 證通過，將用戶提交的辦公數(shù)據(jù)及其簽名一起保存到數(shù)據(jù)庫中，并進行后續(xù)的業(yè)務操作。數(shù)據(jù)在送的過程中，沒有被別人竄改過的，是完整的。所有的過程都會在幾秒鐘內自動完成，對用戶是透明的。登錄域時，由于使用了公開密碼學的原理，用戶的口令不會在網絡上以任何形式傳輸，而且身份不會被假冒。通過本方案設計的 CA 認證系統(tǒng)可以簽發(fā) VPN 客戶端證書（即用戶證書）和 VPN 設備證書。想對郵件進行簽名和加密，只需要按下“簽名”和“加密”按鈕就可以了，系統(tǒng)后臺使用您的證書所對應的私鑰對郵件進行簽名，再使用接收者的證書的公鑰對郵件進行加密；在收到郵件時，系統(tǒng)自動使用您的證書所對應的私鑰對郵件進行解密和并自動使用發(fā)送者的公鑰驗證發(fā)送者的簽名，并提示接收者郵件的安全情況，沒出現(xiàn)安全問題，直接打開郵件，當出現(xiàn)安全問題時，則提示郵件接收者，郵件什 么地方存在安全隱患，如上圖所示。 （ 2） 證書吊銷 流程 在用戶證書的私鑰受到威脅、或者用戶私鑰丟失時，需要吊銷用戶的證書， 根據(jù) 用戶 信息系統(tǒng) 的應用情況，本方案設計證書吊銷由管理員進行，其工作流程如下： CA系統(tǒng)應用安全解決 方案 第 11頁 共 29頁 (a) 管理員在發(fā)現(xiàn)用戶違反使用規(guī)定，或者用戶自己向管理員發(fā)送郵件，請求吊銷自己的證書時，管理員訪問 CA 認證系統(tǒng)管理員模塊，進行用戶證書吊銷用戶； (b) 管理員通過證書管理功能頁面，查詢到需要吊銷的用戶證書； (c) 管理員選擇吊銷操作，選擇吊銷用戶證書的原因，向 CA 認證系統(tǒng)發(fā)送證書吊銷請求； (d) CA 認證系統(tǒng)根據(jù)管理員的證書吊銷請求，自動的吊銷用戶的證書，并將吊銷的用戶證書發(fā)布到證書吊銷列表中，同時對數(shù)據(jù)庫中保存的用戶證書的最新狀態(tài)進行更新； (e) CA 認證系 統(tǒng)給管理員返回證書吊銷成功信息，同時給用戶發(fā)送電子郵件，告訴用戶證書已經被吊銷，不能再使用自己的證書。 （ 4）目錄服務功能 CA 認證系統(tǒng)支持目錄服務，支持 LDAP V3 規(guī)范， CA 認證系統(tǒng)在簽發(fā)用戶證書時或者對證書進行吊銷處理時，會及時更新目錄內容。這樣，使得用戶 CA 認證體系具有很好的可操作性。 G. 高兼容性。 3 方案 總體設計思想 根據(jù) 用戶 的 系統(tǒng) 安全需求，基于自身在 PKI/CA 領域的技術優(yōu)勢，采用自主開發(fā)的PKI 產品 —— iTrusCA 系統(tǒng)，為 用戶 提供了完善的安全解決方案，解決方案總體框架包含如下幾個基本思想： 一、 采用 iTrusCA 系統(tǒng)，為 用戶 建設 一套功能完善的 CA 認證系統(tǒng)，為 用戶 各個應用 系統(tǒng) 的 用戶頒發(fā)數(shù)字證書，提供安全認證服務。這種方式存在巨大的安全隱患，非法用戶可以通過口令攻擊、猜測或竊取口令等方式，假冒合法用戶的身份，登錄系統(tǒng)進行非法操作或獲取機密信息。此外，在實現(xiàn)資源和數(shù)據(jù)共享的同時，也面臨巨大的威脅和風險，我們必須對 這些資料進行嚴格控制，保證只有被授權的人員才能夠訪問合法的資源，并且對于每個人產生的信息，需要保留相應的記錄。另外，對于通過應用 系統(tǒng)進行網上申報與審批時，如果沒有抗抵賴性，申報者將可以否認自己的申報數(shù)據(jù)和行為，審批者也可以否認自己的審批意見和行為，甚至出現(xiàn)假冒他人進行申報或審批的行為。根據(jù)客戶需要，對系統(tǒng)進行配置和擴展，能夠發(fā)放各種類型的證書；系統(tǒng)支持多級 CA，支持交叉 CA；系統(tǒng)支持多級 RA。 （ 3） 具有很好的可操作性 采用三層體系結構，相對比較簡單，在 CA 的創(chuàng)建和管理上也相當比較容易。用戶吊銷證書時，可CA系統(tǒng)應用安全解決 方案 第 8頁 共 29頁 以直接訪問 CA 認證系統(tǒng)，在線的向 CA 提交證書吊銷請求， CA 認證系統(tǒng)根據(jù)用戶的選擇，自動吊銷用戶的證書，并將吊銷的證書添加到證書吊銷列表（ CRL）中，按照證書吊銷列表的發(fā)布周期進行發(fā)布； ? 證書更新 在用戶證書到期前，用戶需要更新證書，用戶訪問 CA 認證系統(tǒng)，查詢用戶的證書狀態(tài)，對即將過期的用戶證書進行更新。 其工作流程如下圖所示： 圖 4 證書發(fā)放 流程圖 (a) 管理員 使 用瀏覽器，訪問 用戶 CA 認證系統(tǒng) ，進入證書申請頁面， 替最終用戶 填寫證書申請信息，向 用戶 CA 認證系統(tǒng) 提交證書申請請求。 郵件系統(tǒng)安全 應用 郵件用戶從管理員處獲得保存有證書的 USB 令牌之后，在所在單位的郵件管理員的指導下，安裝 USB 令牌的驅動，將 USB 令牌插入到計算機，對郵件客戶端進行安全配置，如下圖所示為對 Outlook郵件客戶端進行安全配置的示例： 圖 5 Outlook安全配置示意圖 在完成郵件客戶端的安全配置之后，用戶就可以使用郵件客戶端發(fā)送加密和或簽名的安全電子郵件，可以實現(xiàn) ： ? 對電子郵件的內容和附件進行加密，確保在傳輸?shù)倪^程中不被他人閱讀、截取和篡改。 VPN 證書可識別使用 IPSec（ IP 安全）協(xié)議進行安全通信的設備。除進行網站登錄功外，用戶還可以使用這個證書簽發(fā)安全郵件及進行其他安全應用。其次，服務器會要求用戶出示客端證書CA系統(tǒng)應用安全解決 方案 第 20頁 共 29頁 （即用戶 證書），服務器完成客戶端證書的驗證，來對用戶進行身份認。在進行簽名驗證時，是用數(shù)字書（即公鑰）來進行驗證，用公鑰解密數(shù)據(jù)，得到發(fā)送過來的摘要值，然后用相同算法對被簽名數(shù)據(jù)做摘要運算，得到另一 個摘要值，將兩個摘要值進行比較，如果相等，則數(shù)字簽名驗證通過，否則驗證無效。同時，要求用戶提交用戶證書； ③ 用戶瀏覽器自動驗證服務器證書，驗證登錄的 信息系統(tǒng) 的真實性； ④ 用戶選擇保存在 USB KEY 上的用戶證書，進行提交； ⑤ 信息系統(tǒng) Web 服務器驗證用戶提交的用戶證書，判斷用戶的真實身份； ⑥ 用戶身份驗證通過后， Web 服務器解析用戶證書，獲得用戶信息，根據(jù)用戶信息，查詢 信息系統(tǒng) 的訪問控制列表（ ACL），獲取用戶的訪問授權； ⑦ 獲得用戶的訪問權限后，在 用戶瀏覽器和 信息系統(tǒng) 服務器之間建立 SSL連接，用戶可以訪問到請求的資源，身份認證和訪問控制流程結束，用戶成功登錄 信息系統(tǒng) 。 系統(tǒng)安全架構 根據(jù)上述安全原理，采用證書應用 開發(fā) 接口 （ API） ，對 C/S 架構的 用戶 系統(tǒng) 進行安全集成，系統(tǒng)安全架構如下圖所示： 圖 18 系統(tǒng)安全集成框架圖 證書應用開發(fā)接口（ API） 如上圖所示 ，系統(tǒng)安全集成涉及的證書應用接口包括： （ 1） 證書解析模塊（ CPM） 證書解析模塊是一系列平臺下的動態(tài)鏈接庫，用于解析 DER 或 PEM 編碼的 數(shù)字證書，將證書中的信息，包括用戶名、證書有效期、公鑰等信息分解為字符串。 通過為系統(tǒng)采用數(shù)字證書進行安全身份認證，進一步增強了系統(tǒng)的安全性，同時也可以為提供數(shù)據(jù)加 密 、 簽 名 等 安 全 保 障 。 ? 服務端證書驗證模塊 服務端證書驗證模塊以動態(tài)庫或控件的方式提供，服務器端軟件調用實現(xiàn)的功能是完成對客戶端證書（用戶）證書的驗證。數(shù)據(jù)簽名模塊的功能是使用用戶選擇的客戶端證書的私鑰對客戶端發(fā)送的數(shù)據(jù)進行字簽名，保證據(jù)傳輸?shù)耐暾?，防止客戶端對發(fā)送的數(shù)據(jù)進行抵賴。 ? 證書解析模塊 證書解析模塊以動態(tài)庫的方式提供給各種 Web 服務器，它可以解析證書中包含的信息，用于提取證書中的用戶信息，根據(jù)獲得的用戶信息查詢訪問控 制列CA系統(tǒng)應用安全解決 方案 第 21頁 共 29頁 表（ ACL），獲取用戶的訪問權限，實現(xiàn)系統(tǒng)的訪問控制。缺省情況下用戶可以使用口令或智能卡中的任一種方式登錄到域，管理員可以設置特定的用戶只能使用智能卡登錄到域。 智能 卡及數(shù)字證書 為了提高安全性， Windows 2020 操作系統(tǒng)提供了基于數(shù)字證書的智能卡域登錄方式。為了提高這種方式的安全性，需要管理員不定期的對共享的對稱密鑰進行更換，但是， 由于更換對稱密鑰的操作中的人為因素等原因， 使得這種方式存在巨大的安全隱患。 （ 3） 靈活的認證體系配置 系統(tǒng) 采用“認證體系設計”一節(jié)設計的 CA 認證體系，采用樹狀結構， 支持多級CA，支持交叉認證。 證書應用開發(fā)接口（ API） 為了實現(xiàn)基于數(shù)字證書的安全應用集成，提供了完整的證書應用開發(fā)接口（ API），提供 C、 JAVA 和 COM等多種接口，包括： ? 個人信任代理（ PTA） 個人信任代理（ PTA）是客戶端的軟件包，既括安裝在客戶端的文件加密 /解密程序，也包括用于數(shù)字簽名和簽名驗證的 ActiveX 控件。 USB KEY 可以設置用戶口令保護，增強了證書及私鑰的安全性。一般的，國際上最大型的認證體系層次都不超過 4 層，并且瀏覽器等軟件也不支持超過 4 層的認證體系。 iTrusCA 系統(tǒng)采用模塊化結構設計 ，由最終用戶、 RA 管理員、 CA 管理員、注冊中心（ RA）、認證中心（ CA）等構成，其中注冊中心（ RA）和認證中心（ CA）又包含相應的模塊，系統(tǒng)架構如下圖： CA系統(tǒng)應用安全解決 方案 第 4頁 共 29頁 圖 1 iTrusCA 系統(tǒng)模塊架構圖 iTrusCA 系統(tǒng)能提供完善的功能， 包括：證書簽發(fā)、證書生命周期管理、證書吊銷列表（ CRL） 查詢服務 、目錄查詢服務、 CA 管理、密鑰管理和日志審計等全面的功能。 （ 4）信息抗抵賴 信息抗抵賴是指信息的發(fā)送者不能對自己發(fā)送的信息進行抵賴。 CA 系統(tǒng)應用 安全 解決 方案 (版本： ) CA 系 統(tǒng) 應 用 安 全 解 決 方案 目錄 目 錄 1 前言 ..................................................................................................................................... 1 2 應用安全需求概述 ............................................................................................................. 1 3 方案總體設計思想 ............