【文章內(nèi)容簡(jiǎn)介】 人假冒，因?yàn)槿绻?A 是假的，那么其傳遞的信息的可靠性就無(wú)法保證。 其次，要保證 數(shù)據(jù)秘密性和完整性。以上面的例子為例，如果 A 把信息傳遞給 B 的時(shí)候，如果有第三者 C 有可能通過(guò)竊聽等手段獲得該信息，那么，即使 A 可以信任 B，認(rèn)為 B 的行為會(huì)是 A 所期望的，但是 A 并不能保證 C 的行為同樣會(huì)是 A 所期望的，在此情況下，信息傳遞的風(fēng)險(xiǎn)將非常大。因此，可以想像的結(jié)果是，由于擔(dān)心 C 的竊聽， A 不敢或者無(wú)法把信息傳遞給 B。所謂的 “ 信任 ” 也失去了意義。 最后， “ 信任 ” 的一個(gè)關(guān)鍵因素：不可抵賴性。在現(xiàn)實(shí)生活中，如果某人總是說(shuō)話不算，事后賴帳，相信誰(shuí)都不會(huì) “ 信任 ” 他。在信息系統(tǒng)中，也是如此，但是與現(xiàn)實(shí)生活中不同的是，信息系統(tǒng)中對(duì)不可抵賴性的要求更高，由于自建 CA解決方案 13 參與信息交換的各方的不確定性，所造成的損失難以估量，因此，對(duì)不可抵賴性要求從 “ 事后 ” 提前到了 “ 事先 ” ，也就是說(shuō)，在行為發(fā)生前，就必需對(duì)該行為的不可抵賴性作出約束。 對(duì)信息系統(tǒng)中所采用的相關(guān)技術(shù)，可以由下表來(lái)作個(gè)比較： 身份認(rèn)證可靠性 秘密性和完整性 不 可抵賴性 用戶名 /口令 低 無(wú) 低 生物特征識(shí)別（如指紋，虹膜等） 中～高（取決于現(xiàn)有技術(shù)水平） 無(wú) 中～高（取決于現(xiàn)有技術(shù)水平） 動(dòng)態(tài)口令 高 無(wú) 中 PKI 高 高 高 圖表 31相關(guān)技術(shù)比較表 從上面的對(duì)比可以看出， PKI 技術(shù)在解決信息系統(tǒng)安全中有不可替代的優(yōu)勢(shì)。它不僅僅是一個(gè)簡(jiǎn)單的身份認(rèn)證系統(tǒng)，事實(shí)上，它可以作為提供統(tǒng)一信任管理服務(wù)的有效平臺(tái)，在系統(tǒng)與系統(tǒng)、用戶與系統(tǒng)、用戶與用戶之間建立起一種信任關(guān)系 ，從而保證了系統(tǒng)的安全性，這種信任關(guān)系不是只通過(guò)身份認(rèn)證就能夠?qū)崿F(xiàn)的，它包含了更加豐富的內(nèi)容，如數(shù)字簽名、信息加解密等。 PKI 體系不僅僅為建立這種信任關(guān)系提供了一個(gè)基礎(chǔ)設(shè)施，其建立信任關(guān)系的最終目的就是為了通過(guò)這種信任關(guān)系保證應(yīng)用系統(tǒng)安全。在本方案設(shè)計(jì)的建行認(rèn)證中心（ CA）系統(tǒng)將基于 PKI 技術(shù)進(jìn)行合理的定制優(yōu)化與拓展，使其最大限度的符合建設(shè)銀行信息系統(tǒng)中對(duì)安全應(yīng)用的需求。 PKI 系統(tǒng)基本組成 根據(jù) PKI 體系架構(gòu)設(shè)計(jì)，在通常情況下的 PKI 數(shù)字認(rèn)證系統(tǒng)建設(shè)由密鑰管理中心 KMC、證書認(rèn)證中心（ CA）、證書注冊(cè) 審核中心（ RA）、證書 /CRL自建 CA解決方案 14 發(fā)布及查詢系統(tǒng)以及和應(yīng)用系統(tǒng)間的接口五部分組成，其功能結(jié)構(gòu)如下圖所示： 認(rèn)證機(jī)構(gòu)CA密鑰管理中心 KMC應(yīng)用接口注冊(cè)機(jī)構(gòu)RA發(fā)布系統(tǒng)證書發(fā)布密鑰運(yùn)算 證 書操作獲取證書 圖表 32 格爾數(shù)字認(rèn)證中心功能結(jié)構(gòu) 1． 密鑰管理中心（ KMC）：是公鑰基礎(chǔ)設(shè)施中的一個(gè)重要組成部分，負(fù)責(zé)為 CA 系統(tǒng)提供密鑰的生成、保存、備份、更新、恢復(fù)、查詢等密鑰服務(wù)，以解決分布式企業(yè)應(yīng)用環(huán)境中大規(guī)模密碼技術(shù)應(yīng)用所帶來(lái)的密鑰管理問題。 2． 認(rèn)證中心（ CA）系統(tǒng)： CA 認(rèn)證中心是 PKI 公鑰基礎(chǔ)設(shè)施的核心，它主要完成生成 /簽 發(fā)證書、生成 /簽發(fā)證書撤消列表（ CRL）、發(fā)布證書和 CRL 到目錄服務(wù)器、維護(hù)證書數(shù)據(jù)庫(kù)和審計(jì)日志庫(kù)等功能。 3． 注冊(cè)中心（ RA）系統(tǒng)： RA 注冊(cè)中心是數(shù)字證書的申請(qǐng)、審核和注冊(cè)的機(jī)構(gòu)。它是 CA 認(rèn)證中心的延伸，在邏輯上 RA 和 CA 是一個(gè)整體，主要 負(fù)責(zé)提供證書注冊(cè)、審核以及發(fā)證功能。 4． 證書發(fā)布與查詢服務(wù)系統(tǒng)：證書發(fā)布與查詢系統(tǒng)主要提供 LDAP服務(wù)、OCSP 服務(wù)和注冊(cè)服務(wù)。 LDAP 提供證書和 CRL 的目錄瀏覽服務(wù)；自建 CA解決方案 15 OCSP 提供證書狀態(tài)在線查詢服務(wù)；注冊(cè)服務(wù)為用戶提供在線注冊(cè)的功能。 5． 系統(tǒng)應(yīng)用接口：系統(tǒng)應(yīng)用接口為外界提供使用 PKI 安全服務(wù)的入口。系統(tǒng)應(yīng)用接口一般采用 API、 JavaBean、 COM 等多種形式。 以上五部分之間的配合協(xié)作，對(duì)外提供 PKI 信任基礎(chǔ)設(shè)施的安全服務(wù)。 PKI 信任體系的建立 PKI 體系的建設(shè)是一個(gè)大型系統(tǒng)工程，可根據(jù)實(shí)際的建設(shè)模式定位為多級(jí)的信任模式，并根據(jù) PKI 體系的基本組成部分進(jìn)行具體的設(shè)計(jì)實(shí)現(xiàn)，下圖的CA 信任體系描述了 PKI 安全體系的分布式結(jié)構(gòu)，具體結(jié)構(gòu)形式如圖所示。 二級(jí) CA三級(jí) CA 三級(jí) CA局域網(wǎng)/專網(wǎng)/I nt er?受理點(diǎn)LRA ?RA 中心局域網(wǎng)/專網(wǎng)/I nt er受理點(diǎn)LRA離線根 CA 圖表 33 CA 信任體系結(jié)構(gòu) 根據(jù)上 圖中描述的信任體系結(jié)構(gòu)， PKI 系統(tǒng)建設(shè)可分為如下幾個(gè)部分來(lái)進(jìn)行： CA 證書簽發(fā)管理機(jī)構(gòu)設(shè)置 CA 認(rèn)證機(jī)構(gòu)是數(shù)字認(rèn)證中心安全體系的核心，對(duì)于一個(gè)大型的分布式企自建 CA解決方案 16 業(yè)應(yīng)用系統(tǒng)，需要根據(jù)應(yīng)用系統(tǒng)的分布情況和組織結(jié)構(gòu)設(shè)立多級(jí) CA 機(jī)構(gòu)，包括根 CA 和各下級(jí) CA。根 CA 是整個(gè) CA 體系的信任源，負(fù)責(zé)整個(gè) CA 體系的管理，簽發(fā)并管理下級(jí) CA 證書。從安全角度出發(fā)，根 CA 一般采用離線工作方式。 根以下的其它各級(jí) CA 負(fù)責(zé)本轄區(qū)的安全，為本轄區(qū)用戶和下級(jí) CA 簽發(fā)證書，并管理所發(fā)證書。 理論上 CA 體系的層數(shù)可以沒有限制的，考慮到整個(gè)體系的信 任強(qiáng)度，在實(shí)際建設(shè)中，一般都采用兩級(jí) CA 結(jié)構(gòu)。 RA 注冊(cè)審核機(jī)構(gòu)設(shè)置 從廣義上講， RA 是 CA 的一個(gè)組成部分，主要負(fù)責(zé)數(shù)字證書的申請(qǐng)、審核和注冊(cè)。除了根 CA 以外，每一個(gè) CA 機(jī)構(gòu)都包括一個(gè) RA 機(jī)構(gòu)，負(fù)責(zé)本級(jí)CA 的證書申請(qǐng)、審核工作。 RA 機(jī)構(gòu)的設(shè)置也可根據(jù)企業(yè)行政管理機(jī)構(gòu)的設(shè)立 /劃分來(lái)進(jìn)行，一個(gè) RA中心系統(tǒng)下可設(shè)立多級(jí)下屬 RA 中心或業(yè)務(wù)受理點(diǎn) LRA。 受理點(diǎn) LRA 是指本地的證書注冊(cè)審核機(jī)構(gòu)，它與上級(jí) RA 中心共同組成證書申請(qǐng)、審核、注冊(cè)系統(tǒng)的整體。 LRA 面向最終用戶，負(fù)責(zé)對(duì)用戶提交的申請(qǐng)資料進(jìn)行錄入、審核和證書制 作。 KMC 密鑰管理中心的建設(shè) 密鑰管理中心（ KMC）：密鑰管理中心向 CA 服務(wù)提供相關(guān)密鑰服務(wù)，如密鑰生成、密鑰存儲(chǔ)、密鑰備份、密鑰恢復(fù)、密鑰托管和密鑰運(yùn)算等。 一般來(lái)說(shuō)，每一個(gè) CA 中心都需要有一個(gè) KMC 負(fù)責(zé)該 CA 區(qū)域內(nèi)的密鑰自建 CA解決方案 17 管理任務(wù)。 KMC 可以根據(jù)應(yīng)用所需 PKI 規(guī)模的大小靈活設(shè)置，既可以建立單獨(dú)的 KMC，也可以采用鑲嵌式 KMC，讓 KMC 模塊直接運(yùn)行在 CA 服務(wù)器上。 證書發(fā)布與查詢系統(tǒng)的建設(shè) 發(fā)布與查詢系統(tǒng)是數(shù)字認(rèn)證中心安全體系中的一個(gè)重要組成部分。它由用于發(fā)布數(shù)字證書和 CRL 的證書發(fā)布系統(tǒng)、在線證書狀態(tài)查 詢系統(tǒng)（ OCSP）。證書和 CRL 采用標(biāo)準(zhǔn)的 LDAP 協(xié)議發(fā)布到 LDAP 服務(wù)器上，應(yīng)用程序可以通過(guò)發(fā)布系統(tǒng)發(fā)布的信息驗(yàn)證用戶證書的合法性； OCSP 提供證書狀態(tài)的實(shí)時(shí)在線查詢功能。 發(fā)布系統(tǒng)一般要支持層次化分布式結(jié)構(gòu)，使其具有很好的擴(kuò)展性、靈活性和高性能，可以為企業(yè)大型應(yīng)用系統(tǒng)提供方便的證書服務(wù)，能夠滿足大型應(yīng)用系統(tǒng)的安全需求。 系統(tǒng)安全管理建設(shè) PKI 安全體系建設(shè)的目的是為應(yīng)用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運(yùn)行的保障。因此，必須建立完善的管理制度，以保證整個(gè) PKI 體系在運(yùn)營(yíng)過(guò)程中正常運(yùn)行。 PKI 運(yùn)營(yíng) 管理建設(shè)的主要內(nèi)容包括： ? 人員管理規(guī)范：根據(jù)系統(tǒng)的需要，劃分角色，配置人員，設(shè)置權(quán)限，制定相應(yīng)的人員管理制度和管理策略，保證人員管理的安全性。 ? CA 運(yùn)營(yíng)管理規(guī)范：主要包括系統(tǒng)操作、安全策略、授權(quán)管理、證書管理、用戶管理等各個(gè)方面的規(guī)范化、制度化。 ? 應(yīng)急管理規(guī)范：解決 PKI安全體系在正常工作中發(fā)生的各類異常情況、安全事件、安全事故。主要包括信息系統(tǒng)應(yīng)急方案、電力系統(tǒng)故障、消防系統(tǒng)應(yīng)急方案、病毒應(yīng)急方案、系統(tǒng)備份應(yīng)急方案、人員異動(dòng)情況應(yīng)急方案、安全事故處理方法、安全應(yīng)急事件及事故處理的程序等自建 CA解決方案 18 等。 ? 機(jī)房的安全建設(shè) ：全面規(guī)劃?rùn)C(jī)房，針對(duì)不同安全級(jí)別劃分安全區(qū)域，建立完善的機(jī)房管理制度。 ? 標(biāo)準(zhǔn)化建設(shè)：包括系統(tǒng)建設(shè)標(biāo)準(zhǔn)化、系統(tǒng)管理標(biāo)準(zhǔn)化、運(yùn)營(yíng)管理標(biāo)準(zhǔn)化等等。 通過(guò)建立完善的管理制度和標(biāo)準(zhǔn)化建設(shè)，為 PKI 安全體系創(chuàng)造一個(gè)安全可靠的運(yùn)行環(huán)境，從管理上和技術(shù)上全面地保證系統(tǒng)的正常運(yùn)營(yíng)。 4 PKI CA 系統(tǒng)設(shè)計(jì) 總體 建設(shè) 目標(biāo) 本次 自建 CA 建設(shè)的總體目標(biāo)是： 采用符合國(guó)際標(biāo)準(zhǔn)的公鑰基礎(chǔ)設(shè)施 PKI技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)上的身份認(rèn)證，確保通信的保密性和交易數(shù)據(jù)的完整性及交易的不可否認(rèn)性，以數(shù)字證書為媒介，通過(guò)使用先進(jìn)的數(shù)字簽名、 SSL 安全傳輸協(xié)議等 安全技術(shù)為 業(yè)務(wù) 平臺(tái) 提供一套功能完善、安全、可靠的應(yīng)用安全保障體系，保證網(wǎng)上業(yè)務(wù)的正常交易。 本次項(xiàng)目中應(yīng)本著滿足現(xiàn)有 用戶規(guī)模 ，但同時(shí)應(yīng)在產(chǎn)品選擇中充分考慮業(yè)務(wù)需求和安全需求的不斷增長(zhǎng)，提出 CA 產(chǎn)品的擴(kuò)容和性能擴(kuò)展的解決方案。 根據(jù)現(xiàn)有物理安全設(shè)備如 防火墻、入侵檢測(cè)等產(chǎn)品為基礎(chǔ)構(gòu)架完整的網(wǎng)絡(luò)層安全防御體系，保 障 設(shè)備和操作系統(tǒng)的整體安全。 采用安全管理與審計(jì)系統(tǒng)來(lái)實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的日常運(yùn)行監(jiān)控、管理與審計(jì)，提高事故處理響應(yīng)速度，提高業(yè)務(wù)服務(wù)水平，提升客戶滿意度。 自建 CA解決方案 19 設(shè)計(jì)原則 本項(xiàng)目的規(guī)模和復(fù)雜程度對(duì)項(xiàng)目建設(shè)提出了很 高的要求，系統(tǒng)建設(shè)應(yīng)遵循以下原則和建設(shè)要求： 1）政策性原則。在系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)中要充分體現(xiàn)我國(guó)現(xiàn)行的密碼管理政策，確保相關(guān)密碼設(shè)備和密鑰可管可控。 2）安全性原則。配制完善的安全技術(shù)和管理系統(tǒng)，采用自主研發(fā)的密碼產(chǎn)品，設(shè)置可靠的網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，建造安全的運(yùn)行環(huán)境。系統(tǒng)自身要有充分的安全性和穩(wěn)定可靠性。設(shè)計(jì)的密碼產(chǎn)品選用通過(guò)國(guó)密局技術(shù)鑒定的產(chǎn)品。 3）先進(jìn)性原則。采用先進(jìn)技術(shù)，緊跟國(guó)際前沿技術(shù)，可以同時(shí)支持 RSA、EC 兩種密鑰格式。數(shù)據(jù)管理系統(tǒng)能滿足高速度、大容量的要求。 4）繼承與發(fā)展原則。利用原有系統(tǒng)形成 的數(shù)據(jù)，通過(guò)數(shù)據(jù)格式轉(zhuǎn)換實(shí)現(xiàn)原有成果的利用，減少重復(fù)勞動(dòng)，實(shí)現(xiàn)與現(xiàn)有系統(tǒng)的平滑過(guò)渡。 5）標(biāo)準(zhǔn)化原則。安全保密系統(tǒng)的設(shè)計(jì)符合國(guó)家有關(guān)政策和安全保密標(biāo)準(zhǔn)。 6）可擴(kuò)展性原則。系統(tǒng)設(shè)計(jì)具有很好的擴(kuò)展性，在考慮到業(yè)務(wù)量的大小、能滿足用戶的并發(fā)需求下，系統(tǒng)規(guī)模應(yīng)具有易擴(kuò)展性。系統(tǒng)應(yīng)能夠在不影響現(xiàn)有業(yè)務(wù)的情況下，一旦需要時(shí)可以平滑地升級(jí)過(guò)渡到新（版本）系統(tǒng)。 7）實(shí)用性原則。充分考慮系統(tǒng)復(fù)雜的特點(diǎn)，保證系統(tǒng)安全有效的運(yùn)行、數(shù)據(jù)有效的保護(hù)、設(shè)計(jì)功能可以充分的實(shí)現(xiàn)、操作方便等。 8）可靠性原則。在硬件和系統(tǒng)軟件選型配制上 充分考慮到系統(tǒng)可靠性的需求，在關(guān)鍵部分采用“雙機(jī)熱備”系統(tǒng)和磁盤鏡像技術(shù)，保證系統(tǒng)得不間斷運(yùn)行和在線故障修復(fù)，在線系統(tǒng)升級(jí)。 總體安全框架設(shè)計(jì) 按照需求分析的要求，我們可以按照層次對(duì)安全體系建設(shè)做如下劃分： 1. 業(yè)務(wù)層安全 自建 CA解決方案 20 通過(guò)安全接入通道提供的用戶身份信息，結(jié)合客戶管理系統(tǒng)，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的訪問控制，實(shí)現(xiàn)業(yè)務(wù)層的安全。 2. 應(yīng)用層安全 ? 證書認(rèn)證系統(tǒng) CA 提供核心的身份認(rèn)證系統(tǒng)部分，通過(guò)數(shù)字證書實(shí)現(xiàn)用戶物理身份與數(shù)字身份的綁定 ? 證書注冊(cè)系統(tǒng) RA 提供客戶身份信息的管理，提供靈活的、完善的、可定制的證書管理功能 ? SSL 安全通道接入 (SSL 安全網(wǎng)關(guān) ) 保護(hù)用戶數(shù)據(jù)能夠通過(guò)互聯(lián)網(wǎng)安全的傳輸，并實(shí)現(xiàn)用戶身份的確認(rèn)及SSL 安全接入的訪問控制 ? 數(shù)字簽名及驗(yàn)證系統(tǒng) 業(yè)務(wù)系統(tǒng)通過(guò)調(diào)用數(shù)字簽名驗(yàn)證接口，實(shí)現(xiàn)用戶身份確認(rèn)、保護(hù)數(shù)據(jù)完整性、保存交易憑據(jù)以實(shí)現(xiàn)事后審計(jì)及責(zé)任認(rèn)定 3. 網(wǎng)絡(luò)層安全 ? 通過(guò)防火墻、入侵檢測(cè)系統(tǒng)等實(shí)現(xiàn)網(wǎng)絡(luò)層的訪問控制 ? 通過(guò)主機(jī)系統(tǒng)加固實(shí)現(xiàn)主機(jī)系統(tǒng)的安全 ? 通過(guò)采用負(fù)載均衡設(shè)備實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)和安全接入系統(tǒng)的高可用性和較高的性能 4. 物理層安全 ? 通過(guò)門禁系統(tǒng)、監(jiān)控系統(tǒng)等防止未授權(quán)人員對(duì)物理設(shè)備、機(jī)房的訪問 5. 系統(tǒng)安全管理建設(shè) PKI 安全 體系建設(shè)的目的是為應(yīng)用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運(yùn)行的保障。因此，必須建立完善的管理制度，以保證整個(gè) PKI 體系自建 CA解決方案 21 在運(yùn)營(yíng)過(guò)程中正常運(yùn)行。 綜上，整體 CA 系統(tǒng) 的分層邏輯框架圖如下： 圖表 1 CA 系統(tǒng) 建設(shè)分層邏輯 結(jié)構(gòu) 根據(jù)上面的證書安全應(yīng)用平臺(tái)建設(shè)分層邏輯結(jié)構(gòu)及 PKI