【文章內(nèi)容簡(jiǎn)介】 計(jì)功能，可以查看和統(tǒng)計(jì)各種日志，包括： ? 統(tǒng)計(jì)各 CA、 RA 賬號(hào)證書(shū)頒發(fā)情況； ? 記錄所有 RA 與 CA 的操作日志； ? 對(duì)所有操作人員的操作行為進(jìn)行審計(jì)。 （ 7） CA 密鑰管理 系統(tǒng)支持 CA 密鑰管理功能，包括： ? CA 密鑰產(chǎn)生和存儲(chǔ)（軟件與硬件）； ? CA 證書(shū)（包括根 CA 和子 CA）的產(chǎn)生和管理； ? CA 密鑰歸檔與備份。 證書(shū)應(yīng)用開(kāi)發(fā)接口（ API） 為了實(shí)現(xiàn)基于數(shù)字證書(shū)的安全應(yīng)用集成，提供了完整的證書(shū)應(yīng)用開(kāi)發(fā)接口（ API），提供 C、 JAVA 和 COM等多種接口，包括： ? 個(gè)人信任代理（ PTA） 個(gè)人信任代理（ PTA）是客戶端的軟件包，既括安裝在客戶端的文件加密 /解密程序，也包括用于數(shù)字簽名和簽名驗(yàn)證的 ActiveX 控件。文件加 /解密模塊可以產(chǎn)生隨機(jī)數(shù)密鑰對(duì)文件進(jìn)行加密，以及使用輸入的密鑰對(duì)文件進(jìn)行解密；ActiveX 控件由用戶訪問(wèn)相關(guān)網(wǎng)頁(yè)時(shí)下載到客戶端瀏覽器中，實(shí)現(xiàn)使用本地的證書(shū)（私鑰）對(duì)文件進(jìn)行數(shù)字簽名，以及對(duì)簽名進(jìn)行驗(yàn)證。 ? 證書(shū)解析模塊（ CPM） 證書(shū)解析模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù)，用于解析 DER 或 PEM 編碼的 數(shù)字證書(shū) ，將證書(shū)中的信息，包括用戶信息、證書(shū)有效期、證書(shū)公鑰等信息分解為字符串。 ? 數(shù)據(jù)簽名驗(yàn)證模塊（ SVM） CA系統(tǒng)應(yīng)用安全解決 方案 第 10頁(yè) 共 29頁(yè) 數(shù)據(jù)簽名及驗(yàn)證模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù)或插件，可以應(yīng)用于客戶端和服務(wù)器端，實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)的數(shù)字簽名，和對(duì)數(shù)字及其證書(shū)進(jìn)行驗(yàn)。證書(shū)的驗(yàn)證可使用 CRL或 OCSP 來(lái)進(jìn)行有效性驗(yàn)證。 系統(tǒng)工作流程 設(shè)計(jì) （ 1）證書(shū)發(fā)放流程 本方案設(shè)計(jì)的 用戶 CA 認(rèn)證系統(tǒng) 的證書(shū)發(fā)放采用 集中發(fā)證 的方式， 即由管理員集中申請(qǐng)好證書(shū)，保存在 USB KEY 中，發(fā)放給用戶使用。 其工作流程如下圖所示： 圖 4 證書(shū)發(fā)放 流程圖 (a) 管理員 使 用瀏覽器，訪問(wèn) 用戶 CA 認(rèn)證系統(tǒng) ，進(jìn)入證書(shū)申請(qǐng)頁(yè)面， 替最終用戶 填寫(xiě)證書(shū)申請(qǐng)信息，向 用戶 CA 認(rèn)證系統(tǒng) 提交證書(shū)申請(qǐng)請(qǐng)求。在本地（本地的 USB KEY 上）產(chǎn)生證書(shū)的公私鑰對(duì)，并將公鑰和用戶信息一起作為證書(shū)申請(qǐng)請(qǐng)求，提交給 CA 認(rèn)證系統(tǒng)； (b) CA 認(rèn)證系統(tǒng)根據(jù) 管理員提交的證書(shū)申請(qǐng)請(qǐng)求，批準(zhǔn)并 簽發(fā)用戶證書(shū)，將用戶證書(shū)發(fā)布到數(shù)據(jù)庫(kù)中。同時(shí)， 將用戶證書(shū)返回到管理員端，保存到 USB KEY 中 ； (c) 管理員將申請(qǐng)好 證書(shū)的 USB KEY 發(fā)放給最終用戶。 （ 2） 證書(shū)吊銷 流程 在用戶證書(shū)的私鑰受到威脅、或者用戶私鑰丟失時(shí)，需要吊銷用戶的證書(shū)， 根據(jù) 用戶 信息系統(tǒng) 的應(yīng)用情況，本方案設(shè)計(jì)證書(shū)吊銷由管理員進(jìn)行，其工作流程如下： CA系統(tǒng)應(yīng)用安全解決 方案 第 11頁(yè) 共 29頁(yè) (a) 管理員在發(fā)現(xiàn)用戶違反使用規(guī)定，或者用戶自己向管理員發(fā)送郵件，請(qǐng)求吊銷自己的證書(shū)時(shí)，管理員訪問(wèn) CA 認(rèn)證系統(tǒng)管理員模塊，進(jìn)行用戶證書(shū)吊銷用戶； (b) 管理員通過(guò)證書(shū)管理功能頁(yè)面，查詢到需要吊銷的用戶證書(shū)； (c) 管理員選擇吊銷操作，選擇吊銷用戶證書(shū)的原因，向 CA 認(rèn)證系統(tǒng)發(fā)送證書(shū)吊銷請(qǐng)求； (d) CA 認(rèn)證系統(tǒng)根據(jù)管理員的證書(shū)吊銷請(qǐng)求，自動(dòng)的吊銷用戶的證書(shū)，并將吊銷的用戶證書(shū)發(fā)布到證書(shū)吊銷列表中，同時(shí)對(duì)數(shù)據(jù)庫(kù)中保存的用戶證書(shū)的最新?tīng)顟B(tài)進(jìn)行更新； (e) CA 認(rèn)證系 統(tǒng)給管理員返回證書(shū)吊銷成功信息，同時(shí)給用戶發(fā)送電子郵件，告訴用戶證書(shū)已經(jīng)被吊銷，不能再使用自己的證書(shū)。 （ 3） 證書(shū)更新 流程 最終用戶在其證書(shū)即將過(guò)期之前，需要訪問(wèn) CA 認(rèn)證系統(tǒng)，更新自己的證書(shū)，其流程為： (a) 最終用戶 在證書(shū)即將過(guò)期前（一般為一個(gè)月）， 訪問(wèn) 用戶 CA 認(rèn)證系統(tǒng) ，登錄用戶服務(wù)頁(yè)面， 點(diǎn)擊 “ 證書(shū)更新 ”選項(xiàng) ； (b) 系統(tǒng) 自動(dòng)識(shí)別用戶是否具有 用戶 CA 認(rèn)證系統(tǒng) 頒發(fā)的數(shù)字證書(shū)，并且判斷是否過(guò)期，如果即將過(guò)期，便提示進(jìn)行更新； (c) 用戶選擇需要更新的證書(shū)，點(diǎn)擊提交，向 CA 認(rèn)證系統(tǒng)提交證書(shū)更新請(qǐng)求。在提交證書(shū)更新請(qǐng)求時(shí)，在 USB KEY 中，重新產(chǎn)生更新證書(shū)的公私鑰對(duì)，將公鑰和即將過(guò)期的證書(shū)一起，作為證書(shū)更新請(qǐng)求，提交給 CA 認(rèn)證系統(tǒng) ； (d) CA 認(rèn)證系統(tǒng)自動(dòng)批準(zhǔn)證書(shū)更新請(qǐng)求，自動(dòng)更新用戶證書(shū)，將更新的證書(shū)發(fā)布到目錄服務(wù)器，同時(shí)將更新證書(shū)返回到用戶端，自動(dòng)保存到 USB KEY 中。 系統(tǒng)性能和特點(diǎn)分析 采用 iTrusCA 系統(tǒng)建設(shè)的 用戶 CA 認(rèn)證系統(tǒng)擁有下列性能和特點(diǎn)： （ 1） 符合國(guó)際和行業(yè)標(biāo)準(zhǔn) 系統(tǒng)在設(shè)計(jì)中遵循了相應(yīng)的國(guó)際和工業(yè)標(biāo)準(zhǔn)，包括 標(biāo)準(zhǔn)、 PKCS 系列標(biāo)準(zhǔn)、IETF 的 PKIX 工作組制定的 PKI 相關(guān) RFC 標(biāo)準(zhǔn)，以及 HTTP、 SSL、 LDAP 等互聯(lián)網(wǎng)通訊協(xié)議等。嚴(yán)格遵循這些標(biāo)準(zhǔn)，使得系統(tǒng)具有很好的開(kāi)放性，能夠與各種應(yīng)用結(jié)合CA系統(tǒng)應(yīng)用安全解決 方案 第 12頁(yè) 共 29頁(yè) 成為真正的安全基礎(chǔ)設(shè)施。 （ 2） 證書(shū)類型多樣性及靈活配置 系統(tǒng)能夠提供各種證書(shū)的簽發(fā)功能， 本方案設(shè)計(jì)的 CA 認(rèn)證系統(tǒng)能夠簽發(fā)個(gè)人身份證書(shū)。將來(lái) 根據(jù) 用戶 的 需要 ， 可以 進(jìn)行擴(kuò)展，通過(guò) 靈活配置 可以簽發(fā) 企業(yè)證書(shū)、服務(wù)器證書(shū)、代碼簽名證書(shū)和 VPN 證書(shū)等。 （ 3） 靈活的認(rèn)證體系配置 系統(tǒng) 采用“認(rèn)證體系設(shè)計(jì)”一節(jié)設(shè)計(jì)的 CA 認(rèn)證體系，采用樹(shù)狀結(jié)構(gòu)， 支持多級(jí)CA，支持交叉認(rèn)證。 （ 4） 注冊(cè)機(jī)關(guān)（ RA）建設(shè)方式多樣化 本方案設(shè)計(jì)的 CA 認(rèn)證系統(tǒng)采用一個(gè) RA 的配置，根據(jù) 用戶 的要求，將來(lái)可以配置多個(gè) RA 和多級(jí) RA， RA 界面風(fēng)格可定制。 （ 5） 高安全性和可靠性 使用高強(qiáng)度密碼保護(hù)密鑰，支持加密機(jī)、智能卡、 USB KEY 等硬件設(shè)備，用戶關(guān)鍵信息散列保存，以防遺失。 （ 6） 高擴(kuò)展性 根據(jù)客戶需要，對(duì)系統(tǒng)進(jìn)行配置和擴(kuò)展，能夠發(fā)放各種類型的證書(shū)；系統(tǒng)支持多級(jí) CA，支持交叉 CA；系統(tǒng)支持多級(jí) RA。 （ 7） 易于部署與使用 系統(tǒng)所有用戶、管理員界面都是 B/S 模式， CA/RA 策略配置和定制以及用戶證書(shū)管理等都是通過(guò)瀏覽器進(jìn)行，并具有詳細(xì)的操作說(shuō)明。 （ 8） 高兼容性 支持 Windows、 Linux、 Solaris 等多種操作系統(tǒng)； 支持多種加密設(shè)備：軟加密庫(kù)、山大加密機(jī)和天融信加密機(jī)等； 支持多種數(shù)據(jù)庫(kù)： Oracle 和 SQL server 等； 支持多種證書(shū)存儲(chǔ)介質(zhì)：硬盤(pán)、 USB KEY 和智能卡等 5 應(yīng)用 系統(tǒng) 安全集成方案 本方案主要目的是解決 用戶 應(yīng)用 系統(tǒng) 的 安全 問(wèn)題， 采用 iTrusCA 系統(tǒng)利用數(shù)字證書(shū)在不增加用戶 額外負(fù)擔(dān)的情況 下更好的保證了身份認(rèn)證系統(tǒng)的安全性，以下將從安全原理、安全構(gòu)架 和具體 應(yīng)用 流程 等方面入手，針對(duì)用戶中常見(jiàn)的一些應(yīng)用系統(tǒng)， 介CA系統(tǒng)應(yīng)用安全解決 方案 第 13頁(yè) 共 29頁(yè) 紹 我們的 應(yīng)用系統(tǒng)集 成方案 。 郵件系統(tǒng)安全 應(yīng)用 郵件用戶從管理員處獲得保存有證書(shū)的 USB 令牌之后，在所在單位的郵件管理員的指導(dǎo)下，安裝 USB 令牌的驅(qū)動(dòng)，將 USB 令牌插入到計(jì)算機(jī)，對(duì)郵件客戶端進(jìn)行安全配置，如下圖所示為對(duì) Outlook郵件客戶端進(jìn)行安全配置的示例： 圖 5 Outlook安全配置示意圖 在完成郵件客戶端的安全配置之后，用戶就可以使用郵件客戶端發(fā)送加密和或簽名的安全電子郵件，可以實(shí)現(xiàn) ： ? 對(duì)電子郵件的內(nèi)容和附件進(jìn)行加密，確保在傳輸?shù)倪^(guò)程中不被他人閱讀、截取和篡改。 ? 對(duì)電子郵件進(jìn)行簽名，使得接收方可以確認(rèn)該電子郵件 是由發(fā)送方發(fā)送的，并且在傳送過(guò)程中未被篡改。 CA系統(tǒng)應(yīng)用安全解決 方案 第 14頁(yè) 共 29頁(yè) 圖 6 發(fā)送和接收安全電子郵件示意圖 上圖所示是在 Outlook郵件客戶端使用的情況，其它郵件客戶端類似。想對(duì)郵件進(jìn)行簽名和加密，只需要按下“簽名”和“加密”按鈕就可以了，系統(tǒng)后臺(tái)使用您的證書(shū)所對(duì)應(yīng)的私鑰對(duì)郵件進(jìn)行簽名，再使用接收者的證書(shū)的公鑰對(duì)郵件進(jìn)行加密；在收到郵件時(shí)，系統(tǒng)自動(dòng)使用您的證書(shū)所對(duì)應(yīng)的私鑰對(duì)郵件進(jìn)行解密和并自動(dòng)使用發(fā)送者的公鑰驗(yàn)證發(fā)送者的簽名，并提示接收者郵件的安全情況，沒(méi)出現(xiàn)安全問(wèn)題，直接打開(kāi)郵件，當(dāng)出現(xiàn)安全問(wèn)題時(shí)，則提示郵件接收者，郵件什 么地方存在安全隱患，如上圖所示。 VPN 安全應(yīng)用 對(duì)于采用標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)的 VPN 設(shè)備 ，由于 VPN 設(shè)備對(duì)數(shù)字證書(shū)的支持，我們可以通過(guò) CA 認(rèn)證系統(tǒng)為 VPN 設(shè)備頒發(fā)數(shù)字證書(shū)，為客戶端頒發(fā)個(gè)人證書(shū)，利用 CA 系統(tǒng)進(jìn)行相應(yīng)的數(shù)字證書(shū)發(fā)放和管理。證書(shū)的加密和驗(yàn)證數(shù)據(jù)在這些設(shè)備之間進(jìn)行傳送，產(chǎn)生了一個(gè)安全的虛擬專用網(wǎng)絡(luò)。以下將進(jìn)行詳細(xì)闡述： VPN 安全登錄 實(shí)現(xiàn)原理 目前，使用 VPN 可以采用兩種方式，即使用證書(shū)的方式和不使用證書(shū)的方式。對(duì)于不使用證書(shū)的方式建立的 VPN 存在下列風(fēng)險(xiǎn)： CA系統(tǒng)應(yīng)用安全解決 方案 第 15頁(yè) 共 29頁(yè) （ 1） 不使用證書(shū)的方式建立 VPN 時(shí)，是基于“用戶名 和口令”的認(rèn)證，我們知道“用戶名和口令”的認(rèn)證強(qiáng)度低，存在很多安全弱點(diǎn)，無(wú)法滿足 較高的 安全需求； （ 2） 其次，不使用證書(shū)的方式存在 VPN 密鑰分發(fā)的困難， VPN 密鑰是一個(gè)對(duì)稱密鑰，用來(lái)對(duì) VPN 鏈路層數(shù)據(jù)的加密。而目前比較通常的做法是在配置 VPN時(shí)，就在 VPN 客戶端和 VPN 服務(wù)端（ VPN 網(wǎng)關(guān)）之間配置一個(gè)共享的對(duì)稱密鑰。但是這種方式的對(duì)稱密鑰的安全性不高，很容易被泄漏。為了提高這種方式的安全性，需要管理員不定期的對(duì)共享的對(duì)稱密鑰進(jìn)行更換，但是， 由于更換對(duì)稱密鑰的操作中的人為因素等原因， 使得這種方式存在巨大的安全隱患。 為此， VPN 應(yīng)用引入了證書(shū)，來(lái)解決不使用證書(shū)方式存在的安全隱患： （ 1） VPN 證書(shū)（包括 VPN 設(shè)備證書(shū)和 VPN 用戶證書(shū)）是 VPN 設(shè)備和用戶的護(hù)照，表明設(shè)備和用戶的身份，基于數(shù)字證書(shū)的身份認(rèn)證是一種強(qiáng)身份認(rèn)證，完全可以滿足應(yīng)用的身份認(rèn)證需求； （ 2） 使用 VPN 證書(shū)（包括 VPN 設(shè)備證書(shū)和 VPN 用戶證書(shū)）可以實(shí)現(xiàn)協(xié)商會(huì)話密鑰，在進(jìn)行數(shù)據(jù)通信時(shí)，發(fā)送方產(chǎn)生會(huì)話密鑰，對(duì)發(fā)送數(shù)據(jù)進(jìn)行加密，然后使用接收者的證書(shū)（公鑰）加密會(huì)話密鑰。接收者使用自己的證書(shū)私鑰解密會(huì)話密鑰，再用會(huì)話密鑰解密被加密的數(shù)據(jù)； VPN 證書(shū)介紹 VPN 證書(shū)也是 人們常說(shuō)的 IPSec 證書(shū)，包括兩種證書(shū)： ? 一是 VPN 客戶端證書(shū)，就是通常的用戶證書(shū)，可以存放在 IPSec 客戶端軟件中管理，也可以存放在 IE 瀏覽器或者 USB KEY 等其他存儲(chǔ)介質(zhì)內(nèi)。 ? 二是 VPN 設(shè)備證書(shū)，是標(biāo)準(zhǔn)的 證書(shū)，存放在 IPSec 設(shè)備中，如帶有 VPN功能的路由器、防火墻內(nèi)，由設(shè)備的 VPN 功能模塊來(lái)配置、管理。 VPN 證書(shū)用于 VPN 設(shè)備的身份鑒別、建立安全通道。有了 VPN 證書(shū)，客戶可在開(kāi)放的、不安全的 Inter 上構(gòu)建安全虛擬專用網(wǎng)，實(shí)現(xiàn)各分支機(jī)構(gòu)、合作伙伴和遠(yuǎn)端用戶之間的安全數(shù)據(jù)通訊。 VPN 證書(shū)可識(shí)別使用 IPSec（ IP 安全）協(xié)議進(jìn)行安全通信的設(shè)備。 IPSec 是一套支持 IP 包安全交換的協(xié)議，不像 SSL 那樣在應(yīng)用層運(yùn)行， IPSec 在IP 網(wǎng)絡(luò)層中運(yùn)行，對(duì) IP 包進(jìn)行加密。 IPSec 能夠利用驗(yàn)證及加密用的 VPN 證書(shū)，將兩個(gè)網(wǎng)絡(luò)層對(duì)等起來(lái)，如兩個(gè)路由CA系統(tǒng)應(yīng)用安全解決 方案