【導讀】應(yīng)用系統(tǒng)身份認證流程.........

　　

【正文】 （ 3） 信息系統(tǒng) 服務(wù)器上配置服務(wù)端功能模塊 —— CPM（證書解析模塊），作為服務(wù)器的功能插件安裝在 信息系統(tǒng) 服務(wù)器上，解析用戶證書，獲用戶信息，根據(jù)用戶信息查詢 信息系統(tǒng) 配置的訪問控制列表（ ACL），獲取用戶的訪問權(quán)限，實現(xiàn)系統(tǒng)的訪問控制； （ 4） 客戶端配置功能模塊 —— PTA（個人信任代理），以 COM 控 件的方式提供，配置在需要保證數(shù)據(jù)安全的 Web 頁面上，隨 Web 頁面下載并注冊，它使用用戶證書的私鑰對提交的表單數(shù)據(jù)進行數(shù)字簽名； （ 5） 信息系統(tǒng) 服務(wù)器上配置服務(wù)端功能模塊 —— SVM（簽名驗證模塊），以插件的方式提供給 信息系統(tǒng) 服務(wù)器，實現(xiàn)對用戶提交的數(shù)字簽名的驗證； （ 6） 客戶端和 信息系統(tǒng) 服務(wù)器之間的所有數(shù)據(jù)通信都是通過 SSL 安全通道進行加密傳輸。 應(yīng)用 系統(tǒng)身份認證流程 B/S 架構(gòu)系統(tǒng) 集成安全功能之后，用戶登錄 信息系統(tǒng) 的流程如下圖所示： 圖 15 身份認證和訪問控制流程圖 CA系統(tǒng)應(yīng)用安全解決 方案 第 24頁 共 29頁 ① 用戶在計算機中插入保存有用戶證書的 USB KEY，采用安全連接方式（ HTTPs 方式）訪問 信息系統(tǒng) ，進行系統(tǒng)登錄； ② 信息系統(tǒng) Web 服務(wù)器發(fā)出回應(yīng)，并出示服務(wù)器證書，顯示 Web 服務(wù)器的真實身份。同時，要求用戶提交用戶證書； ③ 用戶瀏覽器自動驗證服務(wù)器證書，驗證登錄的 信息系統(tǒng) 的真實性； ④ 用戶選擇保存在 USB KEY 上的用戶證書，進行提交； ⑤ 信息系統(tǒng) Web 服務(wù)器驗證用戶提交的用戶證書，判斷用戶的真實身份； ⑥ 用戶身份驗證通過后， Web 服務(wù)器解析用戶證書，獲得用戶信息，根據(jù)用戶信息，查詢 信息系統(tǒng) 的訪問控制列表（ ACL），獲取用戶的訪問授權(quán)； ⑦ 獲得用戶的訪問權(quán)限后，在 用戶瀏覽器和 信息系統(tǒng) 服務(wù)器之間建立 SSL連接，用戶可以訪問到請求的資源，身份認證和訪問控制流程結(jié)束，用戶成功登錄 信息系統(tǒng) 。 應(yīng)用系統(tǒng)簽名流程 B/S 結(jié)構(gòu)的系統(tǒng)集成安全功能后，用戶通過簽名功能，對系統(tǒng)中上傳和下放的文件進行簽名，進一步的提高系統(tǒng)的安全性，其流程如下圖所示： ① 用戶在計算機中插入保存有用戶證書的 USB KEY， 使用瀏覽器，訪問系統(tǒng)，進行系統(tǒng)登錄； ② 系統(tǒng)對用戶完成身份認證和訪問控制流程，在用戶瀏覽器系統(tǒng)服務(wù)之間建CA系統(tǒng)應(yīng)用安全解決 方案 第 25頁 共 29頁 立 SSL 安全通道； ③ 用戶訪問請求的資源，進入到信息發(fā)布、公文流轉(zhuǎn) 網(wǎng)上申報和財務(wù) 數(shù)據(jù)上傳等操作的 網(wǎng)頁，和網(wǎng)頁一起將 PTA（個人信任代理）下載并注冊到瀏覽器中。用戶填寫辦公數(shù)據(jù)（表單或文件），向系統(tǒng)服務(wù)器提交； ④ 此時，瀏覽器調(diào)用 PTA，對提交辦公數(shù)據(jù)進行數(shù)字簽名。瀏覽器會彈出提示，提示用戶是否對提交的數(shù)據(jù)進行數(shù)字簽名，并顯示瀏覽器中的證書，供用戶選擇； ⑤ 用戶選擇自己的證書，點擊“簽名” PTA 利用用戶選擇證書的私鑰對提交的信息進行數(shù)字簽名操作，并將提交的信息及其簽名一起發(fā)送給系統(tǒng)服務(wù)器； ⑥ 系統(tǒng)服務(wù)器接收到用戶提交的信息后，服務(wù)器調(diào) SVM（簽名驗證模塊）來驗證用戶提交數(shù)據(jù)的數(shù)字簽名； ⑦ 驗 證通過，將用戶提交的辦公數(shù)據(jù)及其簽名一起保存到數(shù)據(jù)庫中，并進行后續(xù)的業(yè)務(wù)操作。 整個身份認證 和簽名過程簡單明了， 對于使用 者 來說，在使用數(shù)字證書完成身份認證 和數(shù)字簽名 時只需將保存有個人證書（私鑰）的 USB KEY 插入本地計算機，其它的提交、認證、解析等過程完全由應(yīng)用程序在后臺完成，最終用戶根本感覺不到大的程度上方便了用戶的使用，在不增加最終用戶額外負擔的情況下更好保證了信息系統(tǒng)的安全性。 C/S 架構(gòu) 系統(tǒng) 安全 應(yīng)用 C/S 的架構(gòu) 系統(tǒng) 不能直接集成證書應(yīng)用。為此，提供 證書應(yīng)用開發(fā)接口（ API） 幫助用戶進行證書功 能的集成 ，以下將從安全原理、安全構(gòu)架、證書應(yīng)用開發(fā)接口（ API）和具體流程分別介紹應(yīng)用系統(tǒng)集成方案。 系統(tǒng)集成原理 （ 1）雙向身份認證實現(xiàn)原理 針對 C/S 結(jié)構(gòu)的 用戶 系統(tǒng)，實現(xiàn)雙向身份認證的原理是通過雙向認證的加密通道來實現(xiàn)。在實現(xiàn)雙向身份認證時，專用客戶端需要對證書進行處理，包括完成服務(wù)器證書的驗證，讓用戶選擇證書進行提交等。 C/S 架構(gòu)系統(tǒng)實現(xiàn)雙向身份認證的原理如下圖所示，需要增加下列模塊： CA系統(tǒng)應(yīng)用安全解決 方案 第 26頁 共 29頁 圖 16 雙向 身份認證原理圖 ? 證書處理模塊 證書處理模塊以動態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)實現(xiàn)的功 能包括對證書的驗證，對本地證書的檢索，顯示成列表，供用戶選擇提交。 ? 服務(wù)端證書驗證模塊 服務(wù)端證書驗證模塊以動態(tài)庫或控件的方式提供，服務(wù)器端軟件調(diào)用實現(xiàn)的功能是完成對客戶端證書（用戶）證書的驗證。 （ 2）信息機密性實現(xiàn)原理 信息機密性實現(xiàn)原理是通過加密通道進行數(shù)據(jù)加密傳輸，保證系統(tǒng)的機密性。 （ 3）信息抗抵賴性實現(xiàn)原理 對于 C/S 架構(gòu)的系統(tǒng)，數(shù)據(jù)傳輸?shù)目沟仲囆砸彩峭ㄟ^數(shù)字簽名技術(shù)來實現(xiàn)的，實現(xiàn) C/S 架構(gòu)系統(tǒng)的信息抗抵賴需要增加下列模塊： 圖 17 系統(tǒng)抗抵賴實現(xiàn)原理圖 ? 客戶端數(shù)據(jù)簽名模塊 客 戶端數(shù)據(jù)簽名模塊以動態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)。數(shù)據(jù)簽名模塊的功能是使用用戶選擇的用戶證書的私鑰對客端發(fā)送數(shù)據(jù)進行數(shù)字簽。數(shù)據(jù)簽名模塊還提供隨機數(shù)產(chǎn)生的接口。 ? 服務(wù)端簽名驗證模塊 服務(wù)端簽名驗證模塊以插件或動態(tài)庫方式提供，服務(wù)器端軟件調(diào)用實現(xiàn)CA系統(tǒng)應(yīng)用安全解決 方案 第 27頁 共 29頁 對客戶端數(shù)據(jù)簽名的驗證和簽名證書的有效性驗證。 系統(tǒng)安全架構(gòu) 根據(jù)上述安全原理，采用證書應(yīng)用 開發(fā) 接口 （ API） ，對 C/S 架構(gòu)的 用戶 系統(tǒng) 進行安全集成，系統(tǒng)安全架構(gòu)如下圖所示： 圖 18 系統(tǒng)安全集成框架圖 證書應(yīng)用開發(fā)接口（ API） 如上圖所示 ，系統(tǒng)安全集成涉及的證書應(yīng)用接口包括： （ 1） 證書解析模塊（ CPM） 證書解析模塊是一系列平臺下的動態(tài)鏈接庫，用于解析 DER 或 PEM 編碼的 數(shù)字證書，將證書中的信息，包括用戶名、證書有效期、公鑰等信息分解為字符串。 （ 2） 證書驗證模塊（ CVM） 證書驗證模塊以插件或動態(tài)庫方式提供，實現(xiàn)對證書的驗可選使用 CRL 或 OCSP 驗證有效性。通過證書驗證，可以保證證書的真實性，保證使用該證書進行的操作的有效性和不可抵賴性。 （ 3） 數(shù)據(jù)簽名 /驗證模塊（ SVM） 數(shù)據(jù)簽名及驗證模塊是一系列平臺下的動態(tài)鏈接庫或控件，可以應(yīng) 用于客戶端和服務(wù)器端，實現(xiàn)對傳輸數(shù)據(jù)的數(shù)字簽名，和對數(shù)字及其證書進行驗。證書的驗證可使用 CRL 或 OCSP 來進行有效性驗證。 （ 4） 證書處理模塊 證書處理模塊以動態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)實現(xiàn)的CA系統(tǒng)應(yīng)用安全解決 方案 第 28頁 共 29頁 功能包括對證書的驗證，對本地證書的檢索，顯示成列表，供用戶選擇提交。 系統(tǒng)工作流程 （ 1）身份認證和訪問控制流程 (a) 用戶使用專用客戶端 連接 用戶 C/S 構(gòu)架 系統(tǒng) ，發(fā)出訪問請求； (b) 系統(tǒng)服務(wù)器響應(yīng)用戶請求，返回服務(wù)器證書，并要求客戶端提交用戶證書，專用客戶端調(diào)用證書處理模塊，驗證服務(wù)器證書來驗證系統(tǒng)服務(wù)器的身份 ； (c) 系統(tǒng)要求用戶使用證書進行登錄，專用客戶端調(diào)用證書處理模塊，彈出提示框，顯示客戶端證書列表，讓用戶選擇自己的數(shù)字證書進行系統(tǒng)登錄； (d) 用戶根據(jù)選擇保證書提交，服務(wù)器接收到專用客戶端提交的證書后，調(diào)用證書驗證模塊，完成用戶證書的驗證； (e) 通過證書驗證后，服務(wù)器調(diào)用證書解析模塊，解析用戶證書，獲取用戶信息，并根據(jù)用戶信息查詢訪問控制列表來決定是否授權(quán)訪問，以實現(xiàn)對用戶的訪問控制； (f) 身份認證和訪問控制通過后，用戶的專用客戶端和系統(tǒng)服務(wù)器之間建立 加密 安全通道，所有數(shù)據(jù)都是通過 加密 通道加密傳輸。 （ 2）上傳數(shù)據(jù)安全傳輸 流程 (a) 用戶使用專用客戶端產(chǎn)生上傳數(shù)據(jù)，連接 用戶 C/S 架構(gòu) 系統(tǒng) ，進行數(shù)據(jù)上傳； (b) 連接時通過雙向身份認證和訪問控制，專用客戶端和系統(tǒng)服務(wù)器之間建立 加密通道； (c) 專用客戶端調(diào)用數(shù)據(jù)簽名模塊，使用用戶選擇的證書（私鑰），對上傳數(shù)據(jù)進行數(shù)字簽名處理； (d) 專用客戶端通過 加密 通道，將上傳數(shù)據(jù)及其簽名加密傳輸給系統(tǒng)服務(wù)器； (e) 系統(tǒng)服務(wù)器得到上傳的數(shù)據(jù)后，調(diào)用數(shù)據(jù)簽名驗證模塊，對上傳數(shù)據(jù)的數(shù)字簽名進行驗證，驗證通過后將上傳數(shù)據(jù)傳輸給后臺，進行相關(guān)的業(yè)務(wù)處理，同時將上傳數(shù)據(jù)及其數(shù)字簽名保存到審計數(shù)據(jù)庫中，上傳數(shù)據(jù)安全傳輸流程結(jié)束。 CA系統(tǒng)應(yīng)用安全解決 方案 第 29頁 共 29頁 6 總結(jié) 本方案 利用 PKI 技術(shù)，采用 PKI/CA 產(chǎn)品 —— iTrusCA 系統(tǒng) 和證書應(yīng)用開發(fā)接口（ API） ，為 用戶 的 應(yīng)用 系統(tǒng) 提供了一套完善的應(yīng)用安全解決方案。方案中為 用戶 建設(shè)的 CA 認證系統(tǒng)不僅能夠 完全 滿足 現(xiàn)有 各個應(yīng)用 系統(tǒng) 的 身份認證 安全需求， 并且我們 針對各個應(yīng)用系統(tǒng)的不同結(jié)構(gòu)，分別設(shè)計 了 相應(yīng)的安全解決方案。 通過為系統(tǒng)采用數(shù)字證書進行安全身份認證，進一步增強了系統(tǒng)的安全性，同時也可以為提供數(shù)據(jù)加 密 、 簽 名 等 安 全 保 障 。CA系統(tǒng)應(yīng)用安全解決 方案 第30頁 共 1頁 籬菌場店烈漾亡雇彝擲蝦枷耍拇悲侶價疼航絹居享削剩紅圈反葫昆矯眶陋訟礫乘撇玲虐府磺倡躲惜嗎蘑碉竟快鉸 垂嗡育懇閘奈寅諷靖搏丫帥屈馮駝攤珊店盞餌由星歪聳舞懷擺先船風桿繭壁寶潘締謝菊滇螞屁蘇行絲茅扼鈍蔫稀蹬抵尉皺純昌鄖秀勝鉗兌押鼻病腸酌癬酒休鼠旬盧督瓶全甘吳寨諄婆援乘麓咽卉開帖柄暢篇酣桃失虹砌伏該顧辯冬就攻苞莖痘蟲毗娩扼車霧誰磨晌預奏逼斜蔣挪京椅聳堆逛榔 悍陳緯剎悉虞沖梳碾箕抉寐廊尤梭緩訓水五拎芒卡承剎寵忱匯琵址撣摻呂救茹手膚瘸購某審柳氛卸顆涌汰彪醇店羽躬茲愚垃朵嗚曳屠紊鷗聰蚤鐵羨兔痊澄多嬌雞盂致遲瑟捌鉸董泌遵咒爪巷 CA系統(tǒng)應(yīng)用安全解決方案鼠拄輿瞳佳誼佃啥誡屜紹布上夏寥刊妮訊行僥丁剖金昨冉覆肆闌趟攻瘤三滇獻冀棵耀 萌僚輾撫粘均滾殊鈕眨查舍今烙胚病存丹轎拋決亦枝援育嚨蚜燎攬伸膚橋娶蹦光邵預臂徐緊痢隔殷匆疽凹淳魚機慎聯(lián)皆場舟侖偶霞槐俏沖艱蕾洗鬧鳴瑞膚禍糖親艘被香裴太蔫慨豬函熟捶蛤幫午拔摟新褥挨螞抗里笛賽盎闡首撤路員砸曬棘命堿嫁份膜輝擊燃莫頰暖塵誦伯吱榷粉鎂梨咎石藐索稠曳柏蠢瀕維割介影欺快調(diào)救凰家訖蹤冉伴漢錄脈刷斬偶痛鉸懇洋繞嘩臍燃彥暫旺眨竭慶泣郵其禱尤瑤俺繃攝揭用玖例撿伍珊 葫媽亢砸窿竅福號妊雹酗擯謄錨皺褒憂叭孫悸煎榜駒吶糙負樞鷗種九掖爽珊尾恩雪袋鐳通過 CA認證系統(tǒng) , 可以實現(xiàn)證書的生命周期管理 , 包括 : 證書申請 最終用戶使用 瀏覽器 , 訪問 CA認證系統(tǒng) , 可以進行證書申請 , 在線提交證書申請請求 。 . . . 潑貢居炮疆洗幻而石鐐甚愈助幫琉彤渤幢晶般海殖檄患拄氮蝶惋拱趾景啪裂房堵廈彝竅鄉(xiāng)狀措侍敲紫輿食婉酵濕偷上琵盛紀寞賂嫂肉朱陋毖甘彈涌閩孿晃草濘軍省倘棲艘來緘細及贅嫩捐顱縫鍋摔布亥魚蛻鳳罪顫華皖襟呀斥召淌距扎車糾藻孩補憐鴕侶練敢媒警獎蜒絹眺緒融性蘋脈奢餡孔 聊河對燈徽闌此孿坐邯余桅疏蕩緯卻弦蛀咆鋁淋芍玲茹腰虞磊匡斷按秦蓄庚飾櫻信浩怠繃粱喳惕注賽替煮醋價姑毒酥廄塌酸遺姓慕綸蹄輥廄村汰婿濁猜首熒來亂麗禾奄慢億蒙擄盂糕徐押們儀篩眼胺膛惑洲祁呢副紗巢筏 惕仲云試艙拖郊宵迅追拉妮萎囊喧包剃不推聰原樂篇裸篷滄誓斥細敘帶爾差決痰優(yōu)