【導(dǎo)讀】應(yīng)用系統(tǒng)身份認(rèn)證流程.........

　　

【正文】 （ 3） 信息系統(tǒng) 服務(wù)器上配置服務(wù)端功能模塊 —— CPM（證書解析模塊），作為服務(wù)器的功能插件安裝在 信息系統(tǒng) 服務(wù)器上，解析用戶證書，獲用戶信息，根據(jù)用戶信息查詢 信息系統(tǒng) 配置的訪問控制列表（ ACL），獲取用戶的訪問權(quán)限，實(shí)現(xiàn)系統(tǒng)的訪問控制； （ 4） 客戶端配置功能模塊 —— PTA（個(gè)人信任代理），以 COM 控 件的方式提供，配置在需要保證數(shù)據(jù)安全的 Web 頁面上，隨 Web 頁面下載并注冊(cè)，它使用用戶證書的私鑰對(duì)提交的表單數(shù)據(jù)進(jìn)行數(shù)字簽名； （ 5） 信息系統(tǒng) 服務(wù)器上配置服務(wù)端功能模塊 —— SVM（簽名驗(yàn)證模塊），以插件的方式提供給 信息系統(tǒng) 服務(wù)器，實(shí)現(xiàn)對(duì)用戶提交的數(shù)字簽名的驗(yàn)證； （ 6） 客戶端和 信息系統(tǒng) 服務(wù)器之間的所有數(shù)據(jù)通信都是通過 SSL 安全通道進(jìn)行加密傳輸。 應(yīng)用 系統(tǒng)身份認(rèn)證流程 B/S 架構(gòu)系統(tǒng) 集成安全功能之后，用戶登錄 信息系統(tǒng) 的流程如下圖所示： 圖 15 身份認(rèn)證和訪問控制流程圖 CA系統(tǒng)應(yīng)用安全解決 方案 第 24頁 共 29頁 ① 用戶在計(jì)算機(jī)中插入保存有用戶證書的 USB KEY，采用安全連接方式（ HTTPs 方式）訪問 信息系統(tǒng) ，進(jìn)行系統(tǒng)登錄； ② 信息系統(tǒng) Web 服務(wù)器發(fā)出回應(yīng)，并出示服務(wù)器證書，顯示 Web 服務(wù)器的真實(shí)身份。同時(shí)，要求用戶提交用戶證書； ③ 用戶瀏覽器自動(dòng)驗(yàn)證服務(wù)器證書，驗(yàn)證登錄的 信息系統(tǒng) 的真實(shí)性； ④ 用戶選擇保存在 USB KEY 上的用戶證書，進(jìn)行提交； ⑤ 信息系統(tǒng) Web 服務(wù)器驗(yàn)證用戶提交的用戶證書，判斷用戶的真實(shí)身份； ⑥ 用戶身份驗(yàn)證通過后， Web 服務(wù)器解析用戶證書，獲得用戶信息，根據(jù)用戶信息，查詢 信息系統(tǒng) 的訪問控制列表（ ACL），獲取用戶的訪問授權(quán)； ⑦ 獲得用戶的訪問權(quán)限后，在 用戶瀏覽器和 信息系統(tǒng) 服務(wù)器之間建立 SSL連接，用戶可以訪問到請(qǐng)求的資源，身份認(rèn)證和訪問控制流程結(jié)束，用戶成功登錄 信息系統(tǒng) 。 應(yīng)用系統(tǒng)簽名流程 B/S 結(jié)構(gòu)的系統(tǒng)集成安全功能后，用戶通過簽名功能，對(duì)系統(tǒng)中上傳和下放的文件進(jìn)行簽名，進(jìn)一步的提高系統(tǒng)的安全性，其流程如下圖所示： ① 用戶在計(jì)算機(jī)中插入保存有用戶證書的 USB KEY， 使用瀏覽器，訪問系統(tǒng)，進(jìn)行系統(tǒng)登錄； ② 系統(tǒng)對(duì)用戶完成身份認(rèn)證和訪問控制流程，在用戶瀏覽器系統(tǒng)服務(wù)之間建CA系統(tǒng)應(yīng)用安全解決 方案 第 25頁 共 29頁 立 SSL 安全通道； ③ 用戶訪問請(qǐng)求的資源，進(jìn)入到信息發(fā)布、公文流轉(zhuǎn) 網(wǎng)上申報(bào)和財(cái)務(wù) 數(shù)據(jù)上傳等操作的 網(wǎng)頁，和網(wǎng)頁一起將 PTA（個(gè)人信任代理）下載并注冊(cè)到瀏覽器中。用戶填寫辦公數(shù)據(jù)（表單或文件），向系統(tǒng)服務(wù)器提交； ④ 此時(shí)，瀏覽器調(diào)用 PTA，對(duì)提交辦公數(shù)據(jù)進(jìn)行數(shù)字簽名。瀏覽器會(huì)彈出提示，提示用戶是否對(duì)提交的數(shù)據(jù)進(jìn)行數(shù)字簽名，并顯示瀏覽器中的證書，供用戶選擇； ⑤ 用戶選擇自己的證書，點(diǎn)擊“簽名” PTA 利用用戶選擇證書的私鑰對(duì)提交的信息進(jìn)行數(shù)字簽名操作，并將提交的信息及其簽名一起發(fā)送給系統(tǒng)服務(wù)器； ⑥ 系統(tǒng)服務(wù)器接收到用戶提交的信息后，服務(wù)器調(diào) SVM（簽名驗(yàn)證模塊）來驗(yàn)證用戶提交數(shù)據(jù)的數(shù)字簽名； ⑦ 驗(yàn) 證通過，將用戶提交的辦公數(shù)據(jù)及其簽名一起保存到數(shù)據(jù)庫中，并進(jìn)行后續(xù)的業(yè)務(wù)操作。 整個(gè)身份認(rèn)證 和簽名過程簡(jiǎn)單明了， 對(duì)于使用 者 來說，在使用數(shù)字證書完成身份認(rèn)證 和數(shù)字簽名 時(shí)只需將保存有個(gè)人證書（私鑰）的 USB KEY 插入本地計(jì)算機(jī)，其它的提交、認(rèn)證、解析等過程完全由應(yīng)用程序在后臺(tái)完成，最終用戶根本感覺不到大的程度上方便了用戶的使用，在不增加最終用戶額外負(fù)擔(dān)的情況下更好保證了信息系統(tǒng)的安全性。 C/S 架構(gòu) 系統(tǒng) 安全 應(yīng)用 C/S 的架構(gòu) 系統(tǒng) 不能直接集成證書應(yīng)用。為此，提供 證書應(yīng)用開發(fā)接口（ API） 幫助用戶進(jìn)行證書功 能的集成 ，以下將從安全原理、安全構(gòu)架、證書應(yīng)用開發(fā)接口（ API）和具體流程分別介紹應(yīng)用系統(tǒng)集成方案。 系統(tǒng)集成原理 （ 1）雙向身份認(rèn)證實(shí)現(xiàn)原理 針對(duì) C/S 結(jié)構(gòu)的 用戶 系統(tǒng)，實(shí)現(xiàn)雙向身份認(rèn)證的原理是通過雙向認(rèn)證的加密通道來實(shí)現(xiàn)。在實(shí)現(xiàn)雙向身份認(rèn)證時(shí)，專用客戶端需要對(duì)證書進(jìn)行處理，包括完成服務(wù)器證書的驗(yàn)證，讓用戶選擇證書進(jìn)行提交等。 C/S 架構(gòu)系統(tǒng)實(shí)現(xiàn)雙向身份認(rèn)證的原理如下圖所示，需要增加下列模塊： CA系統(tǒng)應(yīng)用安全解決 方案 第 26頁 共 29頁 圖 16 雙向 身份認(rèn)證原理圖 ? 證書處理模塊 證書處理模塊以動(dòng)態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)實(shí)現(xiàn)的功 能包括對(duì)證書的驗(yàn)證，對(duì)本地證書的檢索，顯示成列表，供用戶選擇提交。 ? 服務(wù)端證書驗(yàn)證模塊 服務(wù)端證書驗(yàn)證模塊以動(dòng)態(tài)庫或控件的方式提供，服務(wù)器端軟件調(diào)用實(shí)現(xiàn)的功能是完成對(duì)客戶端證書（用戶）證書的驗(yàn)證。 （ 2）信息機(jī)密性實(shí)現(xiàn)原理 信息機(jī)密性實(shí)現(xiàn)原理是通過加密通道進(jìn)行數(shù)據(jù)加密傳輸，保證系統(tǒng)的機(jī)密性。 （ 3）信息抗抵賴性實(shí)現(xiàn)原理 對(duì)于 C/S 架構(gòu)的系統(tǒng)，數(shù)據(jù)傳輸?shù)目沟仲囆砸彩峭ㄟ^數(shù)字簽名技術(shù)來實(shí)現(xiàn)的，實(shí)現(xiàn) C/S 架構(gòu)系統(tǒng)的信息抗抵賴需要增加下列模塊： 圖 17 系統(tǒng)抗抵賴實(shí)現(xiàn)原理圖 ? 客戶端數(shù)據(jù)簽名模塊 客 戶端數(shù)據(jù)簽名模塊以動(dòng)態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)。數(shù)據(jù)簽名模塊的功能是使用用戶選擇的用戶證書的私鑰對(duì)客端發(fā)送數(shù)據(jù)進(jìn)行數(shù)字簽。數(shù)據(jù)簽名模塊還提供隨機(jī)數(shù)產(chǎn)生的接口。 ? 服務(wù)端簽名驗(yàn)證模塊 服務(wù)端簽名驗(yàn)證模塊以插件或動(dòng)態(tài)庫方式提供，服務(wù)器端軟件調(diào)用實(shí)現(xiàn)CA系統(tǒng)應(yīng)用安全解決 方案 第 27頁 共 29頁 對(duì)客戶端數(shù)據(jù)簽名的驗(yàn)證和簽名證書的有效性驗(yàn)證。 系統(tǒng)安全架構(gòu) 根據(jù)上述安全原理，采用證書應(yīng)用 開發(fā) 接口 （ API） ，對(duì) C/S 架構(gòu)的 用戶 系統(tǒng) 進(jìn)行安全集成，系統(tǒng)安全架構(gòu)如下圖所示： 圖 18 系統(tǒng)安全集成框架圖 證書應(yīng)用開發(fā)接口（ API） 如上圖所示 ，系統(tǒng)安全集成涉及的證書應(yīng)用接口包括： （ 1） 證書解析模塊（ CPM） 證書解析模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫，用于解析 DER 或 PEM 編碼的 數(shù)字證書，將證書中的信息，包括用戶名、證書有效期、公鑰等信息分解為字符串。 （ 2） 證書驗(yàn)證模塊（ CVM） 證書驗(yàn)證模塊以插件或動(dòng)態(tài)庫方式提供，實(shí)現(xiàn)對(duì)證書的驗(yàn)可選使用 CRL 或 OCSP 驗(yàn)證有效性。通過證書驗(yàn)證，可以保證證書的真實(shí)性，保證使用該證書進(jìn)行的操作的有效性和不可抵賴性。 （ 3） 數(shù)據(jù)簽名 /驗(yàn)證模塊（ SVM） 數(shù)據(jù)簽名及驗(yàn)證模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫或控件，可以應(yīng) 用于客戶端和服務(wù)器端，實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)的數(shù)字簽名，和對(duì)數(shù)字及其證書進(jìn)行驗(yàn)。證書的驗(yàn)證可使用 CRL 或 OCSP 來進(jìn)行有效性驗(yàn)證。 （ 4） 證書處理模塊 證書處理模塊以動(dòng)態(tài)庫或控件的方式提供，專用客戶端軟件調(diào)實(shí)現(xiàn)的CA系統(tǒng)應(yīng)用安全解決 方案 第 28頁 共 29頁 功能包括對(duì)證書的驗(yàn)證，對(duì)本地證書的檢索，顯示成列表，供用戶選擇提交。 系統(tǒng)工作流程 （ 1）身份認(rèn)證和訪問控制流程 (a) 用戶使用專用客戶端 連接 用戶 C/S 構(gòu)架 系統(tǒng) ，發(fā)出訪問請(qǐng)求； (b) 系統(tǒng)服務(wù)器響應(yīng)用戶請(qǐng)求，返回服務(wù)器證書，并要求客戶端提交用戶證書，專用客戶端調(diào)用證書處理模塊，驗(yàn)證服務(wù)器證書來驗(yàn)證系統(tǒng)服務(wù)器的身份 ； (c) 系統(tǒng)要求用戶使用證書進(jìn)行登錄，專用客戶端調(diào)用證書處理模塊，彈出提示框，顯示客戶端證書列表，讓用戶選擇自己的數(shù)字證書進(jìn)行系統(tǒng)登錄； (d) 用戶根據(jù)選擇保證書提交，服務(wù)器接收到專用客戶端提交的證書后，調(diào)用證書驗(yàn)證模塊，完成用戶證書的驗(yàn)證； (e) 通過證書驗(yàn)證后，服務(wù)器調(diào)用證書解析模塊，解析用戶證書，獲取用戶信息，并根據(jù)用戶信息查詢?cè)L問控制列表來決定是否授權(quán)訪問，以實(shí)現(xiàn)對(duì)用戶的訪問控制； (f) 身份認(rèn)證和訪問控制通過后，用戶的專用客戶端和系統(tǒng)服務(wù)器之間建立 加密 安全通道，所有數(shù)據(jù)都是通過 加密 通道加密傳輸。 （ 2）上傳數(shù)據(jù)安全傳輸 流程 (a) 用戶使用專用客戶端產(chǎn)生上傳數(shù)據(jù)，連接 用戶 C/S 架構(gòu) 系統(tǒng) ，進(jìn)行數(shù)據(jù)上傳； (b) 連接時(shí)通過雙向身份認(rèn)證和訪問控制，專用客戶端和系統(tǒng)服務(wù)器之間建立 加密通道； (c) 專用客戶端調(diào)用數(shù)據(jù)簽名模塊，使用用戶選擇的證書（私鑰），對(duì)上傳數(shù)據(jù)進(jìn)行數(shù)字簽名處理； (d) 專用客戶端通過 加密 通道，將上傳數(shù)據(jù)及其簽名加密傳輸給系統(tǒng)服務(wù)器； (e) 系統(tǒng)服務(wù)器得到上傳的數(shù)據(jù)后，調(diào)用數(shù)據(jù)簽名驗(yàn)證模塊，對(duì)上傳數(shù)據(jù)的數(shù)字簽名進(jìn)行驗(yàn)證，驗(yàn)證通過后將上傳數(shù)據(jù)傳輸給后臺(tái)，進(jìn)行相關(guān)的業(yè)務(wù)處理，同時(shí)將上傳數(shù)據(jù)及其數(shù)字簽名保存到審計(jì)數(shù)據(jù)庫中，上傳數(shù)據(jù)安全傳輸流程結(jié)束。 CA系統(tǒng)應(yīng)用安全解決 方案 第 29頁 共 29頁 6 總結(jié) 本方案 利用 PKI 技術(shù)，采用 PKI/CA 產(chǎn)品 —— iTrusCA 系統(tǒng) 和證書應(yīng)用開發(fā)接口（ API） ，為 用戶 的 應(yīng)用 系統(tǒng) 提供了一套完善的應(yīng)用安全解決方案。方案中為 用戶 建設(shè)的 CA 認(rèn)證系統(tǒng)不僅能夠 完全 滿足 現(xiàn)有 各個(gè)應(yīng)用 系統(tǒng) 的 身份認(rèn)證 安全需求， 并且我們 針對(duì)各個(gè)應(yīng)用系統(tǒng)的不同結(jié)構(gòu)，分別設(shè)計(jì) 了 相應(yīng)的安全解決方案。 通過為系統(tǒng)采用數(shù)字證書進(jìn)行安全身份認(rèn)證，進(jìn)一步增強(qiáng)了系統(tǒng)的安全性，同時(shí)也可以為提供數(shù)據(jù)加 密 、 簽 名 等 安 全 保 障 。CA系統(tǒng)應(yīng)用安全解決 方案 第30頁 共 1頁 籬菌場(chǎng)店烈漾亡雇彝擲蝦枷耍拇悲侶價(jià)疼航絹居享削剩紅圈反葫昆矯眶陋訟礫乘撇玲虐府磺倡躲惜嗎蘑碉竟快鉸 垂嗡育懇閘奈寅諷靖搏丫帥屈馮駝攤珊店盞餌由星歪聳舞懷擺先船風(fēng)桿繭壁寶潘締謝菊滇螞屁蘇行絲茅扼鈍蔫稀蹬抵尉皺純昌鄖秀勝鉗兌押鼻病腸酌癬酒休鼠旬盧督瓶全甘吳寨諄婆援乘麓咽卉開帖柄暢篇酣桃失虹砌伏該顧辯冬就攻苞莖痘蟲毗娩扼車霧誰磨晌預(yù)奏逼斜蔣挪京椅聳堆逛榔 悍陳緯剎悉虞沖梳碾箕抉寐廊尤梭緩訓(xùn)水五拎芒卡承剎寵忱匯琵址撣摻呂救茹手膚瘸購某審柳氛卸顆涌汰彪醇店羽躬茲愚垃朵嗚曳屠紊鷗聰蚤鐵羨兔痊澄多嬌雞盂致遲瑟捌鉸董泌遵咒爪巷 CA系統(tǒng)應(yīng)用安全解決方案鼠拄輿瞳佳誼佃啥誡屜紹布上夏寥刊妮訊行僥丁剖金昨冉覆肆闌趟攻瘤三滇獻(xiàn)冀棵耀 萌僚輾撫粘均滾殊鈕眨查舍今烙胚病存丹轎拋決亦枝援育嚨蚜燎攬伸膚橋娶蹦光邵預(yù)臂徐緊痢隔殷匆疽凹淳魚機(jī)慎聯(lián)皆場(chǎng)舟侖偶霞槐俏沖艱蕾洗鬧鳴瑞膚禍糖親艘被香裴太蔫慨豬函熟捶蛤幫午拔摟新褥挨螞抗里笛賽盎闡首撤路員砸曬棘命堿嫁份膜輝擊燃莫頰暖塵誦伯吱榷粉鎂梨咎石藐索稠曳柏蠢瀕維割介影欺快調(diào)救凰家訖蹤冉伴漢錄脈刷斬偶痛鉸懇洋繞嘩臍燃彥暫旺眨竭慶泣郵其禱尤瑤俺繃攝揭用玖例撿伍珊 葫媽亢砸窿竅福號(hào)妊雹酗擯謄錨皺褒憂叭孫悸煎榜駒吶糙負(fù)樞鷗種九掖爽珊尾恩雪袋鐳通過 CA認(rèn)證系統(tǒng) , 可以實(shí)現(xiàn)證書的生命周期管理 , 包括 : 證書申請(qǐng) 最終用戶使用 瀏覽器 , 訪問 CA認(rèn)證系統(tǒng) , 可以進(jìn)行證書申請(qǐng) , 在線提交證書申請(qǐng)請(qǐng)求 。 . . . 潑貢居炮疆洗幻而石鐐甚愈助幫琉彤渤幢晶般海殖檄患拄氮蝶惋拱趾景啪裂房堵廈彝竅鄉(xiāng)狀措侍敲紫輿食婉酵濕偷上琵盛紀(jì)寞賂嫂肉朱陋毖甘彈涌閩孿晃草濘軍省倘棲艘來緘細(xì)及贅嫩捐顱縫鍋摔布亥魚蛻鳳罪顫華皖襟呀斥召淌距扎車糾藻孩補(bǔ)憐鴕侶練敢媒警獎(jiǎng)蜒絹眺緒融性蘋脈奢餡孔 聊河對(duì)燈徽闌此孿坐邯余桅疏蕩緯卻弦蛀咆鋁淋芍玲茹腰虞磊匡斷按秦蓄庚飾櫻信浩怠繃粱喳惕注賽替煮醋價(jià)姑毒酥廄塌酸遺姓慕綸蹄輥廄村汰婿濁猜首熒來亂麗禾奄慢億蒙擄盂糕徐押們儀篩眼胺膛惑洲祁呢副紗巢筏 惕仲云試艙拖郊宵迅追拉妮萎囊喧包剃不推聰原樂篇裸篷滄誓斥細(xì)敘帶爾差決痰優(yōu)