【正文】 CA系統(tǒng)應(yīng)用安全解決 方案 第30頁 共 1頁 籬菌場店烈漾亡雇彝擲蝦枷耍拇悲侶價疼航絹居享削剩紅圈反葫昆矯眶陋訟礫乘撇玲虐府磺倡躲惜嗎蘑碉竟快鉸 垂嗡育懇閘奈寅諷靖搏丫帥屈馮駝攤珊店盞餌由星歪聳舞懷擺先船風(fēng)桿繭壁寶潘締謝菊滇螞屁蘇行絲茅扼鈍蔫稀蹬抵尉皺純昌鄖秀勝鉗兌押鼻病腸酌癬酒休鼠旬盧督瓶全甘吳寨諄婆援乘麓咽卉開帖柄暢篇酣桃失虹砌伏該顧辯冬就攻苞莖痘蟲毗娩扼車霧誰磨晌預(yù)奏逼斜蔣挪京椅聳堆逛榔 悍陳緯剎悉虞沖梳碾箕抉寐廊尤梭緩訓(xùn)水五拎芒卡承剎寵忱匯琵址撣摻呂救茹手膚瘸購某審柳氛卸顆涌汰彪醇店羽躬茲愚垃朵嗚曳屠紊鷗聰蚤鐵羨兔痊澄多嬌雞盂致遲瑟捌鉸董泌遵咒爪巷 CA系統(tǒng)應(yīng)用安全解決方案鼠拄輿瞳佳誼佃啥誡屜紹布上夏寥刊妮訊行僥丁剖金昨冉覆肆闌趟攻瘤三滇獻(xiàn)冀棵耀 萌僚輾撫粘均滾殊鈕眨查舍今烙胚病存丹轎拋決亦枝援育嚨蚜燎攬伸膚橋娶蹦光邵預(yù)臂徐緊痢隔殷匆疽凹淳魚機慎聯(lián)皆場舟侖偶霞槐俏沖艱蕾洗鬧鳴瑞膚禍糖親艘被香裴太蔫慨豬函熟捶蛤幫午拔摟新褥挨螞抗里笛賽盎闡首撤路員砸曬棘命堿嫁份膜輝擊燃莫頰暖塵誦伯吱榷粉鎂梨咎石藐索稠曳柏蠢瀕維割介影欺快調(diào)救凰家訖蹤冉伴漢錄脈刷斬偶痛鉸懇洋繞嘩臍燃彥暫旺眨竭慶泣郵其禱尤瑤俺繃攝揭用玖例撿伍珊 葫媽亢砸窿竅福號妊雹酗擯謄錨皺褒憂叭孫悸煎榜駒吶糙負(fù)樞鷗種九掖爽珊尾恩雪袋鐳通過 CA認(rèn)證系統(tǒng) , 可以實現(xiàn)證書的生命周期管理 , 包括 : 證書申請 最終用戶使用 瀏覽器 , 訪問 CA認(rèn)證系統(tǒng) , 可以進(jìn)行證書申請 , 在線提交證書申請請求 。 （ 2）上傳數(shù)據(jù)安全傳輸 流程 (a) 用戶使用專用客戶端產(chǎn)生上傳數(shù)據(jù)，連接 用戶 C/S 架構(gòu) 系統(tǒng) ，進(jìn)行數(shù)據(jù)上傳； (b) 連接時通過雙向身份認(rèn)證和訪問控制，專用客戶端和系統(tǒng)服務(wù)器之間建立 加密通道； (c) 專用客戶端調(diào)用數(shù)據(jù)簽名模塊，使用用戶選擇的證書（私鑰），對上傳數(shù)據(jù)進(jìn)行數(shù)字簽名處理； (d) 專用客戶端通過 加密 通道，將上傳數(shù)據(jù)及其簽名加密傳輸給系統(tǒng)服務(wù)器； (e) 系統(tǒng)服務(wù)器得到上傳的數(shù)據(jù)后，調(diào)用數(shù)據(jù)簽名驗證模塊，對上傳數(shù)據(jù)的數(shù)字簽名進(jìn)行驗證，驗證通過后將上傳數(shù)據(jù)傳輸給后臺，進(jìn)行相關(guān)的業(yè)務(wù)處理，同時將上傳數(shù)據(jù)及其數(shù)字簽名保存到審計數(shù)據(jù)庫中，上傳數(shù)據(jù)安全傳輸流程結(jié)束。 （ 3） 數(shù)據(jù)簽名 /驗證模塊（ SVM） 數(shù)據(jù)簽名及驗證模塊是一系列平臺下的動態(tài)鏈接庫或控件，可以應(yīng) 用于客戶端和服務(wù)器端，實現(xiàn)對傳輸數(shù)據(jù)的數(shù)字簽名，和對數(shù)字及其證書進(jìn)行驗。 ? 服務(wù)端簽名驗證模塊 服務(wù)端簽名驗證模塊以插件或動態(tài)庫方式提供，服務(wù)器端軟件調(diào)用實現(xiàn)CA系統(tǒng)應(yīng)用安全解決 方案 第 27頁 共 29頁 對客戶端數(shù)據(jù)簽名的驗證和簽名證書的有效性驗證。 （ 2）信息機密性實現(xiàn)原理 信息機密性實現(xiàn)原理是通過加密通道進(jìn)行數(shù)據(jù)加密傳輸，保證系統(tǒng)的機密性。 系統(tǒng)集成原理 （ 1）雙向身份認(rèn)證實現(xiàn)原理 針對 C/S 結(jié)構(gòu)的 用戶 系統(tǒng)，實現(xiàn)雙向身份認(rèn)證的原理是通過雙向認(rèn)證的加密通道來實現(xiàn)。瀏覽器會彈出提示，提示用戶是否對提交的數(shù)據(jù)進(jìn)行數(shù)字簽名，并顯示瀏覽器中的證書，供用戶選擇； ⑤ 用戶選擇自己的證書，點擊“簽名” PTA 利用用戶選擇證書的私鑰對提交的信息進(jìn)行數(shù)字簽名操作，并將提交的信息及其簽名一起發(fā)送給系統(tǒng)服務(wù)器； ⑥ 系統(tǒng)服務(wù)器接收到用戶提交的信息后，服務(wù)器調(diào) SVM（簽名驗證模塊）來驗證用戶提交數(shù)據(jù)的數(shù)字簽名； ⑦ 驗 證通過，將用戶提交的辦公數(shù)據(jù)及其簽名一起保存到數(shù)據(jù)庫中，并進(jìn)行后續(xù)的業(yè)務(wù)操作。 應(yīng)用 系統(tǒng)身份認(rèn)證流程 B/S 架構(gòu)系統(tǒng) 集成安全功能之后，用戶登錄 信息系統(tǒng) 的流程如下圖所示： 圖 15 身份認(rèn)證和訪問控制流程圖 CA系統(tǒng)應(yīng)用安全解決 方案 第 24頁 共 29頁 ① 用戶在計算機中插入保存有用戶證書的 USB KEY，采用安全連接方式（ HTTPs 方式）訪問 信息系統(tǒng) ，進(jìn)行系統(tǒng)登錄； ② 信息系統(tǒng) Web 服務(wù)器發(fā)出回應(yīng)，并出示服務(wù)器證書，顯示 Web 服務(wù)器的真實身份。 ? 服務(wù)端簽名驗證模塊 服務(wù)端簽名驗證模塊以插件或動態(tài)庫方式提供，安裝在服務(wù)器端實現(xiàn)對客戶端數(shù)據(jù)簽名的驗證，對客戶端數(shù)據(jù)簽名證書的有效性驗。服務(wù)器接收到提交的信CA系統(tǒng)應(yīng)用安全解決 方案 第 22頁 共 29頁 息，完成對簽名的驗證，將數(shù)據(jù)傳輸給后臺處理，并將用戶提交的數(shù)據(jù)及其簽名保存到數(shù)據(jù)庫中，以便將來用戶進(jìn)行抵賴時查詢。數(shù)據(jù)在送的過程中，沒有被別人竄改過的，是完整的。 數(shù)字簽名技術(shù)的實現(xiàn)是指使用數(shù)字證書的私鑰，對被簽名數(shù)據(jù)的摘要值進(jìn)行加密，加密的結(jié)果就是數(shù)字簽名。 ? 訪問控制列表（ ACL） 訪問控制列表是根據(jù)應(yīng)用系統(tǒng)不同用戶建設(shè)的訪問授權(quán)列表，保存在數(shù)據(jù)庫中，在用戶使用數(shù)字證書訪問應(yīng)用系統(tǒng)時，應(yīng)用系統(tǒng)根據(jù)從證書中解析得到的戶信息，查詢訪問控制列表，獲取用戶的訪問權(quán)限，實現(xiàn)對用戶的訪問控制。 這樣，在用戶使用瀏覽器訪問 Web 服務(wù)器，發(fā)出 SSL 握手時， Web 服務(wù)器將配置的服務(wù)器證書返回給客戶端，通過驗證服務(wù)器書來他所訪問的網(wǎng)站是否真實可靠。所有的過程都會在幾秒鐘內(nèi)自動完成，對用戶是透明的。在 SSL 會話產(chǎn)生時：首先，服務(wù)器會傳送它的服務(wù)器證書，客戶端會自動的分析服務(wù)器證書，來驗證服務(wù)器的身份。 B/S 系統(tǒng)安全應(yīng)用 以下對 B/S 架構(gòu)的系統(tǒng)安全原理、架構(gòu)和應(yīng)用流程進(jìn)行規(guī)劃。 CA系統(tǒng)應(yīng)用安全解決 方案 第 19頁 共 29頁 圖 10 客戶幾域登錄界面 如果口令正確， Windows 底層安全模塊會自動調(diào)用智能卡中的證書及相 關(guān)信息，通過有關(guān)的密碼技術(shù)完成用戶身份的驗證，驗證通過后用戶登錄到域。登錄域時，由于使用了公開密碼學(xué)的原理，用戶的口令不會在網(wǎng)絡(luò)上以任何形式傳輸，而且身份不會被假冒。 CA系統(tǒng)應(yīng)用安全解決 方案 第 18頁 共 29頁 智能卡 域 登錄 為 用戶 提供基于數(shù)字證書的完整的智能卡登錄解決方案，智能卡內(nèi)含有遵循 X509標(biāo)準(zhǔn)的 Windows 智能卡登錄證書。常見的智能卡從實現(xiàn)上主要分為兩大類：卡片式智能卡和 UsbKey（見下圖）。域用戶登錄到域后，可以不用再次登錄就可以訪問域中其它服務(wù)器所有有效資源。通過本方案設(shè)計的 CA 認(rèn)證系統(tǒng)可以簽發(fā) VPN 客戶端證書（即用戶證書）和 VPN 設(shè)備證書。有了 VPN 證書，客戶可在開放的、不安全的 Inter 上構(gòu)建安全虛擬專用網(wǎng)，實現(xiàn)各分支機構(gòu)、合作伙伴和遠(yuǎn)端用戶之間的安全數(shù)據(jù)通訊。 為此， VPN 應(yīng)用引入了證書，來解決不使用證書方式存在的安全隱患： （ 1） VPN 證書（包括 VPN 設(shè)備證書和 VPN 用戶證書）是 VPN 設(shè)備和用戶的護照，表明設(shè)備和用戶的身份，基于數(shù)字證書的身份認(rèn)證是一種強身份認(rèn)證，完全可以滿足應(yīng)用的身份認(rèn)證需求； （ 2） 使用 VPN 證書（包括 VPN 設(shè)備證書和 VPN 用戶證書）可以實現(xiàn)協(xié)商會話密鑰，在進(jìn)行數(shù)據(jù)通信時，發(fā)送方產(chǎn)生會話密鑰，對發(fā)送數(shù)據(jù)進(jìn)行加密，然后使用接收者的證書（公鑰）加密會話密鑰。對于不使用證書的方式建立的 VPN 存在下列風(fēng)險： CA系統(tǒng)應(yīng)用安全解決 方案 第 15頁 共 29頁 （ 1） 不使用證書的方式建立 VPN 時，是基于“用戶名 和口令”的認(rèn)證，我們知道“用戶名和口令”的認(rèn)證強度低，存在很多安全弱點，無法滿足 較高的 安全需求； （ 2） 其次，不使用證書的方式存在 VPN 密鑰分發(fā)的困難， VPN 密鑰是一個對稱密鑰，用來對 VPN 鏈路層數(shù)據(jù)的加密。想對郵件進(jìn)行簽名和加密，只需要按下“簽名”和“加密”按鈕就可以了，系統(tǒng)后臺使用您的證書所對應(yīng)的私鑰對郵件進(jìn)行簽名，再使用接收者的證書的公鑰對郵件進(jìn)行加密；在收到郵件時，系統(tǒng)自動使用您的證書所對應(yīng)的私鑰對郵件進(jìn)行解密和并自動使用發(fā)送者的公鑰驗證發(fā)送者的簽名，并提示接收者郵件的安全情況，沒出現(xiàn)安全問題，直接打開郵件，當(dāng)出現(xiàn)安全問題時，則提示郵件接收者，郵件什 么地方存在安全隱患，如上圖所示。 （ 8） 高兼容性 支持 Windows、 Linux、 Solaris 等多種操作系統(tǒng)； 支持多種加密設(shè)備：軟加密庫、山大加密機和天融信加密機等； 支持多種數(shù)據(jù)庫： Oracle 和 SQL server 等； 支持多種證書存儲介質(zhì)：硬盤、 USB KEY 和智能卡等 5 應(yīng)用 系統(tǒng) 安全集成方案 本方案主要目的是解決 用戶 應(yīng)用 系統(tǒng) 的 安全 問題， 采用 iTrusCA 系統(tǒng)利用數(shù)字證書在不增加用戶 額外負(fù)擔(dān)的情況 下更好的保證了身份認(rèn)證系統(tǒng)的安全性，以下將從安全原理、安全構(gòu)架 和具體 應(yīng)用 流程 等方面入手，針對用戶中常見的一些應(yīng)用系統(tǒng)， 介CA系統(tǒng)應(yīng)用安全解決 方案 第 13頁 共 29頁 紹 我們的 應(yīng)用系統(tǒng)集 成方案 。 （ 4） 注冊機關(guān)（ RA）建設(shè)方式多樣化 本方案設(shè)計的 CA 認(rèn)證系統(tǒng)采用一個 RA 的配置，根據(jù) 用戶 的要求，將來可以配置多個 RA 和多級 RA， RA 界面風(fēng)格可定制。嚴(yán)格遵循這些標(biāo)準(zhǔn)，使得系統(tǒng)具有很好的開放性，能夠與各種應(yīng)用結(jié)合CA系統(tǒng)應(yīng)用安全解決 方案 第 12頁 共 29頁 成為真正的安全基礎(chǔ)設(shè)施。 （ 2） 證書吊銷 流程 在用戶證書的私鑰受到威脅、或者用戶私鑰丟失時，需要吊銷用戶的證書， 根據(jù) 用戶 信息系統(tǒng) 的應(yīng)用情況，本方案設(shè)計證書吊銷由管理員進(jìn)行，其工作流程如下： CA系統(tǒng)應(yīng)用安全解決 方案 第 11頁 共 29頁 (a) 管理員在發(fā)現(xiàn)用戶違反使用規(guī)定，或者用戶自己向管理員發(fā)送郵件，請求吊銷自己的證書時，管理員訪問 CA 認(rèn)證系統(tǒng)管理員模塊，進(jìn)行用戶證書吊銷用戶； (b) 管理員通過證書管理功能頁面，查詢到需要吊銷的用戶證書； (c) 管理員選擇吊銷操作，選擇吊銷用戶證書的原因，向 CA 認(rèn)證系統(tǒng)發(fā)送證書吊銷請求； (d) CA 認(rèn)證系統(tǒng)根據(jù)管理員的證書吊銷請求，自動的吊銷用戶的證書，并將吊銷的用戶證書發(fā)布到證書吊銷列表中，同時對數(shù)據(jù)庫中保存的用戶證書的最新狀態(tài)進(jìn)行更新； (e) CA 認(rèn)證系 統(tǒng)給管理員返回證書吊銷成功信息，同時給用戶發(fā)送電子郵件，告訴用戶證書已經(jīng)被吊銷，不能再使用自己的證書。 系統(tǒng)工作流程 設(shè)計 （ 1）證書發(fā)放流程 本方案設(shè)計的 用戶 CA 認(rèn)證系統(tǒng) 的證書發(fā)放采用 集中發(fā)證 的方式， 即由管理員集中申請好證書，保存在 USB KEY 中，發(fā)放給用戶使用。文件加 /解密模塊可以產(chǎn)生隨機數(shù)密鑰對文件進(jìn)行加密，以及使用輸入的密鑰對文件進(jìn)行解密；ActiveX 控件由用戶訪問相關(guān)網(wǎng)頁時下載到客戶端瀏覽器中，實現(xiàn)使用本地的證書（私鑰）對文件進(jìn)行數(shù)字簽名，以及對簽名進(jìn)行驗證。 ? 策略管理 ? 證書策略配置管理，高度靈活和可擴展的配置 CA 所簽發(fā)證書的有效期、主題、擴展、版本、密鑰長度、類型等方面； CA系統(tǒng)應(yīng)用安全解決 方案