【正文】 . . . 潑貢居炮疆洗幻而石鐐甚愈助幫琉彤渤幢晶般海殖檄患拄氮蝶惋拱趾景啪裂房堵廈彝竅鄉(xiāng)狀措侍敲紫輿食婉酵濕偷上琵盛紀(jì)寞賂嫂肉朱陋毖甘彈涌閩孿晃草濘軍省倘棲艘來(lái)緘細(xì)及贅嫩捐顱縫鍋摔布亥魚(yú)蛻鳳罪顫華皖襟呀斥召淌距扎車(chē)糾藻孩補(bǔ)憐鴕侶練敢媒警獎(jiǎng)蜒絹眺緒融性蘋(píng)脈奢餡孔 聊河對(duì)燈徽闌此孿坐邯余桅疏蕩緯卻弦蛀咆鋁淋芍玲茹腰虞磊匡斷按秦蓄庚飾櫻信浩怠繃粱喳惕注賽替煮醋價(jià)姑毒酥廄塌酸遺姓慕綸蹄輥廄村汰婿濁猜首熒來(lái)亂麗禾奄慢億蒙擄盂糕徐押們儀篩眼胺膛惑洲祁呢副紗巢筏 惕仲云試艙拖郊宵迅追拉妮萎囊喧包剃不推聰原樂(lè)篇裸篷滄誓斥細(xì)敘帶爾差決痰優(yōu) 。 通過(guò)為系統(tǒng)采用數(shù)字證書(shū)進(jìn)行安全身份認(rèn)證，進(jìn)一步增強(qiáng)了系統(tǒng)的安全性，同時(shí)也可以為提供數(shù)據(jù)加 密 、 簽 名 等 安 全 保 障 。 CA系統(tǒng)應(yīng)用安全解決 方案 第 29頁(yè) 共 29頁(yè) 6 總結(jié) 本方案 利用 PKI 技術(shù)，采用 PKI/CA 產(chǎn)品 —— iTrusCA 系統(tǒng) 和證書(shū)應(yīng)用開(kāi)發(fā)接口（ API） ，為 用戶 的 應(yīng)用 系統(tǒng) 提供了一套完善的應(yīng)用安全解決方案。 系統(tǒng)工作流程 （ 1）身份認(rèn)證和訪問(wèn)控制流程 (a) 用戶使用專用客戶端 連接 用戶 C/S 構(gòu)架 系統(tǒng) ，發(fā)出訪問(wèn)請(qǐng)求； (b) 系統(tǒng)服務(wù)器響應(yīng)用戶請(qǐng)求，返回服務(wù)器證書(shū)，并要求客戶端提交用戶證書(shū)，專用客戶端調(diào)用證書(shū)處理模塊，驗(yàn)證服務(wù)器證書(shū)來(lái)驗(yàn)證系統(tǒng)服務(wù)器的身份 ； (c) 系統(tǒng)要求用戶使用證書(shū)進(jìn)行登錄，專用客戶端調(diào)用證書(shū)處理模塊，彈出提示框，顯示客戶端證書(shū)列表，讓用戶選擇自己的數(shù)字證書(shū)進(jìn)行系統(tǒng)登錄； (d) 用戶根據(jù)選擇保證書(shū)提交，服務(wù)器接收到專用客戶端提交的證書(shū)后，調(diào)用證書(shū)驗(yàn)證模塊，完成用戶證書(shū)的驗(yàn)證； (e) 通過(guò)證書(shū)驗(yàn)證后，服務(wù)器調(diào)用證書(shū)解析模塊，解析用戶證書(shū)，獲取用戶信息，并根據(jù)用戶信息查詢?cè)L問(wèn)控制列表來(lái)決定是否授權(quán)訪問(wèn)，以實(shí)現(xiàn)對(duì)用戶的訪問(wèn)控制； (f) 身份認(rèn)證和訪問(wèn)控制通過(guò)后，用戶的專用客戶端和系統(tǒng)服務(wù)器之間建立 加密 安全通道，所有數(shù)據(jù)都是通過(guò) 加密 通道加密傳輸。證書(shū)的驗(yàn)證可使用 CRL 或 OCSP 來(lái)進(jìn)行有效性驗(yàn)證。通過(guò)證書(shū)驗(yàn)證，可以保證證書(shū)的真實(shí)性，保證使用該證書(shū)進(jìn)行的操作的有效性和不可抵賴性。 系統(tǒng)安全架構(gòu) 根據(jù)上述安全原理，采用證書(shū)應(yīng)用 開(kāi)發(fā) 接口 （ API） ，對(duì) C/S 架構(gòu)的 用戶 系統(tǒng) 進(jìn)行安全集成，系統(tǒng)安全架構(gòu)如下圖所示： 圖 18 系統(tǒng)安全集成框架圖 證書(shū)應(yīng)用開(kāi)發(fā)接口（ API） 如上圖所示 ，系統(tǒng)安全集成涉及的證書(shū)應(yīng)用接口包括： （ 1） 證書(shū)解析模塊（ CPM） 證書(shū)解析模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù)，用于解析 DER 或 PEM 編碼的 數(shù)字證書(shū)，將證書(shū)中的信息，包括用戶名、證書(shū)有效期、公鑰等信息分解為字符串。數(shù)據(jù)簽名模塊還提供隨機(jī)數(shù)產(chǎn)生的接口。 （ 3）信息抗抵賴性實(shí)現(xiàn)原理 對(duì)于 C/S 架構(gòu)的系統(tǒng)，數(shù)據(jù)傳輸?shù)目沟仲囆砸彩峭ㄟ^(guò)數(shù)字簽名技術(shù)來(lái)實(shí)現(xiàn)的，實(shí)現(xiàn) C/S 架構(gòu)系統(tǒng)的信息抗抵賴需要增加下列模塊： 圖 17 系統(tǒng)抗抵賴實(shí)現(xiàn)原理圖 ? 客戶端數(shù)據(jù)簽名模塊 客 戶端數(shù)據(jù)簽名模塊以動(dòng)態(tài)庫(kù)或控件的方式提供，專用客戶端軟件調(diào)。 ? 服務(wù)端證書(shū)驗(yàn)證模塊 服務(wù)端證書(shū)驗(yàn)證模塊以動(dòng)態(tài)庫(kù)或控件的方式提供，服務(wù)器端軟件調(diào)用實(shí)現(xiàn)的功能是完成對(duì)客戶端證書(shū)（用戶）證書(shū)的驗(yàn)證。在實(shí)現(xiàn)雙向身份認(rèn)證時(shí)，專用客戶端需要對(duì)證書(shū)進(jìn)行處理，包括完成服務(wù)器證書(shū)的驗(yàn)證，讓用戶選擇證書(shū)進(jìn)行提交等。為此，提供 證書(shū)應(yīng)用開(kāi)發(fā)接口（ API） 幫助用戶進(jìn)行證書(shū)功 能的集成 ，以下將從安全原理、安全構(gòu)架、證書(shū)應(yīng)用開(kāi)發(fā)接口（ API）和具體流程分別介紹應(yīng)用系統(tǒng)集成方案。 整個(gè)身份認(rèn)證 和簽名過(guò)程簡(jiǎn)單明了， 對(duì)于使用 者 來(lái)說(shuō)，在使用數(shù)字證書(shū)完成身份認(rèn)證 和數(shù)字簽名 時(shí)只需將保存有個(gè)人證書(shū)（私鑰）的 USB KEY 插入本地計(jì)算機(jī)，其它的提交、認(rèn)證、解析等過(guò)程完全由應(yīng)用程序在后臺(tái)完成，最終用戶根本感覺(jué)不到大的程度上方便了用戶的使用，在不增加最終用戶額外負(fù)擔(dān)的情況下更好保證了信息系統(tǒng)的安全性。用戶填寫(xiě)辦公數(shù)據(jù)（表單或文件），向系統(tǒng)服務(wù)器提交； ④ 此時(shí)，瀏覽器調(diào)用 PTA，對(duì)提交辦公數(shù)據(jù)進(jìn)行數(shù)字簽名。同時(shí)，要求用戶提交用戶證書(shū)； ③ 用戶瀏覽器自動(dòng)驗(yàn)證服務(wù)器證書(shū)，驗(yàn)證登錄的 信息系統(tǒng) 的真實(shí)性； ④ 用戶選擇保存在 USB KEY 上的用戶證書(shū)，進(jìn)行提交； ⑤ 信息系統(tǒng) Web 服務(wù)器驗(yàn)證用戶提交的用戶證書(shū)，判斷用戶的真實(shí)身份； ⑥ 用戶身份驗(yàn)證通過(guò)后， Web 服務(wù)器解析用戶證書(shū)，獲得用戶信息，根據(jù)用戶信息，查詢 信息系統(tǒng) 的訪問(wèn)控制列表（ ACL），獲取用戶的訪問(wèn)授權(quán)； ⑦ 獲得用戶的訪問(wèn)權(quán)限后，在 用戶瀏覽器和 信息系統(tǒng) 服務(wù)器之間建立 SSL連接，用戶可以訪問(wèn)到請(qǐng)求的資源，身份認(rèn)證和訪問(wèn)控制流程結(jié)束，用戶成功登錄 信息系統(tǒng) 。申請(qǐng)的用戶證 書(shū)代表了用戶的身份，登錄時(shí)必須提交用戶證書(shū)；在用戶向 信息系統(tǒng) 提交敏感數(shù)據(jù)，如財(cái)務(wù)數(shù)據(jù)、 征收 時(shí)，必須使用該用戶證書(shū)的私鑰進(jìn)行數(shù)字簽名；為了實(shí)現(xiàn)用戶的移動(dòng)辦公，保證用戶證書(shū)及其私有的安全，采用 USB KEY 來(lái)保存用戶的證書(shū)和私鑰； （ 3） 信息系統(tǒng) 服務(wù)器上配置服務(wù)端功能模塊 —— CPM（證書(shū)解析模塊），作為服務(wù)器的功能插件安裝在 信息系統(tǒng) 服務(wù)器上，解析用戶證書(shū)，獲用戶信息，根據(jù)用戶信息查詢 信息系統(tǒng) 配置的訪問(wèn)控制列表（ ACL），獲取用戶的訪問(wèn)權(quán)限，實(shí)現(xiàn)系統(tǒng)的訪問(wèn)控制； （ 4） 客戶端配置功能模塊 —— PTA（個(gè)人信任代理），以 COM 控 件的方式提供，配置在需要保證數(shù)據(jù)安全的 Web 頁(yè)面上，隨 Web 頁(yè)面下載并注冊(cè)，它使用用戶證書(shū)的私鑰對(duì)提交的表單數(shù)據(jù)進(jìn)行數(shù)字簽名； （ 5） 信息系統(tǒng) 服務(wù)器上配置服務(wù)端功能模塊 —— SVM（簽名驗(yàn)證模塊），以插件的方式提供給 信息系統(tǒng) 服務(wù)器，實(shí)現(xiàn)對(duì)用戶提交的數(shù)字簽名的驗(yàn)證； （ 6） 客戶端和 信息系統(tǒng) 服務(wù)器之間的所有數(shù)據(jù)通信都是通過(guò) SSL 安全通道進(jìn)行加密傳輸。同時(shí)，將通過(guò)的數(shù)據(jù)，傳輸給后臺(tái)應(yīng)用服務(wù)器，進(jìn)行相關(guān)的業(yè)務(wù)處理，并將數(shù)據(jù)及其字 簽名保存到數(shù)據(jù)庫(kù)中。數(shù)據(jù)簽名模塊的功能是使用用戶選擇的客戶端證書(shū)的私鑰對(duì)客戶端發(fā)送的數(shù)據(jù)進(jìn)行字簽名，保證據(jù)傳輸?shù)耐暾?，防止客戶端?duì)發(fā)送的數(shù)據(jù)進(jìn)行抵賴。 如下圖所示，實(shí)現(xiàn)本方案的設(shè)計(jì)需求需要增加下列模塊： 圖 13 信息抗抵 賴實(shí)現(xiàn)原理圖 ? 客戶端數(shù)據(jù)簽名模塊 客戶端數(shù)據(jù)簽名模塊以控件的方式提供。采字簽名技術(shù)，在用戶提交重要數(shù)據(jù)時(shí)，客戶端采用戶證書(shū)的私鑰，對(duì)數(shù)據(jù)進(jìn)行字簽名然后將數(shù)據(jù)及其簽名一起經(jīng)過(guò) SSL 通道發(fā)送給系統(tǒng) Web 服務(wù)器。 利用數(shù)字簽名技術(shù)，可以對(duì) 用戶 信息系統(tǒng) 進(jìn)行集成，用戶在成功登錄系統(tǒng)之后，系統(tǒng)已經(jīng)完成了對(duì)用戶的身份認(rèn)證和訪問(wèn)控制，用戶可以訪 問(wèn)到請(qǐng)求的資源或頁(yè)面，用戶可以進(jìn)行網(wǎng)上辦公。這樣，通過(guò)數(shù)字簽名和簽名驗(yàn)證，可以確定數(shù)據(jù)的確是數(shù)字證書(shū)的擁有者發(fā)送的，不能進(jìn)行抵賴。在進(jìn)行簽名驗(yàn)證時(shí)，是用數(shù)字書(shū)（即公鑰）來(lái)進(jìn)行驗(yàn)證，用公鑰解密數(shù)據(jù)，得到發(fā)送過(guò)來(lái)的摘要值，然后用相同算法對(duì)被簽名數(shù)據(jù)做摘要運(yùn)算，得到另一 個(gè)摘要值，將兩個(gè)摘要值進(jìn)行比較，如果相等，則數(shù)字簽名驗(yàn)證通過(guò)，否則驗(yàn)證無(wú)效。 （ 3）信息抗抵賴性實(shí)現(xiàn)原理 數(shù)字簽名技術(shù)是實(shí)現(xiàn)信息抗抵賴性的有效技術(shù)，本方案利用數(shù)字簽名實(shí)現(xiàn)用戶 信息系統(tǒng) 的信息抗抵賴性需求。 （ 2）信息機(jī)密性實(shí)現(xiàn)原理 信息機(jī)密性實(shí)現(xiàn)原理也是利用 SSL 技術(shù)來(lái)實(shí)現(xiàn)的，在用戶使用瀏覽器訪問(wèn) Web 服務(wù)器，完成雙向身份認(rèn)證，并完成對(duì)用戶訪問(wèn)控制之后，在用客端和服務(wù)器間建立安全的 SSL通道，會(huì)在用戶瀏覽器和 Web 服務(wù) 器之間協(xié)商一個(gè) 40 位或 128 位的會(huì)話密鑰。 ? 證書(shū)解析模塊 證書(shū)解析模塊以動(dòng)態(tài)庫(kù)的方式提供給各種 Web 服務(wù)器，它可以解析證書(shū)中包含的信息，用于提取證書(shū)中的用戶信息，根據(jù)獲得的用戶信息查詢?cè)L問(wèn)控 制列CA系統(tǒng)應(yīng)用安全解決 方案 第 21頁(yè) 共 29頁(yè) 表（ ACL），獲取用戶的訪問(wèn)權(quán)限，實(shí)現(xiàn)系統(tǒng)的訪問(wèn)控制。 ? 用戶證書(shū) 用戶證書(shū)由 CA 認(rèn)證中心頒發(fā)給企業(yè)內(nèi)用戶，在用戶證書(shū)內(nèi)標(biāo)識(shí)了用戶的身份信息、用戶的公鑰以及 CA 對(duì)證書(shū)相關(guān)域內(nèi)容的數(shù)字簽名，用戶證書(shū)都有一個(gè)有效期。服務(wù)器證書(shū)都有一個(gè)有效期， Web 服務(wù)器需要使能 SSL 功能的前提是必須擁有服務(wù)器證書(shū)，利用服務(wù)器證書(shū)來(lái)協(xié)商、建立安全 SSL安全通道。 如下圖所示，除了系統(tǒng)中已有的客戶端瀏覽器、 Web 服務(wù)器外，要實(shí)現(xiàn)基于 SSL的身份認(rèn)證和訪問(wèn)控制安全原理，還需要增加下列模塊： 圖 12 身 份認(rèn)證和訪問(wèn)控制原理圖 ? Web服務(wù)器證書(shū) 要利用 SSL技術(shù)，在 Web 服務(wù)器上必需安裝一個(gè) Web 服務(wù)器證書(shū)，用來(lái)表明服務(wù)器的身份，并對(duì) Web 服務(wù)器的安全性進(jìn)行設(shè)置，使能 SSL 功能。驗(yàn)證通過(guò)后，服務(wù)器會(huì)解析客戶端證書(shū)，獲取用戶信息并根據(jù)查詢?cè)L問(wèn)控制列表來(lái)決定是否授權(quán)訪問(wèn)。其次，服務(wù)器會(huì)要求用戶出示客端證書(shū)CA系統(tǒng)應(yīng)用安全解決 方案 第 20頁(yè) 共 29頁(yè) （即用戶 證書(shū)），服務(wù)器完成客戶端證書(shū)的驗(yàn)證，來(lái)對(duì)用戶進(jìn)行身份認(rèn)。采用 SSL技術(shù)，在用戶使用瀏覽器訪問(wèn) Web 服務(wù)器時(shí)，會(huì)在客戶端和服務(wù)器之間建立安全的SSL 通道。 B/S 架構(gòu)系統(tǒng)安全原理 （ 1）身份 認(rèn)證 和訪問(wèn)控制實(shí)現(xiàn)原理 由于 用戶 B/S 架構(gòu)的 系統(tǒng) ，利用 Web 服務(wù)器對(duì) SSL（ Secure Socket Layer，安全套接字協(xié)議）技術(shù)的支持，可以實(shí)現(xiàn)系統(tǒng)的身份認(rèn)證和訪問(wèn)控制安全需求。缺省情況下用戶可以使用口令或智能卡中的任一種方式登錄到域，管理員可以設(shè)置特定的用戶只能使用智能卡登錄到域。用戶登錄后即出現(xiàn)標(biāo)準(zhǔn)的用戶桌面，用戶即可象往常一樣使用 Windows。 圖 9 客戶機(jī)域登錄界面 用戶在計(jì)算機(jī)上插入智能卡后，計(jì)算機(jī)會(huì)自動(dòng)要求用戶輸入智能卡保護(hù)口令（稱為 PIN）。另外，一般情況下，智能卡在 連續(xù)登錄失敗三次后，會(huì)自動(dòng)死鎖，這樣即使其他人獲得了他人的智能卡，如果不知道卡的保護(hù)口令，也無(wú)法通過(guò)猜口令使用智能卡登陸到域。 Windows 域的使用者必須同時(shí)物理?yè)碛姓_的智能卡和相應(yīng)的卡保護(hù)口令（也稱為個(gè)人身份識(shí)別碼， PIN）才能正常使用智能卡登錄到域。除進(jìn)行網(wǎng)站登錄功外，用戶還可以使用這個(gè)證書(shū)簽發(fā)安全郵件及進(jìn)行其他安全應(yīng)用。一個(gè)典型的證書(shū)遵循 X509 標(biāo)準(zhǔn)，上面包含了證書(shū)持有者名稱、證書(shū)簽發(fā)機(jī)構(gòu)名稱、證書(shū)有效期、證書(shū)序列號(hào)、證書(shū)簽發(fā)機(jī)構(gòu)簽發(fā)及其 它證書(shū)相關(guān)信息?？ㄊ街悄芸ㄐ枰獙Ｓ米x卡器才能使用，相對(duì)來(lái)說(shuō)每張卡片成本較低； UsbKey 則不需要讀卡器，在任何具有 Usb 接口的機(jī)器上皆可使用。 智能 卡及數(shù)字證書(shū) 為了提高安全性， Windows 2020 操作系統(tǒng)提供了基于數(shù)字證書(shū)的智能卡域登錄方式。 CA系統(tǒng)應(yīng)用安全解決 方案 第 17頁(yè) 共 29頁(yè) 圖 7 域登錄流程示意圖 以下是典型的 Windows 域登錄過(guò)程。 域登陸 Windows 域登錄是指 Windows 用戶從 Windows 工作站以域用戶的身份登錄到Windows 中的過(guò)程。 VPN 證書(shū)應(yīng)用 根據(jù)以往的 VPN 證書(shū)應(yīng)用經(jīng)驗(yàn)，證書(shū) 的應(yīng)用流程主要有： （ 1） 登錄 CA 服務(wù)器，下載 VPN 根證書(shū)，將 CA 根證書(shū) 上傳到設(shè)備系統(tǒng)中； （ 2） 為 VPN 設(shè)備申請(qǐng)?jiān)O(shè)備證書(shū)，將設(shè)備證書(shū)上傳到 VPN 設(shè)備中； 配置 VPN 設(shè)備中使用證書(shū)的身份認(rèn)證方式和加密方式等的參數(shù)； （ 3） 為用戶申請(qǐng)用戶證書(shū)，將證書(shū)保存在 USB KEY 中； 并配置客戶端程序，使 VPN系統(tǒng)使用證書(shū)進(jìn)行登錄身份認(rèn)證； （ 4） 用戶在登錄系統(tǒng)時(shí)，跟原來(lái)的流程一樣， VPN 系統(tǒng)自動(dòng)通過(guò)證書(shū)驗(yàn)證用戶端額身份，根據(jù)用戶的權(quán)限建立相應(yīng)的連接；并通過(guò)證書(shū)來(lái)交換 VPN 加密通道的 會(huì)話密鑰 ； （ 5） 整個(gè)認(rèn)證過(guò)程采用證書(shū)進(jìn)行用戶身份認(rèn)證，并使用證書(shū)交換會(huì)話密鑰，增強(qiáng)了系統(tǒng)的安全性。 IPSec 能夠利用驗(yàn)證及加密用的 VPN 證書(shū)，將兩個(gè)網(wǎng)絡(luò)層對(duì)等起來(lái)，如兩個(gè)路由CA系統(tǒng)應(yīng)用安全解決 方案