【正文】 架構(gòu)是不同的。能夠發(fā)放包括郵件證書、個人身份證書、企業(yè)證書、服務(wù)器證書、代碼簽名證書和 VPN 證書等各種類型的證書； C. 靈活的認(rèn)證體系配置。使用高強(qiáng)度密碼保護(hù)密鑰，支持加密機(jī)、智能卡、 USB KEY 等硬件設(shè)備以及相應(yīng)的網(wǎng)絡(luò)產(chǎn)品（證書漫游產(chǎn)品）來保存用戶的證書； E. 高擴(kuò)展性。 F. 易于部署與使用。 G. 高兼容性。 CA系統(tǒng)應(yīng)用安全解決 方案 第 5頁 共 29頁 認(rèn)證體 系設(shè)計 認(rèn)證體系是指證書認(rèn)證的邏輯層次結(jié)構(gòu)，也叫證書認(rèn)證體系。 認(rèn)證體系理論上可以無限延伸，但從技術(shù)實現(xiàn)與系統(tǒng)管理上，認(rèn)證層次并非越多越好。證書認(rèn)證的速度也會變慢。 本方案設(shè)計的 用戶 的 CA 認(rèn)證系統(tǒng)采用如下圖所示的認(rèn)證體系： 圖 2 用戶 CA 認(rèn)證體系圖 如圖所示，認(rèn)證體系采用 3 層結(jié)構(gòu)： ? 第一層是自簽名的 用戶 根 CA，是處于離線狀態(tài)的，具有 用戶 的權(quán)威性和品牌特性。 ? 第三層為用戶證書，由 用戶 子 CA 簽發(fā)，從用戶證書的證書信任鏈中可以看出整個 用戶 的 CA 認(rèn)證體系結(jié)構(gòu)，用戶證書在 用戶 的應(yīng)用范圍內(nèi)受到信任。 CA系統(tǒng)應(yīng)用安全解決 方案 第 6頁 共 29頁 （ 2） 具有很好的可擴(kuò)展性 如圖所示體系具有很好的可擴(kuò)展性，采用三層結(jié)構(gòu)為體系的擴(kuò)展預(yù)留了空間（因為大多數(shù)應(yīng)用都只支持四層以下），根據(jù) 用戶 實際應(yīng)用需求，將來可以在子CA 下，簽發(fā)下級子 CA；或者針對別的應(yīng)用再簽發(fā)子 CA 這樣，使得 用戶 CA 認(rèn)證體系具有很好的可擴(kuò)展性。雖然從技術(shù)上認(rèn)證體系支持無限擴(kuò)展，但是層次越多，技術(shù)實現(xiàn)越復(fù)雜，管理的難度也增大。這樣，使得用戶 CA 認(rèn)證體系具有很好的可操作性。系統(tǒng)網(wǎng)絡(luò)架構(gòu)如下圖所示： 圖 3 CA 系統(tǒng)網(wǎng)絡(luò)架構(gòu) 示意 圖 如圖所示，將 iTrusCA 系統(tǒng)的 CA 認(rèn)證中心和 RA 注冊中心各模塊安裝在 CA 服務(wù)器上，為了保證系統(tǒng)的安全， CA 服務(wù)器必須位于安全的區(qū)域，即采用防火墻與外界進(jìn)行隔離。管理員 （包括CA 管理員和 RA 管理員 ，可以是同一個管理員擔(dān)任 ）使用瀏覽器，訪問 CA 服務(wù)器，進(jìn)行證書管理和 CA 管理。 USB KEY 是以 USB 為接口的存儲設(shè)備，它便于攜帶和使用，可以實現(xiàn)在所有的機(jī)器（具有 USB 接口）上的漫游，可以滿足 用戶 移動辦公的需求。 為了在發(fā)生 USB KEY 丟失等情況時 ，私鑰 可以 恢復(fù)或者還可以 用私鑰 解密以前的加密郵件，在申請證書時，密鑰對可以在系統(tǒng)中產(chǎn)生 而不是在 USB KEY 中產(chǎn)生 ， 當(dāng)證書 申請成功后，再將私鑰 和證書 導(dǎo)入到 USB KEY 中；同時系統(tǒng)可以以文件的形式保留私鑰 和證書的備份，這就提供了在 USB KEY 丟失時對用戶私鑰和證書的保護(hù)措施。用戶訪問 CA 認(rèn)證系統(tǒng)，提交證書申請請求，申請數(shù)字證書； RA 管理員訪問管理員站點，審查和批準(zhǔn)用戶的證書申請請求； CA 認(rèn)證中心根據(jù) RA 管理 員的批準(zhǔn)，簽發(fā)用戶證書，并將數(shù)字證書發(fā)布到目錄服務(wù)器中。 （ 2）證書生命周期管理 通過 CA 認(rèn)證系統(tǒng)，可以實現(xiàn)證書的生命周期管理，包括： ? 證書申請 最終用戶使用瀏覽器，訪問 CA 認(rèn)證系統(tǒng)，可以進(jìn)行證書申請，在線提交證書申請請求； ? 證書批準(zhǔn) 管理員登錄管理員站點，完成證書批準(zhǔn)功能可以查看和審最終用戶的證書申請請求； ? 證書查詢 最終用戶可以通過 CA 認(rèn)證系統(tǒng)，查詢自己或別人的數(shù)字證書； ? 證書下載 通過 CA 認(rèn)證系統(tǒng)，可以下載簽發(fā)的數(shù)字證書； ? 證書吊銷 最終用戶在使用證書期間，有可能 會出現(xiàn)一些問題，如：證書丟失、忘記密碼等，最終用戶就需要將原證書吊銷。 （ 3） CRL 服務(wù)功能 CA 認(rèn)證系統(tǒng)支持證書黑名單列表（ CRL）功能，能夠配置指定 RA 的 CRL 下載地點及 CRL發(fā)布時間。 （ 4）目錄服務(wù)功能 CA 認(rèn)證系統(tǒng)支持目錄服務(wù)，支持 LDAP V3 規(guī)范， CA 認(rèn)證系統(tǒng)在簽發(fā)用戶證書時或者對證書進(jìn)行吊銷處理時，會及時更新目錄內(nèi)容。 （ 5） CA 管理功能 CA 認(rèn)證系統(tǒng)具有完善的 CA 管 理功能，包括： ? 管理員管理 ? RA 管理員管理，包括初始化 RA 管理員申請、增加 RA 管理員、刪除 RA 管理員； ? CA 管理員管理，包括初始化 CA 管理員申請、后續(xù) CA 管理員證書申請、吊銷 CA 管理員證書。 ? 策略管理 ? 證書策略配置管理，高度靈活和可擴(kuò)展的配置 CA 所簽發(fā)證書的有效期、主題、擴(kuò)展、版本、密鑰長度、類型等方面； CA系統(tǒng)應(yīng)用安全解決 方案 第 9頁 共 29頁 ? RA 策略配置管理，包括語言、聯(lián)系方法、證書類型、是否發(fā)布到LDAP 等； ? CA 策 略配置管理，包括證書 DN 重用性檢查、 CA 別名設(shè)置等。 （ 7） CA 密鑰管理 系統(tǒng)支持 CA 密鑰管理功能，包括： ? CA 密鑰產(chǎn)生和存儲（軟件與硬件）； ? CA 證書（包括根 CA 和子 CA）的產(chǎn)生和管理； ? CA 密鑰歸檔與備份。文件加 /解密模塊可以產(chǎn)生隨機(jī)數(shù)密鑰對文件進(jìn)行加密，以及使用輸入的密鑰對文件進(jìn)行解密；ActiveX 控件由用戶訪問相關(guān)網(wǎng)頁時下載到客戶端瀏覽器中，實現(xiàn)使用本地的證書（私鑰）對文件進(jìn)行數(shù)字簽名，以及對簽名進(jìn)行驗證。 ? 數(shù)據(jù)簽名驗證模塊（ SVM） CA系統(tǒng)應(yīng)用安全解決 方案 第 10頁 共 29頁 數(shù)據(jù)簽名及驗證模塊是一系列平臺下的動態(tài)鏈接庫或插件，可以應(yīng)用于客戶端和服務(wù)器端，實現(xiàn)對傳輸數(shù)據(jù)的數(shù)字簽名，和對數(shù)字及其證書進(jìn)行驗。 系統(tǒng)工作流程 設(shè)計 （ 1）證書發(fā)放流程 本方案設(shè)計的 用戶 CA 認(rèn)證系統(tǒng) 的證書發(fā)放采用 集中發(fā)證 的方式， 即由管理員集中申請好證書，保存在 USB KEY 中，發(fā)放給用戶使用。在本地（本地的 USB KEY 上）產(chǎn)生證書的公私鑰對，并將公鑰和用戶信息一起作為證書申請請求，提交給 CA 認(rèn)證系統(tǒng)； (b) CA 認(rèn)證系統(tǒng)根據(jù) 管理員提交的證書申請請求，批準(zhǔn)并 簽發(fā)用戶證書，將用戶證書發(fā)布到數(shù)據(jù)庫中。 （ 2） 證書吊銷 流程 在用戶證書的私鑰受到威脅、或者用戶私鑰丟失時，需要吊銷用戶的證書， 根據(jù) 用戶 信息系統(tǒng) 的應(yīng)用情況，本方案設(shè)計證書吊銷由管理員進(jìn)行，其工作流程如下： CA系統(tǒng)應(yīng)用安全解決 方案 第 11頁 共 29頁 (a) 管理員在發(fā)現(xiàn)用戶違反使用規(guī)定，或者用戶自己向管理員發(fā)送郵件，請求吊銷自己的證書時，管理員訪問 CA 認(rèn)證系統(tǒng)管理員模塊，進(jìn)行用戶證書吊銷用戶； (b) 管理員通過證書管理功能頁面，查詢到需要吊銷的用戶證書； (c) 管理員選擇吊銷操作，選擇吊銷用戶證書的原因，向 CA 認(rèn)證系統(tǒng)發(fā)送證書吊銷請求； (d) CA 認(rèn)證系統(tǒng)根據(jù)管理員的證書吊銷請求，自動的吊銷用戶的證書，并將吊銷的用戶證書發(fā)布到證書吊銷列表中，同時對數(shù)據(jù)庫中保存的用戶證書的最新狀態(tài)進(jìn)行更新； (e) CA 認(rèn)證系 統(tǒng)給管理員返回證書吊銷成功信息，同時給用戶發(fā)送電子郵件，告訴用戶證書已經(jīng)被吊銷，不能再使用自己的證書。在提交證書更新請求時，在 USB KEY 中，重新產(chǎn)生更新證書的公私鑰對，將公鑰和即將過期的證書一起，作為證書更新請求，提交給 CA 認(rèn)證系統(tǒng) ； (d) CA 認(rèn)證系統(tǒng)自動批準(zhǔn)證書更新請求，自動更新用戶證書，將更新的證書發(fā)布到目錄服務(wù)器，同時將更新證書返回到用戶端，自動保存到 USB KEY 中。嚴(yán)格遵循這些標(biāo)準(zhǔn)，使得系統(tǒng)具有很好的開放性，能夠與各種應(yīng)用結(jié)合CA系統(tǒng)應(yīng)用安全解決 方案 第 12頁 共 29頁 成為真正的安全基礎(chǔ)設(shè)施。將來 根據(jù) 用戶 的 需要 ， 可以 進(jìn)行擴(kuò)展，通過 靈活配置 可以簽發(fā) 企業(yè)證書、服務(wù)器證書、代碼簽名證書和 VPN 證書等。 （ 4） 注冊機(jī)關(guān)（ RA）建設(shè)方式多樣化 本方案設(shè)計的 CA 認(rèn)證系統(tǒng)采用一個 RA 的配置，根據(jù) 用戶 的要求，將來可以配置多個 RA 和多級 RA， RA 界面風(fēng)格可定制。 （ 6） 高擴(kuò)展性 根據(jù)客戶需要，對系統(tǒng)進(jìn)行配置和擴(kuò)展，能夠發(fā)放各種類型的證書；系統(tǒng)支持多級 CA，支持交叉 CA；系統(tǒng)支持多級 RA。 （ 8） 高兼容性 支持 Windows、 Linux、 Solaris 等多種操作系統(tǒng)； 支持多種加密設(shè)備：軟加密庫、山大加密機(jī)和天融信加密機(jī)等； 支持多種數(shù)據(jù)庫： Oracle 和 SQL server 等； 支持多種證書存儲介質(zhì)：硬盤、 USB KEY 和智能卡等 5 應(yīng)用 系統(tǒng) 安全集成方案 本方案主要目的是解決 用戶 應(yīng)用 系統(tǒng) 的 安全 問題， 采用 iTrusCA 系統(tǒng)利用數(shù)字證書在不增加用戶 額外負(fù)擔(dān)的情況 下更好的保證了身份認(rèn)證系統(tǒng)的安全性，以下將從安全原理、安全構(gòu)架 和具體 應(yīng)用 流程 等方面入手，針對用戶中常見的一些應(yīng)用系統(tǒng)， 介CA系統(tǒng)應(yīng)用安全解決 方案 第 13頁 共 29頁 紹 我們的 應(yīng)用系統(tǒng)集 成方案 。 ? 對電子郵件進(jìn)行簽名，使得接收方可以確認(rèn)該電子郵件 是由發(fā)送方發(fā)送的，并且在傳送過程中未被篡改。想對郵件進(jìn)行簽名和加密，只需要按下“簽名”和“加密”按鈕就可以了，系統(tǒng)后臺使用您的證書所對應(yīng)的私鑰對郵件進(jìn)行簽名，再使用接收者的證書的公鑰對郵件進(jìn)行加密；在收到郵件時，系統(tǒng)自動使用您的證書所對應(yīng)的私鑰對郵件進(jìn)行解密和并自動使用發(fā)送者的公鑰驗證發(fā)送者的簽名，并提示接收者郵件的安全情況，沒出現(xiàn)安全問題，直接打開郵件，當(dāng)出現(xiàn)安全問題時，則提示郵件接收者，郵件什 么地方存在安全隱患，如上圖所示。證書的加密和驗證數(shù)據(jù)在這些設(shè)備之間進(jìn)行傳送，產(chǎn)生了一個安全的虛擬專用網(wǎng)絡(luò)。對于不使用證書的方式建立的 VPN 存在下列風(fēng)險： CA系統(tǒng)應(yīng)用安全解決 方案 第 15頁 共 29頁 （ 1） 不使用證書的方式建立 VPN 時，是基于“用戶名 和口令”的認(rèn)證，我們知道“用戶名和口令”的認(rèn)證強(qiáng)度低，存在很多安全弱點，無法滿足 較高的 安全需求； （ 2） 其次，不使用證書的方式存在 VPN 密鑰分發(fā)的困難， VPN 密鑰是一個對稱密鑰，用來對 VPN 鏈路層數(shù)據(jù)的加密。但是這種方式的對稱密鑰的安全性不高，很容易被泄漏。 為此， VPN 應(yīng)用引入了證書，來解決不使用證書方式存在的安全隱患： （ 1） VPN 證書（包括 VPN 設(shè)備證書和 VPN 用戶證書）是 VPN 設(shè)備和用戶的護(hù)照，表明設(shè)備和用戶的身份，基于數(shù)字證書的身份認(rèn)證是一種強(qiáng)身份認(rèn)證，完全可以滿足應(yīng)用的身份認(rèn)證需求； （ 2） 使用 VPN 證書（包括 VPN 設(shè)備證書和 VPN 用戶證書）可以實現(xiàn)協(xié)商會話密鑰，在進(jìn)行數(shù)據(jù)通信時，發(fā)送方產(chǎn)生會話密鑰，對發(fā)送數(shù)據(jù)進(jìn)行加密，然后使用接收者的證書（公鑰）加密會話密鑰。 ? 二是 VPN 設(shè)備證書，是標(biāo)準(zhǔn)的 證書，存放在 IPSec 設(shè)備中，如帶有 VPN功能的路由器、防火墻內(nèi)，由設(shè)備的 VPN 功能模塊來配置、管理。有了 VPN 證書，客戶可在開放的、不安全的 Inter 上構(gòu)建安全虛擬專用網(wǎng)，實現(xiàn)各分支機(jī)構(gòu)、合作伙伴和遠(yuǎn)端用戶之間的安全數(shù)據(jù)通訊。 IPSec 是一套支持 IP 包安全交換的協(xié)議，不像 SSL 那樣在應(yīng)用層運行， IPSec 在IP 網(wǎng)絡(luò)層中運行，對 IP 包進(jìn)行加密。通過本方案設(shè)計的 CA 認(rèn)證系統(tǒng)可以簽