XX身份認證系統專業(yè)技術方案

1、*身份認證系統技術方案1. 概述 31.1 前言 31.2 身份認證系統用戶認證需求描述 31.3 身份認證系統認證解決之道 41.3.1 身份認證系統的模式 51.3.2 建立身份認證系統 51.3.3 證書在身份認證系統上的安全應用 62. 詳細設計方案 72.1 身份認證系統 72.2 產品設計原則 72.2.1 認證系統的設計原則 72.2.2 網絡環(huán)境設計原則 82.3 功能模塊架構 92.4 身份認證系統功能簡介 112.5 身份認證系統安全性分析 132.5.1 本系統安全性保護的必要性 132.5.2 安全性要求 132.5.3 安全性設計原則 142.5.4 安全性設計方案

2、142.6 身份認證系統應用開發(fā)接口 162.6.1 身份認證系統接口函數 162.6.2 API 與身份認證系統結合開發(fā)應用系統 162.7 身份認證系統使用案例 173. 系統配置 193.1 設備配置 191. 概述1.1 前言隨著網絡技術的高速發(fā)展，個人和企業(yè)將越來越多地把業(yè)務活動放到網絡 上，因此網絡的安全問題就更加關鍵和重要。據統計，在全球范圍內，由于信息 系統的脆弱性而導致的經濟損失，每年達數十億美元，并且呈逐年上升的趨勢。利用數字證書、PKI、對稱加密算法、數字簽名、數字信封等加密技術，可 以建立起安全程度極高的身份認證系統， 確保網上信息有效、 安全地進行， 從而 使信息除發(fā)

3、送方和接收方外，不被其他方知悉（ 保密性 ）；保證傳輸過程中不被 篡改（ 完整性和一致性 ）；發(fā)送方確信接收方不是假冒的（ 身份的真實性和不可 偽裝性）；發(fā)送方不能否認自己的發(fā)送行為（ 不可抵賴性 ）。本方案根據 * 的業(yè)務流程、管理模式的實施方案，充分運用現代網絡信 息技術及CA認證體系，建立*身份認證系統，并可作為公務網 CA的配套系 統。1.2 身份認證系統用戶認證需求描述在* 業(yè)務發(fā)展過程中，為了更好的實現數據資源共享，充分發(fā)揮 信息化對 * 系統發(fā)展的促進作用， * 將綜合開發(fā)一套身份認 證系統對目前的用戶身份進行管理， 為社會、相關職能部門以及各級機構提供服 務。在此系統的開發(fā)應用

4、過程中，一個重要的任務是解決如何對應用系統用戶 進行身份認證從而確保數據的安全。 下面將針對在此系統的開發(fā)應用中對用戶身 份認證所做的需求加以說明。整個系統的邏輯結構如圖 1 所示：圖 1：系統邏輯結構示意圖如圖 1 示，整個系統涉及了應用服務器、證書服務器以及相應的客戶端。 系統運作流程簡述如下：客戶端訪問應用服務器，應用服務器向認證服務器發(fā)出認證請求； 認證服務器完成對用戶身份的認證并將與該用戶相對應的認證信息 返回相應的應用服務器； 用戶在通過認證之后獲得在應用服務器獲得相應的授權，從而可以 對應用系統進行相應的訪問。所提交的認證系統在滿足上述流程之外需要提供應用開發(fā)接口，滿足與應 用服

5、務器之間的交互。 這是將認證系統集成到整個身份認證系統的基礎條件， 使 得后續(xù)的開發(fā)工作能夠利用認證信息做進一步的數據處理?？紤]到平臺的兼容 性，應用系統開發(fā)方可以開發(fā)一個統一的接口程序與認證系統進行交互。 另外還 有如下幾點要求需注意： 認證服務器的用戶信息需要依據數據庫服務器中的用戶信息為基 礎； 對于客戶端的身份認證最好采用硬件方式； 客戶端通過廣域網連接到認證服務器，要求認證服務器是能夠面向 廣域網用戶的； 客戶端數量可以按 250 用戶計算； 提供認證系統的安全模式說明，詳細介紹如何確保系統的安全； 系統對認證系統的操作系統平臺無特殊要求。1.3 身份認證系統認證解決之道根據身份認證

6、系統的設計原則，系統安全需要解決如下幾個方面的問題： 數據的保密性。包括數據靜態(tài)存儲的保密性和數據傳輸過程中的保 密性； 有效的身份認證和權限控制。系統中的各個授權人員具有其特定級 別的權限，可以進行該權限的操作，無法越權操作；操作者事后無 法否認其進行的操作；未授權人員無法進入系統。我們建議利用業(yè)界行之有效的高強度的加解密技術和身份認證技術保證身 份認證系統的安全，上海CA中心的數字身份認證系統可以為用戶提供解決辦法。 身份認證系統主要負責證書管理，保證系統安全不間斷地提供證書的申請和作 廢，提供用戶信息和證書的備份和歸檔，保證系統數據的完整性。如何解決身份認證系統的安全性是我們關心的最大問

7、題，結合身份認證系 統，我們設計如下的應用模式：1.3.1 身份認證系統的模式首先我們來看一下身份認證系統的模式： 中心向操作員發(fā)放數字證書； 用戶使用數字證書登陸，經身份驗證后，進入身份認證系統，填寫 或修改表單并提交； 系統對表單進行處理，然后提交、登記身份認證系統。1.3.2 建立身份認證系統身份認證系統以及與其發(fā)生業(yè)務的部門通過網絡和數字證書建立安全可靠 的身份認證系統。身份認證系統以及客戶和部門申請數字證書，其申請數字證書的方式詳見 以下章節(jié)的多種可選方案。身份認證系統以及客戶和部門申請到了標識其身份的數字證書文件和對應 的私鑰文件。在此將證書信息文件稱為 UserCert.der

8、，私鑰信息文件稱為 UserKey.key。證書的存儲介質是帶有算法的 USBKE。在 我 們 的 身 份 認 證 系 統 提 供 支 持 多 種 平 臺 的 證 書 應 用 接 口 API(Application Programmi ng In terface )，WINDOWS 臺以 DLL 的形式提供，各 種UNIX平臺以“ .a ”庫的形式提供。利用該 API，應用系統可以很方便的將數 字證書應用嵌入到業(yè)務系統之中。上海CA中心同時在客戶端提供 ActiveX控件和JavaApplet開發(fā)接口應用 服務器端同時提供動態(tài)連接庫，COM&件和JavaBean開發(fā)接口。1.3.3 證

9、書在身份認證系統上的安全應用以下假設向身份認證系統發(fā)訂單，利用數字證書的一次數據流程。身份認應用系統平臺 UserCert.der 應用系統平臺 UserKey.key 操作員 UserCert.der證系統的服務器和操作員計算機各自申請一張標識其身份的數字證書， 即具有其 對應的證書文件，私鑰文件。這樣，通過自己計算機上的 IE瀏覽器可以安全的 訪問身份認證系統。根據以上數據傳輸過程，可以完全保證數據傳輸的保密性、完整性、身份 認證和不可抵賴性。同理諸多運行在身份認證系統上的信息流都可以通過加密技 術、數字簽名技術以身份認證形式、安全電子郵件形式或文檔形式進行安全。2. 詳細設計方案2.1

10、身份認證系統身份認證系統是在實際運作過程中， 根據用戶需求開發(fā)的一套內網數字身份 認證解決方案套件。 該系統可以作為公務網身份認證系統的配套產品適用于接入 公務網的各委、辦、局、區(qū)縣的內網應用系統中。該系統將主要針對內網的應用 系統，同時結合公務網身份認證系統的特點和需求， 向辦公內網提供本地證書庫、 本地證書管理、本地證書目錄、本地證書管理、CRL查詢等服務。該套系統的API提供了與身份認證系統配合使用的 WEB安全套件，為 WEB 應用提供全方位的身份認證服務。包括 UniTrust 登錄、 UniTrust 退出、對表單 進行簽名、對表單進行驗證、對數據進行加密、解密、對信息進行時間標記

11、和時 間驗證、以及身份信息控制。可以滿足 5 分鐘內 500個并發(fā)用戶的驗證要求。2.2 產品設計原則認證系統的設計原則身份認證系統在設計時， 從系統建設的近期和長遠目標來綜合考慮在設計中 遵循了規(guī)范性、安全可靠性、實用性、擴展性、經濟性、易用性和業(yè)務獨立性等 原則。并在以上原則中著重考慮了：安全性安全性是認證系統最為關注的問題，也是認證系統設計及建設中的關鍵，它 包括 Browser 與 Server 間信息傳遞的安全控制，訪問系統的安全控制，系統數 據的可追溯性。 認證系統有完整的安全策略控制體系以實現安全控制。 其關鍵技 術包括網頁簽名技術， 身份認證及信息加密技術， 可保證系統間信息傳

12、遞的安全， 訪問系統的安全控制。規(guī)范性標準和規(guī)范是認證系統設計中的重要內容，這里所說的規(guī)范性，是指認證 系統設計及建立過程的規(guī)范性。 目前有關認證系統的實際應用有著多種相關的規(guī) 范，如 X.509 ，PKCS10 ，PKCS7 ，PKCS12 等。不同的用戶及系統在使用認證 系統及證書時往往都按照相關的規(guī)范調用。 同時良好的規(guī)范也保證了身份認證系 統協調工作時的方便性和準確性。可擴展性 認證系統方案設計中，每個層次的設計采用模塊化設計，可根據用戶的不同 需要發(fā)展進行靈活擴展。 如，在數字證書中加入自定義擴展項， 從而使政府用戶 可在證書中加入相應的工作證號等信息。特別是證書系統采用了 B/S

13、中的多層設計思想， 使得系統可實現對于不同用 戶的定制服務，可以方便地實行對應用的控制與更新。易管理性系統的易管理性是證書認證系統的一個重要特點， 系統對應提供多套管理系 統，可對系統各個層次進行管理。并可對一些經常性的統計工作提供基于 Web 的管理。2.2.2 網絡環(huán)境設計原則我們在作產品系統實施方案時充分考慮了網絡的高性能、 可靠性，可擴充性， 以便支持以后網絡分階段升級的需要，保護原有投資。為此，遵循了以下原則： 先進性和實用性盡可能采用國際上先進的技術和設備，使產品系統具有良好的性能，不僅能 滿足當前認證系統的需要，還要滿足未來 3 至 5 年的需要。對一些目前不重要 的部分，則以經

14、濟實用為主，但要為以后的擴充打下基礎。高可靠性采用成熟的先進技術， 關鍵部件和線路有足夠備份， 有必要的冗余容錯能力， 如出了故障，要能及時指出故障點及故障原因。較強的擴充性能產品提供了很多于應用相連結的標準函數借口，能與將來的先進技術相結合，保護現有投資，保證系統能隨時加入新的功能模塊， 保證有關軟件能順利升 級和擴充。良好的安全保密措施由于此產品是一套獨立的身份認證系統， 為了確保系統的安全保密措施和系 統的大范圍適用性，我們提供了軟硬件一體機，通過訪問控制、及為用戶設置權 限等措施，防止非法侵入。2.3功能模塊架構應用系統Safee ngineSafeE ngi ne證書管理器身份認證系

15、統系統初始化/系統管理/用戶管理/證書管理/用戶自服務/系統服務證書編碼OCSP/CRL等編碼簽發(fā)證書/黑名單/OCSP等用戶信息管理證書信息管理編碼加解密數據庫Hardware身份認證系統特性身份認證系統支持平臺身份認證系統充分發(fā)揮硬件的特性，便于管理和維護。減少人為干預兼容的應用軟件和操作系統身份認證系統可與以下軟件協同工作客戶端應用程序：Netscape NavigatorNetscape CommunicationMicrosoft Internet ExploerUniTrust SafeEngine, UniTrust 證書管理器各種WE曲艮務器：MicroSoft IIS Web

16、ServerNetscape EnterpriseApacheJava WebServerDomino統一的管理界面身份認證系統的操作管理都基于 WEB頁面，有效降低維護的成本。支持各種介質身份認證系統支持用戶證書存放在軟盤、IC卡、USB棒以及服務器。嚴格的權限控制 身份認證系統分為系統管理員、系統操作員、系統用戶和匿名用戶四個級別 用戶。系統管理員對系統的運行負責， 但不能接觸任何用戶數據， 同時必須超過 半數的系統管理員到場時才能進入系統管理模式。操作員僅能對用戶進行操作， 不能影響系統的運行。 用戶僅能對自己的數據進行操作， 不能修改他人數據。 匿 名用戶提供公用的服務，如下載他人證書

17、、根證書、下載黑名單等。所有的認證 方式均采用數字認證方式進行，確保系統安全。私鑰保護身份認證系統對私鑰進行嚴格的保護，對所有存放在身份認證系統上的私 鑰，采用多重加密方式， 同時身份認證系統采用硬件機， 無人可以直接獲得身份 認證系統上的數據。日志 身份認證系統提供詳盡的日志功能。包括系統日志和用戶日志。系統日志主 要提供所有系統管理員、系統操作員、用戶對系統信息、或證書信息的操作。系 統管理員可以通過日志查詢獲得系統的狀態(tài)。歷史信息查詢 身份認證系統提供國內首創(chuàng)（專利號）的技術，用戶歷史信息查詢。歷史信 息包括用戶的證書申請歷史和證書使用信息。 證書申請信息包括用戶申請證書的 記錄申請時間

18、、 批準或駁回、 更新時間、作廢時間、上一張證書、下一張證書等。 用戶證書使用信息查詢包括證書被驗證記錄， 提供驗證者信息和時間。 供用戶本 人查證自己證書使用紀錄， 是否有他人試圖使用自己的證書。 下一版本中， 將提 供用戶告警機制， 用戶可以設定自己的檢查條件， 系統核查滿足條件后， 就發(fā)送 告警信息給用戶。以盡快解決安全隱患。政策編輯身份認證系統提供自行編輯證書政策的功能， 可以讓運行商自行修改證書策 略。數據備份身份認證系統提供根證書的導入導出功能， 也支持所有的數據備份和恢復功 能。為數據安全提供保障。產品升級 對不斷提高的技術和新的需求，身份認證系統努力提升產品性能和功能。身 份認

19、證系統只需要系統管理員將系統進入維護模式， 運行與該系統配套提供的軟 件升級包，就可以對產品進行升級。2.4 身份認證系統功能簡介系統初始化 執(zhí)行系統初始化功能，包括刪除所有數據，缺省系統管理員、系統操作員的 生成。根證書的生成或指定。系統 IP 地址更改。系統管理 執(zhí)行系統管理功能，包括系統管理員管理、操作員管理、根證書管理、系統 服務管理、系統日志管理、 License 管理、系統密鑰管理。用戶信息管理主要執(zhí)行用戶信息管理的工作，包括用戶信息的增加、修改、刪除。證書申請信息管理 主要執(zhí)行證書申請信息的管理工作， 包括證書申請信息的添加、 修改和刪除。 證書的管理 如作廢、簽發(fā)、暫停、恢復等

20、等。以及統計報表的制作打印等等。用戶、證書自服務：用戶證書自管理的工作，如用戶信息的錄入，修改，用 戶證書申請請求， 用戶證書的下載， 用戶證書的廢除。 以及查詢、 下載他人證書、 CRL 。下載根證書。接收注冊請求，簽發(fā)公鑰證書 支持離線或在線簽發(fā)證書兩種方式。前者密鑰對由身份認證系統生成；后者 密鑰對在客戶端由瀏覽器或其他 PKI 軟件生成。證書查詢用戶可以輸入一定的條目如 Email 或姓名等，通過模糊查詢，獲得用戶證書 列表，選擇一張證書下載到瀏覽器中，或保存。發(fā)布證書吊銷名單（ CRL）定期發(fā)布最新證書吊銷名單。 CRL 遵從 X.509V3 格式。 提供在線證書狀態(tài)查詢（ OCSP

21、） 身份認證系統提供證書狀態(tài)查詢，有效提高可靠性。 提供日志管理 日志是每次操作的記錄，其主要作用有二。一是用于事后故障清查的系統維 護方面；其二是事故處理， 為系統安全審計提供現場記錄數據， 是安全審計與追 蹤的基礎。身份認證系統訪問控制訪問身份認證系統需要強身份驗證， 只有通過超過半數以上的系統管理員的 PIN 卡驗證后，才允許系統管理員訪問身份認證系統，執(zhí)行安全操作。用戶證書介質制作 用戶證書介質即用戶身份標識介質，介質中存有用戶證書、該證書的簽發(fā)者 證書、和被加密的該用戶的私鑰。 用戶證書介質可以是軟盤， 也可以是安全性更 高的 IC 卡或 USB 棒。用戶證書介質的選擇，需視用戶對安

22、全性的要求而定。2.5 身份認證系統安全性分析我們提供的該套身份認證系統在安全設計過程中主要考慮四個主要措施： 身 份鑒別措施、數據的傳遞過程的機密性與完整性措施、 權限分割與互相制約措施、 自主和可控性措施的四項措施。2.5.1 本系統安全性保護的必要性數字化信息社會雖然給人們的工作帶來了方便， 但是由于它是基于網絡的信 息傳遞也給人們的工作帶來了很多不便之處，在工作中缺少了物理界面的出現， 從而帶來了信息安全保密問題的出現。 通過長時期的了解和觀察， 我們發(fā)現我國 信息安全保密還存在以下問題：信息安全保密意識淡薄，缺少緊迫感和正確的認識。 信息網絡防御能力脆弱，信息保密技術研究和技術防范手

23、段滯后， 泄密隱患突出。信息安全基礎設施薄弱，缺少必要的物質條件，一些重要的信息系 統使用進口的安全設備，無法保證其安全性和有效監(jiān)管。 信息安全保密管理力度不夠，管理體系不夠完善，內部管理漏洞隱 患大，網絡缺少對用戶認證與權限的管理，也缺少對信息內容的保 密級別的劃分與設定。總之，本系統安全性保護不僅是必要的，也是相當重要的。2.5.2 安全性要求隨著各個單位內網辦公應用系統需求的迫切提升， 信息安全已成為焦點問題 之一，尤其是CA認證越來越成為整個電子商務中的安全重要環(huán)節(jié)，所以數字身 份認證系統本身的安全也越來越重要。 概括起來， 認證系統對安全的最基本要求 如下：身份鑒別( Authent

24、ication )在操作員或管理員進行認證系統的操作錢要能確認對方的身份， 并要求在操 作過程中操作員或管理員的身份不能被假冒或偽裝。數據的機密( Confidentiality ) 對敏感信息進行加密，及時別人截獲數據也無法得到其內容。 數據的完整性( Integrity ) 要求接受方能夠驗證受到的信息是否完整，是否被人篡改，保證操作過程中 的信息安全。不可抵賴性( Non-Repudiation ) 操作一旦完成，發(fā)送方不能否認他發(fā)送的信息，接收方則不能否認他所收到 的信息。2.5.3 安全性設計原則在設計證書系統的安全時，我們主要遵守了以下原則：網絡信息系統安全與保密的“木桶原則” ：

25、對信息均衡、全面地進行 安全保護；網絡信息安全系統的“整體性原則” ：安全防護、檢測和應急恢復； 數字身份認證系統安全性的“有效性與實用性”原則：不能影響系 統的正常運行和合法用戶的操作活動； 信息安全系統的“等級性”原則：安全層次和安全級別； 信息安全系統的“動態(tài)化”原則：整個系統內盡可能引入更多的可 變因素，并具有良好的擴展性； 安全與保密系統的設計應與網絡設計相結合的原則； 自主和可控性原則；權限分割、互相制約、最小化原則； 有的放矢、各取所需原則。2.5.4 安全性設計方案身份鑒別措施 身份鑒別措施是指在操作員或管理員進行登陸系統進行操作之前必須進行 身份的鑒別。流程圖如下：每個管理員

26、、操作員、證書用戶在進入系統之前，都必須在系統的數據庫 中先錄入各自的證書，這一過程也稱開戶。在管理員或操作員進行登錄前，服務器會生成一個隨機字符串，并要求登錄者對這個字符串進行簽名，由于這個字符串是隨機的，并含有時間信息，所以 這種方法可防治重放攻擊。登錄者將隨機字符串簽名后，會將簽名發(fā)送到服務器端。服務器可從庫中 取出簽名者的證書進行校驗。如果檢驗通過，則證明登錄者身份真實。在操作過程中操作員或管理員無論進行合作操作，都要對通信信息進行簽 名，保證了其身份不能被假冒或偽裝。 同時加入簽名也保證了操作一旦完成， 發(fā) 送方不能否認他發(fā)送的信息，接收方則不能否認他所收到的信息。2.6 身份認證系

27、統應用開發(fā)接口2.6.1 身份認證系統接口函數身份認證系統接口函數是為所有基于該套系統證書應用程序開發(fā)者提供編 程接口。應用開發(fā)者不需要深入了解證書的結構、 獲取、驗證等一切與證書相關 的操作，只需要關心應用的開發(fā)即可。接口函數支持 1024/128 位強度的加密算 法，證書驗證、黑名單查詢、數字信封，數字簽名，驗證簽名，摘要，對稱加解 密，PEM編解碼，從介質中讀取證書，私鑰，證書驗證（包括 CRL, OCSP驗 證），證書解碼等。接口函數包括2種類型：API和證書管理器。API有標準c版和java版，支 持包括 Aix 、hp、Solaris、Windows 在內的各種主流操作系統；證書管

28、理器 API 支持 Windows 系列。API 提供的功能主要包括簽名、從證書提取證書細節(jié)等各項功能；證書管理 器 API 不但包括了 API 的大部分功能，另外還提供了證書的管理功能，包括證 書的添加、刪除、導入導出等功能，這些功能可以方便客戶端對證書的管理，結 合 API 的強大功能，可以開發(fā)出一套功能強大的身份認證應用系統。我們保證密切配合應用系統開發(fā)商對 * 身份認證信息系統的開發(fā)， 以確保整個系統的完整和及時的開發(fā)完成。為客戶端同時提供 ActiveX 控件和 JavaApplet 開發(fā)接口。應用服務器端同時提供動態(tài)連接庫，COM組件和JavaBean開發(fā)接口。2.6.2 API

29、與身份認證系統結合開發(fā)應用系統在* 的系統中，需要加入身份認證和數字信封等功能，保護網絡上 數據的安全性、 保密性、 完整性、身份可識別以及各項操作的不可否認性等安全 功能，在分析了 * 的具體需求只有， 我們認為， 結合我們現有的產品身 份認證系統和接口函數，可以開發(fā)出一套適合需求的產品在開發(fā)過程中，我們建議按以下流程設計應用程序：1、* 通過身份認證系統為用戶發(fā)放數字證書；2、在用戶第一次登錄系統時，要求用戶使用數字證書等陸，應用系統發(fā)出 隨機串要求客戶端對隨機串進行簽名， 并返回簽過名的隨機串， 由應用系統驗證 用戶身份；（建議客戶端使用證書管理器 API 開發(fā)，服務器端使用 API ）

30、3、確認用戶身份后，可以根據 * 系統的授權，進行各項操作。因為身份認證系統是軟、硬件一體機，用戶只要通過Web就可以輕松的發(fā)放 證書，無需額外的管理和復雜的操作， 并且結合接口函數功能， 可以完成各項對 于證書的操作以及證書的管理。 同時身份認證系統的功能主要是管理證書和發(fā)放 證書，在應用系統中，只與應用系統關聯，對網絡沒有額外的要求，所以不會影 響到外網的用戶。通過身份認證系統數據導出接口， 可以把證書服務器和認證服務器中的用戶 數據與主應用系統的數據庫服務器（Oracle 9i）中的系統用戶數據保持實時的一 致，確保整個系統用戶管理功能的統一。2.7 身份認證系統使用案例身份認證系統已經成功應用在 上海市信息辦、上海市證券交易所、上海藥品 監(jiān)督局、上海市統戰(zhàn)部、上海市青浦區(qū)政府、上海市小企業(yè)管理辦公室、浙江 移動通信有限公司等政府部門和企業(yè)。如下以身份認證系統在政務網