CA認(rèn)證安全解決方案(認(rèn)證解決方案網(wǎng)關(guān)簽名服務(wù)器)

1、CA認(rèn)證安全解決方案1方案背景隨著信息化建設(shè)的推進(jìn)，信息化的水平也有了長(zhǎng)足的提高，信息化已經(jīng)成為政府、企業(yè)提高工作效率，降低運(yùn)營(yíng)成本、提升客戶(hù)體驗(yàn)、增加客戶(hù)粘度，提升自身形象的重要手段。信息化是架構(gòu)在網(wǎng)絡(luò)環(huán)境世界來(lái)展開(kāi)，網(wǎng)絡(luò)固有的虛擬性、開(kāi)放性給業(yè)務(wù)的開(kāi)展帶來(lái)巨大潛在風(fēng)險(xiǎn)，如何解決虛擬身份的真實(shí)有效，敏感信息在網(wǎng)絡(luò)傳輸?shù)陌踩Ｃ芮也槐还粽叻欠ù鄹?，如何防止網(wǎng)絡(luò)操作日后不被抵賴(lài)？同時(shí)，隨著信息系統(tǒng)的不斷增加，信任危機(jī)、信息孤島、用戶(hù)體驗(yàn)、應(yīng)用統(tǒng)一整合越發(fā)成為信息化發(fā)展的瓶頸。因此，安全和可信、融合和統(tǒng)一逐漸成為目前信息化建設(shè)的大勢(shì)所趨，上述問(wèn)題逐漸給信息化建設(shè)管理者提出了新的挑戰(zhàn)。此外，國(guó)家安

2、全管理部門(mén)發(fā)布了信息安全等級(jí)保護(hù)管理辦法，提出了“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”的要求，等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范中也明確對(duì)信息系統(tǒng)的身份鑒別、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性以及抗抵賴(lài)提出明確的安全要求。鑒于上述政府、企業(yè)自身的安全建設(shè)需要以及政府安全管理部門(mén)的要求，本方案提出一套基于數(shù)字證書(shū)的安全應(yīng)用支撐解決方案，全面解決上述信息安全問(wèn)題。2需求分析目前，“用戶(hù)名+口令”的認(rèn)證方式普遍存在各個(gè)信息系統(tǒng)，基于用戶(hù)名口令的認(rèn)證方式是一種弱認(rèn)證方式，由于其具有容易被猜測(cè)、字典攻擊、非法攔截、責(zé)任認(rèn)定無(wú)法到人等系列弱點(diǎn)，已經(jīng)無(wú)法滿(mǎn)足信息系統(tǒng)的安全需要，因此，需要提供一套基于數(shù)字證書(shū)的安全應(yīng)用支撐平臺(tái)，通過(guò)PKI

3、密碼技術(shù)實(shí)現(xiàn)強(qiáng)身份認(rèn)證、信息保密性、信息完整性以及敏感操作的抗抵賴(lài)性等各項(xiàng)安全功能，同時(shí)，作為安全應(yīng)用支撐平臺(tái)，還應(yīng)該面向眾多的信息系統(tǒng)提供統(tǒng)一身份認(rèn)證功能，實(shí)現(xiàn)SSO單點(diǎn)登錄功能，滿(mǎn)足應(yīng)用級(jí)的授權(quán)管理需要。具體來(lái)說(shuō)，安全需求如下：強(qiáng)身份認(rèn)證：滿(mǎn)足基于數(shù)字證書(shū)的安全登錄需要，提供黑名單查詢(xún)功能，只有持有合法證書(shū)的用戶(hù)才能登錄到信息系統(tǒng)。機(jī)密性、完整性：對(duì)信息進(jìn)行加密、完整性處理，保證信息傳輸過(guò)程的機(jī)密性和完整性?？沟仲?lài)：采用數(shù)字簽名技術(shù)，對(duì)關(guān)鍵操作、關(guān)鍵業(yè)務(wù)數(shù)據(jù)產(chǎn)生數(shù)字簽名滿(mǎn)足業(yè)務(wù)抗抵賴(lài)需求。單點(diǎn)登錄，多點(diǎn)漫游：用戶(hù)只需使用數(shù)字證書(shū)完成一次統(tǒng)一認(rèn)證，后續(xù)登錄不需要再次認(rèn)證則可進(jìn)入其他信息系統(tǒng)。

4、3系統(tǒng)框架設(shè)計(jì)根據(jù)上述安全需求分析，方案總體框架如下圖所示：在整體應(yīng)用框架下身份認(rèn)證網(wǎng)關(guān)和數(shù)字簽名服務(wù)器組成應(yīng)用支撐體系。身份認(rèn)證網(wǎng)關(guān)為業(yè)務(wù)系統(tǒng)提供基于數(shù)字證書(shū)的強(qiáng)身份認(rèn)證功能、面向多個(gè)應(yīng)用提供統(tǒng)一的身份認(rèn)證和應(yīng)用級(jí)的授權(quán)控制功能。數(shù)字簽名服務(wù)器滿(mǎn)足關(guān)鍵業(yè)務(wù)操作和重要數(shù)據(jù)交互的身份可信、內(nèi)容完整以及抗抵賴(lài)功能。4系統(tǒng)邏輯設(shè)計(jì)系統(tǒng)邏輯設(shè)計(jì)如下圖所示：(1)用戶(hù)登錄業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)通過(guò)安裝在系統(tǒng)上的FILTER過(guò)濾器來(lái)判斷用戶(hù)是否已經(jīng)認(rèn)證過(guò)，如果沒(méi)有，則重定向用戶(hù)登錄網(wǎng)關(guān)登錄頁(yè)面；(2)用戶(hù)按照網(wǎng)關(guān)頁(yè)面插入U(xiǎn)SB KEY，并輸入PIN保護(hù)密碼，然后提交認(rèn)證請(qǐng)求到身份認(rèn)證網(wǎng)關(guān)；(3)身份認(rèn)證網(wǎng)關(guān)判

5、斷證書(shū)的真實(shí)有效，并從目錄服務(wù)中查詢(xún)CRL證書(shū)黑名單，判斷證書(shū)是否已經(jīng)被吊銷(xiāo)；(4)如果證書(shū)驗(yàn)證全部通過(guò)，身份認(rèn)證網(wǎng)關(guān)檢查用戶(hù)權(quán)限，然后顯示用戶(hù)可登錄系統(tǒng)列表，根據(jù)授權(quán)策略為用戶(hù)簽發(fā)單點(diǎn)登錄TOKEN，用戶(hù)憑借TOKEN單點(diǎn)登錄到各業(yè)務(wù)系統(tǒng)中。(5)用戶(hù)提交敏感操作/敏感數(shù)據(jù)，客戶(hù)端簽名軟件將調(diào)用USB KEY接口對(duì)敏感操作/敏感數(shù)據(jù)產(chǎn)生數(shù)字簽名；(6)數(shù)字簽名傳入電子證照系統(tǒng)，電子證照系統(tǒng)調(diào)用簽名中間件接口，將簽名信息傳入簽名服務(wù)器完成數(shù)字簽名驗(yàn)證，簽名服務(wù)器返回驗(yàn)證結(jié)果；(7)電子證照系統(tǒng)根據(jù)驗(yàn)證結(jié)果完成后續(xù)業(yè)務(wù)邏輯操作。數(shù)字簽名服務(wù)器除了能夠滿(mǎn)足用戶(hù)簽名外，還可以提供系統(tǒng)間身份認(rèn)證及交互

6、數(shù)據(jù)的數(shù)字簽名功能，滿(mǎn)足系統(tǒng)間的強(qiáng)身份認(rèn)證及數(shù)據(jù)完整有效，實(shí)現(xiàn)抗抵賴(lài)功能。具體邏輯設(shè)計(jì)如下：5產(chǎn)品介紹5.1身份認(rèn)證網(wǎng)關(guān)5.1.1系統(tǒng)架構(gòu)身份認(rèn)證網(wǎng)關(guān)是基于PKI技術(shù)開(kāi)發(fā)的硬件產(chǎn)品，主要滿(mǎn)足用戶(hù)對(duì)基于證書(shū)的高強(qiáng)度身份認(rèn)證安全需求。面向多個(gè)電子證照系統(tǒng)，提供集中、統(tǒng)一的安全認(rèn)證服務(wù)，形成統(tǒng)一的、高安全的身份驗(yàn)證中心。身份認(rèn)證網(wǎng)關(guān)采用代理技術(shù)，在業(yè)務(wù)系統(tǒng)安裝Filter過(guò)濾插件完成用戶(hù)的身份認(rèn)證工作。插件負(fù)責(zé)攔截用戶(hù)請(qǐng)求并將請(qǐng)求重定向到網(wǎng)關(guān)進(jìn)行認(rèn)證。認(rèn)證成功后，用戶(hù)直接訪問(wèn)電子證照系統(tǒng)。5.1.2系統(tǒng)功能用戶(hù)身份認(rèn)證：全面支持?jǐn)?shù)字證書(shū)強(qiáng)認(rèn)證，支持多級(jí)CA證書(shū)鏈，支持多家證書(shū)認(rèn)證。支持動(dòng)態(tài)CRL更新

7、，支持WEB站點(diǎn)下載、LDAP服務(wù)器下載及手工導(dǎo)入三種CRL更新模式。支持OCSP證書(shū)驗(yàn)證方式。單點(diǎn)登錄：用戶(hù)完成一次登錄認(rèn)證后，可以單點(diǎn)登錄到其他授權(quán)系統(tǒng)。應(yīng)用級(jí)訪問(wèn)控制：通過(guò)策略配置，授權(quán)用戶(hù)允許訪問(wèn)的電子證照系統(tǒng)?？刂撇呗园―N規(guī)則、時(shí)間段規(guī)則、IP地址規(guī)則、用戶(hù)名規(guī)則。應(yīng)用認(rèn)證策略配置：根據(jù)用戶(hù)認(rèn)證等級(jí)策略控制用戶(hù)對(duì)應(yīng)用的訪問(wèn)權(quán)限，認(rèn)證策略包括：口令認(rèn)證、證書(shū)認(rèn)證及口令+數(shù)字證書(shū)認(rèn)證方式。證書(shū)DN規(guī)則控制：設(shè)置DN項(xiàng)規(guī)則策略，控制某個(gè)或某一群組證書(shū)用戶(hù)對(duì)應(yīng)用的訪問(wèn)，DN規(guī)則支持通配符。黑白名單：系統(tǒng)采用黑、白名單的形式設(shè)置策略來(lái)實(shí)現(xiàn)訪問(wèn)控制。狀態(tài)監(jiān)控：包括設(shè)備CPU、內(nèi)存、硬盤(pán)的使用

8、監(jiān)控、網(wǎng)絡(luò)流量統(tǒng)計(jì)、業(yè)務(wù)狀態(tài)進(jìn)行監(jiān)控。日志審計(jì)：按照系統(tǒng)日志、業(yè)務(wù)日志兩大類(lèi)日志對(duì)用戶(hù)、管理員使用系統(tǒng)過(guò)程進(jìn)行完整審計(jì)，系統(tǒng)提供SYSLOG發(fā)送功能。分權(quán)管理：內(nèi)設(shè)系統(tǒng)管理員、安全管理員、審計(jì)管理員實(shí)現(xiàn)對(duì)不同角色的分權(quán)管理。統(tǒng)一門(mén)戶(hù)：提供用戶(hù)登錄電子證照系統(tǒng)入口，可實(shí)現(xiàn)應(yīng)用是否對(duì)用戶(hù)可見(jiàn)，提供登錄界面定制功能。信息傳遞：將認(rèn)證通過(guò)的認(rèn)證結(jié)果、用戶(hù)信息傳送給后臺(tái)的電子證照系統(tǒng)。備份恢復(fù)：系統(tǒng)支持備份恢復(fù)功能，可以快速恢復(fù)系統(tǒng)的正常工作。雙機(jī)熱備：通過(guò)網(wǎng)口連接心跳線監(jiān)聽(tīng)設(shè)備的工作狀態(tài)，當(dāng)設(shè)備停止服務(wù)時(shí)，服務(wù)自動(dòng)切換到備機(jī)繼續(xù)提供服務(wù)。故障應(yīng)急：當(dāng)設(shè)備意外宕機(jī)，業(yè)務(wù)系統(tǒng)的插件將不會(huì)攔截用戶(hù)請(qǐng)求，用戶(hù)

9、可以直接訪問(wèn)業(yè)務(wù)系統(tǒng)。5.1.3系統(tǒng)流程(1)用戶(hù)訪問(wèn)電子證照系統(tǒng)；(2)業(yè)務(wù)系統(tǒng)FILTER過(guò)濾插件判斷用戶(hù)是否已通過(guò)認(rèn)證，如果沒(méi)有則重定向到身份認(rèn)證網(wǎng)關(guān)，并要求用戶(hù)出示數(shù)字證書(shū)；(3)身份認(rèn)證網(wǎng)關(guān)驗(yàn)證用戶(hù)證書(shū)有效性，并查詢(xún)LDAP目錄服務(wù)判斷用戶(hù)是否已經(jīng)被吊銷(xiāo)；(4)驗(yàn)證通過(guò)后，身份認(rèn)證網(wǎng)關(guān)將驗(yàn)證結(jié)果及用戶(hù)信息傳遞給電子證照系統(tǒng)，用戶(hù)與電子證照系統(tǒng)之間直接進(jìn)行通訊；5.2數(shù)字簽名服務(wù)器5.2.1系統(tǒng)架構(gòu)吉大正元數(shù)字簽名服務(wù)器由數(shù)字簽名服務(wù)器和數(shù)字簽名客戶(hù)端組成，均可獨(dú)立提供數(shù)字簽名、數(shù)字信封等服務(wù)。其中：(1)服務(wù)器接口（V-STK）：應(yīng)用數(shù)據(jù)通過(guò)V-STK傳入簽名服務(wù)器，處理后再經(jīng)由V-

10、STK傳出供電子證照系統(tǒng)獲取。V-STK提供Java接口、COM接口、C接口，方便用戶(hù)電子證照系統(tǒng)的調(diào)用。(2)數(shù)字簽名客戶(hù)端：獨(dú)立運(yùn)行的組件（V-CTK），將數(shù)據(jù)傳入進(jìn)行簽名/驗(yàn)簽處理，再把處理結(jié)果經(jīng)由接口函數(shù)傳出交給客戶(hù)端程序。V-CTK支持標(biāo)準(zhǔn)CSP技術(shù)，支持標(biāo)準(zhǔn)軟證書(shū)、硬證書(shū)，并提供ActiveX控件開(kāi)發(fā)包、Jar包、DLL鏈接庫(kù)等多種方式供用戶(hù)選擇。5.2.2系統(tǒng)功能5.2.2.1數(shù)字簽名服務(wù)器(1)數(shù)字簽名支持對(duì)數(shù)據(jù)、文件制作數(shù)字簽名，簽名結(jié)構(gòu)符合PKCS#7標(biāo)準(zhǔn)；支持驗(yàn)證符合PKCS#7標(biāo)準(zhǔn)的簽名結(jié)果。數(shù)字簽名服務(wù)器支持對(duì)數(shù)據(jù)制作數(shù)字簽名，簽名結(jié)構(gòu)符合PKCS#1標(biāo)準(zhǔn)；支持通過(guò)證

11、書(shū)導(dǎo)入、證書(shū)配置方式驗(yàn)證符合PKCS#1標(biāo)準(zhǔn)的簽名結(jié)果。身份驗(yàn)證：使用證書(shū)進(jìn)行數(shù)字簽名，接收者可驗(yàn)證簽名，而其他任何人都不能偽造簽名。事后驗(yàn)證：使用證書(shū)進(jìn)行完整數(shù)字簽名，簽名結(jié)果中包含簽名時(shí)的全部證書(shū)狀態(tài)信息，接收者可在生成后的任意時(shí)間驗(yàn)證，而其他任何人都不能偽造。數(shù)據(jù)完整性：對(duì)重要數(shù)據(jù)、文件制作數(shù)字簽名，如果驗(yàn)證簽名失敗，說(shuō)明數(shù)據(jù)的完整性遭到破壞。行為抗抵賴(lài)：對(duì)操作行為（數(shù)據(jù)形式）制作數(shù)字簽名，簽名者事后不能否認(rèn)自己的簽名。(2)數(shù)字信封數(shù)字簽名服務(wù)器支持對(duì)數(shù)據(jù)、文件制作數(shù)字信封，信封結(jié)構(gòu)符合PKCS#7標(biāo)準(zhǔn)；支持解密符合PKCS#7標(biāo)準(zhǔn)的信封結(jié)果。對(duì)重要數(shù)據(jù)、文件制作數(shù)字信封，通過(guò)雙層加密

12、技術(shù)來(lái)保障數(shù)據(jù)的私密性。(3)證書(shū)驗(yàn)證支持對(duì)簽名、加密證書(shū)進(jìn)行全面驗(yàn)證；根據(jù)配置不同CA簽發(fā)的根證書(shū)，驗(yàn)證證書(shū)的信任域；根據(jù)系統(tǒng)時(shí)間，驗(yàn)證證書(shū)的有效期；根據(jù)CRL或OCSP驗(yàn)證證書(shū)狀態(tài)。證書(shū)狀態(tài)驗(yàn)證方式包括，標(biāo)準(zhǔn)OCSP協(xié)議驗(yàn)證證書(shū)，連接LDAP服務(wù)器更新CRL驗(yàn)證，連接WEB服務(wù)器更新CRL驗(yàn)證。(4)交叉驗(yàn)證數(shù)字簽名、數(shù)字信封，結(jié)構(gòu)嚴(yán)格遵循PKCS#7標(biāo)準(zhǔn)，可供其他CA機(jī)構(gòu)驗(yàn)證。支持配置多信任CA簽發(fā)的根證書(shū)，可驗(yàn)證不同CA機(jī)構(gòu)簽發(fā)的符合PKCS#7標(biāo)準(zhǔn)的簽名、信封結(jié)果。(5)雙機(jī)熱備數(shù)字簽名服務(wù)器內(nèi)置雙機(jī)熱備系統(tǒng)；當(dāng)備機(jī)發(fā)現(xiàn)工作機(jī)停止工作，切換到備機(jī)提供服務(wù)，當(dāng)主機(jī)恢復(fù)正常后，備機(jī)自動(dòng)切

13、回到主機(jī)。(6)配置管理數(shù)字簽名服務(wù)器支持串口管理、WEB管理兩種方式。5.2.2.2數(shù)字簽名客戶(hù)端(1)數(shù)字簽名：支持對(duì)數(shù)據(jù)、文件制作數(shù)字簽名，簽名結(jié)構(gòu)符合PKCS#7標(biāo)準(zhǔn)；支持驗(yàn)證符合PKCS#7標(biāo)準(zhǔn)的簽名結(jié)果。(2)數(shù)字信封：支持對(duì)數(shù)據(jù)、文件制作數(shù)字信封，信封結(jié)構(gòu)符合PKCS#7標(biāo)準(zhǔn)；支持解密符合PKCS#7標(biāo)準(zhǔn)的信封結(jié)果。(3)證書(shū)擴(kuò)展：支持獲取證書(shū)標(biāo)準(zhǔn)信息及其擴(kuò)展信息，供電子證照系統(tǒng)使用。5.2.3系統(tǒng)流程5.2.3.1數(shù)字簽名流程(1)電子證照系統(tǒng)通過(guò)V-STK將簽名請(qǐng)求數(shù)據(jù)發(fā)送到簽名服務(wù)器；(2)簽名服務(wù)器接收請(qǐng)求報(bào)文并解析；(3)整理并收集原始數(shù)據(jù)、簽名證書(shū)、算法等必要信息；(4)調(diào)用內(nèi)部簽名模塊對(duì)原始數(shù)據(jù)簽名；(5)獲得簽名結(jié)果；(6)將簽名結(jié)果轉(zhuǎn)換為應(yīng)答報(bào)文發(fā)回V-STK；(7)V-STK解析應(yīng)答報(bào)文，返回簽名結(jié)果，數(shù)字簽名完成。5.2.3.2簽名驗(yàn)證流程(1)電子證照系統(tǒng)通過(guò)V-STK將驗(yàn)簽