1、CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 1 頁目 錄1方案背景.22需求分析.33系統(tǒng)框架設(shè)計(jì).54系統(tǒng)邏輯設(shè)計(jì).65產(chǎn)品介紹產(chǎn)品介紹.75.1CA 認(rèn)證系統(tǒng).75.1.1系統(tǒng)構(gòu)架.75.1.2系統(tǒng)功能.85.1.3系統(tǒng)流程.95.2身份認(rèn)證網(wǎng)關(guān).95.2.1系統(tǒng)架構(gòu).95.2.2系統(tǒng)功能.105.2.3系統(tǒng)流程.126網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì).137產(chǎn)品配置清單.14CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 2 頁1 方案背景隨著信息化建設(shè)的推進(jìn)，信息化的水平也有了長(zhǎng)足的提高，信息化已經(jīng)成為政府、企業(yè)提高工

2、作效率，降低運(yùn)營(yíng)成本、提升客戶體驗(yàn)、增加客戶粘度，提升自身形象的重要手段。信息化是架構(gòu)在網(wǎng)絡(luò)環(huán)境世界來展開，網(wǎng)絡(luò)固有的虛擬性、開放性給業(yè)務(wù)的開展帶來巨大潛在風(fēng)險(xiǎn)，如何解決虛擬身份的真實(shí)有效，敏感信息在網(wǎng)絡(luò)傳輸?shù)陌踩Ｃ芮也槐还粽叻欠ù鄹模绾畏乐咕W(wǎng)絡(luò)操作日后不被抵賴？同時(shí)，隨著信息系統(tǒng)的不斷增加，信任危機(jī)、信息孤島、用戶體驗(yàn)、應(yīng)用統(tǒng)一整合越發(fā)成為信息化發(fā)展的瓶頸。因此，安全和可信、融合和統(tǒng)一逐漸成為目前信息化建設(shè)的大勢(shì)所趨，上述問題逐漸給信息化建設(shè)管理者提出了新的挑戰(zhàn)。此外，國家安全管理部門發(fā)布了信息安全等級(jí)保護(hù)管理辦法 ，提出了“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”的要求，等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范

3、中也明確對(duì)信息系統(tǒng)的身份鑒別、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性以及抗抵賴提出明確的安全要求。鑒于上述政府、企業(yè)自身的安全建設(shè)需要以及政府安全管理部門的要求，本方案提出一套基于 PKI 密碼技術(shù)的 CA 認(rèn)證體系建設(shè)方案和基于數(shù)字證書的安全應(yīng)用支撐解決方案，全面解決上述信息安全問題。CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 3 頁2 需求分析目前， “用戶名+口令”的認(rèn)證方式普遍存在各個(gè)信息系統(tǒng)，基于用戶名口令的認(rèn)證方式是一種弱認(rèn)證方式，由于其具有容易被猜測(cè)、字典攻擊、非法攔截、責(zé)任認(rèn)定無法到人等系列弱點(diǎn)，已經(jīng)無法滿足信息系統(tǒng)的安全需要，因此，需要建立一套 CA 認(rèn)證系統(tǒng)，來完成數(shù)字證書的

4、申請(qǐng)、審核、發(fā)放等生命周期管理，為最終用戶提供唯一、安全、可信的網(wǎng)絡(luò)身份標(biāo)識(shí)。其次，需要提供一套基于數(shù)字證書的安全應(yīng)用支撐平臺(tái)，通過 PKI 密碼技術(shù)實(shí)現(xiàn)強(qiáng)身份認(rèn)證、信息保密性、信息完整性以及敏感操作的抗抵賴性等各項(xiàng)安全功能，同時(shí)，作為安全應(yīng)用支撐平臺(tái)，還應(yīng)該面向眾多的信息系統(tǒng)提供統(tǒng)一身份認(rèn)證功能，實(shí)現(xiàn) SSO 單點(diǎn)登錄功能，滿足應(yīng)用級(jí)的授權(quán)管理需要。具體來說，安全需求如下：數(shù)字證書的發(fā)放管理：提供證書生命周期管理服務(wù)，包括證書的申請(qǐng)、審核、發(fā)放、更新、吊銷等。強(qiáng)身份認(rèn)證：滿足基于數(shù)字證書的安全登錄需要，提供黑名單查詢功能，只有持有合法證書的用戶才能登錄到信息系統(tǒng)。機(jī)密性、完整性：對(duì)信息進(jìn)行加

5、密、完整性處理，保證信息傳輸過程的機(jī)密性和完整性。單點(diǎn)登錄，多點(diǎn)漫游：用戶只需使用數(shù)字證書完成一次統(tǒng)一認(rèn)證，后續(xù)登錄不需要再次認(rèn)證則可進(jìn)入其他信息系統(tǒng)。CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 4 頁應(yīng)用級(jí)訪問控制：提供應(yīng)用級(jí)訪問控制功能，用戶只能登錄到被授權(quán)的信息系統(tǒng)。CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 5 頁3 系統(tǒng)框架設(shè)計(jì)根據(jù)上述安全需求分析，方案總體框架如下圖所示：應(yīng)用支撐應(yīng)用門戶應(yīng)用系統(tǒng)2應(yīng)用系統(tǒng)3基礎(chǔ)設(shè)施安全應(yīng)用其他應(yīng)用系統(tǒng)PKI/CA證書認(rèn)證系統(tǒng)證書管理辦法證書格式標(biāo)準(zhǔn)密碼設(shè)施應(yīng)用系統(tǒng)1身份認(rèn)證網(wǎng)關(guān)USBKEY智能密碼鑰匙在整體應(yīng)用框架下，P

6、KI/ CA 認(rèn)證系統(tǒng)負(fù)責(zé)發(fā)放和管理數(shù)字證書，USBKEY智能密碼鑰匙作為證書的載體存儲(chǔ)數(shù)字證書，身份認(rèn)證網(wǎng)關(guān)作為應(yīng)用支撐體系，為各類業(yè)務(wù)系統(tǒng)提供基于數(shù)字證書的安全支撐，實(shí)現(xiàn)統(tǒng)一認(rèn)證和各項(xiàng)安全功能。另外，為了證書發(fā)放的規(guī)范運(yùn)營(yíng)，明確證書管理員的工作職責(zé)，需要為此而制定系列的證書管理辦法。為了滿足證書的安全應(yīng)用，還需要制定本行業(yè)、本企業(yè)的證書格式規(guī)范，確保證書信息能方便被應(yīng)用系統(tǒng)識(shí)別和調(diào)用。CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 6 頁4 系統(tǒng)邏輯設(shè)計(jì)系統(tǒng)邏輯設(shè)計(jì)如下圖所示：OA系統(tǒng)其他系統(tǒng)身份認(rèn)證網(wǎng)關(guān)訪問訪問訪問手工導(dǎo)入CRLPKI/CA證書認(rèn)證系統(tǒng)重定向用戶FilterFi

7、lterFilter產(chǎn)產(chǎn)生生Token檢查財(cái)務(wù)系統(tǒng)證書申請(qǐng)證書發(fā)放證書管理員(1) 證書管理員登錄 CA 系統(tǒng)，為用戶申請(qǐng)、下載數(shù)字證書，然后交給用戶使用；(2) 用戶登錄業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)通過安裝在系統(tǒng)上的 FILTER 過濾器來判斷用戶是否已經(jīng)認(rèn)證過，如果沒有，則重定向用戶登錄網(wǎng)關(guān)登錄頁面；(3) 用戶按照網(wǎng)關(guān)頁面插入 USB KEY，并輸入 PIN 保護(hù)密碼，然后提交認(rèn)證請(qǐng)求到身份認(rèn)證網(wǎng)關(guān)；(4) 身份認(rèn)證網(wǎng)關(guān)判斷證書的真實(shí)有效，并通過導(dǎo)入 CRL 證書黑名單，判斷證書是否已經(jīng)被吊銷；(5) 如果證書驗(yàn)證全部通過，身份認(rèn)證網(wǎng)關(guān)檢查用戶權(quán)限，然后顯示用戶可CA 認(rèn)證安全解決方案 吉大正元信

8、息技術(shù)股份有限公司 第 7 頁登錄系統(tǒng)列表，根據(jù)授權(quán)策略為用戶簽發(fā)單點(diǎn)登錄 TOKEN，用戶憑借TOKEN 單點(diǎn)登錄到各業(yè)務(wù)系統(tǒng)中。5 產(chǎn)品介紹產(chǎn)品介紹5.1 CA 認(rèn)證系統(tǒng)5.1.1 系統(tǒng)構(gòu)架CA簽簽發(fā)發(fā)系系統(tǒng)統(tǒng)加加密密機(jī)機(jī)管管理理員員CA 認(rèn)證系統(tǒng)架構(gòu)如上圖所示，其中：CA 簽發(fā)系統(tǒng)：負(fù)責(zé)證書的簽發(fā)管理，所有證書的業(yè)務(wù)操作請(qǐng)求都提交到 CA 系統(tǒng)進(jìn)行處理，包括證書簽發(fā)、證書吊銷、證書更新等。加密機(jī)：負(fù)責(zé)提供 CA 密鑰服務(wù)功能，包括產(chǎn)生和存儲(chǔ) CA 密鑰對(duì)，對(duì)CA 系統(tǒng)提交的證書簽發(fā)請(qǐng)求進(jìn)行簽發(fā)。CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 8 頁5.1.2 系統(tǒng)功能證書申請(qǐng)：

9、提供證書的申請(qǐng)功能，包括管理申請(qǐng)和用戶自助申請(qǐng)。證書簽發(fā)：對(duì)于通過審核的證書申請(qǐng)，CA 系統(tǒng)可以為其簽發(fā)證書。證書下載：用戶可以通過下載憑證安全的下載證書。對(duì)一些申請(qǐng)成功但是沒有下載的證書，RA 系統(tǒng)可以重新生成下載憑證（授權(quán)碼） ，使用新的下載憑證即可進(jìn)行證書下載。證書發(fā)布：對(duì)于簽發(fā)好的證書，系統(tǒng)進(jìn)行自動(dòng)發(fā)布。證書更新：系統(tǒng)提供證書更新功能。證書查詢：用戶可以通過查詢條件查詢出符合條件的證書信息。證書注銷：用戶可以對(duì)一些不再使用或是使用過程中出現(xiàn)問題的證書進(jìn)行注銷操作，注銷后的證書不可恢復(fù)。證書凍結(jié)：用戶可以對(duì)短期內(nèi)不會(huì)使用的證書進(jìn)行凍結(jié)操作，在凍結(jié)期間內(nèi)證書被限制不可使用。證書解凍：提供證

10、書解凍功能，使得證書可以重新使用。證書實(shí)體查詢：用戶可以通過查詢條件可以查詢出符合條件的證書。CRL 服務(wù)功能：提供 CRL 產(chǎn)生、CRL 發(fā)布、CRL 查詢功能。用戶信息維護(hù)：系統(tǒng)提供按照自定義的格式產(chǎn)生用戶信息，并可以對(duì)用戶信息進(jìn)行添加、刪除、修改等維護(hù)方式。CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 9 頁分權(quán)管理：提供系統(tǒng)管理、業(yè)務(wù)操作和安全審計(jì)三權(quán)分離功能。主題規(guī)則管理：支持主題規(guī)則定義，提升用戶使用服務(wù)體驗(yàn)。模板定制：提供數(shù)字證書模板自定義功能，實(shí)現(xiàn)證書擴(kuò)展域名稱、擴(kuò)展域值的自定義，滿足不同發(fā)證需求。日志審計(jì)：審計(jì)管理包括查詢業(yè)務(wù)日志和統(tǒng)計(jì)證書功能，并生成相應(yīng)統(tǒng)計(jì)報(bào)表

11、。批量申請(qǐng)和制證：支持批量證書申請(qǐng)和制證的功能，簡(jiǎn)化管理員操作。5.1.3 系統(tǒng)流程(1) 管理員使用管理員證書登錄 CA 系統(tǒng)完成證書信息的錄入和審核，完成證書簽發(fā)；(2) 證書管理員為用戶下載證書，如果證書介質(zhì)采用 USB KEY 的話，證書將寫入 USB KEY；(3) 證書管理員將證書交付用戶使用。5.2 身份認(rèn)證網(wǎng)關(guān)5.2.1 系統(tǒng)架構(gòu)身份認(rèn)證網(wǎng)關(guān)是基于 PKI 技術(shù)開發(fā)的硬件產(chǎn)品，主要滿足用戶對(duì)基于證書的高強(qiáng)度身份認(rèn)證安全需求。面向多個(gè)應(yīng)用系統(tǒng)，提供集中、統(tǒng)一的安全認(rèn)證服務(wù)，形成統(tǒng)一的、高安全的身份驗(yàn)證中心。CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 10 頁應(yīng)用系統(tǒng)

12、客戶端FILTER身份認(rèn)證網(wǎng)關(guān)身份認(rèn)證網(wǎng)關(guān)采用代理技術(shù)，在業(yè)務(wù)系統(tǒng)安裝 Filter 過濾插件完成用戶的身份認(rèn)證工作。插件負(fù)責(zé)攔截用戶請(qǐng)求并將請(qǐng)求重定向到網(wǎng)關(guān)進(jìn)行認(rèn)證。認(rèn)證成功后，用戶直接訪問應(yīng)用系統(tǒng)。5.2.2 系統(tǒng)功能用戶身份認(rèn)證：全面支持?jǐn)?shù)字證書強(qiáng)認(rèn)證，支持多級(jí) CA 證書鏈，支持多家證書認(rèn)證。支持動(dòng)態(tài) CRL 更新，支持 WEB 站點(diǎn)下載、LDAP 服務(wù)器下載及手工導(dǎo)入三種 CRL 更新模式。支持 OCSP 證書驗(yàn)證方式。單點(diǎn)登錄：用戶完成一次登錄認(rèn)證后，可以單點(diǎn)登錄到其他授權(quán)系統(tǒng)。應(yīng)用級(jí)訪問控制：通過策略配置，授權(quán)用戶允許訪問的應(yīng)用系統(tǒng)。控制策略包括 DN 規(guī)則、時(shí)間段規(guī)則、IP 地

13、址規(guī)則、用戶名規(guī)則。應(yīng)用認(rèn)證策略配置： 根據(jù)用戶認(rèn)證等級(jí)策略控制用戶對(duì)應(yīng)用的訪問權(quán)限，認(rèn)證策略包括：口令認(rèn)證、證書認(rèn)證及口令+數(shù)字證書認(rèn)證方式。CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 11 頁證書 DN 規(guī)則控制：設(shè)置 DN 項(xiàng)規(guī)則策略，控制某個(gè)或某一群組證書用戶對(duì)應(yīng)用的訪問，DN 規(guī)則支持通配符。黑白名單：系統(tǒng)采用黑、白名單的形式設(shè)置策略來實(shí)現(xiàn)訪問控制。狀態(tài)監(jiān)控：包括設(shè)備 CPU、內(nèi)存、硬盤的使用監(jiān)控、網(wǎng)絡(luò)流量統(tǒng)計(jì)、業(yè)務(wù)狀態(tài)進(jìn)行監(jiān)控。日志審計(jì)：按照系統(tǒng)日志、業(yè)務(wù)日志兩大類日志對(duì)用戶、管理員使用系統(tǒng)過程進(jìn)行完整審計(jì)，系統(tǒng)提供 SYSLOG 發(fā)送功能。分權(quán)管理：內(nèi)設(shè)系統(tǒng)管理員、

14、安全管理員、審計(jì)管理員實(shí)現(xiàn)對(duì)不同角色的分權(quán)管理。統(tǒng)一門戶：提供用戶登錄應(yīng)用系統(tǒng)入口，可實(shí)現(xiàn)應(yīng)用是否對(duì)用戶可見，提供登錄界面定制功能。信息傳遞：將認(rèn)證通過的認(rèn)證結(jié)果、用戶信息傳送給后臺(tái)的應(yīng)用系統(tǒng)。備份恢復(fù)：系統(tǒng)支持備份恢復(fù)功能，可以快速恢復(fù)系統(tǒng)的正常工作。雙機(jī)熱備：通過網(wǎng)口連接心跳線監(jiān)聽設(shè)備的工作狀態(tài)，當(dāng)設(shè)備停止服務(wù)時(shí)，服務(wù)自動(dòng)切換到備機(jī)繼續(xù)提供服務(wù)。故障應(yīng)急：當(dāng)設(shè)備意外宕機(jī)，業(yè)務(wù)系統(tǒng)的插件將不會(huì)攔截用戶請(qǐng)求，用戶可以直接訪問業(yè)務(wù)系統(tǒng)。CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 12 頁5.2.3 系統(tǒng)流程(1) 用戶訪問應(yīng)用系統(tǒng)；(2) 業(yè)務(wù)系統(tǒng) FILTER 過濾插件判斷用戶是

15、否已通過認(rèn)證，如果沒有則重定向到身份認(rèn)證網(wǎng)關(guān)，并要求用戶出示數(shù)字證書；(3) 身份認(rèn)證網(wǎng)關(guān)驗(yàn)證用戶證書有效性，并查詢 CRL 判斷用戶是否已經(jīng)被吊銷；(4) 驗(yàn)證通過后，身份認(rèn)證網(wǎng)關(guān)將驗(yàn)證結(jié)果及用戶信息傳遞給應(yīng)用系統(tǒng)，用戶與應(yīng)用系統(tǒng)之間直接進(jìn)行通訊；CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 13 頁6 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)CAPKI基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施APP1內(nèi)內(nèi)網(wǎng)網(wǎng)應(yīng)應(yīng)用用APPnAPP.APP2身身份份認(rèn)認(rèn)證證網(wǎng)網(wǎng)關(guān)關(guān)物理拓?fù)湓O(shè)計(jì)如上圖所示，身份認(rèn)證網(wǎng)關(guān)與應(yīng)用系統(tǒng)部署在一個(gè)網(wǎng)段，CA認(rèn)證系統(tǒng)可以專門部署在一個(gè)安全獨(dú)立的網(wǎng)段。CA 認(rèn)證安全解決方案 吉大正元信息技術(shù)股份有限公司 第 14 頁7 產(chǎn)品配置清單一、系統(tǒng)軟硬件清單序號(hào)產(chǎn)品名稱廠商數(shù)量產(chǎn)品形態(tài)功能1SRQ05-CA 簽發(fā)系統(tǒng)吉大正元1 套軟件提供整個(gè)信任體系的創(chuàng)建、維護(hù)和管理服務(wù)，以及證書簽發(fā)和