1、精選優質文檔-傾情為你奉上*身份認證系統技術方案目 錄1.概述1.1前言隨著網絡技術的高速發展，個人和企業將越來越多地把業務活動放到網絡上，因此網絡的安全問題就更加關鍵和重要。據統計，在全球范圍內，由于信息系統的脆弱性而導致的經濟損失，每年達數十億美元，并且呈逐年上升的趨勢。利用數字證書、PKI、對稱加密算法、數字簽名、數字信封等加密技術，可以建立起安全程度極高的身份認證系統，確保網上信息有效、安全地進行，從而使信息除發送方和接收方外，不被其他方知悉（保密性）；保證傳輸過程中不被篡改（完整性和一致性）；發送方確信接收方不是假冒的（身份的真實性和不可偽裝性）；發送方不能否認自己的發送行為（不可抵

2、賴性）。本方案根據*的業務流程、管理模式的實施方案，充分運用現代網絡信息技術及CA認證體系，建立*身份認證系統，并可作為公務網CA的配套系統。1.2身份認證系統用戶認證需求描述在*業務發展過程中，為了更好的實現數據資源共享，充分發揮信息化對*系統發展的促進作用，*將綜合開發一套身份認證系統對目前的用戶身份進行管理，為社會、相關職能部門以及各級機構提供服務。在此系統的開發應用過程中，一個重要的任務是解決如何對應用系統用戶進行身份認證從而確保數據的安全。下面將針對在此系統的開發應用中對用戶身份認證所做的需求加以說明。整個系統的邏輯結構如圖1所示：圖1：系統邏輯結構示意圖如圖1示，整個系統涉及了應用

3、服務器、證書服務器以及相應的客戶端。系統運作流程簡述如下：l 客戶端訪問應用服務器，應用服務器向認證服務器發出認證請求；l 認證服務器完成對用戶身份的認證并將與該用戶相對應的認證信息返回相應的應用服務器；l 用戶在通過認證之后獲得在應用服務器獲得相應的授權，從而可以對應用系統進行相應的訪問。所提交的認證系統在滿足上述流程之外需要提供應用開發接口，滿足與應用服務器之間的交互。這是將認證系統集成到整個身份認證系統的基礎條件，使得后續的開發工作能夠利用認證信息做進一步的數據處理。考慮到平臺的兼容性，應用系統開發方可以開發一個統一的接口程序與認證系統進行交互。另外還有如下幾點要求需注意：l 認證服務器

4、的用戶信息需要依據數據庫服務器中的用戶信息為基礎；l 對于客戶端的身份認證最好采用硬件方式；l 客戶端通過廣域網連接到認證服務器，要求認證服務器是能夠面向廣域網用戶的；l 客戶端數量可以按250用戶計算；l 提供認證系統的安全模式說明，詳細介紹如何確保系統的安全；l 系統對認證系統的操作系統平臺無特殊要求。1.3身份認證系統認證解決之道根據身份認證系統的設計原則，系統安全需要解決如下幾個方面的問題：l 數據的保密性。包括數據靜態存儲的保密性和數據傳輸過程中的保密性；l 有效的身份認證和權限控制。系統中的各個授權人員具有其特定級別的權限，可以進行該權限的操作，無法越權操作；操作者事后無法否認其進

5、行的操作；未授權人員無法進入系統。我們建議利用業界行之有效的高強度的加解密技術和身份認證技術保證身份認證系統的安全，上海CA中心的數字身份認證系統可以為用戶提供解決辦法。身份認證系統主要負責證書管理，保證系統安全不間斷地提供證書的申請和作廢，提供用戶信息和證書的備份和歸檔，保證系統數據的完整性。如何解決身份認證系統的安全性是我們關心的最大問題，結合身份認證系統，我們設計如下的應用模式：1.3.1身份認證系統的模式首先我們來看一下身份認證系統的模式：l 中心向操作員發放數字證書；l 用戶使用數字證書登陸，經身份驗證后，進入身份認證系統，填寫或修改表單并提交；l 系統對表單進行處理，然后提交、登記

6、身份認證系統。1.3.2建立身份認證系統身份認證系統以及與其發生業務的部門通過網絡和數字證書建立安全可靠的身份認證系統。身份認證系統以及客戶和部門申請數字證書，其申請數字證書的方式詳見以下章節的多種可選方案。身份認證系統以及客戶和部門申請到了標識其身份的數字證書文件和對應的私鑰文件。在此將證書信息文件稱為UserCert.der，私鑰信息文件稱為UserKey.key。證書的存儲介質是帶有算法的USBKEY。在我們的身份認證系統提供支持多種平臺的證書應用接口API（Application Programming Interface），WINDOWS平臺以DLL的形式提供，各種UNIX平臺以“.

7、a”庫的形式提供。利用該API，應用系統可以很方便的將數字證書應用嵌入到業務系統之中。上海CA中心同時在客戶端提供ActiveX控件和JavaApplet開發接口應用服務器端同時提供動態連接庫，COM組件和JavaBean開發接口。1.3.3證書在身份認證系統上的安全應用以下假設向身份認證系統發訂單，利用數字證書的一次數據流程。身份認證系統的服務器和操作員計算機各自申請一張標識其身份的數字證書，即具有其對應的證書文件，私鑰文件。這樣，通過自己計算機上的IE瀏覽器可以安全的訪問身份認證系統。根據以上數據傳輸過程，可以完全保證數據傳輸的保密性、完整性、身份認證和不可抵賴性。同理諸多運行在身份認證系

8、統上的信息流都可以通過加密技術、數字簽名技術以身份認證形式、安全電子郵件形式或文檔形式進行安全。2.詳細設計方案2.1身份認證系統身份認證系統是在實際運作過程中，根據用戶需求開發的一套內網數字身份認證解決方案套件。該系統可以作為公務網身份認證系統的配套產品適用于接入公務網的各委、辦、局、區縣的內網應用系統中。該系統將主要針對內網的應用系統，同時結合公務網身份認證系統的特點和需求，向辦公內網提供本地證書庫、本地證書管理、本地證書目錄、本地證書管理、CRL查詢等服務。 該套系統的API提供了與身份認證系統配合使用的WEB安全套件，為WEB應用提供全方位的身份認證服務。包括UniTrust登錄、Un

9、iTrust退出、對表單進行簽名、對表單進行驗證、對數據進行加密、解密、對信息進行時間標記和時間驗證、以及身份信息控制。可以滿足5 分鐘內500個并發用戶的驗證要求。2.2產品設計原則2.2.1認證系統的設計原則身份認證系統在設計時，從系統建設的近期和長遠目標來綜合考慮在設計中遵循了規范性、安全可靠性、實用性、擴展性、經濟性、易用性和業務獨立性等原則。并在以上原則中著重考慮了：安全性安全性是認證系統最為關注的問題，也是認證系統設計及建設中的關鍵，它包括Browser與Server間信息傳遞的安全控制，訪問系統的安全控制，系統數據的可追溯性。認證系統有完整的安全策略控制體系以實現安全控制。其關鍵

10、技術包括網頁簽名技術，身份認證及信息加密技術，可保證系統間信息傳遞的安全，訪問系統的安全控制。規范性 標準和規范是認證系統設計中的重要內容，這里所說的規范性，是指認證系統設計及建立過程的規范性。目前有關認證系統的實際應用有著多種相關的規范，如X.509，PKCS10，PKCS7，PKCS12等。不同的用戶及系統在使用認證系統及證書時往往都按照相關的規范調用。同時良好的規范也保證了身份認證系統協調工作時的方便性和準確性。可擴展性認證系統方案設計中，每個層次的設計采用模塊化設計，可根據用戶的不同需要發展進行靈活擴展。如，在數字證書中加入自定義擴展項，從而使政府用戶可在證書中加入相應的工作證號等信息

11、。特別是證書系統采用了B/S中的多層設計思想，使得系統可實現對于不同用戶的定制服務，可以方便地實行對應用的控制與更新。易管理性系統的易管理性是證書認證系統的一個重要特點，系統對應提供多套管理系統，可對系統各個層次進行管理。并可對一些經常性的統計工作提供基于Web的管理。2.2.2 網絡環境設計原則我們在作產品系統實施方案時充分考慮了網絡的高性能、可靠性，可擴充性，以便支持以后網絡分階段升級的需要，保護原有投資。為此，遵循了以下原則： 先進性和實用性 盡可能采用國際上先進的技術和設備，使產品系統具有良好的性能，不僅能滿足當前認證系統的需要，還要滿足未來3至5年的需要。對一些目前不重要的部分，則以

12、經濟實用為主，但要為以后的擴充打下基礎。 高可靠性 采用成熟的先進技術，關鍵部件和線路有足夠備份，有必要的冗余容錯能力，如出了故障，要能及時指出故障點及故障原因。 較強的擴充性能 產品提供了很多于應用相連結的標準函數借口，能與將來的先進技術相結合，保護現有投資，保證系統能隨時加入新的功能模塊，保證有關軟件能順利升級和擴充。 良好的安全保密措施 由于此產品是一套獨立的身份認證系統，為了確保系統的安全保密措施和系統的大范圍適用性，我們提供了軟硬件一體機，通過訪問控制、及為用戶設置權限等措施，防止非法侵入。 2.3功能模塊架構應用系統證書編碼OCSP/CRL等編碼簽發證書/黑名單/OCSP等用戶信息

13、管理證書信息管理身份認證系統系統初始化/系統管理/用戶管理/證書管理/用戶自服務/系統服務SafeengineSafeEngine證書管理器HardWare編碼加解密數據庫身份認證系統特性身份認證系統支持平臺身份認證系統充分發揮硬件的特性，便于管理和維護。減少人為干預。兼容的應用軟件和操作系統身份認證系統可與以下軟件協同工作客戶端應用程序：Netscape NavigatorNetscape CommunicationMicrosoft Internet ExploerUniTrust SafeEngine, UniTrust 證書管理器各種WEB服務器：MicroSoft IIS WebSe

14、rverNetscape EnterpriseApacheJava WebServerDomino統一的管理界面身份認證系統的操作管理都基于WEB頁面，有效降低維護的成本。支持各種介質身份認證系統支持用戶證書存放在軟盤、IC卡、USB棒以及服務器。嚴格的權限控制身份認證系統分為系統管理員、系統操作員、系統用戶和匿名用戶四個級別用戶。系統管理員對系統的運行負責，但不能接觸任何用戶數據，同時必須超過半數的系統管理員到場時才能進入系統管理模式。操作員僅能對用戶進行操作，不能影響系統的運行。用戶僅能對自己的數據進行操作，不能修改他人數據。匿名用戶提供公用的服務，如下載他人證書、根證書、下載黑名單等。所

15、有的認證方式均采用數字認證方式進行，確保系統安全。私鑰保護身份認證系統對私鑰進行嚴格的保護，對所有存放在身份認證系統上的私鑰，采用多重加密方式，同時身份認證系統采用硬件機，無人可以直接獲得身份認證系統上的數據。日志身份認證系統提供詳盡的日志功能。包括系統日志和用戶日志。系統日志主要提供所有系統管理員、系統操作員、用戶對系統信息、或證書信息的操作。系統管理員可以通過日志查詢獲得系統的狀態。歷史信息查詢身份認證系統提供國內首創（專利號）的技術，用戶歷史信息查詢。歷史信息包括用戶的證書申請歷史和證書使用信息。證書申請信息包括用戶申請證書的記錄申請時間、批準或駁回、更新時間、作廢時間、上一張證書、下一

16、張證書等。用戶證書使用信息查詢包括證書被驗證記錄，提供驗證者信息和時間。供用戶本人查證自己證書使用紀錄，是否有他人試圖使用自己的證書。下一版本中，將提供用戶告警機制，用戶可以設定自己的檢查條件，系統核查滿足條件后，就發送告警信息給用戶。以盡快解決安全隱患。政策編輯身份認證系統提供自行編輯證書政策的功能，可以讓運行商自行修改證書策略。數據備份身份認證系統提供根證書的導入導出功能，也支持所有的數據備份和恢復功能。為數據安全提供保障。產品升級對不斷提高的技術和新的需求，身份認證系統努力提升產品性能和功能。身份認證系統只需要系統管理員將系統進入維護模式，運行與該系統配套提供的軟件升級包，就可以對產品進

17、行升級。2.4 身份認證系統功能簡介系統初始化執行系統初始化功能，包括刪除所有數據，缺省系統管理員、系統操作員的生成。根證書的生成或指定。系統IP地址更改。系統管理執行系統管理功能，包括系統管理員管理、操作員管理、根證書管理、系統服務管理、系統日志管理、License管理、系統密鑰管理。用戶信息管理主要執行用戶信息管理的工作，包括用戶信息的增加、修改、刪除。證書申請信息管理主要執行證書申請信息的管理工作，包括證書申請信息的添加、修改和刪除。證書的管理如作廢、簽發、暫停、恢復等等。以及統計報表的制作打印等等。用戶、證書自服務：用戶證書自管理的工作，如用戶信息的錄入，修改，用戶證書申請請求，用戶證

18、書的下載，用戶證書的廢除。以及查詢、下載他人證書、CRL。下載根證書。接收注冊請求，簽發公鑰證書支持離線或在線簽發證書兩種方式。前者密鑰對由身份認證系統生成；后者密鑰對在客戶端由瀏覽器或其他PKI軟件生成。證書查詢 用戶可以輸入一定的條目如Email或姓名等，通過模糊查詢，獲得用戶證書列表，選擇一張證書下載到瀏覽器中，或保存。發布證書吊銷名單（CRL）定期發布最新證書吊銷名單。CRL遵從X.509V3格式。提供在線證書狀態查詢（OCSP）身份認證系統提供證書狀態查詢，有效提高可靠性。提供日志管理日志是每次操作的記錄，其主要作用有二。一是用于事后故障清查的系統維護方面；其二是事故處理，為系統安全

19、審計提供現場記錄數據，是安全審計與追蹤的基礎。身份認證系統訪問控制訪問身份認證系統需要強身份驗證，只有通過超過半數以上的系統管理員的PIN卡驗證后，才允許系統管理員訪問身份認證系統，執行安全操作。用戶證書介質制作用戶證書介質即用戶身份標識介質，介質中存有用戶證書、該證書的簽發者證書、和被加密的該用戶的私鑰。用戶證書介質可以是軟盤，也可以是安全性更高的IC卡或USB棒。用戶證書介質的選擇，需視用戶對安全性的要求而定。2.5身份認證系統安全性分析我們提供的該套身份認證系統在安全設計過程中主要考慮四個主要措施：身份鑒別措施、數據的傳遞過程的機密性與完整性措施、權限分割與互相制約措施、自主和可控性措施

20、的四項措施。2.5.1本系統安全性保護的必要性數字化信息社會雖然給人們的工作帶來了方便，但是由于它是基于網絡的信息傳遞也給人們的工作帶來了很多不便之處，在工作中缺少了物理界面的出現，從而帶來了信息安全保密問題的出現。通過長時期的了解和觀察，我們發現我國信息安全保密還存在以下問題：l 信息安全保密意識淡薄，缺少緊迫感和正確的認識。l 信息網絡防御能力脆弱，信息保密技術研究和技術防范手段滯后，泄密隱患突出。l 信息安全基礎設施薄弱，缺少必要的物質條件，一些重要的信息系統使用進口的安全設備，無法保證其安全性和有效監管。l 信息安全保密管理力度不夠，管理體系不夠完善，內部管理漏洞隱患大，網絡缺少對用戶

21、認證與權限的管理，也缺少對信息內容的保密級別的劃分與設定?？傊?，本系統安全性保護不僅是必要的，也是相當重要的。2.5.2安全性要求隨著各個單位內網辦公應用系統需求的迫切提升，信息安全已成為焦點問題之一，尤其是CA認證越來越成為整個電子商務中的安全重要環節，所以數字身份認證系統本身的安全也越來越重要。概括起來，認證系統對安全的最基本要求如下：身份鑒別（Authentication ）在操作員或管理員進行認證系統的操作錢要能確認對方的身份，并要求在操作過程中操作員或管理員的身份不能被假冒或偽裝。數據的機密（Confidentiality）對敏感信息進行加密，及時別人截獲數據也無法得到其內容。數據的

22、完整性（Integrity）要求接受方能夠驗證受到的信息是否完整，是否被人篡改，保證操作過程中的信息安全。不可抵賴性（Non-Repudiation）操作一旦完成，發送方不能否認他發送的信息，接收方則不能否認他所收到的信息。2.5.3安全性設計原則在設計證書系統的安全時，我們主要遵守了以下原則：l 網絡信息系統安全與保密的“木桶原則”：對信息均衡、全面地進行安全保護；l 網絡信息安全系統的“整體性原則”：安全防護、檢測和應急恢復；l 數字身份認證系統安全性的“有效性與實用性”原則：不能影響系統的正常運行和合法用戶的操作活動；l 信息安全系統的“等級性”原則：安全層次和安全級別；l 信息安全系統

23、的“動態化”原則：整個系統內盡可能引入更多的可變因素，并具有良好的擴展性；l 安全與保密系統的設計應與網絡設計相結合的原則；l 自主和可控性原則；l 權限分割、互相制約、最小化原則；l 有的放矢、各取所需原則。2.5.4安全性設計方案身份鑒別措施身份鑒別措施是指在操作員或管理員進行登陸系統進行操作之前必須進行身份的鑒別。流程圖如下：登錄者用自己的私鑰對這段隨機文字進行簽名，并上送自己的證書序列號服務器隨機生成一段文字，下傳到客戶端服務器根據上送的證書序列號從數據庫中取出登錄者的證書校驗簽名成功登錄拒絕登錄成功拒絕每個管理員、操作員、證書用戶在進入系統之前，都必須在系統的數據庫中先錄入各自的證書

24、，這一過程也稱開戶。在管理員或操作員進行登錄前，服務器會生成一個隨機字符串，并要求登錄者對這個字符串進行簽名，由于這個字符串是隨機的，并含有時間信息，所以這種方法可防治重放攻擊。登錄者將隨機字符串簽名后，會將簽名發送到服務器端。服務器可從庫中取出簽名者的證書進行校驗。如果檢驗通過，則證明登錄者身份真實。在操作過程中操作員或管理員無論進行合作操作，都要對通信信息進行簽名，保證了其身份不能被假冒或偽裝。同時加入簽名也保證了操作一旦完成，發送方不能否認他發送的信息，接收方則不能否認他所收到的信息。2.6身份認證系統應用開發接口2.6.1身份認證系統接口函數身份認證系統接口函數是為所有基于該套系統證書

25、應用程序開發者提供編程接口。應用開發者不需要深入了解證書的結構、獲取、驗證等一切與證書相關的操作，只需要關心應用的開發即可。接口函數支持1024/128位強度的加密算法，證書驗證、黑名單查詢、數字信封，數字簽名，驗證簽名，摘要，對稱加解密，PEM編解碼，從介質中讀取證書，私鑰，證書驗證（包括CRL，OCSP驗證），證書解碼等。接口函數包括2種類型：API和證書管理器。API有標準c版和java 版，支持包括Aix、hp、Solaris、Windows 在內的各種主流操作系統；證書管理器API支持Windows系列。API提供的功能主要包括簽名、從證書提取證書細節等各項功能；證書管理器API不但

26、包括了API的大部分功能，另外還提供了證書的管理功能，包括證書的添加、刪除、導入導出等功能，這些功能可以方便客戶端對證書的管理，結合API的強大功能，可以開發出一套功能強大的身份認證應用系統。我們保證密切配合應用系統開發商對*身份認證信息系統的開發，以確保整個系統的完整和及時的開發完成。為客戶端同時提供ActiveX控件和JavaApplet開發接口。應用服務器端同時提供動態連接庫，COM組件和JavaBean開發接口。 2.6.2 API與身份認證系統結合開發應用系統在*的系統中，需要加入身份認證和數字信封等功能，保護網絡上數據的安全性、保密性、完整性、身份可識別以及各項操作的不可否認性等安

27、全功能，在分析了*的具體需求只有，我們認為，結合我們現有的產品身份認證系統和接口函數，可以開發出一套適合需求的產品。在開發過程中，我們建議按以下流程設計應用程序：1、*通過身份認證系統為用戶發放數字證書；2、在用戶第一次登錄系統時，要求用戶使用數字證書等陸，應用系統發出隨機串要求客戶端對隨機串進行簽名，并返回簽過名的隨機串，由應用系統驗證用戶身份；（建議客戶端使用證書管理器 API開發，服務器端使用API）3、確認用戶身份后，可以根據*系統的授權，進行各項操作。因為身份認證系統是軟、硬件一體機，用戶只要通過Web就可以輕松的發放證書，無需額外的管理和復雜的操作，并且結合接口函數功能，可以完成各

28、項對于證書的操作以及證書的管理。同時身份認證系統的功能主要是管理證書和發放證書，在應用系統中，只與應用系統關聯，對網絡沒有額外的要求，所以不會影響到外網的用戶。通過身份認證系統數據導出接口，可以把證書服務器和認證服務器中的用戶數據與主應用系統的數據庫服務器（Oracle 9i）中的系統用戶數據保持實時的一致，確保整個系統用戶管理功能的統一。2.7身份認證系統使用案例身份認證系統已經成功應用在上海市信息辦、上海市證券交易所、上海藥品監督局、上海市統戰部、上海市青浦區政府、上海市小企業管理辦公室、浙江移動通信有限公司等政府部門和企業。如下以身份認證系統在政務網系統中應用為例，說明信息加密和身份控制

29、的應用。政府上網工程中必須保證以下幾個因素：在線身份認證身份認證在整個政務網中的重要性是不言而喻的。所有其他的控制都來自于身份認證的正確性。傳統的密碼口令不能足以保證身份的準確性。必須采用高強度的認證機制（CA認證機制）。同時也必須提供在線的認證機制，以避免證書在丟失后可能導致的風險。權限控制由于業務應用系統網中，大多為內部機密信息。對權限的控制非常重要，必須提供嚴格的控制，這種控制如果通過傳統的數據庫方式進行，可以做到，但會花費極大的成本，同時也增加了管理的難度。用數字證書可以方便的實現全程通用的模塊，而不用建立獨立的數據庫，單獨進行管理。不可抵賴和數據完整性業務應用系統網由于其特性的限制，對每個信息的認證必須是強有力的，比如冒充領導發布命令，可能會導致很大的損失。必須對信息進行不可抵賴性驗證。數據加密業務應用系統網流通的信息都是機密信息