1、 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.*部身份認(rèn)證規(guī)劃方案 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.目 錄第一章 背景.錯誤!未定義書簽。1.1.信息系統(tǒng)現(xiàn)狀.錯誤!未定義書簽。.錯誤!未定義書簽。應(yīng)用系統(tǒng).錯誤!未定義書簽。目前現(xiàn)狀.錯誤!未定義書簽。1.2.*部安全需求.錯誤!未定義書簽。1.3.要求.錯誤!未定義書簽。功能要求.錯誤!未定義書簽。性能要求.錯誤!未定義書簽。第二章 *部身份認(rèn)證設(shè)計(jì)原則、設(shè)計(jì)依據(jù)和產(chǎn)品特點(diǎn).錯誤!未定義書簽。2.1 設(shè)計(jì)原則.錯誤!未定義書簽。2.2 選用的身份認(rèn)證產(chǎn)品特點(diǎn)和產(chǎn)品遵循的標(biāo)準(zhǔn).錯誤!未定義書

2、簽。2.3 設(shè)計(jì)依據(jù).錯誤!未定義書簽。第三章 *部身份認(rèn)證系統(tǒng)的整體規(guī)劃和部署.錯誤!未定義書簽。3.1 整體身份認(rèn)證認(rèn)證體系系統(tǒng)建設(shè)方案.錯誤!未定義書簽。.錯誤!未定義書簽。3.1.2 *部證書類型和申請方式設(shè)計(jì).錯誤!未定義書簽。3.1.3 證書申請流程.錯誤!未定義書簽。3.1.4 證書查詢系統(tǒng)/認(rèn)證服務(wù)器并發(fā)處理能力、證書驗(yàn)證和查詢 CRL的時(shí)間.錯誤!未定義書簽。第四章 產(chǎn)品功能介紹和性能指標(biāo).錯誤!未定義書簽。4.1認(rèn)證注冊系統(tǒng)設(shè)計(jì)產(chǎn)品功能要求 .錯誤!未定義書簽。4.1.1 密鑰管理中心技術(shù)說明.錯誤!未定義書簽。4.1.2 OCSP 系統(tǒng)功能設(shè)計(jì).錯誤!未定義書簽。4.1.

3、3 時(shí)間戳服務(wù)功能設(shè)計(jì).錯誤!未定義書簽。4.1.4 與其他 CA 認(rèn)證中心的相互認(rèn)證.錯誤!未定義書簽。.錯誤!未定義書簽。第五章 身份認(rèn)證與應(yīng)用系統(tǒng)的結(jié)合.錯誤!未定義書簽。 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.6.1 與應(yīng)用系統(tǒng)結(jié)合 .錯誤!未定義書簽。.錯誤!未定義書簽。.錯誤!未定義書簽。 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.第一章 背景1.1.信息系統(tǒng)現(xiàn)狀*部內(nèi)網(wǎng)是一個(gè)與其他網(wǎng)絡(luò)物理隔離的專用網(wǎng)絡(luò)，目前采用的是星型拓?fù)浣Y(jié)構(gòu)，由主干網(wǎng)和接入網(wǎng)組成。*部工作內(nèi)網(wǎng)包括機(jī)關(guān)局域網(wǎng)和連接各省市自治區(qū)*部的網(wǎng)絡(luò)。應(yīng)用系統(tǒng)*部根據(jù)其業(yè)務(wù)情況

4、規(guī)劃和建立了各種業(yè)務(wù)系統(tǒng)等，目前規(guī)劃中的應(yīng)用有九種，需要實(shí)現(xiàn)的為兩種。目前現(xiàn)狀目前*部內(nèi)部及其下屬機(jī)構(gòu)還沒有相關(guān)身份認(rèn)證系統(tǒng)建設(shè)。1.2.*部安全需求根據(jù)*部建設(shè)的規(guī)劃，建立全網(wǎng)統(tǒng)一的身份認(rèn)證平臺，提供相應(yīng)的接口，為下一步開發(fā)安全的應(yīng)用系統(tǒng)提供基礎(chǔ)安全平臺。*部身份認(rèn)證與訪問控制平臺需符合中央辦公廳要求，并能與中央辦公廳的 CA 互相認(rèn)證。規(guī)劃在*部內(nèi)部建立一套完整的身份認(rèn)證體系，*部建立 RA 中心，作為制證中心，系統(tǒng)的設(shè)計(jì)應(yīng)符合以下原則： 符合國際上的相關(guān)標(biāo)準(zhǔn)和國家的有關(guān)規(guī)定； 實(shí)用、高效、可擴(kuò)展，可以與其他 CA 進(jìn)行交叉認(rèn)證； 自身的整體安全； 需求、風(fēng)險(xiǎn)與成本的平衡； 全網(wǎng)統(tǒng)一規(guī)劃；

5、 簡單易行； 技術(shù)與管理相結(jié)合。 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.1.3.要求功能要求（1） 身份認(rèn)證能夠?yàn)槊總€(gè)*系統(tǒng)的用戶及主要信息服務(wù)設(shè)備提供全網(wǎng)統(tǒng)一的身份認(rèn)證機(jī)制。通過對每一個(gè)進(jìn)入內(nèi)網(wǎng)用戶的合法性進(jìn)行檢驗(yàn)，防止非法用戶對局內(nèi)網(wǎng)信息資源的訪問，保證在*部內(nèi)部橫向和縱向的應(yīng)用系統(tǒng)中都能實(shí)現(xiàn)對用戶身份的認(rèn)證。（2） 認(rèn)證授權(quán)實(shí)現(xiàn)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)資源的訪問控制（3） 自身有完備的安全防護(hù)措施身份認(rèn)證系統(tǒng)應(yīng)具備自我防護(hù)功能，提供高可用性和災(zāi)難恢復(fù)機(jī)制，確保身份認(rèn)證系統(tǒng)的安全和高可用性。（4） 信息保密性、完整性和抗抵賴性為各種應(yīng)用系統(tǒng)提供安全服務(wù)，使重要內(nèi)部信息不泄露

6、給未授權(quán)的個(gè)人、實(shí)體或進(jìn)程，確保信息的保密性、完整性和防抵賴性。（5） 密鑰管理生成密鑰、分發(fā)密鑰、備份與恢復(fù)密鑰、更新密鑰、銷毀密鑰以及密鑰在使用中的查詢等。（6） 分級管理在*部設(shè)立的 RA 中心實(shí)現(xiàn)簽發(fā)用戶證書、管理證書和 CRL、提供密鑰管理服務(wù)、提供證書狀態(tài)查詢服務(wù)等功能，同時(shí)也能提供證書狀態(tài)查詢服務(wù)。（7） 提供時(shí)間戳的服務(wù)（8） 提供對應(yīng)用系統(tǒng)的接口性能要求 產(chǎn)生密鑰對的時(shí)間、簽發(fā)證書的時(shí)間要快； 批量發(fā)證的能力要強(qiáng)； 對證書狀態(tài)的查詢響應(yīng)時(shí)間要短； 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持. 在現(xiàn)有網(wǎng)絡(luò)帶寬的情況下，提供安全性的同時(shí)，不影響現(xiàn)有應(yīng)用系統(tǒng)的正

7、常使用； 系統(tǒng)運(yùn)行穩(wěn)定可靠。 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.第二章 *部身份認(rèn)證設(shè)計(jì)原則、設(shè)計(jì)依據(jù)和產(chǎn)品特點(diǎn)2.1 設(shè)計(jì)原則（1） 系化設(shè)計(jì)原則*部 身份認(rèn)證系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)工程，是任何一種單元技術(shù)都無法獨(dú)立解決的。必須從一個(gè)完整的安全體系結(jié)構(gòu)出發(fā)，綜合考慮各種實(shí)體和各個(gè)環(huán)節(jié)，綜合使用各種安全手段，為信息網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)系統(tǒng)提供全方位服務(wù)。（2） 全局性、綜合性、均衡性設(shè)計(jì)原則從全局的角度出發(fā)、綜合考慮，包容現(xiàn)存的和將要實(shí)施的應(yīng)用系統(tǒng)，并考慮全國系統(tǒng)的兼容，實(shí)現(xiàn)均衡設(shè)計(jì)。（3） 可行性、可靠性、安全性在建立身份認(rèn)證系統(tǒng)之后，不會對原有的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有大的影

8、響。在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，能夠大幅度提高系統(tǒng)的安全性。（4） 適應(yīng)性、可擴(kuò)展性原則此系統(tǒng)安全設(shè)計(jì)必須能適應(yīng)系統(tǒng)的變化和技術(shù)的發(fā)展，要有一定的靈活性，同時(shí)具有良好的可擴(kuò)展性。（5） 需求、風(fēng)險(xiǎn)、成本折衷原則任何信息系統(tǒng)都不能做到絕對的安全。鑒于這種情況，在進(jìn)行安全設(shè)計(jì)時(shí)，要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，既必須遵守三項(xiàng)要求折中的原則。2.2 選用的身份認(rèn)證產(chǎn)品特點(diǎn)和產(chǎn)品遵循的標(biāo)準(zhǔn) 標(biāo)準(zhǔn)性嚴(yán)格遵守 ITU-T X.509 標(biāo)準(zhǔn)，其中應(yīng)用的全部協(xié)議都是被國際上廣泛采用的標(biāo)準(zhǔn)協(xié)議。應(yīng)用這些協(xié)議，使目前的 SSL 和將來基于 SET 的標(biāo)準(zhǔn)都能正常被應(yīng)用。數(shù)字證書亦可兼

9、容其他 CA 系統(tǒng)的數(shù)字證書。 完整性數(shù)字證書具有公鑰/私鑰的生成、用戶申請、申請審核、證書簽發(fā)、證書吊銷、證書驗(yàn)證、證書查找、證書修改、密鑰管理、證書包裝等各項(xiàng)功能。 安全性 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.加密公開密鑰和私人密鑰的長度可以是 512、1024 和 2048 位，公鑰/私鑰對的生成和互運(yùn)算采用可靠性極高的 RSA 算法。利用公鑰/私鑰對的加密/解密運(yùn)算亦采用 RSA 算法。數(shù)字簽件和簽名技術(shù)采用 MD5 算法，它是目前可靠性最好和應(yīng)用最為廣泛的算法。 模塊化七個(gè)軟件模塊分別是證書申請、證書審核、證書簽發(fā)、證書查詢、證書回收、系統(tǒng)安全和備份系統(tǒng)。

10、 易用性系統(tǒng)的 WEB 界面，易用性極好。 特性化強(qiáng)大的密鑰管理功能，能實(shí)現(xiàn)用戶密鑰的恢復(fù)和更新。2.3 設(shè)計(jì)依據(jù)本設(shè)計(jì)方案的主要依據(jù)是國家保密局文件 “涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南” （BMZ2-2001），同時(shí)，還參考了以下標(biāo)準(zhǔn)和法規(guī)、文件： 國家標(biāo)準(zhǔn) GB2887-2000電子計(jì)算機(jī)場地通用規(guī)范 國家標(biāo)準(zhǔn) GB9254-1998信息技術(shù)設(shè)備的無線電騷擾限值和測量方法 國家標(biāo)準(zhǔn) GB9361-1998計(jì)算站場地安全要求 國家標(biāo)準(zhǔn) GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 國家標(biāo)準(zhǔn) GB50174-1993電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 國家軍用標(biāo)準(zhǔn) GJB34

11、33-1998軍用計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu) 國家公共安全和保密標(biāo)準(zhǔn) GGBB1-1999信息設(shè)備電磁泄漏發(fā)射限值 國家保密標(biāo)準(zhǔn) BMB2-1998使用現(xiàn)場的信息設(shè)備電磁泄漏發(fā)射檢查測試方法和安全判據(jù) 國家保密標(biāo)準(zhǔn) BMB3-1999處理涉密信息的電磁屏蔽室的技術(shù)要求和測試方法 國家保密標(biāo)準(zhǔn) BMB4-2000電磁干擾器技術(shù)要求和測試方法 國家保密標(biāo)準(zhǔn) BMB5-2000涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防護(hù)要求 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持. 國家保密指南 BMZ1-2000涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求 國家保密指南 BMZ2-2001涉及國家秘密的

12、計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南 國家保密指南 BM23-2000涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測評指南 CISPR22 信息技術(shù)設(shè)備無線電干擾特征極限值和測量方法 CISPR24 信息技術(shù)設(shè)備免疫性特征極限值和測量方法 國務(wù)院令 147 號中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 國務(wù)院令 195 號中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 中華人民共和國公安部令 32 號計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 國家保密局文件計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定（國保發(fā)19981 號） 中央保密委員會辦公室、國家保密局文件涉及國家秘密的通信、辦公自動化和計(jì)算機(jī)信息系統(tǒng)審

13、批暫行辦法（中保辦發(fā)19986 號） 中共中央辦公廳國務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)中共中央保密委員會辦公室、國家保密局關(guān)于國家秘密載體保密管理的規(guī)定的通知（廳字200058 號） 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.第三章 *部身份認(rèn)證系統(tǒng)的整體規(guī)劃和部署1）基于身份認(rèn)證技術(shù)，采用數(shù)字證書方式管理用戶，使每個(gè)用戶只需要擁有一個(gè)數(shù)字證書，就可以在*部信息網(wǎng)中具有一個(gè)惟一的身份，以此建立集中的用戶管理體系；2）在 LDAP 目錄服務(wù)技術(shù)的基礎(chǔ)上，采用資源目錄管理技術(shù)，集中管理各個(gè)應(yīng)用系統(tǒng)的資源，并在用戶管理和資源管理的基礎(chǔ)上實(shí)現(xiàn)用戶的授權(quán)管理；3）建立集中的認(rèn)證授權(quán)中心，在用戶訪

14、問應(yīng)用系統(tǒng)資源時(shí)，能夠集中對用戶的身份進(jìn)行認(rèn)證，并集中控制用戶的訪問行為；4）采用 USB KEY 作為用戶身份證明的存儲介質(zhì)和惟一的身份認(rèn)證接口，為用戶提供一種安全、可靠的認(rèn)證方式，并實(shí)現(xiàn)單點(diǎn)登錄，減少用戶的認(rèn)證操作。*部身份認(rèn)證解決方案包含兩個(gè)部分： RA 中心的建立；應(yīng)用系統(tǒng)安全解決方案。兩個(gè)部分的解決措施構(gòu)成了*部安全平臺身份認(rèn)證的完整體系。我們首先介紹身份認(rèn)證系統(tǒng)的建設(shè)方案：3.1 整體身份認(rèn)證認(rèn)證體系系統(tǒng)建設(shè)方案*部身份認(rèn)證體系整體規(guī)劃思路*部基于證書的整體身份認(rèn)證體系從宏觀設(shè)計(jì)上主要包含建立 RA 注冊中心以及附屬的相關(guān)中心。*部整體身份認(rèn)證體系主要建設(shè)內(nèi)容包括：1.在*部建成部

15、級證書服務(wù)系統(tǒng)，包括：建立一個(gè) RA 中心、KMC 密鑰管理中心，建立健全的證書發(fā)布體系，包含存儲證書的數(shù)據(jù)庫和證書發(fā)布目錄服務(wù)器， 基于以上身份認(rèn)證設(shè)施，為相關(guān)應(yīng)用單位提供相關(guān)接口與服務(wù)（加密、解密、簽名、驗(yàn)證簽名）。密鑰管理中心密鑰管理中心是整個(gè)身份認(rèn)證體系密鑰管理的托管機(jī)構(gòu)，負(fù)責(zé)加密密鑰的產(chǎn)生、存貯、管理、備份以及恢復(fù)等，負(fù)責(zé)相關(guān)工作密鑰的集中管理和集中分 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.發(fā)等，負(fù)責(zé)密鑰系統(tǒng)管理策略的制定和檢查，負(fù)責(zé)保證密鑰系統(tǒng)安全、可靠的運(yùn)行。密鑰管理中心的建設(shè)如下圖所示，包括身份認(rèn)證/加密卡、密鑰管理服務(wù)器和密鑰管理終端三部分組成： 身

16、份認(rèn)證加密卡：負(fù)責(zé)完成有關(guān)密鑰的產(chǎn)生、加密、認(rèn)證等操作，主要用于產(chǎn)生密鑰對作為用戶的加密密鑰（簽名密鑰由用戶在客戶端自己產(chǎn)生，采用 RSA 算法/或者符合國家保密規(guī)定的算法，不托管）。 密鑰管理服務(wù)器（KMC 服務(wù)器）KMC 服務(wù)器負(fù)責(zé)處理密鑰管理命令，產(chǎn)生、存貯密鑰，密鑰政策、規(guī)定和制度，密鑰的分配方案等，檢測分析密鑰系統(tǒng)工作狀態(tài)，發(fā)布密鑰更換和銷毀的命令。密鑰服務(wù)器可以設(shè)多個(gè)，根據(jù)需要設(shè)置三種類型的密鑰數(shù)據(jù)庫：備份密鑰庫、當(dāng)前運(yùn)行密鑰庫和歷史密鑰庫。 密鑰管理終端（KMC 管理終端）KMC 管理終端，負(fù)責(zé)各種密鑰的產(chǎn)生、檢測、選取和制作。密鑰的制作是按照一定格式和規(guī)定，將密鑰寫入載體。密鑰

17、管理中心是整個(gè)一級身份認(rèn)證 CA 的核心，因此必須充分保證其安全。如上圖所示，我們把密鑰管理中心劃分為一個(gè)相對獨(dú)立的區(qū)域，只允許證書簽發(fā)服務(wù)器（CA 服務(wù)器）與 KMC 服務(wù)器直接連接，并只允許 CA 服務(wù)器通過安全方式（SSL）認(rèn)證身份后才能訪問 KMC 服務(wù)器的數(shù)據(jù)，其它服務(wù)器、管理終端對 KMC 服務(wù)器的訪問必須通過 CA 服務(wù)器進(jìn)行。同時(shí)，從物理安全考慮，密鑰管理中心也應(yīng)該設(shè)置在一個(gè)高度安全的機(jī)房環(huán)境中，對進(jìn)入該機(jī)房的人員應(yīng)該有嚴(yán)格的管理措施，應(yīng)該采取門禁系統(tǒng)、監(jiān)控系統(tǒng)，不允許一個(gè)人單獨(dú)進(jìn)入，對密鑰管理系統(tǒng)的所有操作必須有記錄等。證書注冊簽發(fā)系統(tǒng)(RA 中心)如上圖所示，證書注冊簽發(fā)系

18、統(tǒng)主要包括以下幾個(gè)部分： 證書簽發(fā)系統(tǒng)證書簽發(fā)系統(tǒng)是證書注冊簽發(fā)系統(tǒng)的核心，擁有最高的安全級別，負(fù)責(zé)所有證書的簽發(fā)和注銷，其主要功能包括： 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持. 處理存儲在證書庫服務(wù)器中的證書申請、證書注銷申請等，為用戶簽發(fā)或注銷證書，簽發(fā)證書注銷列表（CRL）； 從密鑰管理服務(wù)器提取密鑰對，為用戶簽發(fā)證書； 管理證書庫和發(fā)布目錄服務(wù)系統(tǒng)； 對證書注冊簽發(fā)系統(tǒng)自身的管理，如簽發(fā)管理員證書，生成管理員帳號等； 為用戶簽發(fā)各種符合 X.509 V3 標(biāo)準(zhǔn)的證書，包括用戶證書、服務(wù)器證書、VPN 設(shè)備證書、路由器設(shè)備證書等； 證書注冊系統(tǒng)（RA 中心）RA

19、 中心接受用戶的證書申請或證書注銷、恢復(fù)等申請，并對其進(jìn)行審核。RA 中心由 RA 服務(wù)器和 RA 管理終端組成。 證書庫系統(tǒng)在證書注冊簽發(fā)系統(tǒng)后掛一個(gè) ORACLE 數(shù)據(jù)庫（Oracle 軟件由用戶自己提供），作為證書庫使用，用于存放 CA 所簽發(fā)的證書。 證書注冊簽發(fā)管理終端包括管理員、簽發(fā)員、審核員、操作員等的管理終端以及審計(jì)終端，使用PC 機(jī)。部分管理終端（如審核員、操作員的管理終端）也可以分布在各個(gè)部門，通過網(wǎng)絡(luò)訪問服務(wù)器。證書發(fā)布查詢系統(tǒng)證書發(fā)布查詢系統(tǒng)放在防火墻網(wǎng)關(guān)形成的一個(gè)非軍事化區(qū)子網(wǎng)內(nèi)，允許來自網(wǎng)外的用戶訪問。證書發(fā)布查詢系統(tǒng)包括以下三部分：1）證書發(fā)布目錄服務(wù)器：建立一個(gè)

20、 LDAP 服務(wù)器，主要提供證書查詢服務(wù)。2）證書查詢和認(rèn)證系統(tǒng)：是高級擴(kuò)展模塊，提供實(shí)時(shí)的證書狀態(tài)查詢服務(wù)。它可以提供以下功能：提供查詢其他用戶證書的服務(wù)，用來驗(yàn)證其用戶簽名的合法性；驗(yàn)證用戶證書狀態(tài)是否有效；包括驗(yàn)證證書是否還在有效期內(nèi)和驗(yàn)證證書是否已經(jīng)被吊銷。 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.以上各模塊，在實(shí)際部署中可以安裝在同一臺服務(wù)器上面。時(shí)間戳服務(wù)系統(tǒng)TSS 系統(tǒng)是公司基于身份認(rèn)證技術(shù)開發(fā)的一套輕量級、核心化的時(shí)間戳服務(wù)系統(tǒng)，主要提供業(yè)務(wù)流程中可信任的時(shí)間不可抵賴服務(wù)。TSS 系統(tǒng)采用精確的時(shí)間源、高強(qiáng)度高標(biāo)準(zhǔn)的安全機(jī)制、能夠?yàn)橛脩籼峁┚_的、可信賴

21、的且不可抵賴的時(shí)間戳服務(wù)。同時(shí) TSS 系統(tǒng)嚴(yán)格遵循國際標(biāo)準(zhǔn)（RFC3161）時(shí)間戳協(xié)議，采用標(biāo)準(zhǔn)的時(shí)間戳請求、時(shí)間戳應(yīng)答以及時(shí)間戳編碼格式，具有良好的兼容性能，并且通過 TSS 系統(tǒng)提供的二次開發(fā) API 可以進(jìn)行二次開發(fā)，能夠進(jìn)一步滿足用戶的實(shí)際需求。我們建議在防火墻形成的非軍事化區(qū)內(nèi)部署時(shí)間戳服務(wù)系統(tǒng)，包括：1）時(shí)間戳服務(wù)器：接受用戶的時(shí)間戳服務(wù)請求，為用戶簽發(fā)時(shí)間戳；2）加密卡：用于產(chǎn)生時(shí)間戳服務(wù)器的簽名密鑰對。3）標(biāo)準(zhǔn)時(shí)間源：利用國家授時(shí)中心提供的設(shè)備和接口直接從國家授時(shí)中心獲取精確的時(shí)間信息，保證時(shí)間戳信息的真實(shí)可靠。4）時(shí)間戳管理終端：管理時(shí)間戳服務(wù)系統(tǒng)。有關(guān)時(shí)間戳服務(wù)系統(tǒng)的具體

22、說明詳見3.1.2 *部證書類型和申請方式設(shè)計(jì)證書類型用戶證書設(shè)備/服務(wù)器證書申請方式面對面申請網(wǎng)絡(luò)申請存儲介質(zhì)USBKEY說明個(gè)人用戶，用于身份驗(yàn)證、加密等用于網(wǎng)絡(luò)設(shè)備、服務(wù)器軟件等說明用于 RA 操作員統(tǒng)一申請和統(tǒng)一制證的證書申請用于所有用戶證書申請說明PIN 碼保護(hù)，私鑰存于 KEY 內(nèi)。利用瀏覽器管理和保護(hù)私鑰和證書。本地硬盤*部用戶證書項(xiàng)設(shè)計(jì)（證書主題必選項(xiàng)） 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.信息項(xiàng)說明組織（o）國家*部單位（ou）UID （uid）電子郵件（mail）名稱（cn）設(shè)備/服務(wù)器證書信息項(xiàng)對應(yīng)用戶對應(yīng)的部門用戶 ID，對應(yīng)在應(yīng)用系統(tǒng)中的登

23、錄名用于接收通知和進(jìn)行郵件加密、簽名用戶全名說明Base64 編碼 證書申請 由服務(wù)器或設(shè)備生成V3）設(shè)計(jì)證書主題擴(kuò)展項(xiàng)信息項(xiàng)說明職務(wù)對應(yīng)用戶的職務(wù)對應(yīng)用戶具體地址對應(yīng)用戶的電話號碼地址電話號碼密鑰用法或其它擴(kuò)展項(xiàng)信息項(xiàng)說明增強(qiáng)型密鑰用法密鑰用法客戶端驗(yàn)證，服務(wù)端驗(yàn)證Digital Signature , Non-Repudiation , KeyEncipherment , Data Encipherment 等標(biāo)識該證書是最終實(shí)體還是 CASSL 客戶端驗(yàn)證 , SSL 服務(wù)器驗(yàn)證 , SMIME ,簽名等基本限制NetscapeCertType3.1.3 證書申請流程說明： 文檔來源為:

24、從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.步驟內(nèi)容123456申請人向 RA 操作員提出申請，并提供個(gè)人信息RA 操作員通過 RA 工作站將信息錄入，并提交申請申請人單位的審核員進(jìn)行審核*部信息中心簽發(fā)員簽發(fā)證書，并發(fā)布到目錄服務(wù)或 RA 服務(wù)器RA 操作員將證書寫入 SkeyRA 操作員將 Skey 交給申請人網(wǎng)絡(luò)申請說明：步驟123用戶通過瀏覽器向 RA 服務(wù)器提交申請申請人單位的審核員進(jìn)行審核*部信息中心簽發(fā)員簽發(fā)證書，證書被分別發(fā)布到目錄服務(wù)器、證書庫和 RA 服務(wù)器里4申請人通過瀏覽器輸入申請標(biāo)識號來下載自己的證書3.1.4 證書查詢系統(tǒng)/認(rèn)證服務(wù)器并發(fā)處理能力、證書驗(yàn)證和

25、查詢 CRL 的時(shí)間證書查詢系統(tǒng)/認(rèn)證服務(wù)器驗(yàn)證客戶證書有效性（證書驗(yàn)證和查詢CRL）時(shí)間為：2 秒證書查詢系統(tǒng)并發(fā)處理能力：1500 個(gè)用戶RA 系統(tǒng)并發(fā)處理能力：200 個(gè)用戶 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.第四章 產(chǎn)品功能介紹和性能指標(biāo)4.1 認(rèn)證注冊系統(tǒng)設(shè)計(jì)產(chǎn)品功能要求4.1.1 密鑰管理中心技術(shù)說明本部分主要討論密鑰管理中心的安全特性，包括密碼設(shè)備自身的安全機(jī)制、密鑰的生成、存儲、發(fā)送、撤銷、恢復(fù)、銷毀等機(jī)制。 密鑰的產(chǎn)生：密鑰產(chǎn)生包括隨機(jī)數(shù)的生成和檢測、密鑰的選擇和檢測、密鑰的分配等部分。密鑰的產(chǎn)生在保證密鑰各項(xiàng)指標(biāo)的前提下，根本的問題是保證密鑰產(chǎn)

26、生的隨機(jī)性及唯一性。隨機(jī)的數(shù)據(jù)，隨機(jī)地選取，隨機(jī)地分配。1）隨機(jī)數(shù)產(chǎn)生隨機(jī)數(shù)發(fā)生器為密鑰的生成提供了最基本的數(shù)據(jù)。隨機(jī)數(shù)發(fā)生器產(chǎn)生的數(shù)據(jù)，必須經(jīng)過隨機(jī)性檢測合格才能作為密鑰選擇應(yīng)用的基本信息。隨機(jī)數(shù)發(fā)生器必須選用安全主管部門所批準(zhǔn)的方案。2）密鑰的生成將合格的隨機(jī)數(shù)按照密鑰的格式和封裝的要求進(jìn)行格式化，產(chǎn)生一批密鑰。產(chǎn)生的密鑰都按密鑰的要求進(jìn)行檢測，合格的、符合要求的密鑰予以保留，不合格的予以刪除。3）密鑰的分配按照證書類型、發(fā)放范圍，選用對應(yīng)的合格的密鑰對。被選取的密鑰必須進(jìn)行唯一性檢查，確保被選的密鑰與過去使用的密鑰不同。被選用的密鑰按照一種隨機(jī)的方法分配給相應(yīng)的用戶。 密鑰的分發(fā)：密鑰分

27、發(fā)機(jī)制，一般應(yīng)包括預(yù)置式密鑰分發(fā)方式和在線式密鑰分發(fā)方式。 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.（1）預(yù)置式：所謂預(yù)置式分發(fā)就是用安全的載體通過其它安全的渠道事先將密鑰分發(fā)給密鑰接收者。例如用戶加密密鑰，采用 IC 卡這種安全載體，由用戶親自提取（安全渠道），發(fā)到用戶手中。（2）在線式：在線式分發(fā)是密鑰數(shù)據(jù)在安全的網(wǎng)絡(luò)信道中定時(shí)傳遞的方法，密鑰在線分發(fā)的重要問題是保證密鑰傳遞的可靠性、完整性和機(jī)密性。本系統(tǒng)采用在線分發(fā)方式，由中心向密鑰使用者分發(fā)加密密鑰的方式，密鑰管理中心設(shè)有密鑰分發(fā)中心 KDC，密鑰分發(fā)由 KDC 進(jìn)行集中統(tǒng)一管理，即 KDC將隨機(jī)選取的密鑰對一

28、一分發(fā)給密鑰接收者。 密鑰的傳遞：密鑰管理中心通過 SSL 連接保證通信安全。密鑰管理中心交互的信息有密鑰管理策略信息、密鑰信息、檢測信息以及有關(guān)情況信息。這些信息一般是一批信息，在應(yīng)用層形成。因此采取任務(wù)提交方式，批處理作業(yè)來進(jìn)行信息的交換。在信息提交前，采用雙向認(rèn)證協(xié)議，進(jìn)行雙方認(rèn)證，并確定通信的密鑰，對信息進(jìn)行加密處理，再進(jìn)行傳輸?shù)姆绞健?密鑰的更換與銷毀：對于現(xiàn)代密碼體制，密鑰是密碼安全保密的核心，其安全保護(hù)是非常重要的。但是密鑰也有可能有泄露的時(shí)候，根據(jù)泄密的情況，必須及時(shí)采取相應(yīng)的撤消和銷毀措施。1）密鑰的銷毀機(jī)制當(dāng)一個(gè)密鑰不再使用或它與一個(gè)實(shí)體已經(jīng)不再關(guān)聯(lián)時(shí)，就要撤消該密鑰，并且

29、銷毀其所有的拷貝，包括其所有的“痕跡”均需要嚴(yán)格地擦除。密鑰銷毀機(jī)制是指將密鑰徹底銷毀的方法和手段，主要包括對密鑰數(shù)據(jù)本身的刪除和覆蓋、對密鑰載體的銷毀等。為了徹底清除存儲媒介的密鑰數(shù)據(jù)，采取幾種措施。一種是對于一次性載體或不再使用的載體，采取物理銷毀方式。密鑰數(shù)據(jù)銷毀方式有兩種，一種是離線方式，另一種是在線方式。離線方式是將密鑰載體取出，在專用的銷毀設(shè)備上，對載體的密鑰數(shù)據(jù)進(jìn)行銷毀，在銷毀時(shí)由專人負(fù)責(zé)，對銷毀手續(xù)、實(shí)體進(jìn)行檢查，對銷毀的情況進(jìn)行記錄。在 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.線方式是由密鑰中心發(fā)布銷毀命令，密鑰數(shù)據(jù)承載設(shè)備接到命令后要進(jìn)行確認(rèn)，確認(rèn)命

30、令正確后，由承載設(shè)備對密鑰進(jìn)行銷毀。銷毀執(zhí)行后，承載設(shè)備應(yīng)向密鑰管理中心報(bào)告情況，密鑰管理中心對密鑰銷毀情況進(jìn)行檢測。密鑰管理中心和承載設(shè)備都對密鑰銷毀情況進(jìn)行記錄。2）密鑰銷毀的檢查密鑰銷毀的檢查是檢查密鑰銷毀命令是否正確執(zhí)行的一種審計(jì)方式。當(dāng)密鑰銷毀命令發(fā)布后，在規(guī)定的執(zhí)行有效期內(nèi)，如果命令發(fā)布者未接到命令執(zhí)行情況的應(yīng)答報(bào)時(shí)，應(yīng)及時(shí)查明原因，采取多種緊急補(bǔ)救措施，保證銷毀的執(zhí)行。當(dāng)命令發(fā)布者接到了命令執(zhí)行情況的應(yīng)答報(bào)，還需要檢查執(zhí)行命令是否正確，用多種方式檢測被銷毀密鑰是否存在。如果找不到原有密鑰的蹤影，可判定銷毀命令已正確執(zhí)行。密鑰的存儲與備份：密鑰中心對于用戶加密密鑰的保存期限在 10

31、 到 15 年。在密鑰的使用中，由于用戶的增加，應(yīng)用范圍的擴(kuò)大，需要有密鑰的存儲。密碼設(shè)備故障等原因造成密鑰失效時(shí)需要有密鑰的備份和恢復(fù)。新的密鑰的生成，需要檢查密鑰的唯一性，這些都需要將密鑰存貯起來。同時(shí)為了防止突發(fā)事件，也需要備用密鑰。這樣就有密鑰存貯的問題，應(yīng)建立密鑰數(shù)據(jù)庫。密鑰存貯有兩種方式，一種是在個(gè)人載體中的存貯，另一種是在公共載體中存貯。個(gè)人載體的存貯是將密鑰數(shù)據(jù)存入個(gè)人用的載體中，一般為 USB KEY 和軟盤。當(dāng)要使用密鑰時(shí)，需要輸入口令 PIN 或密碼，驗(yàn)證合格后方可使用存貯的密鑰。訪問、使用密鑰有兩種形式，一種是將密鑰讀出個(gè)人載體使用，另一種是不能讀出個(gè)人載體，只在載體內(nèi)

32、使用。公共密鑰的存貯是將密鑰數(shù)據(jù)存入公用的載體中，一般是指存入密鑰管理中心或分中心的載體中。這種存貯是存放系統(tǒng)密鑰，所有用戶密鑰和備用密鑰。密鑰存貯方式采取集中存放、集中管理的方式。無論采取哪一種方式存貯密鑰，密鑰數(shù)據(jù)都需要加密存放。為了保證密鑰存貯的正確性，采用對密鑰數(shù)據(jù)進(jìn)行運(yùn)算，得到一個(gè)校驗(yàn)碼，每次讀取密鑰時(shí)，使用該校驗(yàn)碼檢驗(yàn)其密鑰數(shù)據(jù)的正確性。 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.密鑰的保密性通過層次加密來實(shí)現(xiàn)，即上層密鑰保護(hù)下層密鑰，采取密鑰分離保護(hù)方式，保證密鑰存貯的安全性。密鑰恢復(fù)：密鑰服務(wù)器為客戶保存加密密鑰對，當(dāng)客戶因丟失密鑰而需要恢復(fù)密鑰時(shí)，密鑰中

33、心和分中心需要提供密鑰恢復(fù)的服務(wù)。密鑰恢復(fù)需要有嚴(yán)格的管理政策和批準(zhǔn)手續(xù)才能夠執(zhí)行，執(zhí)行的方法是要由兩個(gè)或兩個(gè)以上的高級管理人員共同操作才能夠完成。（1）初始化服務(wù)需要使用 IC 卡登錄；（2）私鑰產(chǎn)生后用一個(gè)用戶指定的口令直接加密保存在卡上；（3）系統(tǒng)要求提供密鑰標(biāo)識和口令來裝載密鑰，并只通過密鑰索引使用該密鑰；（4）備份時(shí)，要求管理員首先使用 IC 卡登錄，并提供密鑰標(biāo)識和口令來裝載密鑰，之后采用新的口令加密分段導(dǎo)出，由兩個(gè)以上的管理員分段保存一部分；恢復(fù)時(shí)，所有的管理員必須到場，使用配置工具，將口令組合起來，然后通過 API 應(yīng)用程序接口導(dǎo)入密鑰。（5）自身的簽名私鑰不做任何歷史管理的工

34、作，當(dāng)不在需要時(shí)，使用 API應(yīng)用程序接口重新初始化加密卡，即可將加密卡中的密鑰都銷毀了。4.1.2 OCSP 系統(tǒng)功能設(shè)計(jì)OCSP 協(xié)議是一種相對簡單的請求/響應(yīng)協(xié)議，它的主要作用是提供了一種從名為 OCSP 響應(yīng)者的可信的第三方在線獲取證書回收信息的手段。OCSP 協(xié)議中對請求/響應(yīng)的交互方式是基于 C/S 模式定義的。OCSP 的實(shí)現(xiàn)如下圖所示：OCSP 客戶端向 OCSP 服務(wù)器發(fā)送 OCSP 請求如圖所示，證書用戶（OCSP 客戶端）向 OCSP 服務(wù)器發(fā)送 OCSP 請求，要求查詢某個(gè)證書的狀態(tài)（合法性、是否被注銷等）。每一個(gè) OCSP 的請求由協(xié)議版本號、服務(wù)請求類型、一個(gè)或多個(gè)

35、證書標(biāo)識符組成。證書標(biāo)識符的組成包括證書頒發(fā)者的名稱信息的報(bào)文摘要值、頒發(fā)者公鑰的報(bào)文摘要值、以及證書序列號，還可以有額外的擴(kuò)展。 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.OCSP 服務(wù)器向 OCSP 客戶端返回 OCSP 應(yīng)答OCSP 服務(wù)器在接到 OCSP 客戶端的 OCSP 請求后，以 OCSP 應(yīng)答方式向 OCSP客戶端返回其請求的結(jié)果。OCSP 服務(wù)器返回的響應(yīng)也是相當(dāng)直接的，它的組成包括證書標(biāo)識符，證書狀態(tài)（即“正常”、“回收”、“未知” ），對應(yīng)于原始請求中具體證書標(biāo)識符的驗(yàn)證響應(yīng)間隔。如果一個(gè)證書的狀態(tài)是“回收”，就要表明回收的具體時(shí)間，也可以包含回收原

36、因。驗(yàn)證間隔有本次更新組成，可包含下次更新。OCSP 服務(wù)器還定義了一個(gè)很小的錯誤代碼集，以便在遇到處理錯誤是能夠返回錯誤代碼。OCSP 的響應(yīng)采用 OCSP 服務(wù)器的證書進(jìn)行簽名，以保證響應(yīng)是來自于可信任的響應(yīng)者，并且傳輸過程中沒有被改動。4.1.3 時(shí)間戳服務(wù)功能設(shè)計(jì)時(shí)間戳服務(wù)系統(tǒng)（TSS）是身份認(rèn)證中的重要組成部分，是支持不可否認(rèn)服務(wù)的一個(gè)關(guān)鍵因素。由于用戶桌面時(shí)間很容易改變，由該時(shí)間產(chǎn)生的時(shí)間戳不可信賴，因此需要一個(gè)可信任的第三方時(shí)間戳服務(wù)系統(tǒng)（TSS），來提供可信賴的且不可抵賴的時(shí)間戳服務(wù)。CA TSS 系統(tǒng)采用精確的時(shí)間源、高強(qiáng)度高標(biāo)準(zhǔn)的安全機(jī)制、能夠?yàn)橛脩籼峁┚_的、可信賴的且不

37、可抵賴的時(shí)間戳服務(wù)。同時(shí) CA TSS 系統(tǒng)嚴(yán)格遵循國際標(biāo)準(zhǔn)（RFC3161）時(shí)間戳協(xié)議，采用標(biāo)準(zhǔn)的時(shí)間戳請求、時(shí)間戳應(yīng)答以及時(shí)間戳編碼格式，具有良好的兼容性能，并且通過 CA TSS 系統(tǒng)提供的二次開發(fā) API可以進(jìn)行二次開發(fā)，能夠進(jìn)一步滿足用戶的實(shí)際需求。如上圖所示，CA TSS 系統(tǒng)由以下幾個(gè)部分組成：1）時(shí)間戳服務(wù)器：接受用戶的時(shí)間戳服務(wù)請求，為用戶簽發(fā)時(shí)間戳；2）加密卡：用于產(chǎn)生時(shí)間戳服務(wù)器的簽名密鑰對，向 CA 系統(tǒng)申請時(shí)間戳的服務(wù)器證書，并利用該簽名密鑰對的私鑰對時(shí)間戳服務(wù)器生成的時(shí)間戳進(jìn)行簽名。3）標(biāo)準(zhǔn)時(shí)間源：利用國家授時(shí)中心提供的設(shè)備和接口直接從國家授時(shí)中心獲取精確的時(shí)間信息

38、，保證時(shí)間戳信息的真實(shí)可靠。 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.4）時(shí)間戳管理終端：管理時(shí)間戳服務(wù)系統(tǒng)。CA TSS 系統(tǒng)的工作流程是：1） 客戶端（用于服務(wù)器或桌面用戶的應(yīng)用系統(tǒng)）把要公證的數(shù)據(jù)（文檔、表單等）做一次哈希轉(zhuǎn)換（采用 MD5/SHA 等算法），產(chǎn)生數(shù)據(jù)的信息摘要；2） 客戶端把該信息摘要與時(shí)間戳請求一起發(fā)送給時(shí)間戳服務(wù)器；3） 時(shí)間戳服務(wù)器從標(biāo)準(zhǔn)時(shí)間源處獲得當(dāng)前時(shí)間信息，并生成當(dāng)前時(shí)間信息的信息摘要；4） 時(shí)間戳服務(wù)器用自己的簽名密鑰（由加密卡產(chǎn)生的密鑰對中的私鑰）對用戶提交的數(shù)據(jù)的信息摘要、當(dāng)前時(shí)間、當(dāng)前時(shí)間的信息摘要一起進(jìn)行簽名，產(chǎn)生一個(gè)時(shí)間戳

39、（Time Stamp）；5） 時(shí)間戳服務(wù)器把該時(shí)間戳返回給客戶端，客戶端驗(yàn)證其簽名后，把該時(shí)間戳綁定到要公證的數(shù)據(jù)上一起存儲；6） 時(shí)間戳服務(wù)器同樣要對其簽發(fā)的請求和時(shí)間戳一起記錄下來，供以后查證。4.1.4 與其他 CA 認(rèn)證中心的相互認(rèn)證在一個(gè)獨(dú)立的、嚴(yán)格層次關(guān)系的身份認(rèn)證環(huán)境中，CA 和其下級 CA 以及全體用戶形成了一個(gè)樹狀的組織。在其間用戶之間相互認(rèn)證是不需要交叉證書的。現(xiàn)在，假設(shè)存在兩個(gè)原本是相互獨(dú)立的 身份認(rèn)證 環(huán)境，一個(gè)*部CA(A)，一個(gè)為其他 CA (B)，如果 A 中的用戶需要認(rèn)證 B 中的用戶，那么 A 和 B之間需要首先協(xié)商、約定雙方的證書策略（CP），然后 A 的

40、根 CA 可以為 B 的根CA 簽發(fā)一個(gè) B 的數(shù)字證書，該證書就是交叉證書（單向的）。然后，隨后的認(rèn)證如下所示： 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.CAA 環(huán)境中的證書用戶通過回溯到其根，獲得 A 環(huán)境的根 CA 證書，于是可通過該證書驗(yàn)證交叉證書，通過交叉證書驗(yàn)證了 B 的根 CA，從而驗(yàn)證 B 的中級CA，最終驗(yàn)證 B 的指定的證書用戶。對于 SSL 等和具體應(yīng)用無關(guān)的系統(tǒng)，如需要交叉認(rèn)證，只要把由 A 根為 B根簽發(fā)的證書導(dǎo)入 SSL 初始化條件即可。對于業(yè)務(wù)系統(tǒng)的認(rèn)證，將根據(jù)信任鏈提供 API 調(diào)用。同樣，B 也可以為 A 簽發(fā)交叉證書，這樣就可以實(shí)現(xiàn)雙

41、向的交叉認(rèn)證。兩個(gè) CA 之間建立交叉認(rèn)證后，如果需要注銷交叉認(rèn)證證書，根 CA 系統(tǒng)會簽發(fā)交叉認(rèn)證證書注銷列表(CRL)，并將 ARL 發(fā)布到該 CA 的目錄服務(wù)器中。認(rèn)證注冊系統(tǒng)的安全防護(hù)系統(tǒng)設(shè)計(jì)包括系統(tǒng)的結(jié)構(gòu)安全、物理環(huán)境安全、網(wǎng)絡(luò)安全防護(hù)、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)安全、應(yīng)用軟件與數(shù)據(jù)安全等幾個(gè)部分。認(rèn)證注冊系統(tǒng)結(jié)構(gòu)安全在前面的認(rèn)證注冊系統(tǒng)建設(shè)方案設(shè)計(jì)中，我們已經(jīng)考慮了認(rèn)證注冊系統(tǒng)的結(jié)構(gòu)安全。針對認(rèn)證注冊系統(tǒng)，我們從物理上劃分為離線的根 CA 系統(tǒng)、密鑰管理中心（KM 中心）、證書注冊簽發(fā)中心、證書發(fā)布查詢系統(tǒng)和時(shí)間戳服務(wù)系統(tǒng)五個(gè)部分，其中根 CA 系統(tǒng)與網(wǎng)絡(luò)環(huán)境不連接，證書注冊簽發(fā)系統(tǒng)放在

42、防火墻的內(nèi)網(wǎng)，不允許外部用戶的訪問，外部用戶需要訪問的系統(tǒng)（包括證書發(fā)布查詢系統(tǒng)和時(shí)間戳服務(wù)系統(tǒng)）放在防火墻的非軍事化區(qū)內(nèi)，有控制地允許訪問。物理環(huán)境安全 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.認(rèn)證注冊系統(tǒng)應(yīng)該部署在一個(gè)物理環(huán)境有安全保證的機(jī)房內(nèi)。CA 系統(tǒng)機(jī)房應(yīng)該從機(jī)房場地、防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等方面加強(qiáng)防范措施，應(yīng)滿足國家標(biāo)準(zhǔn) GB50174-1993電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范、GB2887-2000電子計(jì)算機(jī)場地通用規(guī)范、GB9361-1988計(jì)算站場地安全要求，達(dá)到 B 類機(jī)房標(biāo)準(zhǔn)要求。認(rèn)證注冊機(jī)房內(nèi)應(yīng)該采用視頻干擾設(shè)備，并采用

43、光纜布線、屏蔽布線等布線方案來防范電磁泄漏發(fā)射；所有網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、安全保密設(shè)備必須滿足指定的電磁兼容性能指標(biāo)要求，應(yīng)滿足國家標(biāo)準(zhǔn) GB9254-1998信息技術(shù)設(shè)備的無線電騷擾限值和測量方法的要求，國外產(chǎn)品應(yīng)滿足 CISPR22、CISPR24 或 FCC Part15 的規(guī)定。認(rèn)證注冊系統(tǒng)機(jī)房應(yīng)設(shè)立門禁系統(tǒng)和監(jiān)控系統(tǒng)，如果可能應(yīng)配備警衛(wèi)人員，對重點(diǎn)區(qū)域進(jìn)行保護(hù)。網(wǎng)絡(luò)安全防護(hù)認(rèn)證注冊系統(tǒng)的網(wǎng)絡(luò)安全應(yīng)滿足國家保密局對涉密網(wǎng)絡(luò)的安全保密要求。本方案中提出了部分安全防護(hù)措施，包括：防火墻網(wǎng)關(guān)的配置，如上圖所示，應(yīng)在認(rèn)證注冊系統(tǒng)子網(wǎng)和二級單位的LRA 中心邊界各部署防火墻網(wǎng)關(guān)進(jìn)行隔離；密鑰管理

44、中心密碼設(shè)備的備份：在 KM 中心配置兩臺密鑰庫服務(wù)器進(jìn)行熱備，以保證認(rèn)證注冊中心的密鑰存儲安全，當(dāng)主密碼庫失效時(shí)，能夠從備份的密碼庫恢復(fù)密鑰。根 CA 的密鑰已經(jīng)在加密機(jī)/加密卡廠家提供商那有托管。證書庫系統(tǒng)的備份：本方案的證書庫建議采用 ORACLE 數(shù)據(jù)庫系統(tǒng)，因此證書庫的備份和恢復(fù)均嚴(yán)格按照數(shù)據(jù)庫備份和恢復(fù)機(jī)制來操作。應(yīng)用系統(tǒng)安全：認(rèn)證注冊系統(tǒng)的管理和操作均要求管理員使用數(shù)字證書和SKEY 智能鑰匙登錄，加強(qiáng)了應(yīng)用系統(tǒng)的認(rèn)證安全。在認(rèn)證注冊系統(tǒng)的各個(gè)模塊之間的數(shù)據(jù)傳輸采用了基于數(shù)字證書的身份認(rèn)證和基于 SSL 的安全通信協(xié)議，加強(qiáng)了其安全強(qiáng)度。除上述已經(jīng)采取的安全措施外，我們建議用戶考

45、慮以下安全保護(hù)措施：防病毒系統(tǒng)部署：在認(rèn)證注冊系統(tǒng)的服務(wù)器、管理終端上部署防病毒系統(tǒng)，可以在現(xiàn)有的網(wǎng)絡(luò)防病毒體系基礎(chǔ)上擴(kuò)展。 文檔來源為:從網(wǎng)絡(luò)收集整理.word 版本可編輯.歡迎下載支持.實(shí)時(shí)入侵檢測系統(tǒng)部署：分別在內(nèi)網(wǎng)和非軍事化區(qū)內(nèi)部署實(shí)施入侵檢測系統(tǒng)的探頭，以及時(shí)發(fā)現(xiàn)并終止對認(rèn)證注冊系統(tǒng)的攻擊行為。對認(rèn)證注冊系統(tǒng)的綜合安全評估和加固：聘請專業(yè)的安全服務(wù)廠商，采用通過國家保密局技術(shù)鑒定的專業(yè)的安全評估工具對認(rèn)證注冊系統(tǒng)中的各種服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、WEB 服務(wù)器、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備進(jìn)行綜合的安全性評估和分析，并采取針對性的修補(bǔ)措施，以增強(qiáng)系統(tǒng)的安全。備份和恢復(fù)措施：利用現(xiàn)有的備份和恢復(fù)系統(tǒng)，采用磁帶庫方式對認(rèn)證注冊系統(tǒng)中的重要數(shù)據(jù)（尤其是 LDAP 目錄服務(wù)系統(tǒng)中的用戶證書和用戶資料等信息）進(jìn)行備份。組織管理安全除以上技術(shù)方面的安全防護(hù)措施外，還應(yīng)從組織和人員管理方面保證認(rèn)證注冊系統(tǒng)的安全，制定嚴(yán)格、細(xì)致、可操作性強(qiáng)的安全管理制度，加強(qiáng)對管理員和用戶的安全意識教育、安全技術(shù)培訓(xùn)，以達(dá)到保證系統(tǒng)安全的目的。單從認(rèn)證注冊系統(tǒng)的安全管理需求，在組織機(jī)構(gòu)方面，應(yīng)包括以下幾方面的人員：政策制定者：對整個(gè)認(rèn)證注冊系統(tǒng)的應(yīng)用范圍、應(yīng)用方式統(tǒng)籌規(guī)劃，制定系統(tǒng)的安全策略和管理制度，一般應(yīng)由*部的信息化領(lǐng)導(dǎo)參