《CA认证安全解决方案》由会员分享,可在线阅读,更多相关《CA认证安全解决方案(16页珍藏版)》请在金锄头文库上搜索。
1、CA驻尿譬舊制20214JT05 如目录1 方案背景 22 需求分析 33 系统框架设计 44 系统逻辑设计 55 产品介绍 65.1 身份认证网关 65.1.1 系统架构65.1.2 系统功能75.1.3 系统流程95.2 数字签名服务器 95.2.1 系统架构95.2.2 系统功能105.2.2.1 数字签名服务器 105.2.2.2 数字签名客户端 125.2.3 系统流程135.2.3.1 数字签名流程 135.2.3.2 签名验证流程 136 网络拓扑设计 141 方案背景随着信息化建设的推进,信息化的水平也有了长足的提高,信息化已经成 为政府、企业提高工作效率,降低运营成本、提升客
2、户体验、增加客户粘度, 提升自身形象的重要手段。信息化是架构在网络环境世界来展开,网络固有的虚拟性、开放性给业务 的开展带来巨大潜在风险,如何解决虚拟身份的真实有效,敏感信息在网络传 输的安全保密且不被攻击者非法篡改,如何防止网络操作日后不被抵赖?同时, 随着信息系统的不断增加,信任危机、信息孤岛、用户体验、应用统一整合越 发成为信息化发展的瓶颈。因此,安全和可信、融合和统一逐渐成为目前信息 化建设的大势所趋,上述问题逐渐给信息化建设管理者提出了新的挑战。此外,国家安全管理部门发布了信息安全等级保护管理办法,提出了“计 算机信息系统实行安全等级保护”的要求,等级保护技术标准规范中也明确对 信息
3、系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要 求。鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求, 本方案提出一套基于数字证书的安全应用支撑解决方案,全面解决上述信息安 全问题。2 需求分析目前,“用户名+口令”的认证方式普遍存在各个信息系统,基于用户名口 令的认证方式是一种弱认证方式,由于其具有容易被猜测、字典攻击、非法拦 截、责任认定无法到人等系列弱点,已经无法满足信息系统的安全需要,因此, 需要提供一套基于数字证书的安全应用支撑平台,通过PKI密码技术实现强身 份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项安全功能, 同时,作为安全应用支撑
4、平台,还应该面向众多的信息系统提供统一身份认证 功能,实现SSO单点登录功能,满足应用级的授权管理需要。具体来说,安全需求如下:强身份认证:满足基于数字证书的安全登录需要,提供黑名单查询功能, 只有持有合法证书的用户才能登录到信息系统。 机密性、完整性:对信息进行加密、完整性处理,保证信息传输过程的 机密性和完整性。 抗抵赖:采用数字签名技术,对关键操作、关键业务数据产生数字签名 满足业务抗抵赖需求。 单点登录,多点漫游:用户只需使用数字证书完成一次统一认证,后续 登录不需要再次认证则可进入其他信息系统。3 系统框架设计根据上述安全需求分析,方案总体框架如下图所示:证书管理办法安全 应用0A系
5、统财务系统生产系统其他数字签名 服务器应用支撑身份认证网关证书格式标准基础设施CA签发系统RA注册系统LDAP目录服务系统在整体应用框架下身份认证网关和数字签名服务器组成应用支撑体系。身 份认证网关为业务系统提供基于数字证书的强身份认证功能、面向多个应用提 供统一的身份认证和应用级的授权控制功能。数字签名服务器满足关键业务操 作和重要数据交互的身份可信、内容完整以及抗抵赖功能。4 系统逻辑设计系统逻辑设计如下图所示:(1) 用户登录业务系统,业务系统通过安装在系统上的FILTER过滤器来判 断用户是否已经认证过,如果没有,则重定向用户登录网关登录页面;(2) 用户按照网关页面插入USB KEY
6、,并输入PIN保护密码,然后提交认 证请求到身份认证网关;(3) 身份认证网关判断证书的真实有效,并从目录服务中查询CRL证书黑 名单,判断证书是否已经被吊销;(4) 如果证书验证全部通过,身份认证网关检查用户权限,然后显示用户可 登录系统列表,根据授权策略为用户签发单点登录TOKEN,用户凭借 TOKEN单点登录到各业务系统中。(5) 用户提交敏感操作/敏感数据,客户端签名软件将调用USB KEY接口对 敏感操作/敏感数据产生数字签名;(6) 数字签名传入电子证照系统,电子证照系统调用签名中间件接口,将签 名信息传入签名服务器完成数字签名验证,签名服务器返回验证结果;(7) 电子证照系统根据
7、验证结果完成后续业务逻辑操作。数字签名服务器除了能够满足用户签名外,还可以提供系统间身份认证及 交互数据的数字签名功能,满足系统间的强身份认证及数据完整有效,实现抗 抵赖功能。具体逻辑设计如下:业务系统B(嵌入V-STK签名/验证签名)(嵌入V-STK签名/验证签名)业务系统A5 产品介绍5.1.1系统架构身份认证网关是基于PKI技术开发的硬件产品,主要满足用户对基于证书的高强度身份认证安全需求。面向多个电子证照系统,提供集中、统一的安全 认证服务,形成统一的、高安全的身份验证中心。身份认证网关FIL客户端ER应用系统也p卿身份认证网关采用代理技术,在业务系统安装 Filter 过滤插件完成用
8、户的身份认证工作。插件负责拦截用户请求并将请求重定向到网关进行认证。认证成 功后,用户直接访问电子证照系统。5.1.2系统功能用户身份认证:全面支持数字证书强认证,支持多级CA证书链,支持 多家证书认证。支持动态CRL更新,支持WEB站点下载、LDAP服务器下载及手工导 入三种CRL更新模式。 支持 OCSP 证书验证方式。 单点登录:用户完成一次登录认证后,可以单点登录到其他授权系统。 应用级访问控制:通过策略配置,授权用户允许访问的电子证照系统。 控制策略包括DN规则、时间段规则、IP地址规则、用户名规则。 应用认证策略配置: 根据用户认证等级策略控制用户对应用的访问权限,认证策略包括:口
9、令认证、证书认证及口令+数字证书认证方式。证书DN规则控制:设置DN项规则策略,控制某个或某一群组证书用 户对应用的访问,DN规则支持通配符。 黑白名单:系统采用黑、白名单的形式设置策略来实现访问控制。状态监控:包括设备CPU、内存、硬盘的使用监控、网络流量统计、业 务状态进行监控。 日志审计:按照系统日志、业务日志两大类日志对用户、管理员使用系 统过程进行完整审计,系统提供SYSLOG发送功能。 分权管理:内设系统管理员、安全管理员、审计管理员实现对不同角色 的分权管理。 统一门户:提供用户登录电子证照系统入口,可实现应用是否对用户可 见,提供登录界面定制功能。 信息传递:将认证通过的认证结
10、果、用户信息传送给后台的电子证照系 统。 备份恢复:系统支持备份恢复功能,可以快速恢复系统的正常工作。 双机热备:通过网口连接心跳线监听设备的工作状态,当设备停止服务 时,服务自动切换到备机继续提供服务。 故障应急:当设备意外宕机,业务系统的插件将不会拦截用户请求,用 户可以直接访问业务系统。5.1.3系统流程检查根证书 检查是否过期身份认证网关(4应用系统证书信息(证书、序列号、主题(1) 用户访问电子证照系统;(2) 业务系统FILTER过滤插件判断用户是否已通过认证,如果没有则重定向到身份认证网关,并要求用户出示数字证书;(3) 身份认证网关验证用户证书有效性,并查询LDAP目录服务判断
11、用户是否已经被吊销;(4) 验证通过后,身份认证网关将验证结果及用户信息传递给电子证照系统,用户与电子证照系统之间直接进行通讯;5.2 数字签名服务器5.2.1系统架构吉大正元数字签名服务器由数字签名服务器和数字签名客户端组成,均可 独立提供数字签名、数字信封等服务。其中:(1) 服务器接口( V-STK ):应用数据通过V-STK传入签名服务器,处理后 再经由V-STK传出供电子证照系统获取。V-STK提供Java接口、COM 接口、C接口,方便用户电子证照系统的调用。(2) 数字签名客户端:独立运行的组件(V-CTK),将数据传入进行签名/ 验签处理,再把处理结果经由接口函数传出交给客户端
12、程序。V-CTK 支持标准CSP技术,支持标准软证书、硬证书,并提供ActiveX控件 开发包、Jar包、DLL链接库等多种方式供用户选择。5.2.2系统功能5.2.2.1数字签名服务器(1)字签名支持对数据、文件制作数字签名,签名结构符合PKCS#7标准;支 持验证符合PKCS#7标准的签名结果。数字签名服务器支持对数据制作数字签名,签名结构符合PKCS#1标准;支持通过证书导入、证书配置方式验证符合PKCS#1标准的签名结果。身份验证:使用证书进行数字签名,接收者可验证签名,而其他任 何人都不能伪造签名。 事后验证:使用证书进行完整数字签名,签名结果中包含签名时的 全部证书状态信息,接收者
13、可在生成后的任意时间验证,而其他任 何人都不能伪造。 数据完整性:对重要数据、文件制作数字签名,如果验证签名失败, 说明数据的完整性遭到破坏。 行为抗抵赖:对操作行为(数据形式)制作数字签名,签名者事后 不能否认自己的签名。(2)字信封 数字签名服务器支持对数据、文件制作数字信封,信封结构符合PKCS#7标准;支持解密符合PKCS#7标准的信封结果。 对重要数据、文件制作数字信封,通过双层加密技术来保障数据的私密性。(3) 证书验证 支持对签名、加密证书进行全面验证; 根据配置不同 CA 签发的根证书,验证证书的信任域; 根据系统时间,验证证书的有效期; 根据CRL或OCSP验证证书状态。证书
14、状态验证方式包括,标准OCSP 协议验证证书,连接 LDAP 服务器更新 CRL 验证,连接 WEB 服务器更新 CRL 验证。(4) 交叉验证数字签名、数字信封,结构严格遵循PKCS#7标准,可供其他CA 机构验证。 支持配置多信任 CA 签发的根证书,可验证不同 CA 机构签发的符 合 PKCS#7 标准的签名、信封结果。(5) 双机热备 数字签名服务器内置双机热备系统; 当备机发现工作机停止工作,切换到备机提供服务,当主机恢复正 常后,备机自动切回到主机。(6) 配置管理数字签名服务器支持串口管理、WEB管理两种方式。5.2.2.2数字签名客户端(1)(2)字签名:支持对数据、文件制作数字签名,签名结构符合 PKCS#7标准;支持验证符合 PKCS#7 标准的签名结果。字信封:支持对数据、文件制作数字信封,信封结构符合 PKCS#7标准;支持解密符合 PKCS#7 标准的信封结果。(3) 证书扩展:支持获取证书标准信息及其扩展信息,供电子证照系统使用5.2.3系统流程5.2.3.1数字签名流程接收签名请求解析请求报文整理签名需要数据调用签名模块得到签名结果生成应答报文一传回(1) 电子证照系统通过 V-STK 将签名请求数据发送到签名服务器;(2) 签名服务器接收请求报文并解析;(3) 整理并收集原始数据、签名证书、算法等必要信息
