PKI建设方案.docx
《PKI建设方案.docx》由会员分享,可在线阅读,更多相关《PKI建设方案.docx(35页珍藏版)》请在冰豆网上搜索。
PKI建设方案
国联人寿PKI基础设施建设案
版本
V1.1
作者
济美
日期
2015-08-20
北京信安世纪科技有限公司
INFOSECTECHNOLOGIESCO.,LTD
1概述
目前,国联人寿已经具有多套应用系统,通过不同的应用系统来完成不同的工作。
既有安全级别较高的系统,如网上商城、电子保单、在线支付等系统,同时又有如同办公人员所使用的OA系统、ERP系统等。
国联人寿目前计划通过投资建设PKI体系,对目前各个业务系统进行改造,以提高各个业务的整体安全性。
2PKI技术
PKI系统全称为公钥基础设施系统,按照类型可以分为两块,如下所示:
PKI
PKI基础设施
数字证书全生命周期管理平台
CA
RA
KMC
LDAP
OCSP
TSA
…
PKI应用支撑
SSL
VPN(SSL/IPSEC)
数字签名系统
动态密码系统
客户端介质
USBKEY
OTP
证书颁发系统:
主要实现数字证书全生命期管理,有以下部分组成:
⏹CA:
数字证书签发的核心,负责签发和管理所有的证书及证书废止列表(CRL);
⏹RA:
数字证书注册系统,所有用户通过RA系统完成注册后,向CA发送申请,获取证书;
⏹KMC:
提供加密证书提供密钥对的产生、保存、恢复服务,防止使用者恶意加密文件所导致的文件无法访问;
⏹OCSP:
提供标准的“在线证书状态协议”(OnlineCertificateStatusProtocol)应答服务,负责向请求者返回特定证书的状态,完成即时的证书状态查询功能。
⏹LDAP:
公共信息存储;
⏹RADS:
RADS是信安NetCert系统提供的开发软件包,RADS提供了C语言和Java语言接口的CA应用开发工具,能便地嵌入到Java应用服务器中又能够支持其他采用C语言开发的应用系统,提供全部的证书管理功能
⏹EEDS:
CAServer与最终用户之间的连接器(Connector),EEDS将处理CAServer与最终用户之间的证书自主管理请求与响应
⏹NetCertEnroll:
CA系统的用户端的证书管理控件,NetcertEnroll控件通过web式下载,并在浏览器中运行,与EEDS配合,实现更加安全的最终用户自主证书管理功能。
数字证书支撑平台:
通过数字证书颁发平台所颁发的数字证书,实现应用系统的数据机密性、完整性、抗抵赖性等。
常见包括:
⏹SSL:
通过数字证书,完成通信加密,客户端与服务端的身份认证等;
⏹VPN:
通过数字证书,完成通信加密,常用于创建虚拟局域网等功能;
⏹数字签名:
通过数字证书,完成数据传输时的完整性,以及数据的康抵赖性;
⏹动态密码:
通过算法,向客户端发送一次性口令,完成身份认证等操作。
3信安世纪与国密
目前,根据相关指导部门的意见,需要在金融行业逐渐普及国密算法,例如在本年度7月30日,保监会即明确指出保险行业电子保单系统中,电子保单系统需支持国密算法。
信安世纪PKI全线产品均支持国密算法(可在国密局官网在线查询),并且信安世纪签名服务器曾获得发改委专项资金支持,同时在银行领域,2012年全国性国密改造试点的4个银行中,中国农业银行、民生银行、银行均与信安世纪合作,采用信安世纪PKI产品,全线支持其国密改造试点工作。
同时,中国工商银行总行、中国建设银行总行、中国交通银行总行、中国平安银行的CA系统也选择信安世纪NetCert作为国密CA解决案。
本文中所涉及的案以及产品,均支持国密,故下述案中不在具体说明支持国密。
4数字证书的选择
目前,根据国联人寿的计划,将自行部署一套CA系统,通过该CA系统为各个使用者颁发数字证书。
目前已规划在网上商城、OA系统、在线支付系统、电子保单系统使用PKI技术以增强其安全性。
建议国联人寿在类似于网上商城、OA系统这样只涉及甲乙双关系的系统中使用自建CA系统进行数字证书的颁发,一面,由于此类系统中,使用人数众多,采用第三CA系统颁发数字证书,需要高昂的数字证书维护费用(第三CA所颁发证书为租赁式,需要按年计费)。
另一面,这些系统的使用者如使用数字证书,需要灵活、便利的管理式,因此在这些系统中建议使用自检CA系统进行数字证书的颁发。
对于在线支付系统,电子保单系统等,涉及到第三的应用系统,建议采用第三CA生成的数字证书。
在线支付以及电子保单系统,两个系统只需要向第三CA颁申请两表示国联人寿的企业证书即可。
5案
1
2
3
4
5
5.1电子保单系统
1.
2.
3.
4.
5.
5.1.
5.1.1.案架构
1.
2.
3.
4.
5.
5.1.
5.1.1.
5.1.1.1.电子保单生成
不带签名的原始电子保单由APP应用服务器生成,APP应用服务器将原始电子保单送到签名服务器进行数字签名,签名服务器根据APP应用服务器提供的参数及文件,选择数字证书进行数字签名,并重新生成与原始电子保单格式相同的带签名的电子保单,签名服务器将此文件返回给APP应用服务器。
APP应用开发,由应用开发人员根据保险公司电子保单的生成要求进行现场应用开发。
当用户购买并确认提交保单后,APP应用服务器将用户信息、险种信息、保险条款等按照定义的保单模板组合,调用文件生成API(HTML文件不需要生成API),生成指定格式的原始电子保单。
现阶段,原始的电子保单格式一般采用HTML、PDF格式,这两种格式是目前互联网和客户主机非常通用的格式文件,用户使用时不需要额外的软件安装和设置。
随着互联网的发展,会出现和使用更灵活的格式文件,APP应用服务器只要集成此文件格式的生成API,即可生成新格式的电子保单文件。
原始的电子保单送到签名服务器,签名服务器使用数字证书对保单进行数字签名,并重新生成与原始保单格式相同的带签名的电子保单,并可以根据API所送参数在电子保单中增加附加信息,例如增加本保险公司图章,PDF文件在指定位置显示验签结果信息等。
5.1.1.2.电子保单验证
用户下载带签名的电子保单后,可以在线或离线验证电子保单的数字签名。
HTML格式通过信安世纪提供的验签控件对电子签名进行验签,并直接提示用户验签结果;PDF格式通过AdobeReader软件自带的验签功能验签,并直观地显示验签结果。
带签名的电子保单有任改动,则验签不成功。
HTML格式直接提示用户验签不成功,且不会显示保单容;PDF格式文件改动后可能不能打开,即使能打开,也会提示用户文件有改动验签错误,并直观显示验签结果,例如验签成功则显示绿色√,失败则显示红色×。
5.1.1.3.带数字签名电子保单生成流程
1.客户登陆公司,查看并选择险种。
2.所有客户的操作由WEB服务器送到APP应用服务器进行应用业务逻辑处理。
3.客户选择险种,并使用用户名、密码登陆,填写保单所需信息后,提交保单。
4.APP应用处理用户提交保单信息,根据用户信息生成原始的电子保单。
5.APP应用将原始的电子保单发送到签名服务器进行数字签名。
6.签名服务器完成原始电子保单数字签名后,将带签名的电子保单返给APP应用。
7.用户下载最终带数字签名的电子保单
8.用户本地保存带签名的电子保单。
用户可离线或在线验签电子保单,并根据验签结果显示保单容。
5.1.2.系统平移
由于国联人寿目前已经采用了北京CA所提供的数字签名服务器完成电子保单的生成任务。
但计划中将建设一套PKI基础设施平台,该平台中既包括了信安世纪数字签名服务器系统。
如国联人寿计划使用信安世纪签名服务器对该平台进行替换,需完成以下两面工作:
1>将北京CA所提供的数字证书导出,移入信安世纪签名服务器平台(也可等待当前北京CA签名服务器中数字证书到期后,又信安世纪平台进行重新生成CSR请求即可,这样就无需导入当前证书);
2>重新部署API接口,使用信安世纪API接口替换北京CA接口,并调用信安世纪PDF签名法即可。
5.1.3.案优势
⏹可支持用户在线或离线两种认证式;
⏹支持HTML和PDF两种式的电子保单形式;
⏹可根据需求定制电子图章,电子图章可直观的显示;
⏹签名验签服务器可安全保存证书私钥;
⏹可负载均衡或HA部署,实现系统高可用性;
⏹每秒3000笔以上的高性能。
5.1.4.案投入
产品名称
功能
数量
NetSign3300
签名/验签
3(2生产,1开发)
说明1:
上述报价并不包含国联人寿所需的从国第三CA(如北京CA)获取的标示国联人寿企业身份的数字签名证书价格。
说明2:
本案中报价均按照每一个系统所使用的产品进行报价,实际上,信安世纪产品均支持多服务,即一套产品均可以为多个系统使用(在网络以及安全策略允的前提下)。
如签名服务器,一套签名服务器即可为电子保单使用,也可为网上商城所使用。
5.2网上商城系统
5.2.
5.2.1.典型需求
6.
7.
7.1.
7.2.
7.2.1.
7.2.1.1.机密性
通信报文在网络中以密文形式传输,加密算法必须获得国密委的认同。
7.2.1.2.完整性
保证收到的数据与发送的数据完全一致。
7.2.1.3.有效性
通信报文不能被篡改或泄露
7.2.1.4.不可否认性
具备数字签名/验证签名功能,能为通信双提供关键数据的不可否认性。
7.2.1.5.安全审计
能提供完善的审计功能,包括访问的时间、访问者身份、访问的资源、访问者的IP地址等信息。
具备行为日志的记录功能。
7.2.1.6.高可靠性和高稳定性
⏹具备并发处理的能力。
⏹具备抗网络攻击的能力。
⏹采用多级权限管理,实现权限分割,确保数据的安全。
⏹可以满足客户7*24不间断工作的需求。
5.2.2.实现式
以B/S结构为基本应用框架
采用数字证书作为用户身份认证凭证
以数字证书为基础实现应用安全
以SSL实现加密传输和身份认证
以数字签名实现抗抵赖和防篡改
保证在互联网上通信数据安全
5.2.3.案架构
5.2.4.功能分析
1)采用信安世纪NetCertCA系统为网上商城建立认证中心系统(CA),该系统可为网上银行用户签发数字证书。
2)数字证书的签发管理通过网上商城用户注册系统(RA)实现,RA系统以加密式连接到CA系统,实现证书的申请、签发、作废、更新等操作。
3)考虑到用户的使用便利性以及成本,建议采用文件证书的式。
4)对于入站的请求,采用信安世纪NetOpit-LT实现链路负载能力,以及基于用户所属ISP的智能DNS解析,实现链路高可靠性,乃至未来的全局负载能力。
5)信安世纪NSAE-NB作为网上商城系统的安全门户,NSAE实现与客户端IE浏览器的SSL加密通讯,并对用户数字证书进行验证。
并且NSAE与后台系统通过J2EE证书处理机制联动,NSAE验证过的证书信息可直接为后台应用系统利用,实现应用系统中对用户身份的确认。
6)在应用服务器区,考虑到应用服务器作为系统的关键资源节点,采用信安世纪NetOptiADN系统对服务器进行负载的同时,提高高可靠性。
7)信安世纪数字签名系统NetSign作为网上商城交易确认和事后审计的保证。
5.2.5.业务实现流程
1)客户根据需求使用浏览器访问网上商城不同业务的域名或服务。
2)用户产生DNS解析请求,最终会命安世纪NetOpti-NL设备,NetOpti-NL设备根据用户所属ISP,返回网上商城对应资源的公网IP地址,实现域名解析,快速入站的能力。
同时,实现多链路冗余。
3)用户完成请求后,访问至信安世纪NSAE-NB设备,实现SSL卸载:
⏹用户可以采用单向SSL加密的手段,实现对银行域名服务的校验。
⏹用户也可以采用双向SSL加密的手段,不但实现了对银行域名服务的校验、而且银行通过SSL加速设备还能校验客户端证书的有效性。
4)NSAE-NB设备为All-in-One设备,在本项目中同时提供SSL与负载均衡功能,SSL加速设备通过对SSL的数据分析之后,将访问流量发送给负载均衡模块,负载均衡模块按照不同的应用类型(服务端口)或者访问路径(URL)等信息,并且根据不同的算法,将流量智能的分配到不同的后台Web服务器上,由Web服务器响应静态资源的请求,并将动态资源的请求转发到后台APP负载均衡设备上。
5)APP负载均衡设备根据预定的算法将相应的请求命中至指定的APP服务器。
同时,实施对服务器进行健康检查,当探测到任一个服务器出现异常时,则在毫秒级时间片将后续流量引导至正常工作的服务器上,确保其应用故障不影响使用者,从而隔离故障域。
6)在一些涉及到用户资金的交易过程中,客户需要通过ActiveX控件将交易的信息进行数字签名,并将这些签名信息通过SSL加密隧道一层一层的传输到应用服务器上,应用服务器通过API的调用和签名服务器进行交互,由签名服务器判断签名数据在经过网络传输过程中是否经过恶意篡改,以及实现抗抵赖性
5.2.6.案优势
⏹高可用性
对于链路而言,当一条链路失效时,信安世纪全局负载均衡系统可瞬时感知链路通断状态,并且屏蔽该链路对应的公网DNS地址,引导后续流量从正常ISP线路入站,对用户屏蔽线路故障。
对于应用而言当系统的某个节点出现关机、宕机、重启或者网卡载波丢失(连接断开)时,所有的流量就会被立即转到另一台热备设备上。
保证了整个系统的正常运行。
⏹兼容性
数字签名控件有良好的兼容性,能支持到主流浏览器,保证在多样化的客户端浏览器的正常使用。
支持所有标准的Java应用服务器,包括Weblogic。
⏹稳定性
SSL加速设备提供能会话保持策略,保证每次会话指向固定应用服务器
⏹安全性
通过双向HTTPS协议认证客户端与服务端,通讯双的身份得到认证,通讯容的私密性得到保障。
独立的CRL文件下载服务,保证应用系统运行的连续性和安全级别。
⏹高性能
信安世纪CA系统,SSL系统均为高性能系统,支撑了国如工商银行总行、农业银行总行网银系统上千万用户规模的使用。
另一面,在本项目中,通过在关键节点部署负载均衡系统,将应用的A/S(Active/Standby)架构升级至A/A架构,按照双节点部署的典型应用下,系统容量理论值增加一倍。
⏹可维护性
基于Web和命令行的服务带来高可维护性。
强大的审计功能保证了对用户的操作进行审计记录,并且可以按照管理员要求进行特殊的行为日志记录。
⏹可扩展性
SSL设备上需支持部署多个ssl证书并接入多个域名,保证了不同客户的不同SSL加密入口。
同时,采用负载均衡设计的架构下,当未来应用出现瓶颈时,仅需增加应用服务器资源即可,无需调整网络架构,实现模块化部署,极大的简化了应用系统投产的时间与复杂度。
5.2.7.案投入
产品名称
功能
数量
说明
NetSign3300
签名/验签
3(2生产,1开发)
NetOpti2200-LT
链路负载
2
NSAE2500-NB
SSL+服务器负载
3(2生产,1开发)
NetOpti2200-NL
服务器负载
2
NetSign3300
签名服务器
3(2生产,1开发)
PC客户端签名控件Chrom
客户端签名
标准版仅支持IE
PC客户端签名控件FireFox
客户端签名
标准版仅支持IE
说明1:
上述报价并不包含国联人寿所需的国际第三证书(如Versign)价格,需国联人寿自行提供第三的SSL服务器站点证书。
说明2:
本案中均按照每一个系统所使用的产品,实际上,信安世纪产品均支持多服务,即一套产品均可以为多个系统使用(在网络以及安全策略允的前提下)。
如签名服务器,一套签名服务器即可为电子保单使用,也可为网上商城所使用。
5.3OA系统
说明:
对于网的应用而言,可以通过NetCertCA系统所颁发的数字证书与微软的AD域控进行集成,在用户登录AD域控时,通过数字证书进行验证,从而实现身份认证。
也可以与单点登陆系统进行对接,用户在登陆单点登陆系统时,需要出示数字证书,通过验证后才可登陆单点登陆系统。
或者单独与OA系统进行对接,完成身份认证,数据加密,数据完整性校验等。
无论与AD、单点登陆、还是单独与OA系统进行集成,其实现原理基本相同,本文仅描述与OA系统对接过程。
5.3.
5.3.1.典型需求
7.2.1.7.CA系统
⏹同步OA系统人员的相关的信息。
⏹提供数字证书的申请、作废、更新和查询等相关操作。
⏹证书申请和证书更新实现一步操作,成功后将数字证书发送到人员中,由用户自行下载安装数字证书。
⏹证书作废实现一步操作,成功后删除该员工信息。
⏹提供数字证书查询功能,查询RA数据库中已有的员工相关信息。
⏹提供日志查询功能,对操作RA的操作员所做的功能操作都要有日志记录;同时提供日志查询界面
⏹需要将RA应用系统集成在国联金融OA系统中,并且由国联金融OA系统的管理员来操作数字证书管理的相关操作;同时,保证其访问RA应用系统的安全性。
⏹提供OA系统用户自主更新和账户关闭接口,完成用户自主更新和账户关闭操作。
7.2.1.8.其他
⏹通过技术手段实现数据传输时的机密性;
⏹通过技术手段时间数据传输过程中的完整性;
⏹通过技术手段时间操作者对所做操作的抗抵赖性;
5.3.2.系统概述
国联金融自建CA,RA应用系统集成于国联金融OA系统中,由OA系统的管理员来管理和操作数字证书的申请、更新和作废,以及证书和日志查询操作;同时,RA应用系统提供OA系统用户自主更新证书和关闭账户的接口,以完成用户证书的更新和账户关闭的操作。
同时,依托于PKI技术,实现数据传输时的机密性以及完整性和抗抵赖性。
5.3.3.系统架构
5.3.3.1.整体架构图
⏹通过NSAE-NB设备,一面构建基于SSL的安全通道,确保使用者使用OA时的机密性;同时,通过NSAE-NB的负载均衡功能,可以完成对OA系统的高可靠性保障;
⏹通过NetCertCA系统为用户颁发数字证书;
⏹通过数字签名系统完成数字签名,实现完整性以及抗抵赖性。
由于本案中,NetCertCA与OA系统集成要求较为紧密,下文主要描述NetCertCA系统:
5.3.3.2.NetCertCA系统架构如下图所示:
证书管理系统由信安世纪公司负责开发和实施,通过自建CA颁发行员工数字证书,数字证书用于行OA系统的登陆凭证。
系统管理员通过证书管理系统为行每位员工申请证书,证书会自动发送到员工行,员工安装所申请的证书即可完成OA系统登陆。
员工还可通过证书管理系统来进行证书的作废、更新等证书管理操作。
5.3.4.流程介绍
5.3.4.1.数字管理流程
⏹证书申请流程:
在国联金融OA系统中,由OA系统管理员登陆RA系统,选择证书申请操作,输入员工编号、员工姓名以及选择部门等查询条件,通过OA系统提供的视图查询得到员工的信息(员工编号、员工姓名、部门编号、部门名称和地址);确认员工信息后,进行证书申请操作,证书申请成功,则将数字证书发送到员工的中;如果证书申请失败,系统能够给出错误提示和要求信息。
提供对OA系统新增加未申请证书人员查询功能,以及非正常操作导致的信息已确认但没有申请证书的查询功能。
⏹证书更新流程:
在国联金融OA系统中,由OA系统管理员登陆RA系统,选择证书更新操作,输入员工编号、员工姓名、证书的起止日期以及选择部门等查询条件,查询得到员工证书的信息(员工编号、员工姓名、部门名称和地址);确认员工信息后,进行证书更新操作,证书更新成功,则将数字证书发送到员工的中;如果证书更新失败,系统能够给出错误提示和要求提示信息。
提供人员证书30即将到期提醒和查询以及以日期(天)查询即将到期的人员证书。
⏹证书作废流程:
在国联金融OA系统中,由OA系统管理员登陆RA系统,选择证书作废操作,输入员工编号、员工姓名以及选择部门(OA系统提供部门信息的下拉列表框)等查询条件,查询得到员工证书的信息(员工编号、员工姓名、部门名称和地址);确认员工信息后,进行证书作废操作,证书作废成功,返回成功信息;如果证书作废失败,系统能够给出错误提示和要求提示信息。
5.3.4.2.应用系统使用流程
1)客户根据需求使用浏览器访问OA系统;
2)用户完成请求后,访问至信安世纪NSAE-NB设备,实现SSL卸载,由于在网使用,使用环境较为安全,建议采用单向SSL即可。
3)NSAE-NB设备为All-in-One设备,在本项目中同时提供SSL与负载均衡功能,SSL加速设备通过对SSL的数据分析之后,将访问流量发送给负载均衡模块,负载均衡模块按照不同的应用类型(服务端口)或者访问路径(URL)等信息,并且根据不同的算法,将流量智能的分配到不同的后台OA服务器上。
4)在一些涉及到领导审批等重要操作环节,客户需要通过ActiveX控件将交易的信息进行数字签名,并将这些签名信息通过SSL加密隧道一层一层的传输到应用服务器上,应用服务器通过API的调用和签名服务器进行交互,由签名服务器进行验签操作,完成后交给应用存档,以实操作者对签名操作的抗抵赖性。
5.3.5.案优势
⏹完善的数字证书管理功能:
提供数字证书的申请、下载、更新、冻结、解冻、作废等功能,为数字证书提供完善的生命期管理支持。
⏹丰富的数字证书应用类型:
产品自带签名证书、加密证书、SSL站点证书等多种数字证书模板,用户还可以通过证书模板管理功能灵活配置各种算法、用途和格式的数字证书。
⏹与管理式高度融合的特性:
基于RADS开发组件定制开发的RA系统可实现与证书管理和用户管理的高度融合。
⏹安全的软件设计:
系统采用安全的结构设计,各模块之间通讯使用独立的安全传输通道。
在权限管理面采取分权制衡的设计思路。
⏹大规模应用实践检验:
目前世界上发证数量最大的两大CA系统,中国工商银行和中国农业银行CA系统均采用的NetCert产品系列,实践经验的积累使得NetCert的稳定性和兼容性非常优秀。
5.3.6.案投入
产品名称
功能
数量
说明
NetCert(含CA、RA、LDAP、NetCertEnroll)
数字证书生成系统
1
NSAE2500-NB
SSL+服务器负载
3(2生产,1开发)
NetSign3300
签名服务器
3(2生产,1开发)
NetCertRA开发费用(如用户同步、证书自助更新等等)
说明:
本案中报价均按照每一个系统所使用的产品进行报价,实际上,信安世纪产品均支持多服务,即一套产品均可以为多个系统使用(在网络以及安全策略允的前提下)。
如签名服务器,一套签名服务器即可为电子保单使用,也可为网上商城所使用。
5.4支付系统
5.4.
5.4.1.典型需求
国联人寿计划推出的网上商城中,包含了用户在线支付功能。
目前正在完成与通联金融以及农商行对接的过程中。
在与农商行对接的过程中,需要由国联人寿访问的农商行,传递经过国联人寿数字签名的用户开通快捷支付以及扣款指令等,此访问过程,已过国联金融访问农商行发布的SSL完成加密。
同时,农商行完成业务处理后,需要将经过农商行数字签名的回执返回给国联金融,目前,此访问为未
升级会员 