CA系统应用安全解决方案.doc

1、CA系统应用安全解决方案(版本：1.0)CA系统应用安全解决方案 目录目 录1前言12应用安全需求概述13方案总体设计思想24CA认证系统设计34.1iTrusCA系统简介34.2认证体系设计44.3系统网络架构64.4证书存储介质64.5CA系统功能74.6证书应用开发接口（API）94.7系统工作流程设计94.8系统性能和特点分析115应用系统安全集成方案125.1邮件系统安全应用125.2VPN安全应用145.2.1VPN安全登录实现原理145.2.2VPN证书介绍155.2.3VPN证书应用155.3安全域登录应用165.3.1域登陆165.3.2智能卡及数字证书165.3.3智能卡域

2、登录175.4B/S系统安全应用185.4.1B/S架构系统安全原理195.4.2应用系统安全架构215.4.3应用系统身份认证流程225.4.4应用系统签名流程235.5C/S架构系统安全应用255.5.1系统集成原理255.5.2系统安全架构265.5.3证书应用开发接口（API）265.5.4系统工作流程276总结28CA系统应用安全解决方案 第29页 共29页1 前言以Internet为代表的全球性信息化浪潮迅猛发展，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，从典型的如金融业务系统、网上证券交易业务系统、企业内部

3、应用系统，逐渐扩展到政府办公系统应用。在这股浪潮的推动下，为了提高企业的办事效率，各个企业纷纷利用先进的IT技术来降低政务办公的成本和加强信息管理，广泛的开展电子政务。由于业务发展的需要，用户也建设了自己的各种应用信息系统，为了保证系统的正常运转，有必要采取安全的措施来保障各个应用系统运行的安全。本文主要目的是旨在分析用户的系统安全需求，然后阐明采用PKI/CA技术，来保障用户的信息系统安全。2 应用安全需求概述随着用户信息系统的建设，大量的办公业务数据文件通过网络相互传递，同时大量的数据文件也保存于文件服务器之上。如果不能保证这些系统的用户登录认证安全，保证这些数据的传输安全，其后果是可想而

4、知的。此外，在实现资源和数据共享的同时，也面临巨大的威胁和风险，我们必须对这些资料进行严格控制，保证只有被授权的人员才能够访问合法的资源，并且对于每个人产生的信息，需要保留相应的记录。由于互联网的广泛性和开放性，给应用系统带来了很多安全隐患，主要体现在如下几个方面：（1）身份认证目前，应用系统是采用“用户名密码”的方式来验证访问用户的身份。采用“用户名密码”的方式登录应用系统时，用户输入的用户名和密码都是通过明文的方式，传输给系统服务器，系统服务器根据用户提交的用户名和密码，查询数据库，来判断用户的身份是否真实。这种方式存在巨大的安全隐患，非法用户可以通过口令攻击、猜测或窃取口令等方式，假冒合

5、法用户的身份，登录系统进行非法操作或获取机密信息。因此，需要采用安全的手段，解决应用系统身份认证需求。（2）访问控制对于系统的不同用户，具有不同的访问操作权限。因此，应用系统在身份认证的基础上，需要给不同的身份授予不同的访问权限，使他们能够进行相应授权的操作。因此，需要采用有效的手段，解决应用系统访问控制的需求。（3）信息机密性和完整性通过应用系统传输很多敏感资料，如通过应用系统，需要通过开放的互联网，非法用户很容易监听网络传输的数据甚至篡改相关数据，或者入侵到应用系统，窃取有关资料。因此，需要采用有效的方式保证应用系统传输数据的机密性和完整性。（4）信息抗抵赖信息抗抵赖是指信息的发送者不能对

6、自己发送的信息进行抵赖。在应用系统中传输的很多信息，都需要实现信息抗抵赖。比如财务部进行财务汇报时，如果采用纸质的方式，可以在财务报表上签字盖章。但是通过电子数据共享和传输，不可能像纸质文件那样进行手写签字和盖章。而如果没有有效的手段保证电子数据共享和传输的抗抵赖，财务部可以否认自己共享和传输过的电子数据。一旦出现问题，将没有任何有效的证据，对肇事者进行追究。另外，对于通过应用系统进行网上申报与审批时，如果没有抗抵赖性，申报者将可以否认自己的申报数据和行为，审批者也可以否认自己的审批意见和行为，甚至出现假冒他人进行申报或审批的行为。这样，将导致整个应用系统不能正常工作，将给企业造成巨大的损失。

7、为此，根据用户的信息系统安全现状，采用PKI（Public Key Infrastructure，公钥基础设施）技术，为用户设计了基于数字证书的应用安全解决方案。3 方案总体设计思想根据用户的系统安全需求，基于自身在PKI/CA领域的技术优势，采用自主开发的PKI产品iTrusCA系统，为用户提供了完善的安全解决方案，解决方案总体框架包含如下几个基本思想：一、 采用iTrusCA系统，为用户建设一套功能完善的CA认证系统，为用户各个应用系统的用户颁发数字证书，提供安全认证服务。二、 用户应用系统集成数字证书的应用，用户登录系统时，必须提交CA认证系统颁发的用户证书，系统通过用户证书来实现身份认

8、证和访问控制，同时通过加密技术和数字签名技术，实现信息传输的机密性和抗抵赖性等安全需求。三、 用户证书保存在USB KEY中，USB KEY是一种安全的证书存储介质，可以设置口令，保证证书和私钥的安全，使用USB KEY也可以实现对移动办公的安全需求。以下，将分别对方案总体框架描述中CA认证系统、应用系统安全集成方案等几部分分别进行描述。4 CA认证系统设计CA认证系统负责为用户提供安全认证服务，本方案采用iTrusCA产品进行设计和建设。4.1 iTrusCA系统简介iTrusCA系统是参照国际领先的CA系统的设计思想，继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性，自主开发的、

9、享有完全自主知识产权的数字证书服务系统。系统具有完善的功能，能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求。iTrusCA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等构成，其中注册中心（RA）和认证中心（CA）又包含相应的模块，系统架构如下图：图1 iTrusCA系统模块架构图iTrusCA系统能提供完善的功能，包括：证书签发、证书生命周期管理、证书吊销列表（CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。iTrusCA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业

10、型iTrusCA和大型iTrusCA，不同类型系统的网络建设架构是不同的。iTrusCA系统具有下列特点：A. 符合国际和行标准；B. 证书类型多样性及灵活配置。能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等各种类型的证书；C. 灵活的认证体系配置。系统支持树状的客户私有的认证体系，支持多级CA，支持交叉认证；D. 高安全性和可靠性。使用高强度密码保护密钥，支持加密机、智能卡、USB KEY等硬件设备以及相应的网络产品（证书漫游产品）来保存用户的证书；E. 高扩展性。根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级CA，支持交叉CA

11、；系统支持多级RA。F. 易于部署与使用。系统所有用户、管理员界面都是B/S模式，CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。G. 高兼容性。支持各种加密机、多种数据库和支持多种证书存储介质。4.2 认证体系设计认证体系是指证书认证的逻辑层次结构，也叫证书认证体系。证书的信任关系是一个树状结构，由自签名的根CA为起始，由它签发二级子CA，二级子CA又签发它的下级CA，以此递推，最后某一级子CA签发最终用户的证书。认证体系理论上可以无限延伸，但从技术实现与系统管理上，认证层次并非越多越好。层次越多，技术实现越复杂，管理的难度也增大。证书认证的速度也会变慢。

12、一般的，国际上最大型的认证体系层次都不超过4层，并且浏览器等软件也不支持超过4层的认证体系。本方案设计的用户的CA认证系统采用如下图所示的认证体系：图2 用户CA认证体系图如图所示，认证体系采用3层结构：n 第一层是自签名的用户根CA，是处于离线状态的，具有用户的权威性和品牌特性。n 第二层是由用户根CA签发的用户子CA，处于在线状态，它是签发系统用户证书的子CA。n 第三层为用户证书，由用户子CA签发，从用户证书的证书信任链中可以看出整个用户的CA认证体系结构，用户证书在用户的应用范围内受到信任。采用这种认证体系具有下列特点：（1） 体现用户的权威性从认证体系上看，用户CA具有自己的统一的根

13、CA，由用户进行统一管理，负责整个用户的认证体系、CA策略和证书策略的定制与管理，这样充分体现了用户的权威性。（2） 具有很好的可扩展性如图所示体系具有很好的可扩展性，采用三层结构为体系的扩展预留了空间（因为大多数应用都只支持四层以下），根据用户实际应用需求，将来可以在子CA下，签发下级子CA；或者针对别的应用再签发子CA这样，使得用户CA认证体系具有很好的可扩展性。（3） 具有很好的可操作性采用三层体系结构，相对比较简单，在CA的创建和管理上也相当比较容易。虽然从技术上认证体系支持无限扩展，但是层次越多，技术实现越复杂，管理的难度也增大。而采用三层结构是目前业界比较通用的、标准的做法。这样，

14、使得用户CA认证体系具有很好的可操作性。4.3 系统网络架构采用iTrusCA系统将为用户建设一个CA中心和一个RA中心，iTrusCA系统的所有模块可以安装在同一台服务器上，也可以采用多台服务器分别安装各模块。系统网络架构如下图所示：图3 CA系统网络架构示意图如图所示，将iTrusCA系统的CA认证中心和RA注册中心各模块安装在CA服务器上，为了保证系统的安全，CA服务器必须位于安全的区域，即采用防火墙与外界进行隔离。最终用户使用浏览器，访问CA服务器，进行证书申请和管理。管理员（包括CA管理员和RA管理员，可以是同一个管理员担任）使用浏览器，访问CA服务器，进行证书管理和CA管理。4.4 证书存储介质本方案推荐使用USB KEY来保存用户的证书及私钥。USB KEY是以USB为接口的存储设备，它便于携带和使用，可以实现在所有的机器（具有USB接口）上的漫游，可以满足用户移动办公的需求。USB KEY可以设置用户口令保护，增强了证书及私钥的安全性。为了在发生USB KEY丢失等情况时，私钥可以恢复或者还可以用私钥解密以前的加密邮件，在申请证书时，密钥对可以在系统中产生而不是在USB KEY中产生，当证书申请成功后，再将私钥和证书导入到USB KEY中；同时系统可以以文件的形式保留