XX身份認(rèn)證系統(tǒng)技術(shù)方案

1、身份認(rèn)證系統(tǒng)技術(shù)方案概述1.前言隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，個(gè)人和企業(yè)將越來越多地把業(yè)務(wù)活動(dòng)放到網(wǎng)絡(luò)上，因此網(wǎng)絡(luò)的安全問題就更加關(guān)鍵和重要。據(jù)統(tǒng)計(jì)，在全球范圍內(nèi)，由于信息系統(tǒng)的脆弱性而導(dǎo)致的經(jīng)濟(jì)損失，每年達(dá)數(shù)十億美元，并且呈逐年上升的趨勢(shì)。利用數(shù)字證書、PKI、對(duì)稱加密算法、數(shù)字簽名、數(shù)字信封等加密技術(shù)，可以建立起安全程度極高的身份認(rèn)證系統(tǒng)，確保網(wǎng)上信息有效、安全地進(jìn)行，從而使信息除發(fā)送方和接收方外，不被其他方知悉（保密性 ） ；保證傳輸過程中不被篡改（ 完整性和一致性） ；發(fā)送方確信接收方不是假冒的（身份的真實(shí)性和不可偽裝性 ） ；發(fā)送方不能否認(rèn)自己的發(fā)送行為（不可抵賴性） 。本方案根據(jù)* 的業(yè)

2、務(wù)流程、管理模式的實(shí)施方案，充分運(yùn)用現(xiàn)代網(wǎng)絡(luò)信息技術(shù)及CA認(rèn)證體系，建立*身份認(rèn)證系統(tǒng)，并可作為公務(wù)網(wǎng) CA的配套系 統(tǒng)。身份認(rèn)證系統(tǒng)用戶認(rèn)證需求描述在 * 業(yè)務(wù)發(fā)展過程中，為了更好的實(shí)現(xiàn)數(shù)據(jù)資源共享，充分發(fā)揮信息化對(duì) * 系統(tǒng)發(fā)展的促進(jìn)作用，將綜合開發(fā)一套身份認(rèn)證系統(tǒng)對(duì)目前的用戶身份進(jìn)行管理，為社會(huì)、相關(guān)職能部門以及各級(jí)機(jī)構(gòu)提供服務(wù)。在此系統(tǒng)的開發(fā)應(yīng)用過程中，一個(gè)重要的任務(wù)是解決如何對(duì)應(yīng)用系統(tǒng)用戶進(jìn)行身份認(rèn)證從而確保數(shù)據(jù)的安全。下面將針對(duì)在此系統(tǒng)的開發(fā)應(yīng)用中對(duì)用戶身份認(rèn)證所做的需求加以說明。整個(gè)系統(tǒng)的邏輯結(jié)構(gòu)如圖1 所示：圖 1：系統(tǒng)邏輯結(jié)構(gòu)示意圖如圖 1 示，整個(gè)系統(tǒng)涉及了應(yīng)用服務(wù)器、證書

3、服務(wù)器以及相應(yīng)的客戶端。系統(tǒng)運(yùn)作流程簡(jiǎn)述如下:客戶端訪問應(yīng)用服務(wù)器，應(yīng)用服務(wù)器向認(rèn)證服務(wù)器發(fā)出認(rèn)證請(qǐng)求；認(rèn)證服務(wù)器完成對(duì)用戶身份的認(rèn)證并將與該用戶相對(duì)應(yīng)的認(rèn)證信息 返回相應(yīng)的應(yīng)用服務(wù)器；用戶在通過認(rèn)證之后獲得在應(yīng)用服務(wù)器獲得相應(yīng)的授權(quán)，從而可以 對(duì)應(yīng)用系統(tǒng)進(jìn)行相應(yīng)的訪問。所提交的認(rèn)證系統(tǒng)在滿足上述流程之外需要提供應(yīng)用開發(fā)接口，滿足與應(yīng) 用服務(wù)器之間的交互。這是將認(rèn)證系統(tǒng)集成到整個(gè)身份認(rèn)證系統(tǒng)的基礎(chǔ)條件，使 得后續(xù)的開發(fā)工作能夠利用認(rèn)證信息做進(jìn)一步的數(shù)據(jù)處理?？紤]到平臺(tái)的兼容 性，應(yīng)用系統(tǒng)開發(fā)方可以開發(fā)一個(gè)統(tǒng)一的接口程序與認(rèn)證系統(tǒng)進(jìn)行交互。另外還有如下幾點(diǎn)要求需注意：認(rèn)證服務(wù)器的用戶信息需要依據(jù)

4、數(shù)據(jù)庫(kù)服務(wù)器中的用戶信息為基礎(chǔ)；對(duì)于客戶端的身份認(rèn)證最好采用硬件方式；客戶端通過廣域網(wǎng)連接到認(rèn)證服務(wù)器，要求認(rèn)證服務(wù)器是能夠面向廣域網(wǎng)用戶的；客戶端數(shù)量可以按250用戶計(jì)算；提供認(rèn)證系統(tǒng)的安全模式說明，詳細(xì)介紹如何確保系統(tǒng)的安全； 系統(tǒng)對(duì)認(rèn)證系統(tǒng)的操作系統(tǒng)平臺(tái)無特殊要求。身份認(rèn)證系統(tǒng)認(rèn)證解決之道根據(jù)身份認(rèn)證系統(tǒng)的設(shè)計(jì)原則，系統(tǒng)安全需要解決如下幾個(gè)方面的問題： 數(shù)據(jù)的保密性。包括數(shù)據(jù)靜態(tài)存儲(chǔ)的保密性和數(shù)據(jù)傳輸過程中的保 密性；有效的身份認(rèn)證和權(quán)限控制。系統(tǒng)中的各個(gè)授權(quán)人員具有其特定級(jí) 別的權(quán)限，可以進(jìn)行該權(quán)限的操作，無法越權(quán)操作；操作者事后無 法否認(rèn)其進(jìn)行的操作；未授權(quán)人員無法進(jìn)入系統(tǒng)。我們建議

5、利用業(yè)界行之有效的高強(qiáng)度的加解密技術(shù)和身份認(rèn)證技術(shù)保證身份認(rèn)證系統(tǒng)的安全，上海CA中心的數(shù)字身份認(rèn)證系統(tǒng)可以為用戶提供解決辦法。 身份認(rèn)證系統(tǒng)主要負(fù)責(zé)證書管理，保證系統(tǒng)安全不間斷地提供證書的申請(qǐng)和作 廢，提供用戶信息和證書的備份和歸檔，保證系統(tǒng)數(shù)據(jù)的完整性。如何解決身份認(rèn)證系統(tǒng)的安全性是我們關(guān)心的最大問題，結(jié)合身份認(rèn)證系 統(tǒng)，我們?cè)O(shè)計(jì)如下的應(yīng)用模式：身份認(rèn)證系統(tǒng)的模式首先我們來看一下身份認(rèn)證系統(tǒng)的模式：中心向操作員發(fā)放數(shù)字證書；用戶使用數(shù)字證書登陸，經(jīng)身份驗(yàn)證后，進(jìn)入身份認(rèn)證系統(tǒng)，填寫 或修改表單并提交；系統(tǒng)對(duì)表單進(jìn)行處理，然后提交、登記身份認(rèn)證系統(tǒng)。建立身份認(rèn)證系統(tǒng)身份認(rèn)證系統(tǒng)以及與其發(fā)生業(yè)

6、務(wù)的部門通過網(wǎng)絡(luò)和數(shù)字證書建立安全可靠 的身份認(rèn)證系統(tǒng)。身份認(rèn)證系統(tǒng)以及客戶和部門申請(qǐng)數(shù)字證書，其中請(qǐng)數(shù)字證書的方式詳見 以下章節(jié)的多種可選方案。身份認(rèn)證系統(tǒng)以及客戶和部門申請(qǐng)到了標(biāo)識(shí)其身份的數(shù)字證書文件和對(duì)應(yīng) 的私鑰文件。在此將證書信息文件稱為，私鑰信息文件稱為。證書的存儲(chǔ)介質(zhì)是 帶有算法的USBKEY在我們的身份認(rèn)證系統(tǒng)提供支持多種平臺(tái)的證書應(yīng)用接口 API (Application Programming Interface), WINDOWS臺(tái)以 DLL的形式提供，各種UNIX平臺(tái)以“.a”庫(kù)的形式提供。利用該 API,應(yīng)用系統(tǒng)可以很方便的將數(shù) 字證書應(yīng)用嵌入到業(yè)務(wù)系統(tǒng)之中。上海CA中

7、心同時(shí)在客戶端提供 ActiveX控件和JavaApplet開發(fā)接口應(yīng)用服務(wù)器端同時(shí)提供動(dòng)態(tài)連接庫(kù),COM&件和JavaBean開發(fā)接口證書在身份認(rèn)證系統(tǒng)上的安全應(yīng)用以下假設(shè)向身份認(rèn)證系統(tǒng)發(fā)訂單，利用數(shù)字證書的一次數(shù)據(jù)流程。身份認(rèn)應(yīng)用系統(tǒng)平臺(tái) UserCert.der應(yīng)用系統(tǒng)平臺(tái) UserKey.key操作員 UserCert.der證系統(tǒng)的服務(wù)器和操作員計(jì)算機(jī)各自申請(qǐng)一張標(biāo)識(shí)其身份的數(shù)字證書， 即具有其 對(duì)應(yīng)的證書文件，私鑰文件。這樣，通過自己計(jì)算機(jī)上的 IE瀏覽器可以安全的 訪問身份認(rèn)證系統(tǒng)。根據(jù)以上數(shù)據(jù)傳輸過程，可以完全保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?、身?認(rèn)證和不可抵賴性。同理諸

8、多運(yùn)行在身份認(rèn)證系統(tǒng)上的信息流都可以通過加密技 術(shù)、數(shù)字簽名技術(shù)以身份認(rèn)證形式、安全電子郵件形式或文檔形式進(jìn)行安全。詳細(xì)設(shè)計(jì)方案2.身份認(rèn)證系統(tǒng)身份認(rèn)證系統(tǒng)是在實(shí)際運(yùn)作過程中，根據(jù)用戶需求開發(fā)的一套內(nèi)網(wǎng)數(shù)字身份認(rèn)證解決方案套件。該系統(tǒng)可以作為公務(wù)網(wǎng)身份認(rèn)證系統(tǒng)的配套產(chǎn)品適用于接入公務(wù)網(wǎng)的各委、辦、局、區(qū)縣的內(nèi)網(wǎng)應(yīng)用系統(tǒng)中。該系統(tǒng)將主要針對(duì)內(nèi)網(wǎng)的應(yīng)用系統(tǒng)， 同時(shí)結(jié)合公務(wù)網(wǎng)身份認(rèn)證系統(tǒng)的特點(diǎn)和需求，向辦公內(nèi)網(wǎng)提供本地證書庫(kù)、本地證書管理、本地證書目錄、本地證書管理、CRLS詢等服務(wù)。該套系統(tǒng)的API提供了與身份認(rèn)證系統(tǒng)配合使用的WE弦全套件，為 WEB應(yīng)用提供全方位的身份認(rèn)證服務(wù)。包括UniTru

9、st 登錄、 UniTrust 退出、對(duì)表單進(jìn)行簽名、對(duì)表單進(jìn)行驗(yàn)證、對(duì)數(shù)據(jù)進(jìn)行加密、解密、對(duì)信息進(jìn)行時(shí)間標(biāo)記和時(shí)間驗(yàn)證、以及身份信息控制?？梢詽M足5 分鐘內(nèi) 500個(gè)并發(fā)用戶的驗(yàn)證要求。產(chǎn)品設(shè)計(jì)原則認(rèn)證系統(tǒng)的設(shè)計(jì)原則身份認(rèn)證系統(tǒng)在設(shè)計(jì)時(shí)，從系統(tǒng)建設(shè)的近期和長(zhǎng)遠(yuǎn)目標(biāo)來綜合考慮在設(shè)計(jì)中遵循了規(guī)范性、安全可靠性、實(shí)用性、擴(kuò)展性、經(jīng)濟(jì)性、易用性和業(yè)務(wù)獨(dú)立性等原則。并在以上原則中著重考慮了：安全性安全性是認(rèn)證系統(tǒng)最為關(guān)注的問題，也是認(rèn)證系統(tǒng)設(shè)計(jì)及建設(shè)中的關(guān)鍵，它包括 Browser 與 Server 間信息傳遞的安全控制，訪問系統(tǒng)的安全控制，系統(tǒng)數(shù)據(jù)的可追溯性。認(rèn)證系統(tǒng)有完整的安全策略控制體系以實(shí)現(xiàn)安

10、全控制。其關(guān)鍵技術(shù)包括網(wǎng)頁(yè)簽名技術(shù)，身份認(rèn)證及信息加密技術(shù)，可保證系統(tǒng)間信息傳遞的安全，訪問系統(tǒng)的安全控制。規(guī)范性標(biāo)準(zhǔn)和規(guī)范是認(rèn)證系統(tǒng)設(shè)計(jì)中的重要內(nèi)容，這里所說的規(guī)范性，是指認(rèn)證系統(tǒng)設(shè)計(jì)及建立過程的規(guī)范性。目前有關(guān)認(rèn)證系統(tǒng)的實(shí)際應(yīng)用有著多種相關(guān)的規(guī)范，如，PKCS10 PKCS7 PKCS1騫。不同的用戶及系統(tǒng)在使用認(rèn)證系統(tǒng)及證書時(shí)往往都按照相關(guān)的規(guī)范調(diào)用。同時(shí)良好的規(guī)范也保證了身份認(rèn)證系統(tǒng)協(xié)調(diào)工作時(shí)的方便性和準(zhǔn)確性。可擴(kuò)展性認(rèn)證系統(tǒng)方案設(shè)計(jì)中，每個(gè)層次的設(shè)計(jì)采用模塊化設(shè)計(jì)，可根據(jù)用戶的不同需要發(fā)展進(jìn)行靈活擴(kuò)展。如， 在數(shù)字證書中加入自定義擴(kuò)展項(xiàng)，從而使政府用戶可在證書中加入相應(yīng)的工作證號(hào)等信

11、息。特別是證書系統(tǒng)采用了B/S 中的多層設(shè)計(jì)思想，使得系統(tǒng)可實(shí)現(xiàn)對(duì)于不同用戶的定制服務(wù)，可以方便地實(shí)行對(duì)應(yīng)用的控制與更新。易管理性系統(tǒng)的易管理性是證書認(rèn)證系統(tǒng)的一個(gè)重要特點(diǎn)，系統(tǒng)對(duì)應(yīng)提供多套管理系統(tǒng)，可對(duì)系統(tǒng)各個(gè)層次進(jìn)行管理。并可對(duì)一些經(jīng)常性的統(tǒng)計(jì)工作提供基于Web的管理。網(wǎng)絡(luò)環(huán)境設(shè)計(jì)原則我們?cè)谧鳟a(chǎn)品系統(tǒng)實(shí)施方案時(shí)充分考慮了網(wǎng)絡(luò)的高性能、可靠性， 可擴(kuò)充性，以便支持以后網(wǎng)絡(luò)分階段升級(jí)的需要，保護(hù)原有投資。為此，遵循了以下原則：先進(jìn)性和實(shí)用性盡可能采用國(guó)際上先進(jìn)的技術(shù)和設(shè)備，使產(chǎn)品系統(tǒng)具有良好的性能，不僅能滿足當(dāng)前認(rèn)證系統(tǒng)的需要，還要滿足未來3 至 5 年的需要。對(duì)一些目前不重要的部分，則以經(jīng)濟(jì)

12、實(shí)用為主，但要為以后的擴(kuò)充打下基礎(chǔ)。高可靠性采用成熟的先進(jìn)技術(shù)，關(guān)鍵部件和線路有足夠備份，有必要的冗余容錯(cuò)能力，如出了故障，要能及時(shí)指出故障點(diǎn)及故障原因。較強(qiáng)的擴(kuò)充性能產(chǎn)品提供了很多于應(yīng)用相連結(jié)的標(biāo)準(zhǔn)函數(shù)借口，能與將來的先進(jìn)技術(shù)相結(jié)合， 保護(hù)現(xiàn)有投資，保證系統(tǒng)能隨時(shí)加入新的功能模塊，保證有關(guān)軟件能順利升級(jí)和擴(kuò)充。良好的安全保密措施由于此產(chǎn)品是一套獨(dú)立的身份認(rèn)證系統(tǒng)， 為了確保系統(tǒng)的安全保密措施和系 統(tǒng)的大范圍適用性，我們提供了軟硬件一體機(jī)，通過訪問控制、及為用戶設(shè)置權(quán) 限等措施，防止非法侵入。功能模塊架構(gòu)應(yīng)用系統(tǒng)SafeengineSafeEngine證書管理器身份認(rèn)證系統(tǒng)系統(tǒng)初始化/系統(tǒng)管理

13、/用戶管理/證書管理/用戶自服務(wù)/系統(tǒng)服務(wù)證書編碼OCSP/CR簪編碼簽發(fā)證書/黑名單/OCSP等用戶信息管理證書信息管理編碼加解密數(shù)據(jù)庫(kù)Hardware身份認(rèn)證系統(tǒng)特性身份認(rèn)證系統(tǒng)支持平臺(tái)身份認(rèn)證系統(tǒng)充分發(fā)揮硬件的特性，便于管理和維護(hù)。減少人為干預(yù)兼容的應(yīng)用軟件和操作系統(tǒng)身份認(rèn)證系統(tǒng)可與以下軟件協(xié)同工作客戶端應(yīng)用程序：Netscape NavigatorNetscape CommunicationMicrosoft Internet ExploerUniTrust SafeEngine, UniTrust 證書管理器各種WEEK務(wù)器：MicroSoft IIS WebServerNetsca

14、pe EnterpriseApacheJava WebServerDomino統(tǒng)一的管理界面身份認(rèn)證系統(tǒng)的操作管理都基于 WEBJ面，有效降低維護(hù)的成本。支持各種介質(zhì)身份認(rèn)證系統(tǒng)支持用戶證書存放在軟盤、IC卡、USB$以及服務(wù)器。嚴(yán)格的權(quán)限控制身份認(rèn)證系統(tǒng)分為系統(tǒng)管理員、系統(tǒng)操作員、系統(tǒng)用戶和匿名用戶四個(gè)級(jí)別用戶。 系統(tǒng)管理員對(duì)系統(tǒng)的運(yùn)行負(fù)責(zé)，但不能接觸任何用戶數(shù)據(jù)，同時(shí)必須超過半數(shù)的系統(tǒng)管理員到場(chǎng)時(shí)才能進(jìn)入系統(tǒng)管理模式。操作員僅能對(duì)用戶進(jìn)行操作，不能影響系統(tǒng)的運(yùn)行。用戶僅能對(duì)自己的數(shù)據(jù)進(jìn)行操作，不能修改他人數(shù)據(jù)。匿名用戶提供公用的服務(wù)，如下載他人證書、根證書、下載黑名單等。所有的認(rèn)證方式均采

15、用數(shù)字認(rèn)證方式進(jìn)行，確保系統(tǒng)安全。私鑰保護(hù)身份認(rèn)證系統(tǒng)對(duì)私鑰進(jìn)行嚴(yán)格的保護(hù)，對(duì)所有存放在身份認(rèn)證系統(tǒng)上的私鑰， 采用多重加密方式，同時(shí)身份認(rèn)證系統(tǒng)采用硬件機(jī)，無人可以直接獲得身份認(rèn)證系統(tǒng)上的數(shù)據(jù)。日志身份認(rèn)證系統(tǒng)提供詳盡的日志功能。包括系統(tǒng)日志和用戶日志。系統(tǒng)日志主要提供所有系統(tǒng)管理員、系統(tǒng)操作員、用戶對(duì)系統(tǒng)信息、或證書信息的操作。系統(tǒng)管理員可以通過日志查詢獲得系統(tǒng)的狀態(tài)。歷史信息查詢身份認(rèn)證系統(tǒng)提供國(guó)內(nèi)首創(chuàng)（專利號(hào)）的技術(shù)，用戶歷史信息查詢。歷史信息包括用戶的證書申請(qǐng)歷史和證書使用信息。證書申請(qǐng)信息包括用戶申請(qǐng)證書的記錄申請(qǐng)時(shí)間、批準(zhǔn)或駁回、更新時(shí)間、作廢時(shí)間、上一張證書、下一張證書等。用戶

16、證書使用信息查詢包括證書被驗(yàn)證記錄，提供驗(yàn)證者信息和時(shí)間。供用戶本人查證自己證書使用紀(jì)錄，是否有他人試圖使用自己的證書。下一版本中，將提供用戶告警機(jī)制，用戶可以設(shè)定自己的檢查條件，系統(tǒng)核查滿足條件后，就發(fā)送告警信息給用戶。以盡快解決安全隱患。政策編輯身份認(rèn)證系統(tǒng)提供自行編輯證書政策的功能，可以讓運(yùn)行商自行修改證書策略。數(shù)據(jù)備份身份認(rèn)證系統(tǒng)提供根證書的導(dǎo)入導(dǎo)出功能，也支持所有的數(shù)據(jù)備份和恢復(fù)功能。為數(shù)據(jù)安全提供保障。產(chǎn)品升級(jí)對(duì)不斷提高的技術(shù)和新的需求，身份認(rèn)證系統(tǒng)努力提升產(chǎn)品性能和功能。身份認(rèn)證系統(tǒng)只需要系統(tǒng)管理員將系統(tǒng)進(jìn)入維護(hù)模式，運(yùn)行與該系統(tǒng)配套提供的軟件升級(jí)包，就可以對(duì)產(chǎn)品進(jìn)行升級(jí)。身份認(rèn)

17、證系統(tǒng)功能簡(jiǎn)介系統(tǒng)初始化執(zhí)行系統(tǒng)初始化功能，包括刪除所有數(shù)據(jù)，缺省系統(tǒng)管理員、系統(tǒng)操作員的生成。根證書的生成或指定。系統(tǒng)IP 地址更改。系統(tǒng)管理執(zhí)行系統(tǒng)管理功能，包括系統(tǒng)管理員管理、操作員管理、根證書管理、系統(tǒng)服務(wù)管理、系統(tǒng)日志管理、License 管理、系統(tǒng)密鑰管理。用戶信息管理主要執(zhí)行用戶信息管理的工作，包括用戶信息的增加、修改、刪除。證書申請(qǐng)信息管理主要執(zhí)行證書申請(qǐng)信息的管理工作，包括證書申請(qǐng)信息的添加、修改和刪除。證書的管理如作廢、簽發(fā)、暫停、恢復(fù)等等。以及統(tǒng)計(jì)報(bào)表的制作打印等等。用戶、證書自服務(wù)：用戶證書自管理的工作，如用戶信息的錄入，修改，用戶證書申請(qǐng)請(qǐng)求，用戶證書的下載，用戶證書

18、的廢除。以及查詢、下載他人證書、CRL下載根證書。接收注冊(cè)請(qǐng)求，簽發(fā)公鑰證書支持離線或在線簽發(fā)證書兩種方式。前者密鑰對(duì)由身份認(rèn)證系統(tǒng)生成；后者密鑰對(duì)在客戶端由瀏覽器或其他PKI 軟件生成。證書查詢用戶可以輸入一定的條目如Email 或姓名等，通過模糊查詢，獲得用戶證書列表，選擇一張證書下載到瀏覽器中，或保存。發(fā)布證書吊銷名單（CRL）定期發(fā)布最新證書吊銷名單。CRLB從格式。提供在線證書狀態(tài)查詢（OCS）P身份認(rèn)證系統(tǒng)提供證書狀態(tài)查詢，有效提高可靠性。提供日志管理日志是每次操作的記錄，其主要作用有二。一是用于事后故障清查的系統(tǒng)維護(hù)方面； 其二是事故處理，為系統(tǒng)安全審計(jì)提供現(xiàn)場(chǎng)記錄數(shù)據(jù)，是安全審

19、計(jì)與追蹤的基礎(chǔ)。身份認(rèn)證系統(tǒng)訪問控制訪問身份認(rèn)證系統(tǒng)需要強(qiáng)身份驗(yàn)證，只有通過超過半數(shù)以上的系統(tǒng)管理員的PIN 卡驗(yàn)證后，才允許系統(tǒng)管理員訪問身份認(rèn)證系統(tǒng)，執(zhí)行安全操作。用戶證書介質(zhì)制作用戶證書介質(zhì)即用戶身份標(biāo)識(shí)介質(zhì)，介質(zhì)中存有用戶證書、該證書的簽發(fā)者證書、 和被加密的該用戶的私鑰。用戶證書介質(zhì)可以是軟盤，也可以是安全性更高的IC卡或USB#o用戶證書介質(zhì)的選擇，需視用戶對(duì)安全性的要求而定。身份認(rèn)證系統(tǒng)安全性分析我們提供的該套身份認(rèn)證系統(tǒng)在安全設(shè)計(jì)過程中主要考慮四個(gè)主要措施：身份鑒別措施、數(shù)據(jù)的傳遞過程的機(jī)密性與完整性措施、權(quán)限分割與互相制約措施、自主和可控性措施的四項(xiàng)措施。本系統(tǒng)安全性保護(hù)的必

20、要性數(shù)字化信息社會(huì)雖然給人們的工作帶來了方便，但是由于它是基于網(wǎng)絡(luò)的信 息傳遞也給人們的工作帶來了很多不便之處，在工作中缺少了物理界面的出現(xiàn)， 從而帶來了信息安全保密問題的出現(xiàn)。 通過長(zhǎng)時(shí)期的了解和觀察，我們發(fā)現(xiàn)我國(guó) 信息安全保密還存在以下問題：信息安全保密意識(shí)淡薄，缺少緊迫感和正確的認(rèn)識(shí)。信息網(wǎng)絡(luò)防御能力脆弱，信息保密技術(shù)研究和技術(shù)防范手段滯后，泄密隱患突出。信息安全基礎(chǔ)設(shè)施薄弱，缺少必要的物質(zhì)條件，一些重要的信息系 統(tǒng)使用進(jìn)口的安全設(shè)備，無法保證其安全性和有效監(jiān)管。信息安全保密管理力度不夠，管理體系不夠完善，內(nèi)部管理漏洞隱 患大，網(wǎng)絡(luò)缺少對(duì)用戶認(rèn)證與權(quán)限的管理，也缺少對(duì)信息內(nèi)容的保 密級(jí)別

21、的劃分與設(shè)定。總之，本系統(tǒng)安全性保護(hù)不僅是必要的，也是相當(dāng)重要的。安全性要求隨著各個(gè)單位內(nèi)網(wǎng)辦公應(yīng)用系統(tǒng)需求的迫切提升，信息安全已成為焦點(diǎn)問題之一，尤其是CA認(rèn)證越來越成為整個(gè)電子商務(wù)中的安全重要環(huán)節(jié)，所以數(shù)字身 份認(rèn)證系統(tǒng)本身的安全也越來越重要。概括起來，認(rèn)證系統(tǒng)對(duì)安全的最基本要求 如下：身份鑒別(Authentication)在操作員或管理員進(jìn)行認(rèn)證系統(tǒng)的操作錢要能確認(rèn)對(duì)方的身份，并要求在操作過程中操作員或管理員的身份不能被假冒或偽裝。數(shù)據(jù)的機(jī)密(Confidentiality )對(duì)敏感信息進(jìn)行加密，及時(shí)別人截獲數(shù)據(jù)也無法得到其內(nèi)容。數(shù)據(jù)的完整性(Integrity )要求接受方能夠驗(yàn)證受

22、到的信息是否完整，是否被人篡改，保證操作過程中的信息安全不可抵賴性(Non-Repudiation )操作一旦完成，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到的信息。安全性設(shè)計(jì)原則在設(shè)計(jì)證書系統(tǒng)的安全時(shí)，我們主要遵守了以下原則：網(wǎng)絡(luò)信息系統(tǒng)安全與保密的“木桶原則”：對(duì)信息均衡、全面地進(jìn)行 安全保護(hù)；網(wǎng)絡(luò)信息安全系統(tǒng)的“整體性原則”：安全防護(hù)、檢測(cè)和應(yīng)急恢復(fù)； 數(shù)字身份認(rèn)證系統(tǒng)安全性的“有效性與實(shí)用性”原則：不能影響系 統(tǒng)的正常運(yùn)行和合法用戶的操作活動(dòng)；信息安全系統(tǒng)的“等級(jí)性”原則：安全層次和安全級(jí)別；信息安全系統(tǒng)的“動(dòng)態(tài)化”原則：整個(gè)系統(tǒng)內(nèi)盡可能引入更多的可變因素，并具有良好的擴(kuò)展性

23、；安全與保密系統(tǒng)的設(shè)計(jì)應(yīng)與網(wǎng)絡(luò)設(shè)計(jì)相結(jié)合的原則；自主和可控性原則；權(quán)限分割、互相制約、最小化原則；有的放矢、各取所需原則。安全性設(shè)計(jì)方案身份鑒別措施身份鑒別措施是指在操作員或管理員進(jìn)行登陸系統(tǒng)進(jìn)行操作之前必須進(jìn)行 身份的鑒別。流程圖如下：每個(gè)管理員、操作員、證書用戶在進(jìn)入系統(tǒng)之前，都必須在系統(tǒng)的數(shù)據(jù)庫(kù)中先錄入各自的證書，這一過程也稱開戶。在管理員或操作員進(jìn)行登錄前，服務(wù)器會(huì)生成一個(gè)隨機(jī)字符串，并要求登 錄者對(duì)這個(gè)字符串進(jìn)行簽名，由于這個(gè)字符串是隨機(jī)的，并含有時(shí)間信息，所以 這種方法可防治重放攻擊。登錄者將隨機(jī)字符串簽名后，會(huì)將簽名發(fā)送到服務(wù)器端。服務(wù)器可從庫(kù)中 取出簽名者的證書進(jìn)行校驗(yàn)。如果檢

24、驗(yàn)通過，則證明登錄者身份真實(shí)。在操作過程中操作員或管理員無論進(jìn)行合作操作，都要對(duì)通信信息進(jìn)行簽 名，保證了其身份不能被假冒或偽裝。同時(shí)加入簽名也保證了操作一旦完成，發(fā) 送方不能否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到的信息。身份認(rèn)證系統(tǒng)應(yīng)用開發(fā)接口身份認(rèn)證系統(tǒng)接口函數(shù)身份認(rèn)證系統(tǒng)接口函數(shù)是為所有基于該套系統(tǒng)證書應(yīng)用程序開發(fā)者提供編程接口。 應(yīng)用開發(fā)者不需要深入了解證書的結(jié)構(gòu)、獲取、 驗(yàn)證等一切與證書相關(guān)的操作，只需要關(guān)心應(yīng)用的開發(fā)即可。接口函數(shù)支持1024/128 位強(qiáng)度的加密算法，證書驗(yàn)證、黑名單查詢、數(shù)字信封，數(shù)字簽名，驗(yàn)證簽名，摘要，對(duì)稱加解密，PEMS解碼，從介質(zhì)中讀取證書，私鑰，證

25、書驗(yàn)證（包括 CRL OCSia證）， 證書解碼等。接口函數(shù)包括2 種類型： API 和證書管理器。API 有標(biāo)準(zhǔn) c 版和 java 版， 支持包括Aix、hp、Solaris、Windows在內(nèi)的各種主流操作系統(tǒng)；證書管理器 API 支持Windows系列。API 提供的功能主要包括簽名、從證書提取證書細(xì)節(jié)等各項(xiàng)功能；證書管理器 API 不但包括了API 的大部分功能，另外還提供了證書的管理功能，包括證書的添加、刪除、導(dǎo)入導(dǎo)出等功能，這些功能可以方便客戶端對(duì)證書的管理，結(jié)合API 的強(qiáng)大功能，可以開發(fā)出一套功能強(qiáng)大的身份認(rèn)證應(yīng)用系統(tǒng)。我們保證密切配合應(yīng)用系統(tǒng)開發(fā)商對(duì)* 身份認(rèn)證信息系統(tǒng)的開

26、發(fā)，以確保整個(gè)系統(tǒng)的完整和及時(shí)的開發(fā)完成。為客戶端同時(shí)提供ActiveX 控件和 JavaApplet 開發(fā)接口。應(yīng)用服務(wù)器端同時(shí)提供動(dòng)態(tài)連接庫(kù)，COME件和JavaBean開發(fā)接口。API 與身份認(rèn)證系統(tǒng)結(jié)合開發(fā)應(yīng)用系統(tǒng)在 * 的系統(tǒng)中，需要加入身份認(rèn)證和數(shù)字信封等功能，保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的安全性、保密性、完整性、身份可識(shí)別以及各項(xiàng)操作的不可否認(rèn)性等安全功能，在分析了 * 的具體需求只有，我們認(rèn)為，結(jié)合我們現(xiàn)有的產(chǎn)品身份認(rèn)證系統(tǒng)和接口函數(shù)，可以開發(fā)出一套適合需求的產(chǎn)品。在開發(fā)過程中，我們建議按以下流程設(shè)計(jì)應(yīng)用程序：1、 *通過身份認(rèn)證系統(tǒng)為用戶發(fā)放數(shù)字證書；2、在用戶第一次登錄系統(tǒng)時(shí)，要求用戶使

27、用數(shù)字證書等陸，應(yīng)用系統(tǒng)發(fā)出隨機(jī)串要求客戶端對(duì)隨機(jī)串進(jìn)行簽名，并返回簽過名的隨機(jī)串，由應(yīng)用系統(tǒng)驗(yàn)證用戶身份；（建議客戶端使用證書管理器API 開發(fā)，服務(wù)器端使用API）3、確認(rèn)用戶身份后，可以根據(jù)* 系統(tǒng)的授權(quán)，進(jìn)行各項(xiàng)操作。因?yàn)樯矸菡J(rèn)證系統(tǒng)是軟、硬件一體機(jī)，用戶只要通過We剛可以輕松的發(fā)放證書， 無需額外的管理和復(fù)雜的操作，并且結(jié)合接口函數(shù)功能，可以完成各項(xiàng)對(duì)于證書的操作以及證書的管理。同時(shí)身份認(rèn)證系統(tǒng)的功能主要是管理證書和發(fā)放證書，在應(yīng)用系統(tǒng)中，只與應(yīng)用系統(tǒng)關(guān)聯(lián)，對(duì)網(wǎng)絡(luò)沒有額外的要求，所以不會(huì)影響到外網(wǎng)的用戶。通過身份認(rèn)證系統(tǒng)數(shù)據(jù)導(dǎo)出接口，可以把證書服務(wù)器和認(rèn)證服務(wù)器中的用戶數(shù)據(jù)與主應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器（Oracle 9i ）中的系統(tǒng)用戶數(shù)據(jù)保持實(shí)時(shí)的一致，確保整個(gè)系統(tǒng)用戶管理功能的統(tǒng)一。身份認(rèn)證系統(tǒng)使用案例身份認(rèn)證系統(tǒng)已經(jīng)成功應(yīng)用在上海市信息辦、上海市證券交易所、上海藥品監(jiān)督局、上海市統(tǒng)戰(zhàn)部、上海市青浦區(qū)政府、上海市小企業(yè)管理辦公室、浙江移動(dòng)通信有限公司等政府部門和企業(yè)。如下以身份認(rèn)證系統(tǒng)在政務(wù)網(wǎng)系統(tǒng)中應(yīng)用為例，說明信息加密和身份控制的應(yīng)用。政府上網(wǎng)工程中必須保證以下幾個(gè)因素：在線身份認(rèn)