CA認(rèn)證安全解決方案(認(rèn)證解決方案網(wǎng)關(guān)簽名服務(wù)器)

1、CA認(rèn)證安全解決方案1方案背景隨著信息化建設(shè)的推進(jìn)，信息化的水平也有了長(zhǎng)足的提高，信息化已經(jīng)成為政府、企業(yè)提高工作效率，降低運(yùn)營(yíng)成本、提升客戶體驗(yàn)、增加客戶粘度，提升自身形象的重要手段。信息化是架構(gòu)在網(wǎng)絡(luò)環(huán)境世界來展開，網(wǎng)絡(luò)固有的虛擬性、開放性給業(yè)務(wù)的開展帶來巨大潛在風(fēng)險(xiǎn)，如何解決虛擬身份的真實(shí)有效，敏感信息在網(wǎng)絡(luò)傳輸?shù)陌踩Ｃ芮也槐还粽叻欠ù鄹?，如何防止網(wǎng)絡(luò)操作日后不被抵賴？同時(shí)，隨著信息系統(tǒng)的不斷增加，信任危機(jī)、信息孤島、用戶體驗(yàn)、應(yīng)用統(tǒng)一整合越發(fā)成為信息化發(fā)展的瓶頸。因此，安全和可信、融合和統(tǒng)一逐漸成為目前信息化建設(shè)的大勢(shì)所趨，上述問題逐漸給信息化建設(shè)管理者提出了新的挑戰(zhàn)。此外，國家安

2、全管理部門發(fā)布了信息安全等級(jí)保護(hù)管理辦法，提出了“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”的要求，等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范中也明確對(duì)信息系統(tǒng)的身份鑒別、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性以及抗抵賴提出明確的安全要求。鑒于上述政府、企業(yè)自身的安全建設(shè)需要以及政府安全管理部門的要求，本方案提出一套基于數(shù)字證書的安全應(yīng)用支撐解決方案，全面解決上述信息安全問題。2需求分析目前，“用戶名+口令”的認(rèn)證方式普遍存在各個(gè)信息系統(tǒng)，基于用戶名口令的認(rèn)證方式是一種弱認(rèn)證方式，由于其具有容易被猜測(cè)、字典攻擊、非法攔截、責(zé)任認(rèn)定無法到人等系列弱點(diǎn)，已經(jīng)無法滿足信息系統(tǒng)的安全需要，因此，需要提供一套基于數(shù)字證書的安全應(yīng)用支撐平臺(tái)，通過PKI

3、密碼技術(shù)實(shí)現(xiàn)強(qiáng)身份認(rèn)證、信息保密性、信息完整性以及敏感操作的抗抵賴性等各項(xiàng)安全功能，同時(shí)，作為安全應(yīng)用支撐平臺(tái)，還應(yīng)該面向眾多的信息系統(tǒng)提供統(tǒng)一身份認(rèn)證功能，實(shí)現(xiàn)SSO單點(diǎn)登錄功能，滿足應(yīng)用級(jí)的授權(quán)管理需要。具體來說，安全需求如下：強(qiáng)身份認(rèn)證：滿足基于數(shù)字證書的安全登錄需要，提供黑名單查詢功能，只有持有合法證書的用戶才能登錄到信息系統(tǒng)。機(jī)密性、完整性：對(duì)信息進(jìn)行加密、完整性處理，保證信息傳輸過程的機(jī)密性和完整性?？沟仲嚕翰捎脭?shù)字簽名技術(shù)，對(duì)關(guān)鍵操作、關(guān)鍵業(yè)務(wù)數(shù)據(jù)產(chǎn)生數(shù)字簽名滿足業(yè)務(wù)抗抵賴需求。單點(diǎn)登錄，多點(diǎn)漫游：用戶只需使用數(shù)字證書完成一次統(tǒng)一認(rèn)證，后續(xù)登錄不需要再次認(rèn)證則可進(jìn)入其他信息系統(tǒng)。

4、3系統(tǒng)框架設(shè)計(jì)根據(jù)上述安全需求分析，方案總體框架如下圖所示：在整體應(yīng)用框架下身份認(rèn)證網(wǎng)關(guān)和數(shù)字簽名服務(wù)器組成應(yīng)用支撐體系。身份認(rèn)證網(wǎng)關(guān)為業(yè)務(wù)系統(tǒng)提供基于數(shù)字證書的強(qiáng)身份認(rèn)證功能、面向多個(gè)應(yīng)用提供統(tǒng)一的身份認(rèn)證和應(yīng)用級(jí)的授權(quán)控制功能。數(shù)字簽名服務(wù)器滿足關(guān)鍵業(yè)務(wù)操作和重要數(shù)據(jù)交互的身份可信、內(nèi)容完整以及抗抵賴功能。4系統(tǒng)邏輯設(shè)計(jì)系統(tǒng)邏輯設(shè)計(jì)如下圖所示：(1)用戶登錄業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)通過安裝在系統(tǒng)上的FILTER過濾器來判斷用戶是否已經(jīng)認(rèn)證過，如果沒有，則重定向用戶登錄網(wǎng)關(guān)登錄頁面；(2)用戶按照網(wǎng)關(guān)頁面插入U(xiǎn)SB KEY，并輸入PIN保護(hù)密碼，然后提交認(rèn)證請(qǐng)求到身份認(rèn)證網(wǎng)關(guān)；(3)身份認(rèn)證網(wǎng)關(guān)判

5、斷證書的真實(shí)有效，并從目錄服務(wù)中查詢CRL證書黑名單，判斷證書是否已經(jīng)被吊銷；(4)如果證書驗(yàn)證全部通過，身份認(rèn)證網(wǎng)關(guān)檢查用戶權(quán)限，然后顯示用戶可登錄系統(tǒng)列表，根據(jù)授權(quán)策略為用戶簽發(fā)單點(diǎn)登錄TOKEN，用戶憑借TOKEN單點(diǎn)登錄到各業(yè)務(wù)系統(tǒng)中。(5)用戶提交敏感操作/敏感數(shù)據(jù)，客戶端簽名軟件將調(diào)用USB KEY接口對(duì)敏感操作/敏感數(shù)據(jù)產(chǎn)生數(shù)字簽名；(6)數(shù)字簽名傳入電子證照系統(tǒng)，電子證照系統(tǒng)調(diào)用簽名中間件接口，將簽名信息傳入簽名服務(wù)器完成數(shù)字簽名驗(yàn)證，簽名服務(wù)器返回驗(yàn)證結(jié)果；(7)電子證照系統(tǒng)根據(jù)驗(yàn)證結(jié)果完成后續(xù)業(yè)務(wù)邏輯操作。數(shù)字簽名服務(wù)器除了能夠滿足用戶簽名外，還可以提供系統(tǒng)間身份認(rèn)證及交互

6、數(shù)據(jù)的數(shù)字簽名功能，滿足系統(tǒng)間的強(qiáng)身份認(rèn)證及數(shù)據(jù)完整有效，實(shí)現(xiàn)抗抵賴功能。具體邏輯設(shè)計(jì)如下：5產(chǎn)品介紹5.1身份認(rèn)證網(wǎng)關(guān)5.1.1系統(tǒng)架構(gòu)身份認(rèn)證網(wǎng)關(guān)是基于PKI技術(shù)開發(fā)的硬件產(chǎn)品，主要滿足用戶對(duì)基于證書的高強(qiáng)度身份認(rèn)證安全需求。面向多個(gè)電子證照系統(tǒng)，提供集中、統(tǒng)一的安全認(rèn)證服務(wù)，形成統(tǒng)一的、高安全的身份驗(yàn)證中心。身份認(rèn)證網(wǎng)關(guān)采用代理技術(shù)，在業(yè)務(wù)系統(tǒng)安裝Filter過濾插件完成用戶的身份認(rèn)證工作。插件負(fù)責(zé)攔截用戶請(qǐng)求并將請(qǐng)求重定向到網(wǎng)關(guān)進(jìn)行認(rèn)證。認(rèn)證成功后，用戶直接訪問電子證照系統(tǒng)。5.1.2系統(tǒng)功能用戶身份認(rèn)證：全面支持?jǐn)?shù)字證書強(qiáng)認(rèn)證，支持多級(jí)CA證書鏈，支持多家證書認(rèn)證。支持動(dòng)態(tài)CRL更新

7、，支持WEB站點(diǎn)下載、LDAP服務(wù)器下載及手工導(dǎo)入三種CRL更新模式。支持OCSP證書驗(yàn)證方式。單點(diǎn)登錄：用戶完成一次登錄認(rèn)證后，可以單點(diǎn)登錄到其他授權(quán)系統(tǒng)。應(yīng)用級(jí)訪問控制：通過策略配置，授權(quán)用戶允許訪問的電子證照系統(tǒng)。控制策略包括DN規(guī)則、時(shí)間段規(guī)則、IP地址規(guī)則、用戶名規(guī)則。應(yīng)用認(rèn)證策略配置：根據(jù)用戶認(rèn)證等級(jí)策略控制用戶對(duì)應(yīng)用的訪問權(quán)限，認(rèn)證策略包括：口令認(rèn)證、證書認(rèn)證及口令+數(shù)字證書認(rèn)證方式。證書DN規(guī)則控制：設(shè)置DN項(xiàng)規(guī)則策略，控制某個(gè)或某一群組證書用戶對(duì)應(yīng)用的訪問，DN規(guī)則支持通配符。黑白名單：系統(tǒng)采用黑、白名單的形式設(shè)置策略來實(shí)現(xiàn)訪問控制。狀態(tài)監(jiān)控：包括設(shè)備CPU、內(nèi)存、硬盤的使用

8、監(jiān)控、網(wǎng)絡(luò)流量統(tǒng)計(jì)、業(yè)務(wù)狀態(tài)進(jìn)行監(jiān)控。日志審計(jì)：按照系統(tǒng)日志、業(yè)務(wù)日志兩大類日志對(duì)用戶、管理員使用系統(tǒng)過程進(jìn)行完整審計(jì)，系統(tǒng)提供SYSLOG發(fā)送功能。分權(quán)管理：內(nèi)設(shè)系統(tǒng)管理員、安全管理員、審計(jì)管理員實(shí)現(xiàn)對(duì)不同角色的分權(quán)管理。統(tǒng)一門戶：提供用戶登錄電子證照系統(tǒng)入口，可實(shí)現(xiàn)應(yīng)用是否對(duì)用戶可見，提供登錄界面定制功能。信息傳遞：將認(rèn)證通過的認(rèn)證結(jié)果、用戶信息傳送給后臺(tái)的電子證照系統(tǒng)。備份恢復(fù)：系統(tǒng)支持備份恢復(fù)功能，可以快速恢復(fù)系統(tǒng)的正常工作。雙機(jī)熱備：通過網(wǎng)口連接心跳線監(jiān)聽設(shè)備的工作狀態(tài)，當(dāng)設(shè)備停止服務(wù)時(shí)，服務(wù)自動(dòng)切換到備機(jī)繼續(xù)提供服務(wù)。故障應(yīng)急：當(dāng)設(shè)備意外宕機(jī)，業(yè)務(wù)系統(tǒng)的插件將不會(huì)攔截用戶請(qǐng)求，用戶

9、可以直接訪問業(yè)務(wù)系統(tǒng)。5.1.3系統(tǒng)流程(1)用戶訪問電子證照系統(tǒng)；(2)業(yè)務(wù)系統(tǒng)FILTER過濾插件判斷用戶是否已通過認(rèn)證，如果沒有則重定向到身份認(rèn)證網(wǎng)關(guān)，并要求用戶出示數(shù)字證書；(3)身份認(rèn)證網(wǎng)關(guān)驗(yàn)證用戶證書有效性，并查詢LDAP目錄服務(wù)判斷用戶是否已經(jīng)被吊銷；(4)驗(yàn)證通過后，身份認(rèn)證網(wǎng)關(guān)將驗(yàn)證結(jié)果及用戶信息傳遞給電子證照系統(tǒng)，用戶與電子證照系統(tǒng)之間直接進(jìn)行通訊；5.2數(shù)字簽名服務(wù)器5.2.1系統(tǒng)架構(gòu)吉大正元數(shù)字簽名服務(wù)器由數(shù)字簽名服務(wù)器和數(shù)字簽名客戶端組成，均可獨(dú)立提供數(shù)字簽名、數(shù)字信封等服務(wù)。其中：(1)服務(wù)器接口（V-STK）：應(yīng)用數(shù)據(jù)通過V-STK傳入簽名服務(wù)器，處理后再經(jīng)由V-

10、STK傳出供電子證照系統(tǒng)獲取。V-STK提供Java接口、COM接口、C接口，方便用戶電子證照系統(tǒng)的調(diào)用。(2)數(shù)字簽名客戶端：獨(dú)立運(yùn)行的組件（V-CTK），將數(shù)據(jù)傳入進(jìn)行簽名/驗(yàn)簽處理，再把處理結(jié)果經(jīng)由接口函數(shù)傳出交給客戶端程序。V-CTK支持標(biāo)準(zhǔn)CSP技術(shù)，支持標(biāo)準(zhǔn)軟證書、硬證書，并提供ActiveX控件開發(fā)包、Jar包、DLL鏈接庫等多種方式供用戶選擇。5.2.2系統(tǒng)功能5.2.2.1數(shù)字簽名服務(wù)器(1)數(shù)字簽名支持對(duì)數(shù)據(jù)、文件制作數(shù)字簽名，簽名結(jié)構(gòu)符合PKCS#7標(biāo)準(zhǔn)；支持驗(yàn)證符合PKCS#7標(biāo)準(zhǔn)的簽名結(jié)果。數(shù)字簽名服務(wù)器支持對(duì)數(shù)據(jù)制作數(shù)字簽名，簽名結(jié)構(gòu)符合PKCS#1標(biāo)準(zhǔn)；支持通過證

11、書導(dǎo)入、證書配置方式驗(yàn)證符合PKCS#1標(biāo)準(zhǔn)的簽名結(jié)果。身份驗(yàn)證：使用證書進(jìn)行數(shù)字簽名，接收者可驗(yàn)證簽名，而其他任何人都不能偽造簽名。事后驗(yàn)證：使用證書進(jìn)行完整數(shù)字簽名，簽名結(jié)果中包含簽名時(shí)的全部證書狀態(tài)信息，接收者可在生成后的任意時(shí)間驗(yàn)證，而其他任何人都不能偽造。數(shù)據(jù)完整性：對(duì)重要數(shù)據(jù)、文件制作數(shù)字簽名，如果驗(yàn)證簽名失敗，說明數(shù)據(jù)的完整性遭到破壞。行為抗抵賴：對(duì)操作行為（數(shù)據(jù)形式）制作數(shù)字簽名，簽名者事后不能否認(rèn)自己的簽名。(2)數(shù)字信封數(shù)字簽名服務(wù)器支持對(duì)數(shù)據(jù)、文件制作數(shù)字信封，信封結(jié)構(gòu)符合PKCS#7標(biāo)準(zhǔn)；支持解密符合PKCS#7標(biāo)準(zhǔn)的信封結(jié)果。對(duì)重要數(shù)據(jù)、文件制作數(shù)字信封，通過雙層加密

12、技術(shù)來保障數(shù)據(jù)的私密性。(3)證書驗(yàn)證支持對(duì)簽名、加密證書進(jìn)行全面驗(yàn)證；根據(jù)配置不同CA簽發(fā)的根證書，驗(yàn)證證書的信任域；根據(jù)系統(tǒng)時(shí)間，驗(yàn)證證書的有效期；根據(jù)CRL或OCSP驗(yàn)證證書狀態(tài)。證書狀態(tài)驗(yàn)證方式包括，標(biāo)準(zhǔn)OCSP協(xié)議驗(yàn)證證書，連接LDAP服務(wù)器更新CRL驗(yàn)證，連接WEB服務(wù)器更新CRL驗(yàn)證。(4)交叉驗(yàn)證數(shù)字簽名、數(shù)字信封，結(jié)構(gòu)嚴(yán)格遵循PKCS#7標(biāo)準(zhǔn)，可供其他CA機(jī)構(gòu)驗(yàn)證。支持配置多信任CA簽發(fā)的根證書，可驗(yàn)證不同CA機(jī)構(gòu)簽發(fā)的符合PKCS#7標(biāo)準(zhǔn)的簽名、信封結(jié)果。(5)雙機(jī)熱備數(shù)字簽名服務(wù)器內(nèi)置雙機(jī)熱備系統(tǒng)；當(dāng)備機(jī)發(fā)現(xiàn)工作機(jī)停止工作，切換到備機(jī)提供服務(wù)，當(dāng)主機(jī)恢復(fù)正常后，備機(jī)自動(dòng)切

13、回到主機(jī)。(6)配置管理數(shù)字簽名服務(wù)器支持串口管理、WEB管理兩種方式。5.2.2.2數(shù)字簽名客戶端(1)數(shù)字簽名：支持對(duì)數(shù)據(jù)、文件制作數(shù)字簽名，簽名結(jié)構(gòu)符合PKCS#7標(biāo)準(zhǔn)；支持驗(yàn)證符合PKCS#7標(biāo)準(zhǔn)的簽名結(jié)果。(2)數(shù)字信封：支持對(duì)數(shù)據(jù)、文件制作數(shù)字信封，信封結(jié)構(gòu)符合PKCS#7標(biāo)準(zhǔn)；支持解密符合PKCS#7標(biāo)準(zhǔn)的信封結(jié)果。(3)證書擴(kuò)展：支持獲取證書標(biāo)準(zhǔn)信息及其擴(kuò)展信息，供電子證照系統(tǒng)使用。5.2.3系統(tǒng)流程5.2.3.1數(shù)字簽名流程(1)電子證照系統(tǒng)通過V-STK將簽名請(qǐng)求數(shù)據(jù)發(fā)送到簽名服務(wù)器；(2)簽名服務(wù)器接收請(qǐng)求報(bào)文并解析；(3)整理并收集原始數(shù)據(jù)、簽名證書、算法等必要信息；(4)調(diào)用內(nèi)部簽名模塊對(duì)原始數(shù)據(jù)簽名；(5)獲得簽名結(jié)果；(6)將簽名結(jié)果轉(zhuǎn)換為應(yīng)答報(bào)文發(fā)回V-STK；(7)V-STK解析應(yīng)答報(bào)文，返回簽名結(jié)果，數(shù)字簽名完成。5.2.3.2簽名驗(yàn)證流程(1)電子證照系統(tǒng)通過V-STK將驗(yàn)簽