基于pki技術(shù)的ca公鑰安全認(rèn)證平臺(tái)建設(shè)

基于pki技術(shù)的ca公鑰安全認(rèn)證平臺(tái)建設(shè)

0多點(diǎn)登錄平臺(tái)認(rèn)證問(wèn)題尚待解決經(jīng)過(guò)多年的計(jì)算機(jī)科學(xué)建設(shè)，云南省中煙已建立了多個(gè)相對(duì)成熟的企業(yè)應(yīng)用系統(tǒng)。同時(shí)，由于公司內(nèi)信息系統(tǒng)越來(lái)越多，這些系統(tǒng)建設(shè)時(shí)期不同，開(kāi)發(fā)商來(lái)源不一，因業(yè)務(wù)需要，想要得到一組數(shù)據(jù)往往要反復(fù)多次并且進(jìn)入不同的業(yè)務(wù)系統(tǒng)，而每一個(gè)業(yè)務(wù)系統(tǒng)都需要用戶輸入對(duì)應(yīng)的系統(tǒng)用戶名+口令或者進(jìn)行相關(guān)的認(rèn)證后才能登錄，增加了日常工作業(yè)務(wù)操作的復(fù)雜性。為了提煉公司業(yè)務(wù)操作流程，增加人員的工作響應(yīng)效率，公司在OA門(mén)戶系統(tǒng)中搭建了一套涵蓋部分應(yīng)用系統(tǒng)的單點(diǎn)登錄平臺(tái)，為解決單點(diǎn)登錄進(jìn)入多個(gè)系統(tǒng)帶來(lái)了便捷，但未從根本上解決統(tǒng)一賬號(hào)密碼的管理問(wèn)題、安全身份認(rèn)證問(wèn)題以及對(duì)應(yīng)用系統(tǒng)的管理問(wèn)題，還存在以下問(wèn)題尚待解決：1）單點(diǎn)登錄平臺(tái)的登錄認(rèn)證采用“用戶名/密碼”方式，安全級(jí)別較低，出現(xiàn)用戶名/密碼被盜用的情況會(huì)讓其他業(yè)務(wù)系統(tǒng)直接暴露在惡意攻擊者面前，將給公司造成極大損失。2）單點(diǎn)登錄平臺(tái)與公司數(shù)十個(gè)應(yīng)用系統(tǒng)對(duì)接時(shí)采用密碼代填的方式，但各系統(tǒng)的用戶信息和賬號(hào)管理仍由各系統(tǒng)自己管理，無(wú)法實(shí)現(xiàn)統(tǒng)一管理。3）通過(guò)員工登錄各應(yīng)用系統(tǒng)的日志記錄，可以很好的分析員工辦公和各應(yīng)用系統(tǒng)的使用情況，目前公司內(nèi)各應(yīng)用系統(tǒng)采用獨(dú)立部署、運(yùn)行的方式，日志記錄也是各自存儲(chǔ)于本地，不利于統(tǒng)計(jì)和管理。1相關(guān)技術(shù)介紹1.1基于pki體系的數(shù)字證書(shū)認(rèn)證PKI是“Publicu2004Keyu2004Infrastructure”的縮寫(xiě)，意思是“公鑰基礎(chǔ)設(shè)施”?？傊琍KI技術(shù)就是圍繞公鑰理論和技術(shù)整合建立一個(gè)基礎(chǔ)設(shè)施，用以輸出信息安全服務(wù)。該系統(tǒng)根據(jù)統(tǒng)一的定性定量安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范提供身份認(rèn)證。一個(gè)PKI體系一般可拆解為數(shù)字證書(shū)認(rèn)證中心CA子系統(tǒng)、用于支撐數(shù)據(jù)審核的注冊(cè)中心RA子系統(tǒng)以及密鑰管理中心KMC子系統(tǒng)等一些關(guān)鍵組成模塊。CA證書(shū)系統(tǒng)的主要功能職責(zé)是圍繞用戶或者設(shè)備的數(shù)字證書(shū)管理，保障CA公鑰證書(shū)的使用時(shí)有效而且合法；實(shí)現(xiàn)數(shù)字認(rèn)證CA證書(shū)公開(kāi)發(fā)布，聚焦CA證書(shū)的生命周期，滲透關(guān)鍵操作節(jié)點(diǎn)記錄，布局全流程的審計(jì)復(fù)盤(pán)。1.2提供強(qiáng)身份認(rèn)證的方式對(duì)企業(yè)和組織內(nèi)部的用戶采用各種身份認(rèn)證方式，包括數(shù)字證書(shū)、動(dòng)態(tài)口令、LDAP認(rèn)證、Radius認(rèn)證等，提供強(qiáng)身份認(rèn)證的方式，并拉通各應(yīng)用系統(tǒng)的身份認(rèn)證服務(wù)。提供一個(gè)統(tǒng)一的身份認(rèn)證源，建立集中的身份管理平臺(tái)。一次登錄認(rèn)證后，即可實(shí)現(xiàn)權(quán)限生態(tài)體系內(nèi)各個(gè)系統(tǒng)的訪問(wèn)無(wú)縫鏈接，無(wú)須再次輸入原有系統(tǒng)的賬號(hào)和口令。2auth2.0安全認(rèn)證PKI、統(tǒng)一身份認(rèn)證系統(tǒng)和權(quán)限認(rèn)證系統(tǒng)，包括以下部分：CA數(shù)字證書(shū)系統(tǒng)、移動(dòng)安全認(rèn)證子系統(tǒng)、統(tǒng)一身份認(rèn)證與授權(quán)子系統(tǒng)、基于CAS協(xié)議或OAuth2.0協(xié)議的身份認(rèn)證子模塊、系統(tǒng)各種日志安全審計(jì)子模塊。采用成熟的認(rèn)證技術(shù)，確保商業(yè)系統(tǒng)的安全性和可靠性。建立統(tǒng)一用戶管理、授權(quán)管理和身份認(rèn)證，采用靜態(tài)“用戶名+密碼”、掃描二維碼登錄、指紋USBu2004Key認(rèn)證等方式，進(jìn)行分級(jí)的用戶權(quán)限賦能與整合身份認(rèn)證體系，撬動(dòng)業(yè)務(wù)系統(tǒng)的安全性和用戶使用的方便性，以煙草公司大部分應(yīng)用的集中認(rèn)證為抓手，聚合各種信息系統(tǒng)內(nèi)用戶體系，打通用戶在體系內(nèi)系統(tǒng)認(rèn)證閉環(huán)。2.1整合和集成原則本次系統(tǒng)建設(shè)的目標(biāo)為：基于同一維度的技術(shù)矩陣、標(biāo)準(zhǔn)與環(huán)境，充分利用現(xiàn)有的CA體系與統(tǒng)一身份認(rèn)證系統(tǒng)等對(duì)云南中煙的應(yīng)用系統(tǒng)進(jìn)行全面整合，并用科學(xué)規(guī)范的方法論，以這些系統(tǒng)的用戶和資源為組合拳，進(jìn)行整合和集成。最終實(shí)現(xiàn)從系統(tǒng)登錄、身份認(rèn)證、用戶管理、訪問(wèn)入口、系統(tǒng)授權(quán)、訪問(wèn)審計(jì)等方面，結(jié)合差異化的用戶信息，實(shí)現(xiàn)結(jié)構(gòu)化的統(tǒng)一集中和共享，促進(jìn)各類(lèi)系統(tǒng)之間用戶資源共享統(tǒng)一，為進(jìn)一步拉通與其他業(yè)務(wù)數(shù)據(jù)，資源串聯(lián)管理，應(yīng)用軟件落地奠定堅(jiān)實(shí)基礎(chǔ)。2.2搭建等基礎(chǔ)平臺(tái)基于CA系統(tǒng)、統(tǒng)一認(rèn)證系統(tǒng)、移動(dòng)安全認(rèn)證系統(tǒng)等基礎(chǔ)模板實(shí)現(xiàn)統(tǒng)一身份認(rèn)證服務(wù)、統(tǒng)一用戶身份管理服務(wù)、統(tǒng)一用戶權(quán)限授權(quán)服務(wù)、統(tǒng)一用戶登錄門(mén)戶服務(wù)等，逐步完善平臺(tái)功能。2.3指紋usbkey身份認(rèn)證在公司內(nèi)多應(yīng)用系統(tǒng)環(huán)境下，基于統(tǒng)一認(rèn)證系統(tǒng)實(shí)現(xiàn)統(tǒng)一用戶登錄認(rèn)證功能。在通過(guò)CAS或OAuth2.0深度集成后，應(yīng)用系統(tǒng)的登錄認(rèn)證功能將由統(tǒng)一認(rèn)證系統(tǒng)完成。用戶登錄認(rèn)證過(guò)程中使用指紋USBkey內(nèi)數(shù)字證書(shū)進(jìn)行認(rèn)證用戶身份，或通過(guò)移動(dòng)端App掃碼登錄、手機(jī)短信快捷登錄、靜態(tài)口令等認(rèn)證方式。由統(tǒng)一身份認(rèn)證系統(tǒng)管理用戶基本信息，提高應(yīng)用系統(tǒng)的數(shù)據(jù)安全性。在此場(chǎng)景下，統(tǒng)一認(rèn)證系統(tǒng)提供統(tǒng)一的接口標(biāo)準(zhǔn)用于集成，簡(jiǎn)化后期系統(tǒng)接入與運(yùn)維工作。2.4用戶數(shù)字證書(shū)與統(tǒng)一認(rèn)證內(nèi)用戶信息的一一對(duì)應(yīng)關(guān)于在用戶登錄認(rèn)證時(shí)，采用存儲(chǔ)有個(gè)人數(shù)字證書(shū)的USBKey登錄到統(tǒng)一認(rèn)證系統(tǒng)門(mén)戶。用戶數(shù)字證書(shū)與統(tǒng)一認(rèn)證內(nèi)用戶信息一一對(duì)應(yīng)綁定。在登錄統(tǒng)一認(rèn)證門(mén)戶系統(tǒng)的同時(shí)，需要輸入用戶的USBKey設(shè)置的PIN碼或驗(yàn)證指紋。以前的簡(jiǎn)單靜態(tài)用戶名+密碼的方式變更為USBKey+指紋信息的高強(qiáng)度身份認(rèn)證方式，確保登錄用戶的安全性與合法性。2.5移動(dòng)客戶端研發(fā)通過(guò)移動(dòng)安全認(rèn)證平臺(tái)結(jié)合CA系統(tǒng)，實(shí)現(xiàn)App移動(dòng)客戶端的數(shù)字證書(shū)下載。移動(dòng)客戶端采用秘密分享技術(shù)、終端無(wú)密鑰存儲(chǔ)技術(shù)和多方協(xié)同安全計(jì)算技術(shù)進(jìn)行構(gòu)建設(shè)計(jì)。移動(dòng)終端掃描統(tǒng)一認(rèn)證門(mén)戶系統(tǒng)二維碼，掃碼后對(duì)登錄二維碼內(nèi)容解析，并使用移動(dòng)終端內(nèi)數(shù)字證書(shū)進(jìn)行簽名，提交服務(wù)器進(jìn)行登錄。3安全設(shè)計(jì)3.1統(tǒng)一認(rèn)證的安全性作為企業(yè)內(nèi)部門(mén)戶系統(tǒng)與基礎(chǔ)身份認(rèn)證平臺(tái)，統(tǒng)一認(rèn)證系統(tǒng)的安全性非常重要。統(tǒng)一認(rèn)證門(mén)戶采用SSL協(xié)議發(fā)布，通過(guò)數(shù)字證書(shū)實(shí)現(xiàn)加密信息的傳遞，保證了信息的保密性和完整性。3.2用戶身份證號(hào)采用相關(guān)國(guó)密算法進(jìn)行數(shù)據(jù)加密統(tǒng)一認(rèn)證系統(tǒng)內(nèi)較為重要的用戶數(shù)據(jù)信息，如密碼、用戶身份證號(hào)碼等，均采用相關(guān)國(guó)密算法進(jìn)行數(shù)據(jù)加密。在掃碼登錄、USBKey登錄中，均采用數(shù)字簽名驗(yàn)簽技術(shù)進(jìn)行抗抵賴(lài)與可信性驗(yàn)證。3.3合審計(jì)用戶認(rèn)證至注銷(xiāo)全流程操作行為基于SSL網(wǎng)關(guān)設(shè)備與統(tǒng)一認(rèn)證系統(tǒng)內(nèi)部日志審計(jì)模塊，聯(lián)合審計(jì)用戶認(rèn)證至注銷(xiāo)全流程操作行為。統(tǒng)一認(rèn)證系統(tǒng)提供日志記錄功能，包括登錄時(shí)間、登錄用戶身份、單點(diǎn)登錄系統(tǒng)單點(diǎn)登錄業(yè)務(wù)系統(tǒng)時(shí)間、在線時(shí)長(zhǎng)、客戶機(jī)IP地址等。4解決了用戶數(shù)據(jù)安全需求統(tǒng)一身份認(rèn)證管理平臺(tái)的設(shè)計(jì)是以公司或者機(jī)構(gòu)信息系統(tǒng)數(shù)字資源的集成為基礎(chǔ)，搭建日常管理與業(yè)務(wù)聚焦的開(kāi)放性、協(xié)同運(yùn)行的支撐生態(tài)，為相關(guān)人員提供完善的短平快業(yè)務(wù)服務(wù)支持，為公司提供具有價(jià)值轉(zhuǎn)換的身份認(rèn)證服務(wù)支撐平臺(tái)。具有如下意義：1）從用戶角度來(lái)看，統(tǒng)一身份認(rèn)證安全管理平臺(tái)解決了他們記憶多種系統(tǒng)的用戶名、復(fù)雜密碼以及定期修改密碼的煩瑣操作問(wèn)題，減少使用多個(gè)應(yīng)用系統(tǒng)就要進(jìn)行多次登錄身份認(rèn)證的重復(fù)勞動(dòng)。2）從系統(tǒng)管理員角度來(lái)看，統(tǒng)一身份認(rèn)證安全管理平臺(tái)可使他們從繁雜的賬號(hào)、密碼、用戶信息等瑣碎管理工作中解脫出來(lái)，不必每天為解答各種用戶重置密碼、找回密碼的問(wèn)題而苦惱，使IT人員更好地發(fā)揮作用。3）從應(yīng)用系統(tǒng)生產(chǎn)商角度來(lái)看，統(tǒng)一身份認(rèn)證安全管理平臺(tái)使他們不必再為身份認(rèn)證的需求，重復(fù)開(kāi)發(fā)各種方式如CA