認(rèn)證服務(wù)防篡改系統(tǒng)介紹

電子商務(wù)交易防篡改系統(tǒng)介紹第1頁防篡改系統(tǒng)組成一、認(rèn)證服務(wù)子系統(tǒng)BTA-ETSEC(簡稱CA)二、傳輸驗證應(yīng)用服務(wù)子系統(tǒng)BTA-TLSEC三、電子商務(wù)防篡改客戶端軟DigitalCoffere四、應(yīng)用場景和示例第2頁PKI/CA基礎(chǔ)知識PKI(PublicKeyInfrastructure）是一個遵照標(biāo)準(zhǔn)利用公鑰加密技術(shù)為電子商務(wù)開展提供一套安全基礎(chǔ)平臺技術(shù)和規(guī)范。PKI關(guān)鍵組成部分CA(CertificationAuthority），即認(rèn)證中心，它是數(shù)字證書簽發(fā)機構(gòu)。數(shù)字證書，有時被稱為電子證書，數(shù)字身份證，是一個符合一定格式電子文件，用來識別證書持有者真實身份。第3頁在電子商務(wù)交易完成后，怎樣確保交易任何一方無法否定已發(fā)生交易。這些安全問題將在很大程度上限制電子商務(wù)深入發(fā)展，所以怎樣確保Internet網(wǎng)上信息傳輸安全，已成為發(fā)展電子商務(wù)主要步驟。PKI/CA基礎(chǔ)知識第4頁PKI/CA基礎(chǔ)知識為處理這些Internet安全問題，世界各國對其進行了多年研究，初步形成了一套完整Internet安全處理方案，即當(dāng)前被廣泛采取PKI技術(shù)（PublicKeyInfrastructure-公鑰基礎(chǔ)設(shè)施），PKI技術(shù)采取證書管理公鑰，經(jīng)過第三方可信任機構(gòu)--認(rèn)證中心CA(CertificateAuthority），把用戶公鑰和用戶其它標(biāo)識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網(wǎng)上驗證用戶身份。當(dāng)前，通用方法是采取基于PKI結(jié)構(gòu)結(jié)合數(shù)字證書，經(jīng)過把要傳輸數(shù)字信息進行加密，確保信息傳輸保密性、完整性，署名確保用戶身份真實性和抗抵賴。第5頁

安全加密基礎(chǔ)知識

當(dāng)代加密算法能夠分為三大類：

對稱加密算法：只有一個密鑰，比如用123456加密數(shù)據(jù)還需要用123456解密。常見算法有DES、3DES、RC4、AES、IDEA（國內(nèi)）等；非對稱加密算法（公鑰加密算法）：有一對（兩個密鑰），假設(shè)分別為A和B，用A加密數(shù)據(jù)必須用B解密、用B加密數(shù)據(jù)必須用A解密。常見算法有RSA、橢圓曲線。數(shù)字摘要算法：嚴(yán)格上說不是加密算法，主要是對數(shù)據(jù)完整性進行驗證算法。任何被摘要數(shù)據(jù)對象不一樣，產(chǎn)生摘要結(jié)果必定不一樣。常見算法有MD5、SHA1等。第6頁

安全加密基礎(chǔ)知識

CA所頒發(fā)數(shù)字證書中除了包含用戶身份信息外，還有一對非對稱加密算法密鑰信息。這對密鑰其中一個能夠向任何人公開，通常被稱作公鑰（Pu）；另外一個則需要嚴(yán)格保密，只有使用者自己知道，通常被稱作私鑰（Pr）。對稱加密算法通常速度更加快，但需要處理在數(shù)據(jù)發(fā)送方和接收方安全傳輸密鑰問題；非對稱加密算法加密強度極高，理論上現(xiàn)有技術(shù)水平不可破解，不過加密速度慢，不適合加密大量數(shù)據(jù)。在實際應(yīng)用中，通常結(jié)合以上兩種算法，如最常見SSL加密通信協(xié)議。第7頁公共數(shù)據(jù)傳輸是怎樣加密？使用數(shù)字證書，其最大好處是支持公共數(shù)據(jù)加密傳輸，數(shù)據(jù)接收方只需要公布自己公開密鑰，任何人都能夠向其加密傳送數(shù)據(jù)，只有接收者才可解密數(shù)據(jù)，而無須擔(dān)心數(shù)據(jù)傳輸過程中被竊取問題。第8頁公共數(shù)據(jù)傳輸是怎樣加密？

一、發(fā)送方使用對稱加密算法對傳輸數(shù)據(jù)（Oi）加密，對稱加密算法密鑰（Rp）是隨機生成，發(fā)送方無需關(guān)心，加密后得到加密密文（Ei）。實際應(yīng)用只所以采取對稱加密算法加密數(shù)據(jù)，是因為對稱加密算法速度高，比非對稱加密算法要高出上千倍，所以極少有直接采取非對稱加密算法直接加密原始數(shù)據(jù)情況；第9頁公共數(shù)據(jù)傳輸是怎樣加密？

二、發(fā)送方使用接收方公鑰（Pu）對對稱加密算法使用密鑰再次加密，得到加密密鑰（PuRp），然后將該加密密鑰和加密數(shù)據(jù)（Ei）一起封裝為數(shù)字信封方式一起傳輸給接收方；三、接收方解密數(shù)據(jù)時，首先使用自己私鑰（Pu）解密對稱加密算法加密密鑰（PuRp）后得到原始隨機密鑰（Rp），再使用該隨機密鑰解密密文（Ei）得到原始數(shù)據(jù)（Oi）。第10頁

公共數(shù)據(jù)傳輸是怎樣加密？

第11頁電子署名和驗證是怎樣進行？電子署名也是利用數(shù)字證書公開算法特征，做到只有署名者能夠署名，署名結(jié)果輕易被多方所驗證目標(biāo)。數(shù)字署名提供數(shù)據(jù)完整性保護和不可否定服務(wù)。假設(shè)電子協(xié)議內(nèi)容為Ec，署名和驗證過程以下：電子署名過程是：對被署名協(xié)議計算唯一數(shù)字摘要，署名者使用私鑰對該摘要進行加密，加密結(jié)果即為數(shù)字署名；驗證署名過程是：首先驗證者使用署名者公鑰對數(shù)字署名進行解密，假如解密成功，則意味著驗證署名者身份成功；其次驗證者再次對被署名協(xié)議計算數(shù)字摘要，并將該摘要與第一步驗證署名時解密得到摘要進行比對，假如一致，則說明該署名是針對此協(xié)議。第12頁電子署名和驗證是怎樣進行？第13頁

自建CA與公共CA區(qū)分

比較項目自建CA公共CA信任域在自己證書使用者對象之間相互信任。形象能夠了解為學(xué)校頒發(fā)學(xué)生證、企業(yè)頒發(fā)工作證在國家法律、相關(guān)管理機構(gòu)指定運行范圍內(nèi)相互信任。如金融行業(yè)CFCA、北京政府使用BJCA等。形象能夠了解為公安部門頒發(fā)身份證建設(shè)內(nèi)容按自己需要建設(shè)相關(guān)軟硬件系統(tǒng)，安全級別自己決定需要對系統(tǒng)建設(shè)、物理場地建設(shè)、通信與網(wǎng)絡(luò)建設(shè)和系統(tǒng)安全建設(shè)等各個方面進行綜合考慮，且符合國密辦、工信部等相關(guān)國家部門強制性要求取得相關(guān)資質(zhì)不需要需要建設(shè)周期1-3個月普通最少6個月以上時間系統(tǒng)運維2人按相關(guān)法律要求，最少30人以上運行支持可為本身軟件系統(tǒng)提供支持能夠為第三方軟件系統(tǒng)提供支持第14頁PKI慣用縮寫詞PKI：（PublicKeyInfrastructure）公鑰基礎(chǔ)設(shè)施CA：（CertificationAuthority）認(rèn)證機構(gòu)或認(rèn)證中心RA：（RegisterationAuthority）注冊機構(gòu)或證書注冊審核中心KMC:（KeyManageCenter）密鑰管理中心LDAP：（LightweightDirectoryAccessProtocol）輕型目錄訪問協(xié)議OCSP:(OnlineCertificateStatusProtocol)在線證書狀態(tài)協(xié)議CRL：（CertificateRevocationList）證書撤消列表第15頁CA系統(tǒng)結(jié)構(gòu)CA證書注冊系統(tǒng)CA證書簽發(fā)系統(tǒng)CA密鑰管理系統(tǒng)CA證書公布系統(tǒng)CA管理審計系統(tǒng)第16頁第17頁

CA證書注冊系統(tǒng)，又叫RA系統(tǒng)，負(fù)責(zé)相關(guān)轄區(qū)證書用戶身份審核、用戶基本信息維護、證書管理服務(wù)，是信任服務(wù)體系主要節(jié)點，由證書管理中心授權(quán)運作，CA對用戶管理經(jīng)過RA詳細(xì)實現(xiàn)。

RA中心由注冊服務(wù)器、密碼服務(wù)系統(tǒng)、安全防護系統(tǒng)、安全審計系統(tǒng)等組成。RA中心下設(shè)多個注冊代理點，注冊代理點由錄入、審核和制證終端組成。

CA證書注冊系統(tǒng)第18頁CA證書注冊系統(tǒng)RA系統(tǒng)結(jié)構(gòu)圖第19頁圖2-1證書注冊系統(tǒng)總工作流程第20頁系統(tǒng)功效

RA系統(tǒng)采取B/S結(jié)構(gòu)，RA管理終端界面使用瀏覽器，具備嚴(yán)格權(quán)限管理功效。注冊代理點錄入、審核和制證業(yè)務(wù)分別由不一樣權(quán)限操作員擔(dān)任，操作員經(jīng)過IE瀏覽器登錄RA系統(tǒng)，登錄時需要經(jīng)過基于證書身份認(rèn)證。

CA證書注冊系統(tǒng)第21頁主要功效提供用戶身份審核服務(wù)：對證書申請者進行身份審核，可采取在線審核或離線審核兩種方式，支持自動、手動兩種證書審核模式。提供證書申請服務(wù)：包含證書簽發(fā)、證書更新、證書作廢、證書凍結(jié)、證書解凍。提供證書下載服務(wù)：包含證書管理中心對證書申請等操作響應(yīng)處理，對用戶反饋，或直接將結(jié)果下載到用戶證書載體。CA證書注冊系統(tǒng)第22頁主要功效保留和維護當(dāng)?shù)赜脩糍Y料庫，并與CA中心（或上級RA）通訊，完成所需各種業(yè)務(wù)功效證書注冊服務(wù)器申請并維護證書模板RA可下設(shè)多個注冊代理點，每個代理點管理一個區(qū)域，每個區(qū)域設(shè)置對應(yīng)管理員與操作員，區(qū)域和區(qū)域之間默認(rèn)相互獨立。定制管理角色、管理權(quán)限，系統(tǒng)審計業(yè)務(wù)和其它業(yè)務(wù)實現(xiàn)嚴(yán)格分權(quán)管理。CA證書注冊系統(tǒng)第23頁

CA證書簽發(fā)系統(tǒng)

ＣＡ簽發(fā)系統(tǒng)(CSS)選取國家密碼管理局同意證書認(rèn)證系統(tǒng)技術(shù)進行建設(shè)。證書簽發(fā)系統(tǒng)是證書認(rèn)證系統(tǒng)關(guān)鍵，不但為整個證書認(rèn)證系統(tǒng)提供簽發(fā)證書/證書注銷列表服務(wù)，還負(fù)擔(dān)整個證書認(rèn)證系統(tǒng)中主要安全管理工作。第24頁CA簽發(fā)系統(tǒng)結(jié)構(gòu)模型第25頁

CA證書簽發(fā)系統(tǒng)

CA簽發(fā)系統(tǒng)結(jié)果模塊圖第26頁CA證書簽發(fā)系統(tǒng)證書簽發(fā)子系統(tǒng)證書簽發(fā)子系統(tǒng)主體為證書署名服務(wù)器，是CA簽發(fā)系統(tǒng)關(guān)鍵，用于為整個CA認(rèn)證系統(tǒng)用戶簽發(fā)證書，并歸檔管理全部已簽發(fā)證書。證書署名服務(wù)器保留CA簽發(fā)系統(tǒng)公私鑰對，并在初始化時生成自署名CA證書。證書署名服務(wù)器處于關(guān)鍵層，設(shè)置多層安全防護技術(shù)，保障服務(wù)器不會受到來自外部網(wǎng)絡(luò)攻擊。署名私鑰存放在加密機內(nèi)，全部加密運算均在加密機內(nèi)完成，私鑰不在加密機外運算，保護私鑰安全。證書簽發(fā)子系統(tǒng)又分為證書離線簽發(fā)子系統(tǒng)和證書在線簽發(fā)子系統(tǒng)。第27頁證書離線簽發(fā)子系統(tǒng)

接收管理系統(tǒng)指令完成初始化等任務(wù)并發(fā)放系統(tǒng)管理員證書。主要功效：CA系統(tǒng)初始化CA密鑰生成、備份與恢復(fù)

RA管理，對RA進行登記和管理，為RA分配對應(yīng)證書模板，支持多個RA超級管理員證書制作、更新、注銷支持設(shè)備/機構(gòu)/人員證書簽發(fā)、更新、注銷CA證書簽發(fā)系統(tǒng)第28頁證書在線簽發(fā)子系統(tǒng)

接收證書管理子系統(tǒng)請求，依據(jù)RA注冊系統(tǒng)和密鑰管理系統(tǒng)提供數(shù)據(jù)，為用戶簽發(fā)署名和加密證書。在線簽發(fā)系統(tǒng)主要功效：接收證書管理子系統(tǒng)制作證書請求，簽發(fā)用于數(shù)字署名公鑰證書（簡稱署名證書）和數(shù)據(jù)加密公鑰證書（簡稱加密證書）。接收證書管理子系統(tǒng)請求，為用戶提供證書更新，補辦，重簽，凍結(jié)，解凍，作廢等服務(wù)。接收證書管理子系統(tǒng)指令維護系統(tǒng)內(nèi)部數(shù)據(jù)。保留操作日志。CA證書簽發(fā)系統(tǒng)第29頁證書撤消列表簽發(fā)子系統(tǒng)證書撤消列表是在證書使用期之內(nèi)，證書管理系統(tǒng)簽發(fā)終止使用證書信息。在證書使用過程中，應(yīng)用系統(tǒng)經(jīng)過檢驗CRL，獲取相關(guān)證書狀態(tài)。證書撤消列表簽發(fā)系統(tǒng)生成與維護證書撤消列表CRL，定時向主LDAP服務(wù)器傳送，實現(xiàn)CRL下載與更新。提供證書撤消列表操作策略及管理策略，可經(jīng)過管理界面自行設(shè)置證書撤消列表更新頻率和使用期，支持分布式公布證書撤消列表方式檢驗證書使用期，清理進入CRL數(shù)據(jù)整理維護CRL歷史統(tǒng)計CA證書簽發(fā)系統(tǒng)第30頁證書管理子系統(tǒng)

證書管理子系統(tǒng)接收各地證書注冊系統(tǒng)發(fā)來證書服務(wù)申請，進行對應(yīng)處理，回送處理結(jié)果，是在線簽發(fā)系統(tǒng)前置系統(tǒng)。其主要功效：對進入證書管理系統(tǒng)內(nèi)層用戶進行身份認(rèn)證對數(shù)據(jù)進行驗證或署名接收注冊系統(tǒng)證書業(yè)務(wù)請求，傳送給署名服務(wù)器做對應(yīng)處理，并回送處理結(jié)果通知署名服務(wù)器簽發(fā)證書CRL定時通知在線簽發(fā)系統(tǒng)完成系統(tǒng)內(nèi)部數(shù)據(jù)維護整理工作CA證書簽發(fā)系統(tǒng)第31頁日志審計子系統(tǒng)

為了對各系統(tǒng)進行安全審計，各系統(tǒng)將運行中主要操作記入日志文件，包含操作人員署名信息、時間信息、對主要數(shù)據(jù)庫操作信息、系統(tǒng)運行成功或失敗信息等。日志審計子系統(tǒng)主要功效：對各個子系統(tǒng)進行審計，針對各系統(tǒng)特點，定義對應(yīng)審計策略生成并統(tǒng)計CA操作日志對指定事件、設(shè)備、人員進行審計生成審計匯報

CA證書簽發(fā)系統(tǒng)第32頁管理監(jiān)控子系統(tǒng)ＣＡ簽發(fā)系統(tǒng)設(shè)置完備終端管理與監(jiān)控系統(tǒng)，經(jīng)過可視化管理界面，實現(xiàn)對ＣＡ簽發(fā)系統(tǒng)各個部分進行管理和監(jiān)控。主要功效為：系統(tǒng)開啟與關(guān)閉簽發(fā)管理員和操作員證書對管理員和操作員授權(quán)簽發(fā)服務(wù)器和設(shè)備證書檢測與監(jiān)測服務(wù)器運行狀態(tài)對安全事件分析與跟蹤處理CA證書簽發(fā)系統(tǒng)第33頁

密鑰管理系統(tǒng)(KMS)位于整個CA系統(tǒng)最關(guān)鍵位置，在系統(tǒng)模型圖中它只同CSS服務(wù)器和KMS管理終端有直接連接，與其它服務(wù)器和管理終端均不相連。

KMS系統(tǒng)結(jié)構(gòu)模型以下CA密鑰管理系統(tǒng)第34頁密鑰管理系統(tǒng)結(jié)構(gòu)模塊圖第35頁

密鑰管理系統(tǒng)負(fù)責(zé)密鑰管理策略制訂與維護、系統(tǒng)根密鑰管理與維護、密鑰管理業(yè)務(wù)規(guī)范化。其主要功效為：對進入本系統(tǒng)管理員進行身份認(rèn)證。提供用戶加密密鑰生成、分發(fā)、備份、更新、恢復(fù)、歸檔、查詢、銷毀等。提供密鑰托管服務(wù)，用戶加密密鑰對經(jīng)加密后保留在密鑰數(shù)據(jù)庫中并進行管理，接收并審查關(guān)于恢復(fù)密鑰申請。支持預(yù)產(chǎn)生密鑰對功效，可經(jīng)過設(shè)定策略定時產(chǎn)生，也可支持手動產(chǎn)生。。對各功效模塊運行事件進行檢驗、相關(guān)資料分析和密鑰申請統(tǒng)計等服務(wù)，包含運行事件統(tǒng)計、服務(wù)器狀態(tài)統(tǒng)計、系統(tǒng)主要策略設(shè)置、密鑰操作統(tǒng)計等。CA密鑰管理系統(tǒng)第36頁密鑰生成

KMS服務(wù)器使用專用加密機生成系統(tǒng)使用密鑰對，并將生成密鑰對加密存放于預(yù)備密鑰庫中。密鑰生成包含定時預(yù)生成密鑰和即時生成密鑰，其中定時預(yù)生成密鑰由系統(tǒng)自動完成。CA密鑰管理系統(tǒng)第37頁CA密鑰管理系統(tǒng)密鑰請求接收CSS密鑰對請求，從密鑰預(yù)備庫中取得密鑰對，返回給CSS，用于加密證書制作，并將密鑰對放入密鑰在用庫。密鑰對不論在預(yù)備庫、在用庫還是歸檔庫，均用對稱算法加密存放。第38頁CA密鑰管理系統(tǒng)密鑰撤消接收CSS密鑰對撤消請求，檢驗KMS服務(wù)器密鑰在用庫，假如存在待撤消密鑰對，則將密鑰對放入KMS服務(wù)器密鑰歸檔庫，并從密鑰在用庫中將其刪除。第39頁

CA證書公布系統(tǒng)由在線證書狀態(tài)查詢系統(tǒng)（OCSP）和證書/證書撤消列表目錄服務(wù)系統(tǒng)（LDAP）組成。

OCSP和LDAP采取主從結(jié)構(gòu)方式，證書狀態(tài)、證書和證書撤消列表數(shù)據(jù)先注入主公布服務(wù)器，然后經(jīng)過主從映射功效，自動映射到從公布服務(wù)器中。主公布服務(wù)器配置在關(guān)鍵層，從公布服務(wù)器配置在服務(wù)層。用戶只能訪問從公布服務(wù)器。

CA證書公布系統(tǒng)第40頁CA證書公布系統(tǒng)證書/證書撤消表查詢與公布系統(tǒng)（LDAP）功效用于公布CA證書用于公布用戶證書用于公布證書CRL支持查詢和下載CA證書和用戶證書支持下載CRL特點含有主－從結(jié)構(gòu)能夠分布式布署證書及CRL公布滯后性第41頁

LDAP結(jié)構(gòu)模型第42頁CA證書公布系統(tǒng)證書狀態(tài)實時查詢服務(wù)（OCSP）OCSP服務(wù)單元基于OCSP協(xié)議，提供證書狀態(tài)實時在線查詢，并支持SOCSP協(xié)議。

功效接收與管理證書署名服務(wù)器證書狀態(tài)數(shù)據(jù)，建立證書狀態(tài)庫。接收與響應(yīng)用戶對證書狀態(tài)查詢請求。特點能夠分布式布署證書狀態(tài)在線實時第43頁OCSP結(jié)構(gòu)模型第44頁CA管理與審計系統(tǒng)CA系統(tǒng)總結(jié)構(gòu)圖第45頁CA管理與審計系統(tǒng)CA管理服務(wù)模塊CA管理服務(wù)主要功效為：對管理員、操作員進行身份認(rèn)證與系統(tǒng)開啟。對CA管理員、操作員進行權(quán)限管理：授權(quán)，刪權(quán)與更改權(quán)限。管理離線發(fā)放服務(wù)器證書和管理員、操作員證書。CA服務(wù)器相關(guān)服務(wù)開啟與關(guān)閉。CA管理員經(jīng)過該終端對CA進行控制與管理。第46頁CA管理與審計系統(tǒng)審計服務(wù)審計服務(wù)主要功效為：接收各服務(wù)器操作統(tǒng)計和事件統(tǒng)計,生成CA操作日志。依據(jù)CA策略，完成例行審計匯報。依據(jù)CA策略，進行CA事件審計。依據(jù)CA策略，進行CA指定事項審計。依據(jù)CA策略，進行CA指定服務(wù)器審計。第47頁證書申請工作流程圖第48頁序號設(shè)備名稱型號數(shù)量1CA服務(wù)器ThinkServerRD64012服務(wù)器密碼機SJJ101213署名認(rèn)證服務(wù)器SRJ110414PC管理終端聯(lián)想一體機1系統(tǒng)設(shè)備配置第49頁日常運維數(shù)字證書認(rèn)證系統(tǒng)各服務(wù)已配置為開機自動開啟。開啟