CA系统应用安全解决方案.doc
- 文档编号:229912
- 上传时间:2022-10-07
- 格式:DOC
- 页数:32
- 大小:1.70MB
CA系统应用安全解决方案.doc
《CA系统应用安全解决方案.doc》由会员分享,可在线阅读,更多相关《CA系统应用安全解决方案.doc(32页珍藏版)》请在冰豆网上搜索。
CA系统应用安全解决方案
(版本:
1.0)
CA系统应用安全解决方案目录
目录
1 前言 1
2 应用安全需求概述 1
3 方案总体设计思想 2
4 CA认证系统设计 3
4.1 iTrusCA系统简介 3
4.2 认证体系设计 4
4.3 系统网络架构 6
4.4 证书存储介质 6
4.5 CA系统功能 7
4.6 证书应用开发接口(API) 9
4.7 系统工作流程设计 9
4.8 系统性能和特点分析 11
5 应用系统安全集成方案 12
5.1 邮件系统安全应用 12
5.2 VPN安全应用 14
5.2.1 VPN安全登录实现原理 14
5.2.2 VPN证书介绍 15
5.2.3 VPN证书应用 15
5.3 安全域登录应用 16
5.3.1 域登陆 16
5.3.2 智能卡及数字证书 16
5.3.3 智能卡域登录 17
5.4 B/S系统安全应用 18
5.4.1 B/S架构系统安全原理 19
5.4.2 应用系统安全架构 21
5.4.3 应用系统身份认证流程 22
5.4.4 应用系统签名流程 23
5.5 C/S架构系统安全应用 25
5.5.1 系统集成原理 25
5.5.2 系统安全架构 26
5.5.3 证书应用开发接口(API) 26
5.5.4 系统工作流程 27
6 总结 28
CA系统应用安全解决方案第29页共29页
1前言
以Internet为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,从典型的如金融业务系统、网上证券交易业务系统、企业内部应用系统,逐渐扩展到政府办公系统应用。
在这股浪潮的推动下,为了提高企业的办事效率,各个企业纷纷利用先进的IT技术来降低政务办公的成本和加强信息管理,广泛的开展电子政务。
由于业务发展的需要,用户也建设了自己的各种应用信息系统,为了保证系统的正常运转,有必要采取安全的措施来保障各个应用系统运行的安全。
本文主要目的是旨在分析用户的系统安全需求,然后阐明采用PKI/CA技术,来保障用户的信息系统安全。
2应用安全需求概述
随着用户信息系统的建设,大量的办公业务数据文件通过网络相互传递,同时大量的数据文件也保存于文件服务器之上。
如果不能保证这些系统的用户登录认证安全,保证这些数据的传输安全,其后果是可想而知的。
此外,在实现资源和数据共享的同时,也面临巨大的威胁和风险,我们必须对这些资料进行严格控制,保证只有被授权的人员才能够访问合法的资源,并且对于每个人产生的信息,需要保留相应的记录。
由于互联网的广泛性和开放性,给应用系统带来了很多安全隐患,主要体现在如下几个方面:
(1)身份认证
目前,应用系统是采用“用户名+密码”的方式来验证访问用户的身份。
采用“用户名+密码”的方式登录应用系统时,用户输入的用户名和密码都是通过明文的方式,传输给系统服务器,系统服务器根据用户提交的用户名和密码,查询数据库,来判断用户的身份是否真实。
这种方式存在巨大的安全隐患,非法用户可以通过口令攻击、猜测或窃取口令等方式,假冒合法用户的身份,登录系统进行非法操作或获取机密信息。
因此,需要采用安全的手段,解决应用系统身份认证需求。
(2)访问控制
对于系统的不同用户,具有不同的访问操作权限。
因此,应用系统在身份认证的基础上,需要给不同的身份授予不同的访问权限,使他们能够进行相应授权的操作。
因此,需要采用有效的手段,解决应用系统访问控制的需求。
(3)信息机密性和完整性
通过应用系统传输很多敏感资料,如通过应用系统,需要通过开放的互联网,非法用户很容易监听网络传输的数据甚至篡改相关数据,或者入侵到应用系统,窃取有关资料。
因此,需要采用有效的方式保证应用系统传输数据的机密性和完整性。
(4)信息抗抵赖
信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖。
在应用系统中传输的很多信息,都需要实现信息抗抵赖。
比如财务部进行财务汇报时,如果采用纸质的方式,可以在财务报表上签字盖章。
但是通过电子数据共享和传输,不可能像纸质文件那样进行手写签字和盖章。
而如果没有有效的手段保证电子数据共享和传输的抗抵赖,财务部可以否认自己共享和传输过的电子数据。
一旦出现问题,将没有任何有效的证据,对肇事者进行追究。
另外,对于通过应用系统进行网上申报与审批时,如果没有抗抵赖性,申报者将可以否认自己的申报数据和行为,审批者也可以否认自己的审批意见和行为,甚至出现假冒他人进行申报或审批的行为。
这样,将导致整个应用系统不能正常工作,将给企业造成巨大的损失。
为此,根据用户的信息系统安全现状,采用PKI(PublicKeyInfrastructure,公钥基础设施)技术,为用户设计了基于数字证书的应用安全解决方案。
3方案总体设计思想
根据用户的系统安全需求,基于自身在PKI/CA领域的技术优势,采用自主开发的PKI产品——iTrusCA系统,为用户提供了完善的安全解决方案,解决方案总体框架包含如下几个基本思想:
一、采用iTrusCA系统,为用户建设一套功能完善的CA认证系统,为用户各个应用系统的用户颁发数字证书,提供安全认证服务。
二、用户应用系统集成数字证书的应用,用户登录系统时,必须提交CA认证系统颁发的用户证书,系统通过用户证书来实现身份认证和访问控制,同时通过加密技术和数字签名技术,实现信息传输的机密性和抗抵赖性等安全需求。
三、用户证书保存在USBKEY中,USBKEY是一种安全的证书存储介质,可以设置口令,保证证书和私钥的安全,使用USBKEY也可以实现对移动办公的安全需求。
以下,将分别对方案总体框架描述中CA认证系统、应用系统安全集成方案等几部分分别进行描述。
4CA认证系统设计
CA认证系统负责为用户提供安全认证服务,本方案采用iTrusCA产品进行设计和建设。
4.1iTrusCA系统简介
iTrusCA系统是参照国际领先的CA系统的设计思想,继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性,自主开发的、享有完全自主知识产权的数字证书服务系统。
系统具有完善的功能,能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求。
iTrusCA系统采用模块化结构设计,由最终用户、RA管理员、CA管理员、注册中心(RA)、认证中心(CA)等构成,其中注册中心(RA)和认证中心(CA)又包含相应的模块,系统架构如下图:
图1iTrusCA系统模块架构图
iTrusCA系统能提供完善的功能,包括:
证书签发、证书生命周期管理、证书吊销列表(CRL)查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。
iTrusCA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大型iTrusCA,不同类型系统的网络建设架构是不同的。
iTrusCA系统具有下列特点:
A.符合国际和行标准;
B.证书类型多样性及灵活配置。
能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等各种类型的证书;
C.灵活的认证体系配置。
系统支持树状的客户私有的认证体系,支持多级CA,支持交叉认证;
D.高安全性和可靠性。
使用高强度密码保护密钥,支持加密机、智能卡、USBKEY等硬件设备以及相应的网络产品(证书漫游产品)来保存用户的证书;
E.高扩展性。
根据客户需要,对系统进行配置和扩展,能够发放各种类型的证书;系统支持多级CA,支持交叉CA;系统支持多级RA。
F.易于部署与使用。
系统所有用户、管理员界面都是B/S模式,CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行,并具有详细的操作说明。
G.高兼容性。
支持各种加密机、多种数据库和支持多种证书存储介质。
4.2认证体系设计
认证体系是指证书认证的逻辑层次结构,也叫证书认证体系。
证书的信任关系是一个树状结构,由自签名的根CA为起始,由它签发二级子CA,二级子CA又签发它的下级CA,以此递推,最后某一级子CA签发最终用户的证书。
认证体系理论上可以无限延伸,但从技术实现与系统管理上,认证层次并非越多越好。
层次越多,技术实现越复杂,管理的难度也增大。
证书认证的速度也会变慢。
一般的,国际上最大型的认证体系层次都不超过4层,并且浏览器等软件也不支持超过4层的认证体系。
本方案设计的用户的CA认证系统采用如下图所示的认证体系:
图2用户CA认证体系图
如图所示,认证体系采用3层结构:
n第一层是自签名的用户根CA,是处于离线状态的,具有用户的权威性和品牌特性。
n第二层是由用户根CA签发的用户子CA,处于在线状态,它是签发系统用户证书的子CA。
n第三层为用户证书,由用户子CA签发,从用户证书的证书信任链中可以看出整个用户的CA认证体系结构,用户证书在用户的应用范围内受到信任。
采用这种认证体系具有下列特点:
(1)体现用户的权威性
从认证体系上看,用户CA具有自己的统一的根CA,由用户进行统一管理,负责整个用户的认证体系、CA策略和证书策略的定制与管理,这样充分体现了用户的权威性。
(2)具有很好的可扩展性
如图所示体系具有很好的可扩展性,采用三层结构为体系的扩展预留了空间(因为大多数应用都只支持四层以下),根据用户实际应用需求,将来可以在子CA下,签发下级子CA;或者针对别的应用再签发子CA这样,使得用户CA认证体系具有很好的可扩展性。
(3)具有很好的可操作性
采用三层体系结构,相对比较简单,在CA的创建和管理上也相当比较容易。
虽然从技术上认证体系支持无限扩展,但是层次越多,技术实现越复杂,管理的难度也增大。
而采用三层结构是目前业界比较通用的、标准的做法。
这样,使得用户CA认证体系具有很好的可操作性。
4.3系统网络架构
采用iTrusCA系统将为用户建设一个CA中心和一个RA中心,iTrusCA系统的所有模块可以安装在同一台服务器上,也可以采用多台服务器分别安装各模块。
系统网络架构如下图所示:
图3CA系统网络架构示意图
如图所示,将iTrusCA系统的CA认证中心和RA注册中心各模块安装在CA服务器上,为了保证系统的安全,CA服务器必须位于安全的区域,即采用防火墙与外界进行隔离。
最终用户使用浏览器,访问CA服务器,进行证书申请和管理。
管理员(包括CA管理员和RA管理员,可以是同一个管理员担任)使用浏览器,访问CA服务器,进行证书管理和CA管理。
4.4证书存储介质
本方案推荐使用USBKEY来保存用户的证书及私钥。
USBKEY是以USB为接口的存储设备,它便于携带和使用,可以实现在所有的机器(具有USB接口)上的漫游,可以满足用户移动办公的需求。
USBKEY可以设置用户口令保护,增强了证书及私钥的安全性。
为了在发生USBKEY丢失等情况时,私钥可以恢复或者还可以用私钥解密以前的加密邮件,在申请证书时,密钥对可以在系统中产生而不是在USBKEY中产生,当证书申请成功后,再将私钥和证书导入到USBKEY中;同时系统可以以文件的形式保留
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CA 系统 应用 安全 解决方案