CA認(rèn)證安全方案

CA^證安全解決方案錯(cuò)誤!未找到引用源。CA認(rèn)證安全解決方案TOC\o"1-5"\h\z\o"CurrentDocument"1方案背景 2\o"CurrentDocument"2需求分析 3\o"CurrentDocument"3系統(tǒng)框架設(shè)計(jì) 43.1.1系統(tǒng)流程 5\o"CurrentDocument"4第三方應(yīng)用系統(tǒng)接入 .6\o"CurrentDocument"5CA證書與VPN的區(qū)別 7第1頁CA認(rèn)證安全解決方案1方案背景隨著信息化建設(shè)的推進(jìn)，信息化的水平也有了長足的提高，信息化已經(jīng)成為政府、企業(yè)提高工作效率，降低運(yùn)營成本、提升客戶體驗(yàn)、增加客戶粘度，提升自身形象的重要手段。信息化是架構(gòu)在網(wǎng)絡(luò)環(huán)境世界來展開，網(wǎng)絡(luò)固有的虛擬性、開放性給業(yè)務(wù)的開展帶來巨大潛在風(fēng)險(xiǎn)，如何解決虛擬身份的真實(shí)有效，敏感信息在網(wǎng)絡(luò)傳輸?shù)陌踩Ｃ芮也槐还粽叻欠ù鄹?，如何防止網(wǎng)絡(luò)操作日后不被抵賴？同時(shí)，隨著信息系統(tǒng)的不斷增加，信任危機(jī)、信息孤島、用戶體驗(yàn)、應(yīng)用統(tǒng)一整合越發(fā)成為信息化發(fā)展的瓶頸。因此，安全和可信、融合和統(tǒng)一逐漸成為目前信息化建設(shè)的大勢所趨，上述問題逐漸給信息化建設(shè)管理者提出了新的挑戰(zhàn)。此外，國家安全管理部門發(fā)布了《信息安全等級保護(hù)管理辦法》，提出了”計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)〃的要求，等級保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范中也明確對信息系統(tǒng)的身份鑒別、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性以及抗抵賴提出明確的安全要求。鑒于上述政府、企業(yè)自身的安全建設(shè)需要以及政府安全管理部門的要求，本方案提出一套基于PKI密碼技術(shù)的CA認(rèn)證體系建設(shè)方案和基于數(shù)字證書的安全應(yīng)用支撐解決方案，全面解決上述信息安全問題。CA認(rèn)證安全解決方案2需求分析目前，”用戶名+口令〃的認(rèn)證方式普遍存在各個(gè)信息系統(tǒng)，基于用戶名口令的認(rèn)證方式是一種弱認(rèn)證方式，由于其具有容易被猜測、字典攻擊、非法攔截、責(zé)任認(rèn)定無法到人等系列弱點(diǎn)，已經(jīng)無法滿足信息系統(tǒng)的安全需要，因此，需要建立一套CA認(rèn)證系統(tǒng)，來完成數(shù)字證書的申請、審核、發(fā)放等生命周期管理，為最終用戶提供唯一、安全、可信的網(wǎng)絡(luò)身份標(biāo)識。其次，需要提供一套基于數(shù)字證書的安全應(yīng)用支撐平臺，通過PKI密碼技術(shù)實(shí)現(xiàn)強(qiáng)身份認(rèn)證、信息保密性、信息完整性以及敏感操作的抗抵賴性等各項(xiàng)安全功能，同時(shí)，作為安全應(yīng)用支撐平臺，還應(yīng)該面向眾多的信息系統(tǒng)提供統(tǒng)一身份認(rèn)證功能，實(shí)現(xiàn)SSO單點(diǎn)登錄功能，滿足應(yīng)用級的授權(quán)管理需要。具體來說，安全需求如下：數(shù)字證書的發(fā)放管理：提供證書生命周期管理服務(wù)，包括證書的申請、審核、發(fā)放、更新、吊銷等。強(qiáng)身份認(rèn)證:滿足基于數(shù)字證書的安全登錄需要才是供黑名單查詢功能，只有持有合法證書的用戶才能登錄到信息系統(tǒng)。機(jī)密性、完整性：對信息進(jìn)行加密、完整性處理，保證信息傳輸過程的機(jī)密性和完整性。單點(diǎn)登錄，多點(diǎn)漫游：用戶只需使用數(shù)字證書完成一次統(tǒng)一認(rèn)證，后續(xù)登錄不需要再次認(rèn)證則可進(jìn)入其他信息系統(tǒng)。CA認(rèn)證安全解決方案3系統(tǒng)框架設(shè)計(jì)根據(jù)上述安全需求分析，方案總體框架如下圖所示：錯(cuò)誤!未找到引用源。在整體應(yīng)用框架下，PKI/CA認(rèn)證系統(tǒng)負(fù)責(zé)發(fā)放和管理數(shù)字證書，USBKEY智能密碼鑰匙作為證書的載體存儲數(shù)字證書，身份認(rèn)證網(wǎng)關(guān)作為應(yīng)用支撐體系，為各類業(yè)務(wù)系統(tǒng)提供基于數(shù)字證書的安全支撐，實(shí)現(xiàn)統(tǒng)一認(rèn)證和各項(xiàng)安全功能。3.1.1系統(tǒng)流程(1)用戶訪問應(yīng)用系統(tǒng)；(2)業(yè)務(wù)系統(tǒng)FILTER過濾插件判斷用戶是否已通過認(rèn)證，如果沒有則重定向到身份認(rèn)證網(wǎng)關(guān)，并要求用戶出示數(shù)字證書；(3)身份認(rèn)證網(wǎng)關(guān)驗(yàn)證用戶證書有效性，并查詢CRL判斷用戶是否已經(jīng)被CA認(rèn)證安全解決方案吊銷；⑷驗(yàn)證通過后，身份認(rèn)證網(wǎng)關(guān)將驗(yàn)證結(jié)果及用戶信息傳遞給應(yīng)用系統(tǒng)，用戶與應(yīng)用系統(tǒng)之間直接進(jìn)行通訊；(5)如果證書驗(yàn)證全部通過，身份認(rèn)證網(wǎng)關(guān)檢查用戶權(quán)限，然后顯示用戶可登錄系統(tǒng)列表，根據(jù)授權(quán)策略為用戶簽發(fā)單點(diǎn)登錄TOKEN，用戶憑借TOKEN單點(diǎn)登錄到各業(yè)務(wù)系統(tǒng)中.CA認(rèn)證安全解決方案4第三方應(yīng)用系統(tǒng)接入第三方應(yīng)用系統(tǒng)用戶賬號與證書進(jìn)行綁定（數(shù)據(jù)庫做好關(guān)聯(lián)關(guān)系），當(dāng)用戶在登陸頁面輸入好賬號、密碼并選擇好對應(yīng)的證書，點(diǎn)擊登陸按鈕，數(shù)字證書需要對隨機(jī)產(chǎn)生的一段字符串進(jìn)行簽名，并將隨機(jī)字符串以及隨機(jī)字符串的簽名值作為參數(shù)提交到登陸后臺處理。同時(shí)在客戶端解析出證書的屬性，證書序列號也做為參數(shù)提交到后臺。這時(shí)候后臺做的事情為：1、驗(yàn)證賬號密碼是否正確，驗(yàn)證前端提交來的證書序列號是否與該用戶綁定的證書序列號一致（用戶表與證書表做關(guān)聯(lián)關(guān)系，證書表有序列號等屬性值）。上述的驗(yàn)證通過后，要對前段提交來的簽名值做驗(yàn)簽動(dòng)作，當(dāng)賬戶密碼+證書序列號+驗(yàn)簽通過后才能當(dāng)做完成認(rèn)證登陸過程。

CA認(rèn)證安全解決方案5CA證書與VPN的區(qū)別類型CAVPN概念CA機(jī)構(gòu)，又稱為證書授證(CertificateAuthority)中心，作為電子商務(wù)交易中受信任和具有權(quán)威性的第二方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。VPN屬于遠(yuǎn)程訪問技術(shù)，簡單地說就是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)。CA中心為每個(gè)使用公開密鑰的客戶發(fā)放數(shù)字證書，數(shù)字證書的作用是證明證書中列出的客戶合法擁有證書中列出的公開密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得第三者不能偽造和篡改證書。它負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上信息交換各方所需的數(shù)字證書，因此是安全電子信息交換的核心。例如某公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問就屬于遠(yuǎn)程訪問.作用.自身密鑰的產(chǎn)生、存儲、備份/恢復(fù)、歸檔和銷毀.為認(rèn)證中心與各地注冊審核發(fā)放機(jī)構(gòu)的安全加密通信提供安全密鑰管理服務(wù)1.VPN能夠讓移動(dòng)員工、遠(yuǎn)程員工、商務(wù)合作伙伴和其他人利用本地可用的高速寬帶網(wǎng)連接(如DSL、有線電視或者WiFi網(wǎng)絡(luò))連接到企業(yè)網(wǎng)絡(luò)。此外，高速寬帶第7頁

CA認(rèn)證安全解決方案.確定客戶密鑰生存周期，實(shí)施密鑰吊銷和更新管理.提供密鑰生成和分發(fā)服務(wù).提供密鑰托管和密鑰恢復(fù)服務(wù).其他密鑰生成和管理、密碼運(yùn)算功能網(wǎng)連接提供一種成本效率高的連接遠(yuǎn)程辦公室的方法。2,設(shè)計(jì)良好的寬帶VPN是模塊化的和可升級的。VPN能夠讓應(yīng)用者使用一種很容易設(shè)置的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，讓新的用戶迅速和輕松地添加到這個(gè)網(wǎng)絡(luò)。這種能力意味著企業(yè)不用增加額外的基礎(chǔ)設(shè)施就可以提供大量的容量和應(yīng)用。技術(shù)支撐購買CA服務(wù)。CA中心頒發(fā)證書。服務(wù)端導(dǎo)入CA證書。燒錄USBKey,應(yīng)用程序改造為key登錄模式。（如果需要key驗(yàn)證的話）。購買VPN服務(wù)。搭建部署VPN網(wǎng)絡(luò)通道及設(shè)備。通過VPN控制臺進(jìn)行虛擬網(wǎng)絡(luò)配置。VPN賬戶管理（如果需要用戶同步的話，還要做用戶接口）客戶端需要安裝VPN連接程序。場景分析為了提高外網(wǎng)應(yīng)用（網(wǎng)站）的