南空司令部信息化PKI體系建設方案

南空司令部信息化PKI體系建設方案南空司令部信息化系統(tǒng)PKI體系建設方案中國金融認證中心2010年4月

目錄1 綜述 42 系統(tǒng)安全需求 52.1 身份認證（Authentication） 52.2 通信的保密性（Confidentiality） 52.3 數(shù)據(jù)完整性（Integrity） 62.4 文件的不可否認性（Non-Repudiation） 62.5 訪問控制（AccessControl） 62.6 系統(tǒng)可用性（Availability） 62.7 數(shù)據(jù)備份與恢復（Recovery） 73 系統(tǒng)安全建設目標 73.1 總體建設目標 73.2 總體安全框架設計 74 PKI體系建設 94.1 PKI體系建設說明 94.1.1 數(shù)字認證信任管理模式 94.1.2 PKI系統(tǒng)基本組成 114.2 PKI體系主要建設內(nèi)容 124.3 PKI基礎安全服務體系建設 154.3.1 CA系統(tǒng)設計 154.3.2 RA系統(tǒng)設計 194.3.3 目錄發(fā)布與查詢服務系統(tǒng)設計 224.3.4 密鑰管理中心設計 254.4 證書安全應用平臺建設 274.4.1 證書安全應用平臺分析 284.4.2 證書安全應用平臺建設原則 294.4.3 證書應用安全平臺框架 304.4.4 證書安全應用平臺主要技術 314.4.5 SSL安全網(wǎng)關產(chǎn)品 334.4.6 應用開發(fā)包 394.5 系統(tǒng)運營安全管理建設 424.5.1 運營管理規(guī)范 424.5.2 安全應急處理管理規(guī)范 434.5.3 系統(tǒng)建設相關文檔 444.5.4 人員管理安全 455 自建CA系統(tǒng)軟硬件要求 465.1 南空司令部完全自建CA方案要求 465.2 報價 46綜述在網(wǎng)絡技術迅速發(fā)展的今天，企事業(yè)、政府機構面臨著如何利用網(wǎng)絡這一虛擬的環(huán)境為網(wǎng)內(nèi)用戶提供全面的、安全性的信息服務問題，在這一環(huán)境下應運如生，目前國內(nèi)政府、企事業(yè)單位都紛紛推出了基于內(nèi)網(wǎng)的服務要求。網(wǎng)絡業(yè)務在蘊藏著強大功能的同時也帶來了風險，對于開設內(nèi)部網(wǎng)絡服務的南空司令部來說，當務之急就是要解決信息交互的安全問題。南空司令部信息化系統(tǒng)如何為網(wǎng)內(nèi)用戶提供更加方便、穩(wěn)定、安全的業(yè)務服務？南京翔晟信息技術有限公司和CFCA從南空司令部信息化系統(tǒng)應用實際出發(fā)，充分考慮到南空內(nèi)部的管理機構設置、現(xiàn)有信息系統(tǒng)架構和業(yè)務對安全的具體需求，并總結多年的金融、政府信息安全建設經(jīng)驗，提出了基于PKI體系架構，以數(shù)字證書為媒介的系統(tǒng)安全解決方案。該方案采用國際通用的信息安全技術，在保證物理安全與網(wǎng)絡安全的基礎上，加強信息交互的安全管理，提供統(tǒng)一的身份認證、安全的數(shù)據(jù)傳輸機制、數(shù)字簽名驗證機制和訪問控制機制，確保各種業(yè)務應用的數(shù)據(jù)完整性、保密性和行為的不可否認性；通過統(tǒng)一的身份信息及認證服務，為系統(tǒng)用戶提供便捷高效的單點登陸解決方案；通過集中的授權及訪問控制服務，為各業(yè)務應用系統(tǒng)提供集中的權限管理設計，在有效保護和節(jié)約系統(tǒng)建設投資的同時，提供用戶權限的集中管理，保證系統(tǒng)運行的高效、安全和穩(wěn)定。系統(tǒng)安全需求從應用的角度來看，安全體系建設的需求包括以下幾個方面：身份認證（Authentication）由于南空司令部內(nèi)部網(wǎng)絡的特殊性，業(yè)務交互的雙方可能彼此都無法確認對方的真實身份，因此迫切需要解決“你是誰”的問題。身份認證一般基于以下幾種因素來進行身份的確認：你知道什么（somethingyouknow）：比如用戶名/口令、個人識別碼（PIN）等你擁有什么（somethingyouhave）：比如智能卡（smartcard）、USBkey等生理特征（somethingyouare,oraphysicalcharacteristic）：比如指紋、面部特征等口令可以被猜出，卡有可能丟失，指紋系統(tǒng)驗證可能會有較高的誤判率；很顯然，如果結合兩種以上的因素來進行身份的認證，認證可以獲得更高的強度。公鑰基礎設施（PKI）通過物理身份（公民身份證）和數(shù)字身份（數(shù)字證書）的綁定，將數(shù)字證書保存到智能卡或者USBkey中的方式，很好的解決了“身份確認”的問題。通信的保密性（Confidentiality）用戶通過網(wǎng)絡訪問Web應用服務器時，如果不采取特殊手段，在網(wǎng)絡上的信息傳輸是明文方式，由此很容易導致用戶帳戶信息的泄露，為了彌補這個安全漏洞，有必要對通信信道進行加密。目前國際上通行的方法是通過標準的SSL協(xié)議，使用SSL安全網(wǎng)關保護Web通信的安全。通信雙方通過數(shù)字證書實現(xiàn)了身份的認證，通過對稱加密技術實現(xiàn)了傳輸數(shù)據(jù)的加密。SSL安全網(wǎng)關應能夠信任多種證書體系（如自建CA系統(tǒng)），支持證書狀態(tài)的驗證，支持客戶端IP地址獲取，支持訪問信息監(jiān)控、審計，支持負載均衡等需求。數(shù)據(jù)完整性（Integrity）為了確保信息在存儲、使用、傳輸過程中不被非授權用戶篡改，同時也為了防止被授權用戶不適當?shù)拇鄹?，保持信息?nèi)外部的一致性，需要通過數(shù)字簽名技術來保證數(shù)據(jù)的完整性。文件的不可否認性（Non-Repudiation）在信息交互的過程中和信息交互完成后電子文件發(fā)送的雙方可能會發(fā)生糾紛，為了防止任何一方對信息交互過程和交互后果的無理抵賴和否認，需要保存交易憑證或憑據(jù)，以備CA中心的權威認證和責任認定。訪問控制（AccessControl）訪問控制就是滿足“最小授權”原則，防止未授權用戶訪問未授予其權限的資源，以確保信息的保密性和完整性。訪問控制按照層次劃分，可以分為：物理層的訪問控制，如通過門禁系統(tǒng)來禁止某些人物理上接觸某些系統(tǒng)或者設備。網(wǎng)絡層的訪問控制，如通過防火墻的策略，禁止開放某些資源或者服務。主機或系統(tǒng)層的訪問控制，通過操作系統(tǒng)的授權機制來禁止或者允許對某些資源的訪問。應用層的訪問控制，如通過應用訪問控制系統(tǒng)來禁止或者允許用戶對某些業(yè)務資源的訪問。系統(tǒng)可用性（Availability）所謂可用性就是要確保授權用戶或者實體對信息或者資源的正常使用不會被拒絕，能夠可靠而及時地訪問信息和資源。簡單的講就是“業(yè)務服務不宕機，用戶訪問響應及時、快速”。數(shù)據(jù)備份與恢復（Recovery）為了防止可能發(fā)生的災難（如地震、火災、戰(zhàn)爭）或者操作不當引起的事故對數(shù)據(jù)的損害，需要及時地備份數(shù)據(jù)和恢復系統(tǒng)的正常運營，以盡可能地降低損失，需要對系統(tǒng)及數(shù)據(jù)庫及時備份。系統(tǒng)安全建設目標總體建設目標本次南空司令部信息化系統(tǒng)CA建設的總體目標是：采用符合國際標準的公鑰基礎設施PKI技術來實現(xiàn)網(wǎng)上的身份認證，確保通信的保密性和交易數(shù)據(jù)的完整性及交易的不可否認性，以數(shù)字證書為媒介，通過使用先進的數(shù)字簽名、SSL安全傳輸協(xié)議等安全技術為南空司令部業(yè)務平臺提供一套功能完善、安全、可靠的應用安全保障體系，保證網(wǎng)上業(yè)務的正常交易。安全平臺的設計應當致力于滿足機構對統(tǒng)一身份、統(tǒng)一認證、統(tǒng)一授權和統(tǒng)一審計進行集中管理的需要，以及系統(tǒng)對認證服務、身份管理和授權管理的服務便捷接入的需要。根據(jù)南空司令部信息化系統(tǒng)產(chǎn)品為基礎構架完整的網(wǎng)絡層安全防御體系，保障設備和操作系統(tǒng)的整體安全。根據(jù)方案側(cè)重點，方案重點提供對PKI基礎設施及證書應用服務的建設，網(wǎng)絡層安全暫不涉及。采用安全管理與審計系統(tǒng)來實現(xiàn)業(yè)務系統(tǒng)的日常運行監(jiān)控、管理與審計，提高事故處理響應速度，提高業(yè)務服務水平，提升客戶滿意度?？傮w安全框架設計按照需求分析的要求，我們可以按照層次對安全體系建設做如下劃分：業(yè)務層安全通過安全接入通道提供的用戶身份信息，結合客戶管理系統(tǒng)，實現(xiàn)業(yè)務系統(tǒng)的訪問控制，實現(xiàn)業(yè)務層的安全。單點登陸服務系統(tǒng)提供單點登陸及用戶信息統(tǒng)一管理服務權限管理及訪問控制服務提供用戶權限的統(tǒng)一管理及對用戶行為的集中權限控制應用層安全證書認證系統(tǒng)CA提供核心的身份認證系統(tǒng)部分，通過數(shù)字證書實現(xiàn)用戶物理身份與數(shù)字身份的綁定證書注冊系統(tǒng)RA提供客戶身份信息的管理，提供靈活的、完善的、可定制的證書管理功能證書發(fā)布與查詢系統(tǒng)證書發(fā)布與查詢系統(tǒng)主要提供LDAP服務、OCSP服務和注冊服務密鑰管理中心系統(tǒng)KMC為CA系統(tǒng)提供密鑰的生成、保存、備份、更新、恢復、查詢等密鑰服務，解決密鑰管理問題。SSL安全通道接入(SSL安全網(wǎng)關)保護用戶數(shù)據(jù)能夠通過互聯(lián)網(wǎng)安全的傳輸，并實現(xiàn)用戶身份的確認及SSL安全接入的訪問控制數(shù)字簽名及驗證系統(tǒng)業(yè)務系統(tǒng)通過調(diào)用數(shù)字簽名驗證接口，實現(xiàn)用戶身份確認、保護數(shù)據(jù)完整性、保存交易憑據(jù)以實現(xiàn)事后審計及責任認定網(wǎng)絡層安全通過防火墻、入侵檢測系統(tǒng)等實現(xiàn)網(wǎng)絡層的訪問控制通過主機系統(tǒng)加固實現(xiàn)主機系統(tǒng)的安全通過采用負載均衡設備實現(xiàn)業(yè)務系統(tǒng)和安全接入系統(tǒng)的高可用性和較高的性能注：具體細節(jié)本方案暫不涉及物理層安全通過門禁系統(tǒng)、監(jiān)控系統(tǒng)等防止未授權人員對物理設備、機房訪問注：具體細節(jié)本方案暫不涉及系統(tǒng)安全管理建設PKI安全體系建設的目的是為應用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運行的保障。因此，必須建立完善的管理制度，以保證整個PKI體系在運營過程中正常運行。PKI體系建設PKI體系建設說明PKI是“PublicKeyInfrastructure”的縮寫，意為“公鑰基礎設施”，是一個用非對稱密碼算法原理和技術實現(xiàn)的、具有通用性的安全基礎設施。PKI利用數(shù)字證書標識密鑰持有人的身份，通過對密鑰的規(guī)范化管理，為組織機構建立和維護一個可信賴的系統(tǒng)環(huán)境，透明地為應用系統(tǒng)提供身份認證、數(shù)據(jù)保密性和完整性、抗抵賴等各種必要的安全保障，滿足各種應用系統(tǒng)的安全需求。數(shù)字認證信任管理模式信任是安全的基礎，在缺乏信任的環(huán)境下，實現(xiàn)信息系統(tǒng)的安全是不可想象的。在X.509中，是如下定義信任的：“通常來講，一個實體設想另一個實體的行為會是他所期望的，則可以稱為第一個實體是信任第二個實體的。”（Generally,anentitycanbesaidto“trust”asecondentitywhenit(thefirstentity)makestheassumptionthatthesecondentitywillbehaveexactlyasthefirstentityexpects）。任何安全系統(tǒng)的建立都依賴于系統(tǒng)用戶之間存在的各種信任形式，在信息系統(tǒng)中，要實現(xiàn)有效可靠的信任關系，主要是通過以下三種手段的結合：身份認證、數(shù)據(jù)秘密性和完整性、不可抵賴性。要建立信任，首先要確認信任參與者的身份。例如：兩個人第一次見面，A就要把一個重要的信息傳遞給B，首先，A要確認B是這一信息所期望的接受者，而不能是其它人冒名頂替；B也要確認A確實是這一信息的傳送者，而不是其它人假冒，因為如果A是假的，那么其傳遞的信息的可靠性就無法保證。其次，要保證數(shù)據(jù)秘密性和完整性。以上面的例子為例，如果A把信息傳遞給B的時候，如果有第三者C有可能通過竊聽等手段獲得該信息，那么，即使A可以信任B，認為B的行為會是A所期望的，但是A并不能保證C的行為同樣會是A所期望的，在此情況下，信息傳遞的風險將非常大。因此，可以想像的結果是，由于擔心C的竊聽，A不敢或者無法把信息傳遞給B。所謂的“信任”也失去了意義。最后，“信任”的一個關鍵因素：不可抵賴性。在現(xiàn)實生活中，如果某人總是說話不算，事后賴帳，相信誰都不會“信任”他。在信息系統(tǒng)中，也是如此，但是與現(xiàn)實生活中不同的是，信息系統(tǒng)中對不可抵賴性的要求更高，由于參與信息交換的各方的不確定性，所造成的損失難以估量，因此，對不可抵賴性要求從“事后”提前到了“事先”，也就是說，在行為發(fā)生前，就必需對該行為的不可抵賴性作出約束。對信息系統(tǒng)中所采用的相關技術，可以由下表來作個比較：身份認證可靠性秘密性和完整性不可抵賴性用戶名/口令低無低生物特征識別（如指紋，虹膜等）中～高（取決于現(xiàn)有技術水平）無中～高（取決于現(xiàn)有技術水平）動態(tài)口令高無中PKI高高高圖表STYLEREF1\s4SEQ表格\*ARABIC\s11相關技術比較表從上面的對比可以看出，PKI技術在解決信息系統(tǒng)安全中有不可替代的優(yōu)勢。它不僅僅是一個簡單的身份認證系統(tǒng)，事實上，它可以作為提供統(tǒng)一信任管理服務的有效平臺，在系統(tǒng)與系統(tǒng)、用戶與系統(tǒng)、用戶與用戶之間建立起一種信任關系，從而保證了系統(tǒng)的安全性，這種信任關系不是只通過身份認證就能夠?qū)崿F(xiàn)的，它包含了更加豐富的內(nèi)容，如數(shù)字簽名、信息加解密等。PKI體系不僅僅為建立這種信任關系提供了一個基礎設施，其建立信任關系的最終目的就是為了通過這種信任關系保證應用系統(tǒng)安全。在本方案設計的南空司令部信息化系統(tǒng)認證中心（CA）系統(tǒng)將基于PKI技術進行合理的定制優(yōu)化與拓展，使其最大限度的符合南空司令部信息系統(tǒng)中對安全應用的需求。PKI系統(tǒng)基本組成根據(jù)PKI體系架構設計，在通常情況下的PKI數(shù)字認證系統(tǒng)建設由密鑰管理中心KMC、證書認證中心（CA）、證書注冊審核中心（RA）、證書/CRL發(fā)布及查詢系統(tǒng)以及和應用系統(tǒng)間的接口五部分組成，其功能結構如下圖所示：圖表STYLEREF1\s42CFCA數(shù)字認證中心功能結構密鑰管理中心（KMC）：是公鑰基礎設施中的一個重要組成部分，負責為CA系統(tǒng)提供密鑰的生成、保存、備份、更新、恢復、查詢等密鑰服務，以解決分布式企業(yè)應用環(huán)境中大規(guī)模密碼技術應用所帶來的密鑰管理問題。認證中心（CA）系統(tǒng)：CA認證中心是PKI公鑰基礎設施的核心，它主要完成生成/簽發(fā)證書、生成/簽發(fā)證書撤消列表（CRL）、發(fā)布證書和CRL到目錄服務器、維護證書數(shù)據(jù)庫和審計日志庫等功能。注冊中心（RA）系統(tǒng)：RA注冊中心是數(shù)字證書的申請、審核和注冊的機構。它是CA認證中心的延伸，在邏輯上RA和CA是一個整體，主要負責提供證書注冊、審核以及發(fā)證功能。證書發(fā)布與查詢服務系統(tǒng)：證書發(fā)布與查詢系統(tǒng)主要提供LDAP服務、OCSP服務和注冊服務。LDAP提供證書和CRL的目錄瀏覽服務；OCSP提供證書狀態(tài)在線查詢服務；注冊服務為用戶提供在線注冊的功能。系統(tǒng)應用接口：系統(tǒng)應用接口為外界提供使用PKI安全服務的入口。系統(tǒng)應用接口一般采用API、JavaBean、COM等多種形式。以上五部分之間的配合協(xié)作，對外提供PKI信任基礎設施的安全服務。PKI體系主要建設內(nèi)容根據(jù)上面的證書安全應用平臺建設分層邏輯結構及PKI系統(tǒng)的基本組成，針對于本次“南空司令部信息化系統(tǒng)項目”建設的重點，南京翔晟信息技術有限公司與CFCA提供如下的證書相關安全系統(tǒng)建設：PKI基礎安全服務體系建設CA證書認證系統(tǒng)。CA認證機構是數(shù)字認證中心安全體系的核心，主要完成生成/簽發(fā)證書、生成/簽發(fā)證書撤消列表（CRL）、發(fā)布證書和CRL到目錄服務器、維護證書數(shù)據(jù)庫和審計日志庫等功能。對于一個大型的分布式軍隊信息應用系統(tǒng)，可根據(jù)應用系統(tǒng)的分布情況和組織結構設立一級CA機構，包括根CA、KMC和一級RA。本方案提供二級RA的部署結構，一方面滿足南空司令部信息化系統(tǒng)擴充應用需求，另一方面，也便于該證書應用平臺日后支持南空司令部其他業(yè)務應用提供擴展支持。RA證書注冊服務系統(tǒng)。RA注冊中心是連接應用系統(tǒng)/用戶與CA中心的紐帶，是數(shù)字證書的申請、審核和注冊的機構。它是CA認證中心的延伸，在邏輯上RA和CA是一個整體，它向CA中心提交各種證書請求，接收來自CA的處理結果，主要負責提供證書注冊、審核以及發(fā)證功能，并負責為管理員提供證書管理服務。證書發(fā)布與查詢服務系統(tǒng)。證書發(fā)布與查詢系統(tǒng)主要提供LDAP服務，即通過LDAP服務軟件提供證書和CRL的目錄瀏覽服務。本方案提供針對自建CA的LDAP證書及黑名單發(fā)布，同時，部署的LDAP服務器需要滿足接入南空司令部所頒發(fā)證書、CRL列表的同步鏡像支持，以便于使用證書的用戶在登陸系統(tǒng)時可以快捷的進行證書驗證應用。密鑰管理服務系統(tǒng)。密鑰管理中心服務系統(tǒng)是為整個CA系統(tǒng)提供密鑰服務的關鍵系統(tǒng)，一般由密鑰管理模塊（包括密鑰生成、存儲、分發(fā)、備份、更新、廢除、恢復等等）、密鑰庫管理、認證管理、安全審計系統(tǒng)、密碼服務等模塊組成。業(yè)務安全服務平臺SSL安全通道系統(tǒng)。包括客戶端CSP密碼模塊和SSL安全網(wǎng)關系統(tǒng)兩部分。CSP密碼模塊鑲嵌在瀏覽器中，提供符合國家密碼部門要求的密碼算法與服務器端SSL安全網(wǎng)關系統(tǒng)建立SSL安全連接，實現(xiàn)交易雙方的身份認證、保證數(shù)據(jù)傳輸?shù)陌踩?。CFCA安全通道系統(tǒng)支持多種硬件密鑰載體，如USB-KEY、磁盤等。數(shù)字簽名驗證服務系統(tǒng)。包括簽名客戶端和簽名驗證服務器兩部分。數(shù)字簽名客戶端控件負責對交易中的關鍵數(shù)據(jù)進行數(shù)字簽名；簽名驗證服務器主要負責對交易過程中關鍵數(shù)據(jù)的簽名進行驗證，保證交易的不可否認性和數(shù)據(jù)的完整性。簽名驗證客戶端是提供給應用程序調(diào)用的接口軟件包，安裝在業(yè)務應用服務器上，使應用方便地使用簽名驗證服務器。PKI體系建立整體架構根據(jù)我們對南空司令部信息化PKI體系建設的前期調(diào)研，我們建議下圖南空司令部信息化PKICA系統(tǒng)，包括以下幾個部分：密鑰管理中心（KMC中心）；證書注冊簽發(fā)系統(tǒng)（CA中心、10個RA中心）；證書發(fā)布查詢系統(tǒng)：包括證書發(fā)布系統(tǒng)、在線證書狀態(tài)查詢系（OCSP）；圖證書管理系統(tǒng)總體設計結構系統(tǒng)安全管理建設建立完善的管理制度，以保證整個PKI體系在運營過程中正常運行。主要內(nèi)容包括：人員管理規(guī)范：根據(jù)系統(tǒng)的需要，劃分角色，配置人員，設置權限，制定相應的人員管理制度和管理策略，保證人員管理的安全性。CA運營管理規(guī)范：主要包括系統(tǒng)操作、安全策略、授權管理、證書管理、用戶管理等各個方面的規(guī)范化、制度化。應急管理規(guī)范：解決PKI安全體系在正常工作中發(fā)生的各類異常情況、安全事件、安全事故。主要包括信息系統(tǒng)應急方案、電力系統(tǒng)故障、消防系統(tǒng)應急方案、病毒應急方案、系統(tǒng)備份應急方案、人員異動情況應急方案、安全事故處理方法、安全應急事件及事故處理的程序等等。機房的安全建設：全面規(guī)劃機房，針對不同安全級別劃分安全區(qū)域，建立完善的機房管理制度。標準化建設：包括系統(tǒng)建設標準化、系統(tǒng)管理標準化、運營管理標準化等等。通過建立完善的管理制度和標準化建設，為PKI安全體系創(chuàng)造一個安全可靠的運行環(huán)境，從管理上和技術上全面地保證系統(tǒng)的正常運營。PKI基礎安全服務體系建設根據(jù)PKI體系的組成，本章針對南空司令部信息化PKI體系項目建設，提供包括CA認證服務中心（包括RA注冊服務中心建設）、LDAP目錄服務系統(tǒng)、KMC密鑰管理中心系統(tǒng)在內(nèi)的基礎安全服務體系建設。CA系統(tǒng)設計在本次南空司令部內(nèi)部數(shù)字認證中心（CA）系統(tǒng)建設中，南京翔晟信息技術有限公司與CFCA建議采用分級設計結構，即根CA和二級RA中心分開建設，這樣設計有清晰、安全、可拓展的優(yōu)勢。下面分別對根CA和二級RA的詳細設計進行說明。系統(tǒng)服務結構設計CA系統(tǒng)是南空司令部內(nèi)部數(shù)字認證中心體系的核心服務設備，它接收來自RA中心的業(yè)務請求，主要完成所有證書的簽發(fā)和管理功能。CA系統(tǒng)與注冊中心（RA）系統(tǒng)間的通信采用通信證書來保證其安全性。在分級、分層次的體系架構設計中，通信證書上級根CA和下級注冊中心（RA）系統(tǒng)進行通信時使用的計算機設備證書。CA中心服務區(qū)主要包括：CA服務器、數(shù)據(jù)庫服務器等設備組成。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s11認證中心（CA）系統(tǒng)服務結構CA中心設計CA中心的服務結構主要包括：CA服務器、CA數(shù)據(jù)庫服務器等。CA服務器負責接收來自RA中心的證書請求，簽發(fā)各種用戶證書，包括設備證書、人員證書、機構證書等等；管理、制定南空司令部內(nèi)部數(shù)字認證中心的安全策略，包括證書有效期、CRL發(fā)布時間等等，策略服務器利用數(shù)據(jù)庫服務器保存策略信息。同時負責向目錄服務系統(tǒng)發(fā)布證書、CRL等信息。CA數(shù)據(jù)庫服務器CA中心的數(shù)據(jù)庫服務器負責存儲CA系統(tǒng)中的所有數(shù)據(jù)信息，包括各種證書的請求信息、證書信息、CRL信息、策略信息和系統(tǒng)日志信息等等。為了保證該數(shù)據(jù)庫的安全，本方案設計將CA數(shù)據(jù)庫服務器單獨設立在CA服務區(qū)進行證書信息的集中存放，這樣設計也保證了CA系統(tǒng)數(shù)據(jù)存取的高效性。CA系統(tǒng)控制臺控制臺提供給CA管理員使用，系統(tǒng)管理以B/S結構提供，管理員可通過WEB方式登錄CA系統(tǒng)，完成系統(tǒng)管理和維護。LDAP服務器LDAP服務器負責接收CA服務器的證書發(fā)布及CRL發(fā)布請求。系統(tǒng)功能設計認證中心（CA）系統(tǒng)是南空司令部內(nèi)部數(shù)字認證中心系統(tǒng)建設的關鍵，是核心基礎設施，在根CA策略的統(tǒng)一指導下，CA認證中心可為整個系統(tǒng)內(nèi)的證書用戶和服務器簽發(fā)證書，管理、維護所簽發(fā)的證書，匯總?cè)到y(tǒng)范圍內(nèi)的用戶證書、設備證書和CRL，并進行統(tǒng)一發(fā)布和維護。CA系統(tǒng)的主要功能包含如下：證書服務功能，包括證書簽發(fā)、證書延期、證書更新、證書的凍結和解凍、證書的掛起和解掛、證書恢復、證書廢除等等。證書和CRL的在線服務功能，包括證書的在線發(fā)布、證書的在線查詢、CRL的在線查詢等等。CA管理功能，CA系統(tǒng)的初始化、CA的日常管理、管理其它運行的子系統(tǒng)、管理CA系統(tǒng)的管理員等等。OCSP服務功能，為用戶提供在線證書狀態(tài)查詢服務。支持HTTP，CMP等國際標準的OCSP服務方式，OCSP協(xié)議支持OCSPv1及OCSPv2。證書策略服務功能，保存整個CA系統(tǒng)的證書及所有的證書策略。采用統(tǒng)一數(shù)據(jù)中心一方面可以對數(shù)據(jù)進行統(tǒng)一管理，另一方面也可以方便的數(shù)據(jù)進行備份。用戶服務功能，包括個人證書管理服務、證書到期更新通知服務、用戶證書統(tǒng)計報表服務、用戶服務功能的擴展等等。日志服務功能，包括記錄系統(tǒng)中所發(fā)生各種事件、實時統(tǒng)計和分析發(fā)卡數(shù)量、日志的查詢和審計、統(tǒng)計報表輸出、日志備份等等。報表統(tǒng)計功能，包括證書統(tǒng)計功能和RA統(tǒng)計功能。應用開發(fā)功能，提供豐富的應用開發(fā)接口，包括SPKMAPI、SDKAPI、CryptoAPI、OCSPAPI等等。CA系統(tǒng)設計特點安全性各子系統(tǒng)之間通訊采用SPKM的協(xié)議，安全性高人員管理采用分權的管理機制易用性采用向?qū)降南到y(tǒng)部署方式采用友好的純中文的WEB界面的管理方式，方便對系統(tǒng)進行管理兼容性支持第三方的密鑰管理中心支持各種標準的第三方RA系統(tǒng)采用標準的OCSP協(xié)議，支持第三方的OCSP客戶端應用證書采用標準的X.509v3格式，采用標準的LDAPv2目錄訪問協(xié)議，支持各種第三方的PKI應用支持標準的交叉認證協(xié)議，可以和第三方的信任體系實現(xiàn)互通。支持標準的時間戮服務協(xié)議，可以為所有應用（包括第三方應用）提供安全的時間戮服務?？蓴U展性系統(tǒng)采用組件化的設計，各子系統(tǒng)可以在不影響原有系統(tǒng)的前提下對其方便的擴展。體系結構的可擴展性，支持分步式、多層信任體系，支持多級CA，支持邏輯CA容量的可擴展性，目錄服務支持一主多從的分步式結構支持多種數(shù)字證書支持個人用戶證書、設備證書、機構證書、代碼簽名證書、服務器證書穩(wěn)定性能夠承受上百證書申請持續(xù)的并發(fā)訪問而持續(xù)穩(wěn)定運行支持多種發(fā)證形式支持批量發(fā)證和在線申請證書可維護性提供自動的管理功能，如系統(tǒng)的備份。備份和恢復過程支持系統(tǒng)恢復至故障點，出現(xiàn)故障或災難時，目錄、證書和策略庫可以方便恢復至正常狀態(tài)。高效性較快響應證書生成等證書服務請求可運行于眾多平臺之上IBMAIX、SUNSolaris、WindowsNT/2000、Linux、HPUnix、DEC等；RA系統(tǒng)設計RA系統(tǒng)服務結構設計注冊中心（RA）系統(tǒng)的組成結構包括RA服務器、數(shù)據(jù)庫服務器等，另外作為RA中心與外界的交互點，RA中心需要配置各種管理/控制操作終端，以完成注冊、審核、發(fā)證、管理、審計等操作。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s14注冊中心（RA）系統(tǒng)結構圖1、RA服務器是RA中心的核心服務系統(tǒng)，在整個CA系統(tǒng)中，起到承上啟下的作用。主要提供證書信息注冊服務、信息審核服務、證書下發(fā)服務、證書管理服務、RA管理服務。同時，還負責制定和管理RA策略，包括RA管理策略、RA流程制定等等。2、數(shù)據(jù)庫服務器RA中心的數(shù)據(jù)庫服務器負責存儲RA系統(tǒng)中的所有數(shù)據(jù)信息，包括各種證書的請求信息、證書信息、用戶信息、策略信息和系統(tǒng)日志信息等等。3、RA管理終端RA管理終端包括：注冊終端、審核終端、發(fā)證終端、管理終端和審計終端等，各分管系統(tǒng)管理員利用各終端持卡登錄系統(tǒng)進行管理，根據(jù)具體情況可合并上述管理終端，如審核/發(fā)證可以是一臺終端，管理終端可以與其它終端共用。注冊終端對應注冊操作員。通過插入注冊操作員USBKEY，服務器通過對操作員證書的認證后，注冊操作員才有權進行注冊操作。審核終端對應審核操作員。通過插入審核操作員USBKEY，服務器通過對操作員證書的認證后，審核操作員才有權進行審核操作。發(fā)證終端對應發(fā)證操作員。通過插入發(fā)證操作員USBKEY，服務器通過對操作員證書的認證后，發(fā)證操作員才有權進行發(fā)證操作。管理終端對應RA管理員。通過插入RA管理員USBKEY，服務器通過對管理員證書的認證后，RA管理員才有權進行管理操作。審計終端對應審計管理員。通過插入審計管理員USBKEY，服務器通過對管理員證書的認證后，審計管理員才有權進行管理操作。系統(tǒng)功能設計注冊中心（RA）系統(tǒng)的功能主要是完成用戶證書的注冊申請等功能。此外，還可以對用戶資料進行管理和維護，提供定義靈活的證書申請、審核流程。建立注冊中心（RA）系統(tǒng)，除了可以滿足數(shù)字證書系統(tǒng)網(wǎng)上應用的證書需求外，還可以提供對于操作員不同操作權限的控制及保證系統(tǒng)中要求的對未來系統(tǒng)結構的擴展支持。其功能設計如下：用戶管理功能，包括用戶注冊、用戶注銷、用戶更新、用戶查看等等。證書管理功能，包括證書申請、證書簽發(fā)、證書廢除、證書凍結、證書解凍、證書更新、證書恢復、證書信息查看、證書審核等等。個人證書管理功能，包括自己證書廢除、自己證書更新、自己證書掛起、自己證書解掛等等。RA人員管理功能，添加人員、刪除人員、修改人員、查看人員、審核人員管理操作等等。系統(tǒng)管理功能，查看日志、查看統(tǒng)計信息、備份數(shù)據(jù)、恢復數(shù)據(jù)、設置RA策略等等。權限管理功能，為RA管理員和操作員分配權限，并提供權限維護功能，包括增加權限、修改權限、注銷權限等等?！皯瓒儭钡腞A系統(tǒng)設計優(yōu)勢本方案設計中使用的RA系統(tǒng)具有如下特點：充分的用戶化定制開發(fā)能力：根據(jù)項目建設需求和對今后應用前景的分析，本方案提供的RA系統(tǒng)具有強大的客戶化定制開發(fā)能力，雖然客戶化定制開發(fā)能力不是一項具體的業(yè)務功能，但對于用戶來說，RA系統(tǒng)能否快速的適應用戶的業(yè)務變化、能否顯著的縮短建設周期，將是決定業(yè)務成敗的關鍵；強大的RA管理功能：包括信息統(tǒng)計、機構管理、人員管理功能等；對物理分級和邏輯分級的靈活支持：可以支持多級的物理RA機構，在每個物理RA機構內(nèi)部，又可以支持多級的邏輯RA機構。安裝和部署過程的簡化：全部安裝自動進行，不需要人工干預；部署過程更加簡單、安全；本方案中的RA系統(tǒng)架構設計充分考慮了南空司令部自建數(shù)字證書系統(tǒng)RA中心多樣化的定制建設需求，從以下幾個方面實現(xiàn)“應需而變”的目標：業(yè)務流程定義：RA系統(tǒng)的業(yè)務流程是完全通過配置文件進行定義的，在用戶業(yè)務流程發(fā)生變更的情況下，可以通過調(diào)整配置文件迅速的適應業(yè)務流程變更。如：證書的廢除原來可以直接執(zhí)行，現(xiàn)在需要改為申請－>審核->執(zhí)行的過程，這可以非常簡單的通過修改兩個配置文件（證書狀態(tài)機配置文件和證書業(yè)務配置文件）來實現(xiàn)。業(yè)務數(shù)據(jù)項定義：RA系統(tǒng)的業(yè)務數(shù)據(jù)項在只需要在系統(tǒng)的兩端進行定義，一個是最前端的頁面，另一個是最后端的數(shù)據(jù)庫。在業(yè)務數(shù)據(jù)項發(fā)生變化的情況下，只需要修改JSP頁面和數(shù)據(jù)庫字段，這類工作甚至系統(tǒng)管理員就可以完成。用戶界面定制：RA系統(tǒng)的用戶界面采用了商業(yè)化的成熟的WEB控件。用戶界面的布局、風格等可以通過少量的定制開發(fā)快速變更，迅速適應用戶要求?；緲I(yè)務功能定制：RA系統(tǒng)的將基本業(yè)務功能分解為“原子業(yè)務”。通過組合這些“原子業(yè)務”可以快速實現(xiàn)新的基本業(yè)務，對于更特殊的業(yè)務也可以通過繼承、重載原有的“原子業(yè)務”或增加新的“原子業(yè)務”來實現(xiàn)。目錄發(fā)布與查詢服務系統(tǒng)設計證書發(fā)布與查詢服務系統(tǒng)是PKI體系的重要組成部分，在認證中心系統(tǒng)建設中必不可少，本章介紹完整的證書發(fā)布與查詢服務系統(tǒng)設計的思路、結構、功能?；径x證書發(fā)布與查詢服務系統(tǒng)設計主要與LDAP和OCSP協(xié)議相關(本項目中業(yè)務系統(tǒng)不需要實時的證書狀態(tài)查詢，即OCSP查詢方式；因此再下面將不做介紹)。LDAP（LightweightDirectoryAccessProtocol）輕量級目錄訪問協(xié)議，簡化了笨重的X.500目錄訪問協(xié)議，并且在功能性、數(shù)據(jù)表示、編碼和傳輸方面都進行了相應的修改。1993年7月，第一個LDAP規(guī)范是由密歇根大學開發(fā)的，也就是RFC1487。LDAP的開發(fā)者們簡化了笨重的X.500目錄訪問協(xié)議，他們在功能性、數(shù)據(jù)表示、編碼和傳輸方面做了改建。目前，LDAP的版本是第3版本，相對以前版本來說，3版本在國際化、提名、安全、擴展性和特性方面更加完善。1997年，第3版本成為因特網(wǎng)標準。目前，LDAPv3已經(jīng)在PKI體系中被廣泛應用于證書信息發(fā)布、CRL信息發(fā)布、CA政策以及與信息發(fā)布相關的各個方面。這里提到的證書發(fā)布與查詢服務系統(tǒng)中的目錄服務是軟件、硬件、策論以及管理的集合體。系統(tǒng)功能設計本方案設計的證書發(fā)布與查詢系統(tǒng)支持證書和CRL列表的在線發(fā)布及狀態(tài)查詢服務。具體包括：發(fā)布和更新認證中心中心簽發(fā)的數(shù)字證書；發(fā)布和更新認證中心中心簽發(fā)的證書作廢列表CRL；向外提供公鑰數(shù)字證書的在線查詢認證服務；向外提供證書作廢列表CRL的在線查詢認證服務；證書和CRL在線服務功能證書和CRL在線服務功能如下：證書的在線發(fā)布；CA可以對證書進行在線發(fā)布。每當簽發(fā)服務器在簽發(fā)一個用戶證書完成后，簽發(fā)服務器會同時將證書放入目錄服務器中，以供用戶查詢。因此，用戶在下載證書時可以使用在線的方式獲取自己的證書，同時可以在CA中心對外服務的目錄服務器中查詢其它用戶的證書。證書的在線查詢；CA的證書查詢功能主要采用LDAP協(xié)議。CA系統(tǒng)簽發(fā)證書后，將用戶的證書發(fā)布到系統(tǒng)的主目錄服務器中，然后利用目錄服務器的自動映射功能，將用戶的證書發(fā)布到從目錄服務器中，以供用戶在線查詢證書。CRL的在線查詢；CA在目錄服務器系統(tǒng)中發(fā)布CRL，因此用戶可以通過在線方式實現(xiàn)對CRL的查詢。CFCA的系統(tǒng)中采用了CRL分布點技術，當用戶選擇下載CRL進行查詢時，下載的信息并不是南空司令部業(yè)務系統(tǒng)應用CA中心CRL的全部，只是其中的一個子集，大大地減少了信息量，提高了查詢的速度，降低了網(wǎng)絡的負擔。證書在線狀態(tài)查詢。由于CA注銷表是周期性簽發(fā)，并非是實時的，即使其周期特別短，在對證書狀態(tài)實時性要求比較高的應用中，CRL驗證并不能夠滿足需求。CA提供對證書在線狀態(tài)查詢協(xié)議的支持，用戶可以通過標準的證書狀態(tài)查詢接口來獲取證書有效性的檢查結果，任何證書的作廢能即時反映到OCSP中。OCSP服務功能OCSP服務子系統(tǒng)為用戶提供在線證書狀態(tài)查詢服務。認證中心的OCSP服務子系統(tǒng)可以使用CA證書或擁有授權的專用OCSP證書為用戶簽發(fā)標準的OCSP響應。該響應對應唯一的OCSP請求并給出所請求證書的狀態(tài)。本方案設計中，采用CFCA自主研發(fā)的OCSP服務子系統(tǒng)來實現(xiàn)南空司令部認證中心的證書在線狀態(tài)查詢。該產(chǎn)品支持HTTP、CMP等國際標準的OCSP服務方式，OCSP協(xié)議支持OCSPv1及OCSPv2。CFCA的OCSP服務子系統(tǒng)備有密碼模塊，可以對查詢請求信息的簽名進行驗證，并負責對查詢結果進行簽名。具體功能說明如下：證書狀態(tài)查詢提供查詢證書的狀態(tài)，確認證書的權威性及目前的狀態(tài)情況。支持大容量并發(fā)訪問采用“調(diào)度－服務”模式、排隊機制及負載均衡機制，支持多用戶并發(fā)。分布式服務分布方式發(fā)布服務和同步數(shù)據(jù)，各個系統(tǒng)進行數(shù)據(jù)同步，更加快捷的為用戶提供服務。日志記錄在日志系統(tǒng)中記錄相關請求和響應，內(nèi)容包括請求者的身份、請求時間等，并且對響應狀態(tài)進行監(jiān)控，便于系統(tǒng)管理員日后查閱和統(tǒng)計。CFCAOCSP產(chǎn)品自帶主機熱備模塊，支持雙機熱備。產(chǎn)品性能支持400個用戶的請求并發(fā)處理，一次OCSP請求處理時間為20ms。系統(tǒng)安全性設計目錄服務器負責用戶與系統(tǒng)公用信息的發(fā)布，在安全性設計時主要達到以下目標：防止黑客的對數(shù)據(jù)的篡改、刪除；防止未授權管理員對數(shù)據(jù)的篡改、刪除；如果目錄服務器的數(shù)據(jù)遭到侵害，可以及時、有效的恢復所有數(shù)據(jù)。密鑰管理中心設計密鑰管理中心是為整個CA系統(tǒng)提供密鑰服務的關鍵系統(tǒng)，一般由密鑰管理模塊（包括密鑰生成、存儲、分發(fā)、備份、更新、廢除、恢復等等）、密鑰庫管理、認證管理、安全審計系統(tǒng)、密碼服務等模塊組成。KMC的建設目標密鑰按照算法類型可分為對稱密鑰、非對稱密鑰；按照應用類型可分為簽名/驗證密鑰，加密/解密密鑰；按照功能類型可分為：主密鑰、會話密鑰、數(shù)據(jù)加密密鑰、密鑰加密密鑰等。KMC負責這些密鑰從生成到銷毀整個生命期中各個環(huán)節(jié)的安全性。在算法安全的基礎上，攻擊者獲取密鑰的辦法通常是通過密鑰管理中心的設計漏洞直接取得密鑰。密鑰管理中心（KMC）應該做到杜絕攻擊者通過密鑰系統(tǒng)獲取密鑰的可能，也就是說通過對密鑰管理中心的嚴密設計，消除密鑰管理上的漏洞和安全隱患。業(yè)務系統(tǒng)認證中心系統(tǒng)密鑰管理中心（KMC）需要為業(yè)務系統(tǒng)業(yè)務系統(tǒng)提供統(tǒng)一的密鑰管理服務，保證業(yè)務系統(tǒng)認證中心體系中密鑰在生成、保存、備份、傳遞、分發(fā)、使用、更新、恢復、銷毀等整個生命周期中的安全。具體包括：保證根密鑰在生成、備份、保存、使用、更新、銷毀等整個生命周期中的安全。保證CA密鑰在生成、備份、保存、使用、更新、銷毀等整個生命周期中的安全。保證各級CA系統(tǒng)管理員、操作員密鑰的整個生命周期中的安全。保證業(yè)務系統(tǒng)認證中心系統(tǒng)內(nèi)部服務器等設備密鑰在整個生命周期的安全。對于證書，為用戶加密密鑰建立完善的密鑰托管機制，保證用戶密鑰從開始生成、保存、備份更新、分發(fā)、恢復、銷毀等整個生命周期的安全。保證業(yè)務系統(tǒng)認證中心系統(tǒng)業(yè)務應用中的所用用戶密鑰的生成、保存、備份、更新、銷毀等整個生命周期的安全。服務結構設計本方案設計的KMC密鑰管理中心將與CA中心分開單獨建設，密鑰管理中心服務結構如下圖所示：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s17密鑰管理中心服務結構密鑰管理中心系統(tǒng)組成包括：KMC服務器、數(shù)據(jù)庫服務器和加密機，和可用于容災備份的磁盤陣列設計（備選）。１、KMC服務器密鑰管理服務器上運行了密鑰管理中心的主要組件，包括密鑰管理子系統(tǒng)（KMS）和密鑰托管子系統(tǒng)（KES）。密鑰管理子系統(tǒng)利用密鑰服務器負責生成根密鑰對、CA密鑰對、用戶密鑰對，并與密鑰托管區(qū)進行安全通信，可利用數(shù)據(jù)庫系統(tǒng)和磁盤陣列完成對密鑰的備份和保存。密鑰管理終端通過訪問密鑰管理子系統(tǒng)實現(xiàn)對整個密鑰管理系統(tǒng)進行管理和維護。密鑰管理子系統(tǒng)具備密鑰池服務功能，系統(tǒng)可根據(jù)策略預先生成一定數(shù)量的密鑰對并加密保存在密鑰池數(shù)據(jù)庫中；當用戶申請加密證書時，則KMC系統(tǒng)直接使用密鑰池中的密鑰對，以提高系統(tǒng)的服務處理速度。密鑰托管子系統(tǒng)負責加密保存各種用戶密鑰，提供用戶密鑰的備份、恢復、銷毀等服務。該子系統(tǒng)利用密碼服務器生成用戶加密主密鑰，并利用數(shù)據(jù)庫系統(tǒng)加密保存用戶加密密鑰。數(shù)據(jù)備份可采用磁盤陣列備份，需要定期的備份KMC的系統(tǒng)和數(shù)據(jù)，實現(xiàn)了KMC的冗災備份。2、KMC數(shù)據(jù)庫服務器KMC密鑰管理中心的數(shù)據(jù)庫服務器負責存儲KMC中心的所有數(shù)據(jù)，包括各種密鑰信息、密鑰請求信息、系統(tǒng)日志信息等等。3、加密機加密機負責產(chǎn)生、保存和管理KMC系統(tǒng)中的各種密鑰，同時，采用通信證書保證KMC與其它設備通信的安全性。4、KMC管理控制臺控制臺提供給KMC管理員使用，系統(tǒng)管理以B/S結構提供，管理員可通過WEB方式登錄KMC系統(tǒng)，完成系統(tǒng)管理和維護。安全結構設計KMC密鑰管理系統(tǒng)結構安全從以下三個方面保證：使用密碼服務系統(tǒng)保證密鑰的安全，CFCA密鑰管理中心（KMC）中的加密模塊，支持業(yè)界加密標準PKCS＃11，支持目前所有主流加密機（SJY36，SJY42，SJY15，SJY05等）。；采用防火墻將密鑰管理中心隔離成一個單獨的網(wǎng)段，設置訪問控制策略，保證密鑰管理中心的安全，所有的密鑰服務必須通過密鑰服務模塊完成；在管理方面，所有重要的密鑰管理操作，如密鑰更新、銷毀等，需要半數(shù)以上的管理員同時在場插入管理員卡才能完成。證書安全應用平臺建設安全應用平臺是使用（CA）系統(tǒng)簽發(fā)的不同種類和類型證書的為各類應用提供安全支撐的集合服務平臺，它為認證中心簽發(fā)的證書提供多種應用模式支撐，以滿足應用系統(tǒng)中不同的安全需求；通過對證書安全應用平臺中的安全產(chǎn)品靈活組合和配置，可以實現(xiàn)不同安全等級、不同靈活程度對安全身份認證、私密性、不可否認性、CRL檢查等安全方面的需求。全面的PKI理解應包括四個方面（如下圖）：PKI技術支撐平臺PKI基礎部件平臺PKI證書應用平臺PKI的應用圖表STYLEREF1\s4SEQ圖表\*ARABIC\s18PKI平臺示意圖證書安全應用平臺分析建立統(tǒng)一的證書安全應用平臺，制定統(tǒng)一的應用安全策略，可以彌補系統(tǒng)中存在的安全漏洞，使不同的系統(tǒng)運行于一種統(tǒng)一的，標準的，安全的環(huán)境中，對用戶屏蔽不同系統(tǒng)造成的差異，提供統(tǒng)一的安全服務，使整個系統(tǒng)更加協(xié)調(diào)，從而推進整個應用系統(tǒng)的進一步實施，使系統(tǒng)更好的發(fā)揮其作用，更好的為用戶提供各種服務。統(tǒng)一證書安全應用平臺不僅是一個運行平臺、一個管理平臺，而且還是一個開發(fā)平臺。利用該平臺，開發(fā)人員可以方便地完成安全應用的二次開發(fā)。從最終用戶的角度看，應用層要實現(xiàn)高水準的信息安全，除了安全系統(tǒng)本身在常規(guī)安全功能，包括ISO7498-2中提出的五大安全功能（即身份認證、訪問控制、數(shù)據(jù)機密性、數(shù)據(jù)完整性和抗否認），加上安全審計和安全管理，及這些功能的實現(xiàn)機制方面要達到一定安全水準外，安全系統(tǒng)與應用系統(tǒng)的結合風險必須考慮。為了把兩者結合過程對安全水準的影響降到最低點，保證結合后的系統(tǒng)達到安全系統(tǒng)提供的最高安全水準。證書安全應用平臺建設原則面對諸多應用系統(tǒng)中各種各樣的應用服務、各種各樣的服務架構、各種各樣的服務平臺，建設統(tǒng)一應用安全平臺的目的就在于為這些不同的應用系統(tǒng)提供一個統(tǒng)一的、集成的安全平臺，通過統(tǒng)一的策略管理為應用系統(tǒng)提供統(tǒng)一的安全服務，保證信息在傳輸過程中的保密性和完整性，讓正確的人進入和訪問被授權的應用和數(shù)據(jù)。建立這樣一個安全平臺必須遵循以下原則：安全平臺的通用性統(tǒng)一應用安全平臺作為一種平臺必須能容納不同的應用服務，為不同應用系統(tǒng)提供統(tǒng)一的安全服務，為用戶提供統(tǒng)一的訪問入口。安全服務的特殊性由于應用存在多樣性，特殊性，不可能用一種安全技術實現(xiàn)所有應用的安全，安全應用平臺除了提供通用的安全外，必須能夠為提供符合應用的特殊安全保護。安全的標準性在統(tǒng)一應用安全平臺的基礎上，需制定出一系列應用安全建設的標準，統(tǒng)一規(guī)范和指導應用安全的建設。安全服務的立體性應用系統(tǒng)的安全保護是一個全方位的，立體性的，僅在一點或一個層面上實現(xiàn)安全只是局部的安全，不能滿足真正安全的需要。安全應用平臺必須能在多層面上為應用提供安全服務。系統(tǒng)的可擴展性任何安全系統(tǒng)都不可能提供一勞永逸的安全保障，隨著技術的發(fā)展，安全問題也層出不窮，因此，安全應用平臺必須具有可擴展性，可以動態(tài)的為應用提供安全保障。安全服務的透明性安全平臺所提供的安全服務盡可能做到對應用是透明性的，無縫的提高原有應用系統(tǒng)的安全等級。安全服務的可配置性在應用系統(tǒng)中，不同的應用系統(tǒng)可能需要不同的安全服務，安全平臺所提供的安全服務必須可以根據(jù)不同應用系統(tǒng)的需要進行動態(tài)配置。應用接口的規(guī)范化應用安全平臺必須向應用系統(tǒng)提供規(guī)范化的應用接口，不同的應用系統(tǒng)通過這些規(guī)范化接口能夠很容易地使用各種安全服務。該接口的定義必須經(jīng)過規(guī)范化設計，今后在進行安全服務的升級或替換過程中，只要保證接口不變，就可以在不改變系統(tǒng)結構的同時，實現(xiàn)系統(tǒng)功能的動態(tài)升級。證書應用安全平臺框架應用安全的兩個核心問題是信任與授權。從具體來看，信任包含了以下的內(nèi)容：實體鑒別：鑒別對等的實體是你所期望的實體；信息的私密性：信息內(nèi)容不會被不期望的實體所獲得；信息的完整性：信息內(nèi)容被不期望的實體篡改是可以被發(fā)現(xiàn)和驗證的；行為的不可抵賴性：實體事后不可否認其執(zhí)行過的行為。CFCA在對應用系統(tǒng)安全現(xiàn)狀的深入分析基礎上，結合PKI基礎設施提出了統(tǒng)一應用安全平臺的解決方案，可以較好的解決目前國內(nèi)各類信息系統(tǒng)的安全加固問題。統(tǒng)一的應用安全平臺的“統(tǒng)一”體現(xiàn)在以下幾個方面：不同的應用系統(tǒng)可以采用統(tǒng)一的模式進行安全加固；不同的應用系統(tǒng)可以使用統(tǒng)一的安全服務；不同的應用系統(tǒng)可以采用統(tǒng)一的用戶管理和資源管理；統(tǒng)一的應用安全平臺的“平臺”體現(xiàn)在以下幾個方面：是一個開發(fā)平臺：可以在此基礎上構建和使用可信的服務；是一個運行平臺：各類應用的安全加固處理在此平臺上運行；是一個管理平臺：各類應用的安全管理可以在此平臺上進行。本方案中主要結合CFCASSL證書認證網(wǎng)關、證書應用開發(fā)包等產(chǎn)品，提供證書應用平臺的建設。證書安全應用平臺主要技術加密技術加密技術是證書安全應用平臺采取的主要安全措施,它可根據(jù)需要在信息交換的階段使用。目前,加密技術分為兩類,即對稱加密和非對稱加密。對稱加密/對稱密鑰加密/專用密鑰加密在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理,每個信息交換方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進行信息交換方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發(fā)送摘要或散列值來實現(xiàn)。對稱加密技術存在著在信息交換之間確保密鑰安全交換的問題。此外,如當某一通信方有"n"個信息交換關系,那么他就要維護"n"個專用密鑰(即每把密鑰對應一通信方)。對稱加密方式存在的另一個問題是無法鑒別信息交換發(fā)起方或信息交換最終方。因為信息交換雙方共享同一把專用密鑰,信息交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。RC2/RC4/RC5方法是RSA數(shù)據(jù)安全公司的對稱加密專利算法。RC2/RC4/RC5不同于DES,它們采用可變密鑰長度的算法。通過規(guī)定不同的密鑰長度,RC2/RC4/RC5能夠提高或降低安全的程度。非對稱加密/公開密鑰加密 在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機密性的加密,專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的通信方掌握,公開密鑰可廣泛發(fā)布,但它只對應于生成該密鑰的通信方。 通信方利用該方案實現(xiàn)機密信息交換的基本過程是:如模擬一個商務交易，貿(mào)易方產(chǎn)生成一對密鑰并將其中的一把作為公開密鑰向其它貿(mào)易方公開;得到該公開密鑰的貿(mào)易方乙使用該密鑰對機密信息進行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把專用密鑰對加密后的信息進行解密。貿(mào)易方甲只能用其專用密鑰解密由其公開密鑰加密后的任何信息。 RSA(即Rivest,ShamirAdleman)算法是非對稱加密領域內(nèi)最為著名的算法,但是它存在的主要問題是算法的運算速度較慢。因此,在實際的應用中通常不采用這一算法對信息量大的信息(如大的EDI交易)進行加密。對于加密量大的應用,公開密鑰加密算法通常用于對稱加密方法密鑰的加密。密鑰管理技術對稱密鑰管理 對稱加密是基于共同保守秘密來實現(xiàn)的。采用對稱加密技術的信息交換雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設定防止密鑰泄密和更改密鑰的程序。這樣,對稱密鑰的管理和分發(fā)工作將變成一件潛在危險的和繁瑣的過程。通過公開密鑰加密技術實現(xiàn)對稱密鑰的管理使相應的管理變得簡單和更加安全,同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。公開密鑰管理/數(shù)字證書 在信息交換過程種可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰。國際電信聯(lián)盟(ITU)制定的標準X.509(即信息技術--開放系統(tǒng)互連--目錄:鑒別框架)對數(shù)字證書進行了定義該標準等同于國際標準化組織(ISO)與國際電工委員會(IEC)聯(lián)合發(fā)布的ISO/IEC9594-8:195標準。數(shù)字證書通常包含有唯一標識證書所有者(即貿(mào)易方)的名稱、唯一標識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。證書發(fā)布者一般稱為證書管理機構(CA),它是貿(mào)易各方都信賴的機構。數(shù)字證書能夠起到標識貿(mào)易方的作用,是目前廣泛采用的技術之一。微軟公司的InternetExplorer3.0和網(wǎng)景公司的Navigator3.0以上版本都提供了數(shù)字證書的功能來作為身份鑒別的手段。數(shù)字簽名 數(shù)字簽名是公開密鑰加密技術的另一類應用。它的主要方式是:報文的發(fā)送方從報文文本中生成一個128位的散列值(或摘要)。發(fā)送方用自己的專用密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名。然后,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值(或摘要),接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同,那么接收方就能確認該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。ISO/IECJTC1已在起草有關的國際標準規(guī)范。Internet主要的安全協(xié)議 SSL(安全槽層)協(xié)議是由Netscape公司研究制定的安全協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。該協(xié)議通過在應用程序進行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關安全特性的審查。在SSL握手信息中采用了DES、MD5等加密技術來實現(xiàn)機密性和數(shù)據(jù)完整性,并采用X.509的數(shù)字證書實現(xiàn)鑒別。該協(xié)議已成為事實上的工業(yè)標準,并被廣泛應用于Internet和Intranet的服務器產(chǎn)品和客戶端產(chǎn)品中。如Netscape公司、微軟公司、IBM公司等領導Internet/Intrnet網(wǎng)絡產(chǎn)品的公司已在使用該協(xié)議。SSL安全網(wǎng)關產(chǎn)品CFCA的安全認證網(wǎng)關（后面簡稱：CFCASSL網(wǎng)關）是一臺網(wǎng)關型SSL硬件設備。在應用中，CFCASSL網(wǎng)關將應用服務器隔離在一個獨立的安全應用網(wǎng)段，用戶不通過CFCASSL網(wǎng)關認證，就無法訪問其保護的應用系統(tǒng)。CFCASSL網(wǎng)關適用于B/S和C/S的網(wǎng)絡架構，實現(xiàn)用戶與應用服務器之間的安全傳輸和身份認證。CFCASSL網(wǎng)關支持的客戶端軟件包括：InternetExplorer(5.0以上版本)CFCASSL客戶端代理軟件（在C/S的網(wǎng)絡架構中或者在客戶端使用硬件證書設備時使用）CFCASSL網(wǎng)關為服務器端和用戶客戶端間建立基于數(shù)字證書的最高強度為128位加密安全鏈接，實現(xiàn)客戶端和服務器之間數(shù)據(jù)傳輸安全和用戶身份的有效認證。CFCASSL網(wǎng)關支持用戶支持硬件證書介質(zhì)（IC卡，USBKey等），通過IE和CFCASSL客戶端軟件來使用CFCASSL網(wǎng)關。產(chǎn)品架構CFCASSL網(wǎng)關產(chǎn)品支持標準的SSL2.0/3.0/TLS協(xié)議，通過對數(shù)字證書的驗證實現(xiàn)用戶身份認證和加密通信。產(chǎn)品基本功能產(chǎn)品基本功能說明模塊名稱功能描述備注SSL服務模塊支持SSLv2.0/v3.0和TLS1.1支持多個SSL服務，每個SSL服務可以綁定不同的設備證書支持強制SSL通信加密強度支持第三方加密算法替換，需要SSL客戶端代理同時支持證書管理支持標準X509v3數(shù)字證書支持CFCA屬性證書支持多個證書信任鏈管理WEB管理模塊支持加密的WEB管理支持管理員管理SSL服務進程的自動啟動、停止、啟動、重啟綁定證書信息配置支持SSL協(xié)議端口配置支持受保護應用服務器IP地址和端口配置支持WEB重定向功能管理員權限控制網(wǎng)絡直通，支持HTTP直接訪問業(yè)務主機支持手工升級簡單防火墻模塊包過濾防火墻策略配置網(wǎng)絡管理模塊NAT功能網(wǎng)絡基本信息（網(wǎng)卡）配置功能CRL管理模塊CRL下載CRL驗證日志管理模塊訪問日志信息管理訪問日志實時顯示設備證書請求模塊設備證書請求，生成PKCS＃10數(shù)據(jù)格式的證書請求設備證書私鑰安全存儲雙機熱備模塊支持雙機熱備功能支持硬件加密卡支持SSL加速卡限CFCASSL網(wǎng)關G系列產(chǎn)品系統(tǒng)備份模塊系統(tǒng)配置信息備份系統(tǒng)配置備份信息導入接口模塊支持CFCA信息安全審計中心（SAC）支持CFCA權限管理系統(tǒng)模塊（PMS）產(chǎn)品特點高速度CFCASSL網(wǎng)關采用專門加密設備，連接過程中的加解密運算由專門的加密卡完成，并不消耗服務器的CPU，這樣大大的提高了處理速度。CFCASSL網(wǎng)關獨立于web服務器，極大的減少了web服務器的CPU消耗，這樣會大量增加服務器所能承受的用戶并發(fā)點擊數(shù)。功能強大通過證書信息捆綁使WEB服務器上層應用能夠方便地獲取客戶信息；支持綁定證書的擴展項信息；支持站點或連接的重定向；支持用戶訪問信息的審計接口；一臺SSL網(wǎng)關能夠啟動多個SSL服務，這樣可以為多個WEB服務實現(xiàn)安全連接和身份認證功能。一臺SSL網(wǎng)關有多個網(wǎng)卡設備，可以實現(xiàn)網(wǎng)絡隔離，將WEB服務置于專門的內(nèi)部網(wǎng)絡中，外部用戶無法直接訪問WEB服務，進一步的增加了WEB服務的安全性。備份/恢復功能，備份當前SSL的所有配置，保證系統(tǒng)癱瘓時的快速恢復。在實現(xiàn)網(wǎng)絡隔離增強WEB服務器安全性的同時，提供網(wǎng)絡直通模塊，讓WEB服務器和外界網(wǎng)絡在某些端口進行必要的通訊；提供屬性證書服務，能夠?qū)崿F(xiàn)一證通的功能，可使WEB應用獲取訪問者的用戶證書對應屬性證書的相關屬性信息；可靠性設備本身平均故障間隔時間<30分鐘/年，產(chǎn)品還提供雙機熱備的功能，保證產(chǎn)品從不停止運行。自身安全性采用硬件加密卡，自身站點證書密鑰均保存在加密卡內(nèi)部，無法導出；本身也內(nèi)嵌了防火墻，充分考慮自身的安全。標準的SSL協(xié)議CFCASSL網(wǎng)關兼容標準的SSL協(xié)議。管理配置的方便性CFCASSL網(wǎng)關提供WEB方式的配置，操作方便。加密算法多樣性既支持多種高強度通用加密算法，也支持國家密碼管理機構認可加密算法。應用的透明性和兼容性對WEB應用來說，CFCASSL網(wǎng)關無縫的與WEB應用連接，并不需要WEB應用為CFCASSL網(wǎng)關做特別的定制。因為CFCASSL網(wǎng)關對應用透明，所以對各種Web服務器都兼容。擁有廣泛的客戶群體CFCASSL網(wǎng)關已成熟應用于國家政府部門、Internet服務供應商（ISP）、WEB站點、網(wǎng)上銀行和網(wǎng)上證券等?？蛻舳薃PI接口開發(fā)包基本功能產(chǎn)品基本功能說明名稱描述備注初始化接口是否要驗證簽名數(shù)據(jù)的證書驗證證書的方式(CRL或者OCSP方式，可復選)服務接口驗證數(shù)字簽名身成數(shù)字簽名使用環(huán)境提供JavaBean接口開發(fā)包提供C++接口開發(fā)包應用開發(fā)包 CFCA為便于用戶的開發(fā)使用，還提供了多種應用產(chǎn)品的接口開發(fā)包：應用產(chǎn)品開發(fā)包 應用產(chǎn)品開發(fā)包，主要針對CFCA的應用安全產(chǎn)品進行的二次開發(fā)，所提供的API級的開發(fā)包。它包括：RA開發(fā)包 提供RA系統(tǒng)的開發(fā)包，提供RA證書管理和CA安全通信功能；使用該開發(fā)包可以定制基于南空司令部認證中心中RA系統(tǒng)的安全接入應用（如網(wǎng)上銀行等）。SSL客戶端開發(fā)包 提供SSLClient的通信功能和證書管理功能API。數(shù)字簽名開發(fā)包 提供數(shù)字簽名客戶端和服務端產(chǎn)品調(diào)用接口API說明和數(shù)字簽名客戶端二次開發(fā)函數(shù)。OCSP客戶端開發(fā)包 提供OCSPClient查詢證書狀態(tài)功能的API時間戳服務開發(fā)包 提供時間戳服務軟件開發(fā)包安全郵件客戶端開發(fā)包 提供安全郵件客戶端的軟件開發(fā)包。VPN客戶端開發(fā)包 提供VPN客戶端軟件開發(fā)包 以上開發(fā)包工具和開發(fā)文檔，將在中標后由CFCA提交南空司令部使用。證書開發(fā)包CFCA證書認證中心（CA）產(chǎn)品除了提供證書外，還提供不同的證書應用開發(fā)包。CFCAPKISDK(KPSDK)是基于PKI技術的證書開發(fā)包，為應用程序開發(fā)者提供一套完整的應用安全接口。應用軟件開發(fā)者不需要了解安全實現(xiàn)具體細節(jié)，只需使用PKISDK就可以方便地為應用系統(tǒng)實現(xiàn)基于PKI技術的安全保障機制。CFCAPKISDK(KPSDK)中相關的證書開發(fā)包包括：證書SDK開發(fā)包證書有效期驗證證書CRL驗證證書簽名驗證證書鏈驗證CRL下載開發(fā)包CRL的下載數(shù)字簽名SDK開發(fā)包數(shù)字簽名驗證用戶證書驗證（有效期，證書簽名，證書鏈驗證）CRL驗證應用系統(tǒng)通過使用上述開發(fā)包，可以實現(xiàn)完整的證書認證方式。產(chǎn)品架構CFCASDK完全按照PKCS#11標準開發(fā)。為上層應用提供了加密、證書管理、密鑰管理和作廢證書表管理的基本功能。支持USB智能密碼鑰匙等多種軟硬件密碼模塊。密碼模塊能夠?qū)崿F(xiàn)密鑰對的產(chǎn)生，私鑰簽名等功能，從而使得私鑰永不離開硬件設備，更好地保護了私鑰的安全。各種應用程序通過CFCASDK提供的PKCS#11標準接口使用不同的加密設備完成各種密碼運算。各種信息安全產(chǎn)品，都可以基于該模塊為應用提供安全服務。從而為安全系統(tǒng)的擴展提供了良好的基礎，