湖南CA证书应用集成实施指南.doc

证书应用开发集成实施指南证书应用开发集成实施指南湖南省数字认证服务中心有限公司2013年1月第 14 页 共 14 页版权信息本文的版权属于湖南省数字认证服务中心有限公司，未经许可，任何个人和团体不得转载、粘贴或发布本文，也不得部分的转载、粘贴或发布本文，更不得更改本文的部分词汇进行转贴。未经许可不得拷贝，影印。Copyright 2013 湖南省数字认证服务中心有限公司文档版本日 期作 者版 本备 注2012-5-23王俊V1.02013-1-16王俊V1.1目 录版权信息2目 录31概述32术语表43集成目标44集成内容54.1集成的主要工作内容54.2湖南CA提供以下工作内容55CA身份认证集成方式65.1集成之前的访问流程65.2网关方式简介65.3控件方式简介75.4两种方式的比较76网关方式集成详解86.1网关方式集成改造的访问流程86.2网关方式集成改造的主要步骤96.3网关方式集成改造的访问方式96.4网关方式集成改造的技术要点107控件方式集成详解107.1控件方式集成改造的访问流程107.2SignerX 控件107.3SignerX 控件的注册117.3.1通过安装证书驱动包117.3.2手工安装117.3.3通过网页自动安装127.4SignerX 控件的安装检测128CA数字签名集成方式138.1集成数字签名之后的访问流程138.1.1数据签名集成改造的具体步骤139综合改造的访问流程141 概述证书应用接口是实现证书认证、签名、加密等操作的基本软件模块。用于实现基于数字证书的身份认证、数字签名和数据加密。本文档用于描述证书应用接口与应用系统之间的部署集成方式、处理流程等内容，从而为应用系统实现安全登录、表单签名等具体证书应用功能。本文档作为工程实施指导文档，供应用系统主管单位和开发单位使用。2 术语表l 数字证书（Certificate）：数字证书中心签发的用于代表实体身份的一段电文。本手册中涉及代表用户身份的用户证书和代表服务端身份的站点证书（服务器证书）。l 数字签名（digital signature）：具有手写签名功能如身份证明的一组电子数据。这些附加在数据单元上的一些数据，或是对数据单元所作的密码变换，允许数据单元的接收者用以确认数据单元的来源和完整性，并保护数据，防止被人（例如接收者）伪造。l SSL协议：Secure Sockets Layer，安全套接层协议层，它是网景（Netscape）公司提出的基于WEB应用的安全协议。l SSL网关：基于数字证书的高强度认证；使用SSL协议对传输信息进行加密；实现有效的访问控制和访问审计的网关设备。l SVS服务器：签名验证服务器(Sign & Verify Server)是一个提供数字签名服务以及对数据验证其数字签名的真实性和有效性的服务器设备。l HTTP：超文本传输协议。l HTTPS（Secure Hypertext Transfer Protocol）:安全超文本传输协议l IE（Internet Explorer）：微软公司提供的网页浏览器。3 集成目标通过证书应用接口的集成工作，可以为应用系统提供功能完备、性能可靠、可扩展性强和易于集成及维护的证书应用服务，确保系统运行的可靠性。具体工作目标如下：l 系统登录的可信性：引入数字证书技术，将现在普遍使用的用户名加口令的认证方式过渡到基于数字证书的安全认证机制，保障系统的高安全性、高可靠性。l 数据完整性及抗抵赖性：对业务过程中的交互数据采用基于数字证书的数字签名，防止数据在传输过程中被非法篡改，并实现操作行为的有效责任认定，为审计核查提供电子证据。l 数据传输的安全性：根据应用系统的具体需求，通过加密技术将敏感信息进行传输加密，实现信息传输的机密性，防止信息明文传输所面临的被非法窃密风险。4 集成内容4.1 集成的主要工作内容1) 证书应用接口部署2) 登录页面改造3) 关键业务处理环节页面改造4) 后台数据库调整修改5) 系统联调测试4.2 湖南CA提供以下工作内容1) 证书应用接口的开发包2) 接口说明文档3) 集成演示Demo4) 证书应用接口集成技术支持5) 协助应用系统开发商完成联调测试工作6) 实际发放给客户的数字证书清单（含证书唯一序列号）5 CA身份认证集成方式5.1 集成之前的访问流程输入用户名和密码提交给WEB服务器浏览器应用服务器读取用户信息进行验证并返回结果集成数字证书之前，用户通常是通过浏览器（或其它客户端软件），输入用户名和密码，对应用服务器发出登录请求，应用服务器获取用户名和密码，进行登录操作，然后返回登录结果。集成数字证书，指的是，对应用系统进行改造，使用湖南CA提供的数字证书进行身份认证；可以视用户需求，在原有的基础上保留或取消用户名和密码的身份认证方式，增加数字证书的认证方式。湖南CA对证书应用提供了多种集成方式，目前应用最广泛的主要是控件方式和网关方式，各有优缺点，用户可以根据实际情况进行选择。5.2 网关方式简介所谓网关方式，指的是添加一台湖南CA提供的SSL网关设备，与集成之前相比，用户不直接访问应用服务器，而是访问采用了代理（proxy）应用模式的SSL网关，即网关对所有经过的网络流量都进行处理，然后传递给被保护的服务器。网关验证证书信息成功将请求转发给WEB服务器SSL网关应用服务器HTTPS方式请求网关浏览器自动读取证书并发送证书信息浏览器5.3 控件方式简介所谓控件方式，指的是在浏览器（或客户端程序）中嵌入湖南CA提供的ActiveX安全控件（安装在用户计算机中），然后使用JavaScript或VBScript等语言调用控件中的接口函数，读取证书信息，然后以表单的方式将证书信息提交给WEB应用服务器，再由应用服务器对证书信息进行验证。读取提交的表单信息对证书信息进行验证应用服务器浏览器加载ActiveX控件利用ActvieX控件中的函数读取证书信息，并通过表单提交5.4 两种方式的比较网关方式在集成数字证书身份认证的过程中，网关方式是湖南CA推荐的集成方式，使用此方式仅需增加一台SSL网关设备，对于需要身份认证的页面，使用网关的地址进行访问，无需对应用本身进行大的修改，由于是采用SSL网关和HTTPS协议进行访问，与控件方式相比，访问速度更快、安全性更高，对现有应用系统所需要做的修改更少，但是成本略高。控件方式控件方式需要每个用户都安装一个ActiveX控件，通过JavaScript读取安装在用户电脑中的数字证书，以表单的形式将证书信息提交给应用服务器，再由应用服务器对证书信息进行验证。6 网关方式集成详解6.1 网关方式集成改造的访问流程网关验证证书信息成功将请求转发给WEB服务器SSL网关应用服务器HTTPS方式请求网关浏览器自动读取证书并发送证书信息浏览器SSL网关部署在应用客户端与服务端之间，采用代理（proxy）应用模式，即SSL网关对所有经过的网络流量都进行处理，然后传递给被保护的服务器。集成安全认证网关后的主要访问流程如下：1.用户使用https方式访问网关。2.网关认证用户身份。3.用户输入密码提交数字证书。4.网关验证证书后与用户端建立加密连接。5.用户端将访问请求加密发送到网关。6.网关根据访问控制策略决策是否允许用户访问。7.网关解密后将请求发送到后台服务器端。8.服务端将服务回应发送给网关。9.网关将回应消息加密后发送给用户端。当用户在浏览器中使用HTTPS协议对SSL网关发出请求，会建立SSL连接，此时，浏览器将自动读取用户电脑上的数字证书，通过SSL协议传送给SSL网关；SSL网关根据自身策略配置，进行相应处理，处理成功后，将证书信息添加到Request对象的Headers中或者Cookies中，再将用户的请求转发给应用服务器，应用服务器通过读取Headers或Cookies中的证书信息，将证书的唯一序列号与本地数据库中的用户唯一标识进行匹配，如果成功，则像SSL网关返回处理结果，SSL网关再将结果返回给用户。6.2 网关方式集成改造的主要步骤系统集成改造步骤的主要环节有：用户登录认证、相应数据库调整修改。 用户登录认证（下面详述）：1) 应用系统开发商修改登录页面，并修改网页为证书登录界面；2) 应用系统开发商修改登录提交按钮，通过https协议访问网关服务器；登录认证的后台程序相应修改，从Reuqest.Headers或Reuqest.Cookies中取出客户端提交的认证信息，并对证书进行验证处理；3) 对于系统后台的用户数据库部分，需要在现有数据库中加入用户唯一标识符字段，该用户唯一标识符为数字证书主体可替换名称，用作用户身份与证书的关联项（一般可以采用证书的唯一序列号进行关联）。 相应数据库修改：1) 用户身份标识信息后台数据库关于用户身份信息的表中，需要增加用户唯一标识符字段，作为应用系统中用户的唯一标识，用于登录时与数字证书进行一对一比对。6.3 网关方式集成改造的访问方式集成之前：设备类型外网IP内网IP端口应用服务器00008080用户在集成CA身份认证之前通过以下方式访问应用系统的某个页面：00:8080/index.jsp集成之后：设备类型外网IP内网IP端口应用服务器可以没有008080SSL网关0101449(可配置)用户在集成CA身份认证之后通过以下方式访问应用系统的某个页面：01:449/index.jsp6.4 网关方式集成改造的技术要点1、 网页中的路径请全部改为相对路径2、 应用服务器从Headers或Cookies中取出证书信息7 控件方式集成详解7.1 控件方式集成改造的访问流程读取提交的表单信息对证书信息进行验证应用服务器浏览器加载ActiveX控件利用ActvieX控件中的函数读取证书信息，并通过表单提交7.2 SignerX 控件SignerX 是一个ActiveX 控件，可以嵌入在任何一个HTML 页面里面，在IE浏览器里面运行，主要提供表单数据签名/加密功能。该控件也可以被C#，Visual C+等其它编程语言调用。SignerX 提供PKCS#1 和PKCS#7 格式的数据签名/加密。SignerX 提供POST 方式的表单数据签名。在控件方式中，我们可以利用它读取用户计算机中的数字证书，并产生一个数字签名，并将数字签名和证书信息一起通过表单的方式提交给应用服务器，由应用服务器通过Request对象读取表单中的名称，取得证书信息，将证书的唯一序列号与本地数据库中的用户唯一标识进行匹配，如果成功，则返回处理结果。7.3 SignerX 控件的注册假如选择使用控件方式进行签名和验签，不论是开发者，还是最终用户，都需要安装控件，安装控件同样也有多种方式：7.3.1 通过安装证书驱动包湖南CA目前发行的证书设备一共有三种，可以访问湖南CA的官方网站进行下载相应的驱动，安装好驱动之后SignerX控件也会自动被安装，以下是湖南CA官网地址：/download7.3.2 手工安装首先下载SignerX.cab控件包：/download/SignerX.cab然后将SignerX.cab这个包中的文件解压到%SystemRoot%system32目录；在“开始菜单”-“运行”中输入命令“regsvr32 SignerX.dll”，出现以下提示说明注册成功：7.3.3 通过网页自动安装首先下载SignerX.cab控件包：/download/SignerX.cab然后将SignerX.cab控件嵌入到网页中，运行网页后IE会提示安装控件，安装完成后即可，示例代码如下： 控件自动安装演示 7.4 SignerX 控件的安装检测8 CA数字签名集成方式8.1 集成数字签名之后的访问流程应用服务器SVS服务器(可选)请求SVS服务器对关键业务环节进行签名验证生成签名浏览器通过数字证书进行数字签名是确保责任认定的有效方式。应用系统可根据业务需要，针对性地对承载敏感数据的页面进行改造，实现数据以附带签名方式进行上传，确保传输过程的安全性。数字签名的逻辑处理如下图：8.1.1 数据签名集成改造的具体步骤系统集成改造步骤的主要环节有：关键业务环节签名、相应数据库调整修改。 关键业务环节签名（下面详述）：1) 应用系统开发商根据业务逻辑要求，调用湖南CA的相关ActiveX控件接口，实现对上传数据的数字签名，并打包上传至服务器；服务器端接收程序应相应修改，进行原文的签名验证，并将签名数据入库保存；2) 对于