CA认证解决方案-CA-Server+网关

1、CA 认证安全解决方案 吉大正元信息技术股份有限公司 目 录 1方案背景.2 2需求分析.3 3系统框架设计.5 4系统逻辑设计.6 5产品介绍产品介绍.7 5.1CA 认证系统.7 5.1.1系统构架.7 5.1.2系统功能.8 5.1.3系统流程.9 5.2身份认证网关.9 5.2.1系统架构.9 5.2.2系统功能.10 5.2.3系统流程.12 6网络拓扑设计网络拓扑设计.13 7产品配置清单.14 1 方案背景 随着信息化建设的推进，信息化的水平也有了长足的提高，信息化已经成 为政府、企业提高工作效率，降低运营成本、提升客户体验、增加客户粘度， 提升自身形象的重要手段。 信息化是架构

2、在网络环境世界来展开，网络固有的虚拟性、开放性给业务 的开展带来巨大潜在风险，如何解决虚拟身份的真实有效，敏感信息在网络传 输的安全保密且不被攻击者非法篡改，如何防止网络操作日后不被抵赖？同时， 随着信息系统的不断增加，信任危机、信息孤岛、用户体验、应用统一整合越 发成为信息化发展的瓶颈。因此，安全和可信、融合和统一逐渐成为目前信息 化建设的大势所趋，上述问题逐渐给信息化建设管理者提出了新的挑战。 此外，国家安全管理部门发布了信息安全等级保护管理办法 ，提出了 “计算机信息系统实行安全等级保护”的要求，等级保护技术标准规范中也明 确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确

3、的安 全要求。 鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求， 本方案提出一套基于 PKI 密码技术的 CA 认证体系建设方案和基于数字证书的 安全应用支撑解决方案，全面解决上述信息安全问题。 2 需求分析 目前， “用户名+口令”的认证方式普遍存在各个信息系统，基于用户名口 令的认证方式是一种弱认证方式，由于其具有容易被猜测、字典攻击、非法拦 截、责任认定无法到人等系列弱点，已经无法满足信息系统的安全需要，因此， 需要建立一套 CA 认证系统，来完成数字证书的申请、审核、发放等生命周期 管理，为最终用户提供唯一、安全、可信的网络身份标识。 其次，需要提供一套基于数字证书的安

4、全应用支撑平台，通过 PKI 密码技 术实现强身份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项 安全功能，同时，作为安全应用支撑平台，还应该面向众多的信息系统提供统 一身份认证功能，实现 SSO 单点登录功能，满足应用级的授权管理需要。 具体来说，安全需求如下： 数字证书的发放管理：提供证书生命周期管理服务，包括证书的申请、 审核、发放、更新、吊销等。 强身份认证：满足基于数字证书的安全登录需要，提供黑名单查询功能， 只有持有合法证书的用户才能登录到信息系统。 机密性、完整性：对信息进行加密、完整性处理，保证信息传输过程的 机密性和完整性。 单点登录，多点漫游：用户只需使用数字证书

5、完成一次统一认证，后续 登录不需要再次认证则可进入其他信息系统。 应用级访问控制：提供应用级访问控制功能，用户只能登录到被授权的 信息系统。 3 系统框架设计 根据上述安全需求分析，方案总体框架如下图所示： 应用 支撑 应用门户 应用系统2应用系统3 基础 设施 安全 应用 其他应用系统 PKI/CA证书认证系统 证 书 管 理 办 法 证 书 格 式 标 准 密码 设施 应用系统1 身份认证网关 USBKEY智能密码钥匙 在整体应用框架下，PKI/ CA 认证系统负责发放和管理数字证书，USBKEY 智能密码钥匙作为证书的载体存储数字证书，身份认证网关作为应用支撑体系， 为各类业务系统提供基

6、于数字证书的安全支撑，实现统一认证和各项安全功能。 另外，为了证书发放的规范运营，明确证书管理员的工作职责，需要为此 而制定系列的证书管理办法。为了满足证书的安全应用，还需要制定本行业、 本企业的证书格式规范，确保证书信息能方便被应用系统识别和调用。 4 系统逻辑设计 系统逻辑设计如下图所示： OA系统 其他系统 身份认证网关 访问 访问 访问 手工导入CRLPKI/CA证书认证系统 重定向 用户 Filter Filter Filter 产产生生 Token 检查 财务系统 证书申请 证书发放 证书管理员 (1) 证书管理员登录 CA 系统，为用户申请、下载数字证书，然后交给用户 使用； (

7、2) 用户登录业务系统，业务系统通过安装在系统上的 FILTER 过滤器来判 断用户是否已经认证过，如果没有，则重定向用户登录网关登录页面； (3) 用户按照网关页面插入 USB KEY，并输入 PIN 保护密码，然后提交认 证请求到身份认证网关； (4) 身份认证网关判断证书的真实有效，并通过导入 CRL 证书黑名单，判 断证书是否已经被吊销； (5) 如果证书验证全部通过，身份认证网关检查用户权限，然后显示用户可 登录系统列表，根据授权策略为用户签发单点登录 TOKEN，用户凭借 TOKEN 单点登录到各业务系统中。 5 产品介绍产品介绍 5.1 CA 认证系统 5.1.1 系统构架 CA

8、签签发发系系统统 加加密密机机 管管理理员员 CA 认证系统架构如上图所示，其中： CA 签发系统：负责证书的签发管理，所有证书的业务操作请求都提交 到 CA 系统进行处理，包括证书签发、证书吊销、证书更新等。 加密机：负责提供 CA 密钥服务功能，包括产生和存储 CA 密钥对，对 CA 系统提交的证书签发请求进行签发。 5.1.2 系统功能 证书申请：提供证书的申请功能，包括管理申请和用户自助申请。 证书签发：对于通过审核的证书申请，CA 系统可以为其签发证书。 证书下载：用户可以通过下载凭证安全的下载证书。 对一些申请成功但是没有下载的证书，RA 系统可以重新生成下载凭证 （授权码） ，使

9、用新的下载凭证即可进行证书下载。 证书发布：对于签发好的证书，系统进行自动发布。 证书更新：系统提供证书更新功能。 证书查询：用户可以通过查询条件查询出符合条件的证书信息。 证书注销：用户可以对一些不再使用或是使用过程中出现问题的证书进 行注销操作，注销后的证书不可恢复。 证书冻结：用户可以对短期内不会使用的证书进行冻结操作，在冻结期 间内证书被限制不可使用。 证书解冻：提供证书解冻功能，使得证书可以重新使用。 证书实体查询：用户可以通过查询条件可以查询出符合条件的证书。 CRL 服务功能：提供 CRL 产生、CRL 发布、CRL 查询功能。 用户信息维护：系统提供按照自定义的格式产生用户信息

10、，并可以对用 户信息进行添加、删除、修改等维护方式。 分权管理：提供系统管理、业务操作和安全审计三权分离功能。 主题规则管理：支持主题规则定义，提升用户使用服务体验。 模板定制：提供数字证书模板自定义功能，实现证书扩展域名称、扩展 域值的自定义，满足不同发证需求。 日志审计：审计管理包括查询业务日志和统计证书功能，并生成相应统 计报表。 批量申请和制证：支持批量证书申请和制证的功能，简化管理员操作。 5.1.3 系统流程 (1) 管理员使用管理员证书登录 CA 系统完成证书信息的录入和审核，完成 证书签发； (2) 证书管理员为用户下载证书，如果证书介质采用 USB KEY 的话，证书 将写入

11、 USB KEY； (3) 证书管理员将证书交付用户使用。 5.2 身份认证网关 5.2.1 系统架构 身份认证网关是基于 PKI 技术开发的硬件产品，主要满足用户对基于证书 的高强度身份认证安全需求。面向多个应用系统，提供集中、统一的安全认证 服务，形成统一的、高安全的身份验证中心。 应用系统 客户端 FILTER 身份认证网关 身份认证网关采用代理技术，在业务系统安装 Filter 过滤插件完成用户的身 份认证工作。插件负责拦截用户请求并将请求重定向到网关进行认证。认证成 功后，用户直接访问应用系统。 5.2.2 系统功能 用户身份认证：全面支持数字证书强认证，支持多级 CA 证书链，支持

12、 多家证书认证。 支持动态 CRL 更新，支持 WEB 站点下载、LDAP 服务器下载及手工导 入三种 CRL 更新模式。 支持 OCSP 证书验证方式。 单点登录：用户完成一次登录认证后，可以单点登录到其他授权系统。 应用级访问控制：通过策略配置，授权用户允许访问的应用系统。控制 策略包括 DN 规则、时间段规则、IP 地址规则、用户名规则。 应用认证策略配置： 根据用户认证等级策略控制用户对应用的访问权 限，认证策略包括：口令认证、证书认证及口令+数字证书认证方式。 证书 DN 规则控制：设置 DN 项规则策略，控制某个或某一群组证书用 户对应用的访问，DN 规则支持通配符。 黑白名单：系

13、统采用黑、白名单的形式设置策略来实现访问控制。 状态监控：包括设备 CPU、内存、硬盘的使用监控、网络流量统计、业 务状态进行监控。 日志审计：按照系统日志、业务日志两大类日志对用户、管理员使用系 统过程进行完整审计，系统提供 SYSLOG 发送功能。 分权管理：内设系统管理员、安全管理员、审计管理员实现对不同角色 的分权管理。 统一门户：提供用户登录应用系统入口，可实现应用是否对用户可见， 提供登录界面定制功能。 信息传递：将认证通过的认证结果、用户信息传送给后台的应用系统。 备份恢复：系统支持备份恢复功能，可以快速恢复系统的正常工作。 双机热备：通过网口连接心跳线监听设备的工作状态，当设备

14、停止服务 时，服务自动切换到备机继续提供服务。 故障应急：当设备意外宕机，业务系统的插件将不会拦截用户请求，用 户可以直接访问业务系统。 5.2.3 系统流程 (1) 用户访问应用系统； (2) 业务系统 FILTER 过滤插件判断用户是否已通过认证，如果没有则重定 向到身份认证网关，并要求用户出示数字证书； (3) 身份认证网关验证用户证书有效性，并查询 CRL 判断用户是否已经被 吊销； (4) 验证通过后，身份认证网关将验证结果及用户信息传递给应用系统，用 户与应用系统之间直接进行通讯； 6 网络拓扑设计网络拓扑设计 CA PKI基基础础设设施施 APP1 内内网网应应用用 APPn APP.APP2 身身份份认认证证网网关关 物理拓扑设计如上图所示，身份认证网关与应用系统部署在一个网段，CA 认证系统可以专门部署在一个安全独立的网段。 7 产品配置清单 一、系统软硬件清单 序号产品名称厂商数量产品形态功能 1 SRQ05-CA 签 发系统 吉大正元1 套软件 提供整个信任体系的创建、维护和管 理服务，以及证书签发和生命周期管 理服务。 2 身份认证网关吉大正元1 台硬件 提供基于数字证