XX身份認(rèn)證系統(tǒng)專業(yè)技術(shù)方案

1、*身份認(rèn)證系統(tǒng)技術(shù)方案1. 概述 31.1 前言 31.2 身份認(rèn)證系統(tǒng)用戶認(rèn)證需求描述 31.3 身份認(rèn)證系統(tǒng)認(rèn)證解決之道 41.3.1 身份認(rèn)證系統(tǒng)的模式 51.3.2 建立身份認(rèn)證系統(tǒng) 51.3.3 證書在身份認(rèn)證系統(tǒng)上的安全應(yīng)用 62. 詳細(xì)設(shè)計(jì)方案 72.1 身份認(rèn)證系統(tǒng) 72.2 產(chǎn)品設(shè)計(jì)原則 72.2.1 認(rèn)證系統(tǒng)的設(shè)計(jì)原則 72.2.2 網(wǎng)絡(luò)環(huán)境設(shè)計(jì)原則 82.3 功能模塊架構(gòu) 92.4 身份認(rèn)證系統(tǒng)功能簡介 112.5 身份認(rèn)證系統(tǒng)安全性分析 132.5.1 本系統(tǒng)安全性保護(hù)的必要性 132.5.2 安全性要求 132.5.3 安全性設(shè)計(jì)原則 142.5.4 安全性設(shè)計(jì)方案

2、142.6 身份認(rèn)證系統(tǒng)應(yīng)用開發(fā)接口 162.6.1 身份認(rèn)證系統(tǒng)接口函數(shù) 162.6.2 API 與身份認(rèn)證系統(tǒng)結(jié)合開發(fā)應(yīng)用系統(tǒng) 162.7 身份認(rèn)證系統(tǒng)使用案例 173. 系統(tǒng)配置 193.1 設(shè)備配置 191. 概述1.1 前言隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，個(gè)人和企業(yè)將越來越多地把業(yè)務(wù)活動放到網(wǎng)絡(luò) 上，因此網(wǎng)絡(luò)的安全問題就更加關(guān)鍵和重要。據(jù)統(tǒng)計(jì)，在全球范圍內(nèi)，由于信息 系統(tǒng)的脆弱性而導(dǎo)致的經(jīng)濟(jì)損失，每年達(dá)數(shù)十億美元，并且呈逐年上升的趨勢。利用數(shù)字證書、PKI、對稱加密算法、數(shù)字簽名、數(shù)字信封等加密技術(shù)，可 以建立起安全程度極高的身份認(rèn)證系統(tǒng)， 確保網(wǎng)上信息有效、 安全地進(jìn)行， 從而 使信息除發(fā)

3、送方和接收方外，不被其他方知悉（ 保密性 ）；保證傳輸過程中不被 篡改（ 完整性和一致性 ）；發(fā)送方確信接收方不是假冒的（ 身份的真實(shí)性和不可 偽裝性）；發(fā)送方不能否認(rèn)自己的發(fā)送行為（ 不可抵賴性 ）。本方案根據(jù) * 的業(yè)務(wù)流程、管理模式的實(shí)施方案，充分運(yùn)用現(xiàn)代網(wǎng)絡(luò)信 息技術(shù)及CA認(rèn)證體系，建立*身份認(rèn)證系統(tǒng)，并可作為公務(wù)網(wǎng) CA的配套系 統(tǒng)。1.2 身份認(rèn)證系統(tǒng)用戶認(rèn)證需求描述在* 業(yè)務(wù)發(fā)展過程中，為了更好的實(shí)現(xiàn)數(shù)據(jù)資源共享，充分發(fā)揮 信息化對 * 系統(tǒng)發(fā)展的促進(jìn)作用， * 將綜合開發(fā)一套身份認(rèn) 證系統(tǒng)對目前的用戶身份進(jìn)行管理， 為社會、相關(guān)職能部門以及各級機(jī)構(gòu)提供服 務(wù)。在此系統(tǒng)的開發(fā)應(yīng)用

4、過程中，一個(gè)重要的任務(wù)是解決如何對應(yīng)用系統(tǒng)用戶 進(jìn)行身份認(rèn)證從而確保數(shù)據(jù)的安全。 下面將針對在此系統(tǒng)的開發(fā)應(yīng)用中對用戶身 份認(rèn)證所做的需求加以說明。整個(gè)系統(tǒng)的邏輯結(jié)構(gòu)如圖 1 所示：圖 1：系統(tǒng)邏輯結(jié)構(gòu)示意圖如圖 1 示，整個(gè)系統(tǒng)涉及了應(yīng)用服務(wù)器、證書服務(wù)器以及相應(yīng)的客戶端。 系統(tǒng)運(yùn)作流程簡述如下：客戶端訪問應(yīng)用服務(wù)器，應(yīng)用服務(wù)器向認(rèn)證服務(wù)器發(fā)出認(rèn)證請求； 認(rèn)證服務(wù)器完成對用戶身份的認(rèn)證并將與該用戶相對應(yīng)的認(rèn)證信息 返回相應(yīng)的應(yīng)用服務(wù)器； 用戶在通過認(rèn)證之后獲得在應(yīng)用服務(wù)器獲得相應(yīng)的授權(quán)，從而可以 對應(yīng)用系統(tǒng)進(jìn)行相應(yīng)的訪問。所提交的認(rèn)證系統(tǒng)在滿足上述流程之外需要提供應(yīng)用開發(fā)接口，滿足與應(yīng) 用服

5、務(wù)器之間的交互。 這是將認(rèn)證系統(tǒng)集成到整個(gè)身份認(rèn)證系統(tǒng)的基礎(chǔ)條件， 使 得后續(xù)的開發(fā)工作能夠利用認(rèn)證信息做進(jìn)一步的數(shù)據(jù)處理?？紤]到平臺的兼容 性，應(yīng)用系統(tǒng)開發(fā)方可以開發(fā)一個(gè)統(tǒng)一的接口程序與認(rèn)證系統(tǒng)進(jìn)行交互。 另外還 有如下幾點(diǎn)要求需注意： 認(rèn)證服務(wù)器的用戶信息需要依據(jù)數(shù)據(jù)庫服務(wù)器中的用戶信息為基 礎(chǔ)； 對于客戶端的身份認(rèn)證最好采用硬件方式； 客戶端通過廣域網(wǎng)連接到認(rèn)證服務(wù)器，要求認(rèn)證服務(wù)器是能夠面向 廣域網(wǎng)用戶的； 客戶端數(shù)量可以按 250 用戶計(jì)算； 提供認(rèn)證系統(tǒng)的安全模式說明，詳細(xì)介紹如何確保系統(tǒng)的安全； 系統(tǒng)對認(rèn)證系統(tǒng)的操作系統(tǒng)平臺無特殊要求。1.3 身份認(rèn)證系統(tǒng)認(rèn)證解決之道根據(jù)身份認(rèn)證

6、系統(tǒng)的設(shè)計(jì)原則，系統(tǒng)安全需要解決如下幾個(gè)方面的問題： 數(shù)據(jù)的保密性。包括數(shù)據(jù)靜態(tài)存儲的保密性和數(shù)據(jù)傳輸過程中的保 密性； 有效的身份認(rèn)證和權(quán)限控制。系統(tǒng)中的各個(gè)授權(quán)人員具有其特定級 別的權(quán)限，可以進(jìn)行該權(quán)限的操作，無法越權(quán)操作；操作者事后無 法否認(rèn)其進(jìn)行的操作；未授權(quán)人員無法進(jìn)入系統(tǒng)。我們建議利用業(yè)界行之有效的高強(qiáng)度的加解密技術(shù)和身份認(rèn)證技術(shù)保證身 份認(rèn)證系統(tǒng)的安全，上海CA中心的數(shù)字身份認(rèn)證系統(tǒng)可以為用戶提供解決辦法。 身份認(rèn)證系統(tǒng)主要負(fù)責(zé)證書管理，保證系統(tǒng)安全不間斷地提供證書的申請和作 廢，提供用戶信息和證書的備份和歸檔，保證系統(tǒng)數(shù)據(jù)的完整性。如何解決身份認(rèn)證系統(tǒng)的安全性是我們關(guān)心的最大問

7、題，結(jié)合身份認(rèn)證系 統(tǒng)，我們設(shè)計(jì)如下的應(yīng)用模式：1.3.1 身份認(rèn)證系統(tǒng)的模式首先我們來看一下身份認(rèn)證系統(tǒng)的模式： 中心向操作員發(fā)放數(shù)字證書； 用戶使用數(shù)字證書登陸，經(jīng)身份驗(yàn)證后，進(jìn)入身份認(rèn)證系統(tǒng)，填寫 或修改表單并提交； 系統(tǒng)對表單進(jìn)行處理，然后提交、登記身份認(rèn)證系統(tǒng)。1.3.2 建立身份認(rèn)證系統(tǒng)身份認(rèn)證系統(tǒng)以及與其發(fā)生業(yè)務(wù)的部門通過網(wǎng)絡(luò)和數(shù)字證書建立安全可靠 的身份認(rèn)證系統(tǒng)。身份認(rèn)證系統(tǒng)以及客戶和部門申請數(shù)字證書，其申請數(shù)字證書的方式詳見 以下章節(jié)的多種可選方案。身份認(rèn)證系統(tǒng)以及客戶和部門申請到了標(biāo)識其身份的數(shù)字證書文件和對應(yīng) 的私鑰文件。在此將證書信息文件稱為 UserCert.der

8、，私鑰信息文件稱為 UserKey.key。證書的存儲介質(zhì)是帶有算法的 USBKE。在我們的 身份認(rèn)證系 統(tǒng)提供支持多種平臺的證書 應(yīng)用 接口 API(Application Programmi ng In terface )，WINDOWS 臺以 DLL 的形式提供，各 種UNIX平臺以“ .a ”庫的形式提供。利用該 API，應(yīng)用系統(tǒng)可以很方便的將數(shù) 字證書應(yīng)用嵌入到業(yè)務(wù)系統(tǒng)之中。上海CA中心同時(shí)在客戶端提供 ActiveX控件和JavaApplet開發(fā)接口應(yīng)用 服務(wù)器端同時(shí)提供動態(tài)連接庫，COM&件和JavaBean開發(fā)接口。1.3.3 證書在身份認(rèn)證系統(tǒng)上的安全應(yīng)用以下假設(shè)向身份認(rèn)證系

9、統(tǒng)發(fā)訂單，利用數(shù)字證書的一次數(shù)據(jù)流程。身份認(rèn)應(yīng)用系統(tǒng)平臺 UserCert.der 應(yīng)用系統(tǒng)平臺 UserKey.key 操作員 UserCert.der證系統(tǒng)的服務(wù)器和操作員計(jì)算機(jī)各自申請一張標(biāo)識其身份的數(shù)字證書， 即具有其 對應(yīng)的證書文件，私鑰文件。這樣，通過自己計(jì)算機(jī)上的 IE瀏覽器可以安全的 訪問身份認(rèn)證系統(tǒng)。根據(jù)以上數(shù)據(jù)傳輸過程，可以完全保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?、身?認(rèn)證和不可抵賴性。同理諸多運(yùn)行在身份認(rèn)證系統(tǒng)上的信息流都可以通過加密技 術(shù)、數(shù)字簽名技術(shù)以身份認(rèn)證形式、安全電子郵件形式或文檔形式進(jìn)行安全。2. 詳細(xì)設(shè)計(jì)方案2.1 身份認(rèn)證系統(tǒng)身份認(rèn)證系統(tǒng)是在實(shí)際運(yùn)作過程中， 根

10、據(jù)用戶需求開發(fā)的一套內(nèi)網(wǎng)數(shù)字身份 認(rèn)證解決方案套件。 該系統(tǒng)可以作為公務(wù)網(wǎng)身份認(rèn)證系統(tǒng)的配套產(chǎn)品適用于接入 公務(wù)網(wǎng)的各委、辦、局、區(qū)縣的內(nèi)網(wǎng)應(yīng)用系統(tǒng)中。該系統(tǒng)將主要針對內(nèi)網(wǎng)的應(yīng)用 系統(tǒng)，同時(shí)結(jié)合公務(wù)網(wǎng)身份認(rèn)證系統(tǒng)的特點(diǎn)和需求， 向辦公內(nèi)網(wǎng)提供本地證書庫、 本地證書管理、本地證書目錄、本地證書管理、CRL查詢等服務(wù)。該套系統(tǒng)的API提供了與身份認(rèn)證系統(tǒng)配合使用的 WEB安全套件，為 WEB 應(yīng)用提供全方位的身份認(rèn)證服務(wù)。包括 UniTrust 登錄、 UniTrust 退出、對表單 進(jìn)行簽名、對表單進(jìn)行驗(yàn)證、對數(shù)據(jù)進(jìn)行加密、解密、對信息進(jìn)行時(shí)間標(biāo)記和時(shí) 間驗(yàn)證、以及身份信息控制。可以滿足 5 分

11、鐘內(nèi) 500個(gè)并發(fā)用戶的驗(yàn)證要求。2.2 產(chǎn)品設(shè)計(jì)原則認(rèn)證系統(tǒng)的設(shè)計(jì)原則身份認(rèn)證系統(tǒng)在設(shè)計(jì)時(shí)， 從系統(tǒng)建設(shè)的近期和長遠(yuǎn)目標(biāo)來綜合考慮在設(shè)計(jì)中 遵循了規(guī)范性、安全可靠性、實(shí)用性、擴(kuò)展性、經(jīng)濟(jì)性、易用性和業(yè)務(wù)獨(dú)立性等 原則。并在以上原則中著重考慮了：安全性安全性是認(rèn)證系統(tǒng)最為關(guān)注的問題，也是認(rèn)證系統(tǒng)設(shè)計(jì)及建設(shè)中的關(guān)鍵，它 包括 Browser 與 Server 間信息傳遞的安全控制，訪問系統(tǒng)的安全控制，系統(tǒng)數(shù) 據(jù)的可追溯性。 認(rèn)證系統(tǒng)有完整的安全策略控制體系以實(shí)現(xiàn)安全控制。 其關(guān)鍵技 術(shù)包括網(wǎng)頁簽名技術(shù)， 身份認(rèn)證及信息加密技術(shù)， 可保證系統(tǒng)間信息傳遞的安全， 訪問系統(tǒng)的安全控制。規(guī)范性標(biāo)準(zhǔn)和規(guī)范

12、是認(rèn)證系統(tǒng)設(shè)計(jì)中的重要內(nèi)容，這里所說的規(guī)范性，是指認(rèn)證 系統(tǒng)設(shè)計(jì)及建立過程的規(guī)范性。 目前有關(guān)認(rèn)證系統(tǒng)的實(shí)際應(yīng)用有著多種相關(guān)的規(guī) 范，如 X.509 ，PKCS10 ，PKCS7 ，PKCS12 等。不同的用戶及系統(tǒng)在使用認(rèn)證 系統(tǒng)及證書時(shí)往往都按照相關(guān)的規(guī)范調(diào)用。 同時(shí)良好的規(guī)范也保證了身份認(rèn)證系 統(tǒng)協(xié)調(diào)工作時(shí)的方便性和準(zhǔn)確性。可擴(kuò)展性 認(rèn)證系統(tǒng)方案設(shè)計(jì)中，每個(gè)層次的設(shè)計(jì)采用模塊化設(shè)計(jì)，可根據(jù)用戶的不同 需要發(fā)展進(jìn)行靈活擴(kuò)展。 如，在數(shù)字證書中加入自定義擴(kuò)展項(xiàng)， 從而使政府用戶 可在證書中加入相應(yīng)的工作證號等信息。特別是證書系統(tǒng)采用了 B/S 中的多層設(shè)計(jì)思想， 使得系統(tǒng)可實(shí)現(xiàn)對于不同用 戶

13、的定制服務(wù)，可以方便地實(shí)行對應(yīng)用的控制與更新。易管理性系統(tǒng)的易管理性是證書認(rèn)證系統(tǒng)的一個(gè)重要特點(diǎn)， 系統(tǒng)對應(yīng)提供多套管理系 統(tǒng)，可對系統(tǒng)各個(gè)層次進(jìn)行管理。并可對一些經(jīng)常性的統(tǒng)計(jì)工作提供基于 Web 的管理。2.2.2 網(wǎng)絡(luò)環(huán)境設(shè)計(jì)原則我們在作產(chǎn)品系統(tǒng)實(shí)施方案時(shí)充分考慮了網(wǎng)絡(luò)的高性能、 可靠性，可擴(kuò)充性， 以便支持以后網(wǎng)絡(luò)分階段升級的需要，保護(hù)原有投資。為此，遵循了以下原則： 先進(jìn)性和實(shí)用性盡可能采用國際上先進(jìn)的技術(shù)和設(shè)備，使產(chǎn)品系統(tǒng)具有良好的性能，不僅能 滿足當(dāng)前認(rèn)證系統(tǒng)的需要，還要滿足未來 3 至 5 年的需要。對一些目前不重要 的部分，則以經(jīng)濟(jì)實(shí)用為主，但要為以后的擴(kuò)充打下基礎(chǔ)。高可靠性采

14、用成熟的先進(jìn)技術(shù)， 關(guān)鍵部件和線路有足夠備份， 有必要的冗余容錯(cuò)能力， 如出了故障，要能及時(shí)指出故障點(diǎn)及故障原因。較強(qiáng)的擴(kuò)充性能產(chǎn)品提供了很多于應(yīng)用相連結(jié)的標(biāo)準(zhǔn)函數(shù)借口，能與將來的先進(jìn)技術(shù)相結(jié)合，保護(hù)現(xiàn)有投資，保證系統(tǒng)能隨時(shí)加入新的功能模塊， 保證有關(guān)軟件能順利升 級和擴(kuò)充。良好的安全保密措施由于此產(chǎn)品是一套獨(dú)立的身份認(rèn)證系統(tǒng)， 為了確保系統(tǒng)的安全保密措施和系 統(tǒng)的大范圍適用性，我們提供了軟硬件一體機(jī)，通過訪問控制、及為用戶設(shè)置權(quán) 限等措施，防止非法侵入。2.3功能模塊架構(gòu)應(yīng)用系統(tǒng)Safee ngineSafeE ngi ne證書管理器身份認(rèn)證系統(tǒng)系統(tǒng)初始化/系統(tǒng)管理/用戶管理/證書管理/用戶

15、自服務(wù)/系統(tǒng)服務(wù)證書編碼OCSP/CRL等編碼簽發(fā)證書/黑名單/OCSP等用戶信息管理證書信息管理編碼加解密數(shù)據(jù)庫Hardware身份認(rèn)證系統(tǒng)特性身份認(rèn)證系統(tǒng)支持平臺身份認(rèn)證系統(tǒng)充分發(fā)揮硬件的特性，便于管理和維護(hù)。減少人為干預(yù)兼容的應(yīng)用軟件和操作系統(tǒng)身份認(rèn)證系統(tǒng)可與以下軟件協(xié)同工作客戶端應(yīng)用程序：Netscape NavigatorNetscape CommunicationMicrosoft Internet ExploerUniTrust SafeEngine, UniTrust 證書管理器各種WE曲艮務(wù)器：MicroSoft IIS WebServerNetscape Enterpris

16、eApacheJava WebServerDomino統(tǒng)一的管理界面身份認(rèn)證系統(tǒng)的操作管理都基于 WEB頁面，有效降低維護(hù)的成本。支持各種介質(zhì)身份認(rèn)證系統(tǒng)支持用戶證書存放在軟盤、IC卡、USB棒以及服務(wù)器。嚴(yán)格的權(quán)限控制 身份認(rèn)證系統(tǒng)分為系統(tǒng)管理員、系統(tǒng)操作員、系統(tǒng)用戶和匿名用戶四個(gè)級別 用戶。系統(tǒng)管理員對系統(tǒng)的運(yùn)行負(fù)責(zé)， 但不能接觸任何用戶數(shù)據(jù)， 同時(shí)必須超過 半數(shù)的系統(tǒng)管理員到場時(shí)才能進(jìn)入系統(tǒng)管理模式。操作員僅能對用戶進(jìn)行操作， 不能影響系統(tǒng)的運(yùn)行。 用戶僅能對自己的數(shù)據(jù)進(jìn)行操作， 不能修改他人數(shù)據(jù)。 匿 名用戶提供公用的服務(wù)，如下載他人證書、根證書、下載黑名單等。所有的認(rèn)證 方式均采用數(shù)

17、字認(rèn)證方式進(jìn)行，確保系統(tǒng)安全。私鑰保護(hù)身份認(rèn)證系統(tǒng)對私鑰進(jìn)行嚴(yán)格的保護(hù)，對所有存放在身份認(rèn)證系統(tǒng)上的私 鑰，采用多重加密方式， 同時(shí)身份認(rèn)證系統(tǒng)采用硬件機(jī)， 無人可以直接獲得身份 認(rèn)證系統(tǒng)上的數(shù)據(jù)。日志 身份認(rèn)證系統(tǒng)提供詳盡的日志功能。包括系統(tǒng)日志和用戶日志。系統(tǒng)日志主 要提供所有系統(tǒng)管理員、系統(tǒng)操作員、用戶對系統(tǒng)信息、或證書信息的操作。系 統(tǒng)管理員可以通過日志查詢獲得系統(tǒng)的狀態(tài)。歷史信息查詢 身份認(rèn)證系統(tǒng)提供國內(nèi)首創(chuàng)（專利號）的技術(shù)，用戶歷史信息查詢。歷史信 息包括用戶的證書申請歷史和證書使用信息。 證書申請信息包括用戶申請證書的 記錄申請時(shí)間、 批準(zhǔn)或駁回、 更新時(shí)間、作廢時(shí)間、上一張證書

18、、下一張證書等。 用戶證書使用信息查詢包括證書被驗(yàn)證記錄， 提供驗(yàn)證者信息和時(shí)間。 供用戶本 人查證自己證書使用紀(jì)錄， 是否有他人試圖使用自己的證書。 下一版本中， 將提 供用戶告警機(jī)制， 用戶可以設(shè)定自己的檢查條件， 系統(tǒng)核查滿足條件后， 就發(fā)送 告警信息給用戶。以盡快解決安全隱患。政策編輯身份認(rèn)證系統(tǒng)提供自行編輯證書政策的功能， 可以讓運(yùn)行商自行修改證書策 略。數(shù)據(jù)備份身份認(rèn)證系統(tǒng)提供根證書的導(dǎo)入導(dǎo)出功能， 也支持所有的數(shù)據(jù)備份和恢復(fù)功 能。為數(shù)據(jù)安全提供保障。產(chǎn)品升級 對不斷提高的技術(shù)和新的需求，身份認(rèn)證系統(tǒng)努力提升產(chǎn)品性能和功能。身 份認(rèn)證系統(tǒng)只需要系統(tǒng)管理員將系統(tǒng)進(jìn)入維護(hù)模式， 運(yùn)行

19、與該系統(tǒng)配套提供的軟 件升級包，就可以對產(chǎn)品進(jìn)行升級。2.4 身份認(rèn)證系統(tǒng)功能簡介系統(tǒng)初始化 執(zhí)行系統(tǒng)初始化功能，包括刪除所有數(shù)據(jù)，缺省系統(tǒng)管理員、系統(tǒng)操作員的 生成。根證書的生成或指定。系統(tǒng) IP 地址更改。系統(tǒng)管理 執(zhí)行系統(tǒng)管理功能，包括系統(tǒng)管理員管理、操作員管理、根證書管理、系統(tǒng) 服務(wù)管理、系統(tǒng)日志管理、 License 管理、系統(tǒng)密鑰管理。用戶信息管理主要執(zhí)行用戶信息管理的工作，包括用戶信息的增加、修改、刪除。證書申請信息管理 主要執(zhí)行證書申請信息的管理工作， 包括證書申請信息的添加、 修改和刪除。 證書的管理 如作廢、簽發(fā)、暫停、恢復(fù)等等。以及統(tǒng)計(jì)報(bào)表的制作打印等等。用戶、證書自服務(wù)

20、：用戶證書自管理的工作，如用戶信息的錄入，修改，用 戶證書申請請求， 用戶證書的下載， 用戶證書的廢除。 以及查詢、 下載他人證書、 CRL 。下載根證書。接收注冊請求，簽發(fā)公鑰證書 支持離線或在線簽發(fā)證書兩種方式。前者密鑰對由身份認(rèn)證系統(tǒng)生成；后者 密鑰對在客戶端由瀏覽器或其他 PKI 軟件生成。證書查詢用戶可以輸入一定的條目如 Email 或姓名等，通過模糊查詢，獲得用戶證書 列表，選擇一張證書下載到瀏覽器中，或保存。發(fā)布證書吊銷名單（ CRL）定期發(fā)布最新證書吊銷名單。 CRL 遵從 X.509V3 格式。 提供在線證書狀態(tài)查詢（ OCSP） 身份認(rèn)證系統(tǒng)提供證書狀態(tài)查詢，有效提高可靠性

21、。 提供日志管理 日志是每次操作的記錄，其主要作用有二。一是用于事后故障清查的系統(tǒng)維 護(hù)方面；其二是事故處理， 為系統(tǒng)安全審計(jì)提供現(xiàn)場記錄數(shù)據(jù)， 是安全審計(jì)與追 蹤的基礎(chǔ)。身份認(rèn)證系統(tǒng)訪問控制訪問身份認(rèn)證系統(tǒng)需要強(qiáng)身份驗(yàn)證， 只有通過超過半數(shù)以上的系統(tǒng)管理員的 PIN 卡驗(yàn)證后，才允許系統(tǒng)管理員訪問身份認(rèn)證系統(tǒng)，執(zhí)行安全操作。用戶證書介質(zhì)制作 用戶證書介質(zhì)即用戶身份標(biāo)識介質(zhì)，介質(zhì)中存有用戶證書、該證書的簽發(fā)者 證書、和被加密的該用戶的私鑰。 用戶證書介質(zhì)可以是軟盤， 也可以是安全性更 高的 IC 卡或 USB 棒。用戶證書介質(zhì)的選擇，需視用戶對安全性的要求而定。2.5 身份認(rèn)證系統(tǒng)安全性分析我

22、們提供的該套身份認(rèn)證系統(tǒng)在安全設(shè)計(jì)過程中主要考慮四個(gè)主要措施： 身 份鑒別措施、數(shù)據(jù)的傳遞過程的機(jī)密性與完整性措施、 權(quán)限分割與互相制約措施、 自主和可控性措施的四項(xiàng)措施。2.5.1 本系統(tǒng)安全性保護(hù)的必要性數(shù)字化信息社會雖然給人們的工作帶來了方便， 但是由于它是基于網(wǎng)絡(luò)的信 息傳遞也給人們的工作帶來了很多不便之處，在工作中缺少了物理界面的出現(xiàn)， 從而帶來了信息安全保密問題的出現(xiàn)。 通過長時(shí)期的了解和觀察， 我們發(fā)現(xiàn)我國 信息安全保密還存在以下問題：信息安全保密意識淡薄，缺少緊迫感和正確的認(rèn)識。 信息網(wǎng)絡(luò)防御能力脆弱，信息保密技術(shù)研究和技術(shù)防范手段滯后， 泄密隱患突出。信息安全基礎(chǔ)設(shè)施薄弱，缺

23、少必要的物質(zhì)條件，一些重要的信息系 統(tǒng)使用進(jìn)口的安全設(shè)備，無法保證其安全性和有效監(jiān)管。 信息安全保密管理力度不夠，管理體系不夠完善，內(nèi)部管理漏洞隱 患大，網(wǎng)絡(luò)缺少對用戶認(rèn)證與權(quán)限的管理，也缺少對信息內(nèi)容的保 密級別的劃分與設(shè)定。總之，本系統(tǒng)安全性保護(hù)不僅是必要的，也是相當(dāng)重要的。2.5.2 安全性要求隨著各個(gè)單位內(nèi)網(wǎng)辦公應(yīng)用系統(tǒng)需求的迫切提升， 信息安全已成為焦點(diǎn)問題 之一，尤其是CA認(rèn)證越來越成為整個(gè)電子商務(wù)中的安全重要環(huán)節(jié)，所以數(shù)字身 份認(rèn)證系統(tǒng)本身的安全也越來越重要。 概括起來， 認(rèn)證系統(tǒng)對安全的最基本要求 如下：身份鑒別( Authentication )在操作員或管理員進(jìn)行認(rèn)證系統(tǒng)的

24、操作錢要能確認(rèn)對方的身份， 并要求在操 作過程中操作員或管理員的身份不能被假冒或偽裝。數(shù)據(jù)的機(jī)密( Confidentiality ) 對敏感信息進(jìn)行加密，及時(shí)別人截獲數(shù)據(jù)也無法得到其內(nèi)容。 數(shù)據(jù)的完整性( Integrity ) 要求接受方能夠驗(yàn)證受到的信息是否完整，是否被人篡改，保證操作過程中 的信息安全。不可抵賴性( Non-Repudiation ) 操作一旦完成，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到 的信息。2.5.3 安全性設(shè)計(jì)原則在設(shè)計(jì)證書系統(tǒng)的安全時(shí)，我們主要遵守了以下原則：網(wǎng)絡(luò)信息系統(tǒng)安全與保密的“木桶原則” ：對信息均衡、全面地進(jìn)行 安全保護(hù)；網(wǎng)絡(luò)信息安全系

25、統(tǒng)的“整體性原則” ：安全防護(hù)、檢測和應(yīng)急恢復(fù)； 數(shù)字身份認(rèn)證系統(tǒng)安全性的“有效性與實(shí)用性”原則：不能影響系 統(tǒng)的正常運(yùn)行和合法用戶的操作活動； 信息安全系統(tǒng)的“等級性”原則：安全層次和安全級別； 信息安全系統(tǒng)的“動態(tài)化”原則：整個(gè)系統(tǒng)內(nèi)盡可能引入更多的可 變因素，并具有良好的擴(kuò)展性； 安全與保密系統(tǒng)的設(shè)計(jì)應(yīng)與網(wǎng)絡(luò)設(shè)計(jì)相結(jié)合的原則； 自主和可控性原則；權(quán)限分割、互相制約、最小化原則； 有的放矢、各取所需原則。2.5.4 安全性設(shè)計(jì)方案身份鑒別措施 身份鑒別措施是指在操作員或管理員進(jìn)行登陸系統(tǒng)進(jìn)行操作之前必須進(jìn)行 身份的鑒別。流程圖如下：每個(gè)管理員、操作員、證書用戶在進(jìn)入系統(tǒng)之前，都必須在系統(tǒng)的

26、數(shù)據(jù)庫 中先錄入各自的證書，這一過程也稱開戶。在管理員或操作員進(jìn)行登錄前，服務(wù)器會生成一個(gè)隨機(jī)字符串，并要求登錄者對這個(gè)字符串進(jìn)行簽名，由于這個(gè)字符串是隨機(jī)的，并含有時(shí)間信息，所以 這種方法可防治重放攻擊。登錄者將隨機(jī)字符串簽名后，會將簽名發(fā)送到服務(wù)器端。服務(wù)器可從庫中 取出簽名者的證書進(jìn)行校驗(yàn)。如果檢驗(yàn)通過，則證明登錄者身份真實(shí)。在操作過程中操作員或管理員無論進(jìn)行合作操作，都要對通信信息進(jìn)行簽 名，保證了其身份不能被假冒或偽裝。 同時(shí)加入簽名也保證了操作一旦完成， 發(fā) 送方不能否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到的信息。2.6 身份認(rèn)證系統(tǒng)應(yīng)用開發(fā)接口2.6.1 身份認(rèn)證系統(tǒng)接口函數(shù)身

27、份認(rèn)證系統(tǒng)接口函數(shù)是為所有基于該套系統(tǒng)證書應(yīng)用程序開發(fā)者提供編 程接口。應(yīng)用開發(fā)者不需要深入了解證書的結(jié)構(gòu)、 獲取、驗(yàn)證等一切與證書相關(guān) 的操作，只需要關(guān)心應(yīng)用的開發(fā)即可。接口函數(shù)支持 1024/128 位強(qiáng)度的加密算 法，證書驗(yàn)證、黑名單查詢、數(shù)字信封，數(shù)字簽名，驗(yàn)證簽名，摘要，對稱加解 密，PEM編解碼，從介質(zhì)中讀取證書，私鑰，證書驗(yàn)證（包括 CRL, OCSP驗(yàn) 證），證書解碼等。接口函數(shù)包括2種類型：API和證書管理器。API有標(biāo)準(zhǔn)c版和java版，支 持包括 Aix 、hp、Solaris、Windows 在內(nèi)的各種主流操作系統(tǒng)；證書管理器 API 支持 Windows 系列。API

28、 提供的功能主要包括簽名、從證書提取證書細(xì)節(jié)等各項(xiàng)功能；證書管理 器 API 不但包括了 API 的大部分功能，另外還提供了證書的管理功能，包括證 書的添加、刪除、導(dǎo)入導(dǎo)出等功能，這些功能可以方便客戶端對證書的管理，結(jié) 合 API 的強(qiáng)大功能，可以開發(fā)出一套功能強(qiáng)大的身份認(rèn)證應(yīng)用系統(tǒng)。我們保證密切配合應(yīng)用系統(tǒng)開發(fā)商對 * 身份認(rèn)證信息系統(tǒng)的開發(fā)， 以確保整個(gè)系統(tǒng)的完整和及時(shí)的開發(fā)完成。為客戶端同時(shí)提供 ActiveX 控件和 JavaApplet 開發(fā)接口。應(yīng)用服務(wù)器端同時(shí)提供動態(tài)連接庫，COM組件和JavaBean開發(fā)接口。2.6.2 API 與身份認(rèn)證系統(tǒng)結(jié)合開發(fā)應(yīng)用系統(tǒng)在* 的系統(tǒng)中，需

29、要加入身份認(rèn)證和數(shù)字信封等功能，保護(hù)網(wǎng)絡(luò)上 數(shù)據(jù)的安全性、 保密性、 完整性、身份可識別以及各項(xiàng)操作的不可否認(rèn)性等安全 功能，在分析了 * 的具體需求只有， 我們認(rèn)為， 結(jié)合我們現(xiàn)有的產(chǎn)品身 份認(rèn)證系統(tǒng)和接口函數(shù)，可以開發(fā)出一套適合需求的產(chǎn)品在開發(fā)過程中，我們建議按以下流程設(shè)計(jì)應(yīng)用程序：1、* 通過身份認(rèn)證系統(tǒng)為用戶發(fā)放數(shù)字證書；2、在用戶第一次登錄系統(tǒng)時(shí)，要求用戶使用數(shù)字證書等陸，應(yīng)用系統(tǒng)發(fā)出 隨機(jī)串要求客戶端對隨機(jī)串進(jìn)行簽名， 并返回簽過名的隨機(jī)串， 由應(yīng)用系統(tǒng)驗(yàn)證 用戶身份；（建議客戶端使用證書管理器 API 開發(fā)，服務(wù)器端使用 API ）3、確認(rèn)用戶身份后，可以根據(jù) * 系統(tǒng)的授權(quán)，進(jìn)

30、行各項(xiàng)操作。因?yàn)樯矸菡J(rèn)證系統(tǒng)是軟、硬件一體機(jī)，用戶只要通過Web就可以輕松的發(fā)放 證書，無需額外的管理和復(fù)雜的操作， 并且結(jié)合接口函數(shù)功能， 可以完成各項(xiàng)對 于證書的操作以及證書的管理。 同時(shí)身份認(rèn)證系統(tǒng)的功能主要是管理證書和發(fā)放 證書，在應(yīng)用系統(tǒng)中，只與應(yīng)用系統(tǒng)關(guān)聯(lián)，對網(wǎng)絡(luò)沒有額外的要求，所以不會影 響到外網(wǎng)的用戶。通過身份認(rèn)證系統(tǒng)數(shù)據(jù)導(dǎo)出接口， 可以把證書服務(wù)器和認(rèn)證服務(wù)器中的用戶 數(shù)據(jù)與主應(yīng)用系統(tǒng)的數(shù)據(jù)庫服務(wù)器（Oracle 9i）中的系統(tǒng)用戶數(shù)據(jù)保持實(shí)時(shí)的一 致，確保整個(gè)系統(tǒng)用戶管理功能的統(tǒng)一。2.7 身份認(rèn)證系統(tǒng)使用案例身份認(rèn)證系統(tǒng)已經(jīng)成功應(yīng)用在 上海市信息辦、上海市證券交易所、上海藥品 監(jiān)督局、上海市統(tǒng)戰(zhàn)部、上海市青浦區(qū)政府、上海市小企業(yè)管理辦公室、浙江 移動通信有限公司等政府部門和企業(yè)。如下以身份認(rèn)證系統(tǒng)