某身份認(rèn)證系統(tǒng)技術(shù)方案

******身份認(rèn)證系統(tǒng)

技術(shù)方案TOC\o"1-5"\h\z. 概述 3前言 3\o"CurrentDocument"身份認(rèn)證系統(tǒng)用戶認(rèn)證需求描述 3\o"CurrentDocument"身份認(rèn)證系統(tǒng)認(rèn)證解決之道 5身份認(rèn)證系統(tǒng)的模式 5建立身份認(rèn)證系統(tǒng) 5\o"CurrentDocument"證書(shū)在身份認(rèn)證系統(tǒng)上的安全應(yīng)用 6\o"CurrentDocument".詳細(xì)設(shè)計(jì)方案 7\o"CurrentDocument"身份認(rèn)證系統(tǒng) 7\o"CurrentDocument"產(chǎn)品設(shè)計(jì)原則 7\o"CurrentDocument"認(rèn)證系統(tǒng)的設(shè)計(jì)原則 7網(wǎng)絡(luò)環(huán)境設(shè)計(jì)原則 8\o"CurrentDocument"功能模塊架構(gòu) 9\o"CurrentDocument"身份認(rèn)證系統(tǒng)功能簡(jiǎn)介 11\o"CurrentDocument"身份認(rèn)證系統(tǒng)安全性分析 13\o"CurrentDocument"本系統(tǒng)安全性保護(hù)的必要性 13\o"CurrentDocument"安全性要求 13\o"CurrentDocument"安全性設(shè)計(jì)原則 14安全性設(shè)計(jì)方案 14\o"CurrentDocument"身份認(rèn)證系統(tǒng)應(yīng)用開(kāi)發(fā)接口 16\o"CurrentDocument"身份認(rèn)證系統(tǒng)接口函數(shù) 16\o"CurrentDocument"API與身份認(rèn)證系統(tǒng)結(jié)合開(kāi)發(fā)應(yīng)用系統(tǒng) 16\o"CurrentDocument"身份認(rèn)證系統(tǒng)使用案例 17\o"CurrentDocument".系統(tǒng)配置 20\o"CurrentDocument"設(shè)備配置 20概述概述前言隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，個(gè)人和企業(yè)將越來(lái)越多地把業(yè)務(wù)活動(dòng)放到網(wǎng)絡(luò)上，因此網(wǎng)絡(luò)的安全問(wèn)題就更加關(guān)鍵和重要。據(jù)統(tǒng)計(jì)，在全球范圍內(nèi)，由于信息系統(tǒng)的脆弱性而導(dǎo)致的經(jīng)濟(jì)損失，每年達(dá)數(shù)十億美元，并且呈逐年上升的趨勢(shì)。利用數(shù)字證書(shū)、PKI、對(duì)稱加密算法、數(shù)字簽名、數(shù)字信封等加密技術(shù)，可以建立起安全程度極高的身份認(rèn)證系統(tǒng)，確保網(wǎng)上信息有效、安全地進(jìn)行，從而使信息除發(fā)送方和接收方外，不被其他方知悉（保密性）；保證傳輸過(guò)程中不被篡改（完整性和一致性）；發(fā)送方確信接收方不是假冒的（身份的真實(shí)性和不可偽裝性）；發(fā)送方不能否認(rèn)自己的發(fā)送行為（不可抵賴性）。本方案根據(jù)*****的業(yè)務(wù)流程、管理模式的實(shí)施方案，充分運(yùn)用現(xiàn)代網(wǎng)絡(luò)信息技術(shù)及CA認(rèn)證體系，建立*****身份認(rèn)證系統(tǒng)，并可作為公務(wù)網(wǎng)CA的配套系統(tǒng)。身份認(rèn)證系統(tǒng)用戶認(rèn)證需求描述在***********業(yè)務(wù)發(fā)展過(guò)程中，為了更好的實(shí)現(xiàn)數(shù)據(jù)資源共享，充分發(fā)揮信息化對(duì)*********系統(tǒng)發(fā)展的促進(jìn)作用，************將綜合開(kāi)發(fā)一套身份認(rèn)證系統(tǒng)對(duì)目前的用戶身份進(jìn)行管理，為社會(huì)、相關(guān)職能部門以及各級(jí)機(jī)構(gòu)提供服務(wù)。在此系統(tǒng)的開(kāi)發(fā)應(yīng)用過(guò)程中，一個(gè)重要的任務(wù)是解決如何對(duì)應(yīng)用系統(tǒng)用戶進(jìn)行身份認(rèn)證從而確保數(shù)據(jù)的安全。下面將針對(duì)在此系統(tǒng)的開(kāi)發(fā)應(yīng)用中對(duì)用戶身份認(rèn)證所做的需求加以說(shuō)明。整個(gè)系統(tǒng)的邏輯結(jié)構(gòu)如圖1所示：客戶端客戶端圖1:系統(tǒng)邏輯結(jié)構(gòu)示意圖如圖1示，整個(gè)系統(tǒng)涉及了應(yīng)用服務(wù)器、證書(shū)服務(wù)器以及相應(yīng)的客戶端。系統(tǒng)運(yùn)作流程簡(jiǎn)述如下：客戶端訪問(wèn)應(yīng)用服務(wù)器，應(yīng)用服務(wù)器向認(rèn)證服務(wù)器發(fā)出認(rèn)證請(qǐng)求；認(rèn)證服務(wù)器完成對(duì)用戶身份的認(rèn)證并將與該用戶相對(duì)應(yīng)的認(rèn)證信息返回相應(yīng)的應(yīng)用服務(wù)器；用戶在通過(guò)認(rèn)證之后獲得在應(yīng)用服務(wù)器獲得相應(yīng)的授權(quán)，從而可以對(duì)應(yīng)用系統(tǒng)進(jìn)行相應(yīng)的訪問(wèn)。所提交的認(rèn)證系統(tǒng)在滿足上述流程之外需要提供應(yīng)用開(kāi)發(fā)接口，滿足與應(yīng)用服務(wù)器之間的交互。這是將認(rèn)證系統(tǒng)集成到整個(gè)身份認(rèn)證系統(tǒng)的基礎(chǔ)條件，使得后續(xù)的開(kāi)發(fā)工作能夠利用認(rèn)證信息做進(jìn)一步的數(shù)據(jù)處理?？紤]到平臺(tái)的兼容性，應(yīng)用系統(tǒng)開(kāi)發(fā)方可以開(kāi)發(fā)一個(gè)統(tǒng)一的接口程序與認(rèn)證系統(tǒng)進(jìn)行交互。另外還有如下幾點(diǎn)要求需注意：認(rèn)證服務(wù)器的用戶信息需要依據(jù)數(shù)據(jù)庫(kù)服務(wù)器中的用戶信息為基礎(chǔ)；對(duì)于客戶端的身份認(rèn)證最好采用硬件方式；客戶端通過(guò)廣域網(wǎng)連接到認(rèn)證服務(wù)器，要求認(rèn)證服務(wù)器是能夠面向廣域網(wǎng)用戶的；客戶端數(shù)量可以按250用戶計(jì)算；提供認(rèn)證系統(tǒng)的安全模式說(shuō)明，詳細(xì)介紹如何確保系統(tǒng)的安全；系統(tǒng)對(duì)認(rèn)證系統(tǒng)的操作系統(tǒng)平臺(tái)無(wú)特殊要求。1.3身份認(rèn)證系統(tǒng)認(rèn)證解決之道根據(jù)身份認(rèn)證系統(tǒng)的設(shè)計(jì)原則，系統(tǒng)安全需要解決如下幾個(gè)方面的問(wèn)題：?數(shù)據(jù)的保密性。包括數(shù)據(jù)靜態(tài)存儲(chǔ)的保密性和數(shù)據(jù)傳輸過(guò)程中的保密性；?有效的身份認(rèn)證和權(quán)限控制。系統(tǒng)中的各個(gè)授權(quán)人員具有其特定級(jí)別的權(quán)限，可以進(jìn)行該權(quán)限的操作，無(wú)法越權(quán)操作；操作者事后無(wú)法否認(rèn)其進(jìn)行的操作；未授權(quán)人員無(wú)法進(jìn)入系統(tǒng)。我們建議利用業(yè)界行之有效的高強(qiáng)度的加解密技術(shù)和身份認(rèn)證技術(shù)保證身份認(rèn)證系統(tǒng)的安全，上海CA中心的數(shù)字身份認(rèn)證系統(tǒng)可以為用戶提供解決辦法。身份認(rèn)證系統(tǒng)主要負(fù)責(zé)證書(shū)管理，保證系統(tǒng)安全不間斷地提供證書(shū)的申請(qǐng)和作廢，提供用戶信息和證書(shū)的備份和歸檔，保證系統(tǒng)數(shù)據(jù)的完整性。如何解決身份認(rèn)證系統(tǒng)的安全性是我們關(guān)心的最大問(wèn)題，結(jié)合身份認(rèn)證系統(tǒng)，我們?cè)O(shè)計(jì)如下的應(yīng)用模式：身份認(rèn)證系統(tǒng)的模式首先我們來(lái)看一下身份認(rèn)證系統(tǒng)的模式：中心向操作員發(fā)放數(shù)字證書(shū)；用戶使用數(shù)字證書(shū)登陸，經(jīng)身份驗(yàn)證后，進(jìn)入身份認(rèn)證系統(tǒng)，填寫(xiě)或修改表單并提交；系統(tǒng)對(duì)表單進(jìn)行處理，然后提交、登記身份認(rèn)證系統(tǒng)。建立身份認(rèn)證系統(tǒng)身份認(rèn)證系統(tǒng)以及與其發(fā)生業(yè)務(wù)的部門通過(guò)網(wǎng)絡(luò)和數(shù)字證書(shū)建立安全可靠

的身份認(rèn)證系統(tǒng)。身份認(rèn)證系統(tǒng)以及客戶和部門申請(qǐng)數(shù)字證書(shū)，其申請(qǐng)數(shù)字證書(shū)的方式詳見(jiàn)以下章節(jié)的多種可選方案。身份認(rèn)證系統(tǒng)以及客戶和部門申請(qǐng)到了標(biāo)識(shí)其身份的數(shù)字證書(shū)文件和對(duì)應(yīng)的私鑰文件。在此將證書(shū)信息文件稱為UserCert.der，私鑰信息文件稱為UserKey.key。證書(shū)的存儲(chǔ)介質(zhì)是帶有算法的USBKEY。在我們的身份認(rèn)證系統(tǒng)提供支持多種平臺(tái)的證書(shū)應(yīng)用接口API(ApplicationProgrammingInterface)，WINDOWS平臺(tái)以DLL的形式提供，各種UNIX平臺(tái)以“.a”庫(kù)的形式提供。利用該API，應(yīng)用系統(tǒng)可以很方便的將數(shù)字證書(shū)應(yīng)用嵌入到業(yè)務(wù)系統(tǒng)之中。上海CA中心同時(shí)在客戶端提供ActiveX控件和JavaApplet開(kāi)發(fā)接口應(yīng)用服務(wù)器端同時(shí)提供動(dòng)態(tài)連接庫(kù)，COM組件和JavaBean開(kāi)發(fā)接口。證書(shū)在身份認(rèn)證系統(tǒng)上的安全應(yīng)用以下假設(shè)向身份認(rèn)證系統(tǒng)發(fā)訂單，利用數(shù)字證書(shū)的一次數(shù)據(jù)流程。身份認(rèn)操作員操作員UserCert.der操作員UserKey.key應(yīng)用系統(tǒng)平臺(tái)應(yīng)用系統(tǒng)平臺(tái) UserCert.der應(yīng)用系統(tǒng)平臺(tái)應(yīng)用系統(tǒng)平臺(tái)UserCert.der應(yīng)用系統(tǒng)平臺(tái)UserKey.key操作員UserCert.der證系統(tǒng)的服務(wù)器和操作員計(jì)算機(jī)各自申請(qǐng)一張標(biāo)識(shí)其身份的數(shù)字證書(shū)，即具有其對(duì)應(yīng)的證書(shū)文件，私鑰文件。這樣，通過(guò)自己計(jì)算機(jī)上的IE瀏覽器可以安全的訪問(wèn)身份認(rèn)證系統(tǒng)。根據(jù)以上數(shù)據(jù)傳輸過(guò)程，可以完全保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性、身份認(rèn)證和不可抵賴性。同理諸多運(yùn)行在身份認(rèn)證系統(tǒng)上的信息流都可以通過(guò)加密技術(shù)、數(shù)字簽名技術(shù)以身份認(rèn)證形式、安全電子郵件形式或文檔形式進(jìn)行安全。.詳細(xì)設(shè)計(jì)方案身份認(rèn)證系統(tǒng)身份認(rèn)證系統(tǒng)是在實(shí)際運(yùn)作過(guò)程中，根據(jù)用戶需求開(kāi)發(fā)的一套內(nèi)網(wǎng)數(shù)字身份認(rèn)證解決方案套件。該系統(tǒng)可以作為公務(wù)網(wǎng)身份認(rèn)證系統(tǒng)的配套產(chǎn)品適用于接入公務(wù)網(wǎng)的各委、辦、局、區(qū)縣的內(nèi)網(wǎng)應(yīng)用系統(tǒng)中。該系統(tǒng)將主要針對(duì)內(nèi)網(wǎng)的應(yīng)用系統(tǒng)，同時(shí)結(jié)合公務(wù)網(wǎng)身份認(rèn)證系統(tǒng)的特點(diǎn)和需求，向辦公內(nèi)網(wǎng)提供本地證書(shū)庫(kù)、本地證書(shū)管理、本地證書(shū)目錄、本地證書(shū)管理、CRL查詢等服務(wù)。該套系統(tǒng)的API提供了與身份認(rèn)證系統(tǒng)配合使用的WEB安全套件，為WEB應(yīng)用提供全方位的身份認(rèn)證服務(wù)。包括UniTrust登錄、UniTrust退出、對(duì)表單進(jìn)行簽名、對(duì)表單進(jìn)行驗(yàn)證、對(duì)數(shù)據(jù)進(jìn)行加密、解密、對(duì)信息進(jìn)行時(shí)間標(biāo)記和時(shí)間驗(yàn)證、以及身份信息控制。可以滿足5分鐘內(nèi)500個(gè)并發(fā)用戶的驗(yàn)證要求。產(chǎn)品設(shè)計(jì)原則認(rèn)證系統(tǒng)的設(shè)計(jì)原則身份認(rèn)證系統(tǒng)在設(shè)計(jì)時(shí)，從系統(tǒng)建設(shè)的近期和長(zhǎng)遠(yuǎn)目標(biāo)來(lái)綜合考慮在設(shè)計(jì)中遵循了規(guī)范性、安全可靠性、實(shí)用性、擴(kuò)展性、經(jīng)濟(jì)性、易用性和業(yè)務(wù)獨(dú)立性等原則。并在以上原則中著重考慮了：安全性安全性是認(rèn)證系統(tǒng)最為關(guān)注的問(wèn)題，也是認(rèn)證系統(tǒng)設(shè)計(jì)及建設(shè)中的關(guān)鍵，它包括Browser與Server間信息傳遞的安全控制，訪問(wèn)系統(tǒng)的安全控制，系統(tǒng)數(shù)據(jù)的可追溯性。認(rèn)證系統(tǒng)有完整的安全策略控制體系以實(shí)現(xiàn)安全控制。其關(guān)鍵技術(shù)包括網(wǎng)頁(yè)簽名技術(shù)，身份認(rèn)證及信息加密技術(shù)，可保證系統(tǒng)間信息傳遞的安全，訪問(wèn)系統(tǒng)的安全控制。規(guī)范性標(biāo)準(zhǔn)和規(guī)范是認(rèn)證系統(tǒng)設(shè)計(jì)中的重要內(nèi)容，這里所說(shuō)的規(guī)范性，是指認(rèn)證系統(tǒng)設(shè)計(jì)及建立過(guò)程的規(guī)范性。目前有關(guān)認(rèn)證系統(tǒng)的實(shí)際應(yīng)用有著多種相關(guān)的規(guī)范，如X.509，PKCS10，PKCS7，PKCS12等。不同的用戶及系統(tǒng)在使用認(rèn)證系統(tǒng)及證書(shū)時(shí)往往都按照相關(guān)的規(guī)范調(diào)用。同時(shí)良好的規(guī)范也保證了身份認(rèn)證系統(tǒng)協(xié)調(diào)工作時(shí)的方便性和準(zhǔn)確性?？蓴U(kuò)展性認(rèn)證系統(tǒng)方案設(shè)計(jì)中，每個(gè)層次的設(shè)計(jì)采用模塊化設(shè)計(jì)，可根據(jù)用戶的不同需要發(fā)展進(jìn)行靈活擴(kuò)展。如，在數(shù)字證書(shū)中加入自定義擴(kuò)展項(xiàng)，從而使政府用戶可在證書(shū)中加入相應(yīng)的工作證號(hào)等信息。特別是證書(shū)系統(tǒng)采用了B/S中的多層設(shè)計(jì)思想，使得系統(tǒng)可實(shí)現(xiàn)對(duì)于不同用戶的定制服務(wù)，可以方便地實(shí)行對(duì)應(yīng)用的控制與更新。易管理性系統(tǒng)的易管理性是證書(shū)認(rèn)證系統(tǒng)的一個(gè)重要特點(diǎn)，系統(tǒng)對(duì)應(yīng)提供多套管理系統(tǒng)，可對(duì)系統(tǒng)各個(gè)層次進(jìn)行管理。并可對(duì)一些經(jīng)常性的統(tǒng)計(jì)工作提供基于Web的管理。網(wǎng)絡(luò)環(huán)境設(shè)計(jì)原則我們?cè)谧鳟a(chǎn)品系統(tǒng)實(shí)施方案時(shí)充分考慮了網(wǎng)絡(luò)的高性能、可靠性，可擴(kuò)充性，以便支持以后網(wǎng)絡(luò)分階段升級(jí)的需要，保護(hù)原有投資。為此，遵循了以下原則：先進(jìn)性和實(shí)用性盡可能采用國(guó)際上先進(jìn)的技術(shù)和設(shè)備，使產(chǎn)品系統(tǒng)具有良好的性能，不僅能滿足當(dāng)前認(rèn)證系統(tǒng)的需要，還要滿足未來(lái)3至5年的需要。對(duì)一些目前不重要的部分，則以經(jīng)濟(jì)實(shí)用為主，但要為以后的擴(kuò)充打下基礎(chǔ)。高可靠性采用成熟的先進(jìn)技術(shù)，關(guān)鍵部件和線路有足夠備份，有必要的冗余容錯(cuò)能力，如出了故障，要能及時(shí)指出故障點(diǎn)及故障原因。較強(qiáng)的擴(kuò)充性能產(chǎn)品提供了很多于應(yīng)用相連結(jié)的標(biāo)準(zhǔn)函數(shù)借口，能與將來(lái)的先進(jìn)技術(shù)相結(jié)合，保護(hù)現(xiàn)有投資，保證系統(tǒng)能隨時(shí)加入新的功能模塊，保證有關(guān)軟件能順利升級(jí)和擴(kuò)充。良好的安全保密措施由于此產(chǎn)品是一套獨(dú)立的身份認(rèn)證系統(tǒng)，為了確保系統(tǒng)的安全保密措施和系統(tǒng)的大范圍適用性，我們提供了軟硬件一體機(jī)，通過(guò)訪問(wèn)控制、及為用戶設(shè)置權(quán)限等措施，防止非法侵入。功能模塊架構(gòu)應(yīng)用系統(tǒng)SafeengineSafeEngine證書(shū)管理器身份認(rèn)證系統(tǒng)系統(tǒng)初始化/系統(tǒng)管理/用戶管理/證書(shū)管理/用戶自服務(wù)/系統(tǒng)服務(wù)證書(shū)編碼OCSP/CRL等編碼簽發(fā)證書(shū)/黑名單/OCSP等用戶信息管理證書(shū)信息管理編碼加解密數(shù)據(jù)庫(kù)HardWare身份認(rèn)證系統(tǒng)特性身份認(rèn)證系統(tǒng)支持平臺(tái)身份認(rèn)證系統(tǒng)充分發(fā)揮硬件的特性，便于管理和維護(hù)。減少人為干預(yù)。兼容的應(yīng)用軟件和操作系統(tǒng)身份認(rèn)證系統(tǒng)可與以下軟件協(xié)同工作客戶端應(yīng)用程序：NetscapeNavigator9NetscapeCommunicationMicrosoftInternetExploerUniTrustSafeEngine,UniTrust證書(shū)管理器各種WEB服務(wù)器：MicroSoftIISWebServerNetscapeEnterpriseApacheJavaWebServerDomino統(tǒng)一的管理界面身份認(rèn)證系統(tǒng)的操作管理都基于WEB頁(yè)面，有效降低維護(hù)的成本。支持各種介質(zhì)身份認(rèn)證系統(tǒng)支持用戶證書(shū)存放在軟盤、IC卡、USB棒以及服務(wù)器。嚴(yán)格的權(quán)限控制身份認(rèn)證系統(tǒng)分為系統(tǒng)管理員、系統(tǒng)操作員、系統(tǒng)用戶和匿名用戶四個(gè)級(jí)別用戶。系統(tǒng)管理員對(duì)系統(tǒng)的運(yùn)行負(fù)責(zé)，但不能接觸任何用戶數(shù)據(jù)，同時(shí)必須超過(guò)半數(shù)的系統(tǒng)管理員到場(chǎng)時(shí)才能進(jìn)入系統(tǒng)管理模式。操作員僅能對(duì)用戶進(jìn)行操作，不能影響系統(tǒng)的運(yùn)行。用戶僅能對(duì)自己的數(shù)據(jù)進(jìn)行操作，不能修改他人數(shù)據(jù)。匿名用戶提供公用的服務(wù)，如下載他人證書(shū)、根證書(shū)、下載黑名單等。所有的認(rèn)證方式均采用數(shù)字認(rèn)證方式進(jìn)行，確保系統(tǒng)安全。私鑰保護(hù)身份認(rèn)證系統(tǒng)對(duì)私鑰進(jìn)行嚴(yán)格的保護(hù)，對(duì)所有存放在身份認(rèn)證系統(tǒng)上的私鑰，采用多重加密方式，同時(shí)身份認(rèn)證系統(tǒng)采用硬件機(jī)，無(wú)人可以直接獲得身份認(rèn)證系統(tǒng)上的數(shù)據(jù)。日志身份認(rèn)證系統(tǒng)提供詳盡的日志功能。包括系統(tǒng)日志和用戶日志。系統(tǒng)日志主要提供所有系統(tǒng)管理員、系統(tǒng)操作員、用戶對(duì)系統(tǒng)信息、或證書(shū)信息的操作。系統(tǒng)管理員可以通過(guò)日志查詢獲得系統(tǒng)的狀態(tài)。10歷史信息查詢身份認(rèn)證系統(tǒng)提供國(guó)內(nèi)首創(chuàng)（專利號(hào)）的技術(shù)，用戶歷史信息查詢。歷史信息包括用戶的證書(shū)申請(qǐng)歷史和證書(shū)使用信息。證書(shū)申請(qǐng)信息包括用戶申請(qǐng)證書(shū)的記錄申請(qǐng)時(shí)間、批準(zhǔn)或駁回、更新時(shí)間、作廢時(shí)間、上一張證書(shū)、下一張證書(shū)等。用戶證書(shū)使用信息查詢包括證書(shū)被驗(yàn)證記錄，提供驗(yàn)證者信息和時(shí)間。供用戶本人查證自己證書(shū)使用紀(jì)錄，是否有他人試圖使用自己的證書(shū)。下一版本中，將提供用戶告警機(jī)制，用戶可以設(shè)定自己的檢查條件，系統(tǒng)核查滿足條件后，就發(fā)送告警信息給用戶。以盡快解決安全隱患。政策編輯身份認(rèn)證系統(tǒng)提供自行編輯證書(shū)政策的功能，可以讓運(yùn)行商自行修改證書(shū)策略。數(shù)據(jù)備份身份認(rèn)證系統(tǒng)提供根證書(shū)的導(dǎo)入導(dǎo)出功能，也支持所有的數(shù)據(jù)備份和恢復(fù)功能。為數(shù)據(jù)安全提供保障。產(chǎn)品升級(jí)對(duì)不斷提高的技術(shù)和新的需求，身份認(rèn)證系統(tǒng)努力提升產(chǎn)品性能和功能。身份認(rèn)證系統(tǒng)只需要系統(tǒng)管理員將系統(tǒng)進(jìn)入維護(hù)模式，運(yùn)行與該系統(tǒng)配套提供的軟件升級(jí)包，就可以對(duì)產(chǎn)品進(jìn)行升級(jí)。身份認(rèn)證系統(tǒng)功能簡(jiǎn)介系統(tǒng)初始化執(zhí)行系統(tǒng)初始化功能，包括刪除所有數(shù)據(jù)，缺省系統(tǒng)管理員、系統(tǒng)操作員的生成。根證書(shū)的生成或指定。系統(tǒng)IP地址更改。系統(tǒng)管理執(zhí)行系統(tǒng)管理功能，包括系統(tǒng)管理員管理、操作員管理、根證書(shū)管理、系統(tǒng)服務(wù)管理、系統(tǒng)日志管理、License管理、系統(tǒng)密鑰管理。用戶信息管理主要執(zhí)行用戶信息管理的工作，包括用戶信息的增加、修改、刪除。11證書(shū)申請(qǐng)信息管理主要執(zhí)行證書(shū)申請(qǐng)信息的管理工作，包括證書(shū)申請(qǐng)信息的添加、修改和刪除。證書(shū)的管理如作廢、簽發(fā)、暫停、恢復(fù)等等。以及統(tǒng)計(jì)報(bào)表的制作打印等等。用戶、證書(shū)自服務(wù)：用戶證書(shū)自管理的工作，如用戶信息的錄入，修改，用戶證書(shū)申請(qǐng)請(qǐng)求，用戶證書(shū)的下載，用戶證書(shū)的廢除。以及查詢、下載他人證書(shū)、CRL。下載根證書(shū)。接收注冊(cè)請(qǐng)求，簽發(fā)公鑰證書(shū)支持離線或在線簽發(fā)證書(shū)兩種方式。前者密鑰對(duì)由身份認(rèn)證系統(tǒng)生成；后者密鑰對(duì)在客戶端由瀏覽器或其他PKI軟件生成。證書(shū)查詢用戶可以輸入一定的條目如Email或姓名等，通過(guò)模糊查詢，獲得用戶證書(shū)列表，選擇一張證書(shū)下載到瀏覽器中，或保存。發(fā)布證書(shū)吊銷名單（CRL）定期發(fā)布最新證書(shū)吊銷名單。CRL遵從X.509V3格式。提供在線證書(shū)狀態(tài)查詢（OCSP）身份認(rèn)證系統(tǒng)提供證書(shū)狀態(tài)查詢，有效提高可靠性。提供日志管理日志是每次操作的記錄，其主要作用有二。一是用于事后故障清查的系統(tǒng)維護(hù)方面；其二是事故處理，為系統(tǒng)安全審計(jì)提供現(xiàn)場(chǎng)記錄數(shù)據(jù)，是安全審計(jì)與追蹤的基礎(chǔ)。身份認(rèn)證系統(tǒng)訪問(wèn)控制訪問(wèn)身份認(rèn)證系統(tǒng)需要強(qiáng)身份驗(yàn)證，只有通過(guò)超過(guò)半數(shù)以上的系統(tǒng)管理員的PIN卡驗(yàn)證后，才允許系統(tǒng)管理員訪問(wèn)身份認(rèn)證系統(tǒng)，執(zhí)行安全操作。用戶證書(shū)介質(zhì)制作用戶證書(shū)介質(zhì)即用戶身份標(biāo)識(shí)介質(zhì)，介質(zhì)中存有用戶證書(shū)、該證書(shū)的簽發(fā)者證書(shū)、和被加密的該用戶的私鑰。用戶證書(shū)介質(zhì)可以是軟盤，也可以是安全性更高的IC卡或USB棒。用戶證書(shū)介質(zhì)的選擇，需視用戶對(duì)安全性的要求而定。12身份認(rèn)證系統(tǒng)安全性分析我們提供的該套身份認(rèn)證系統(tǒng)在安全設(shè)計(jì)過(guò)程中主要考慮四個(gè)主要措施：身份鑒別措施、數(shù)據(jù)的傳遞過(guò)程的機(jī)密性與完整性措施、權(quán)限分割與互相制約措施、自主和可控性措施的四項(xiàng)措施。本系統(tǒng)安全性保護(hù)的必要性數(shù)字化信息社會(huì)雖然給人們的工作帶來(lái)了方便，但是由于它是基于網(wǎng)絡(luò)的信息傳遞也給人們的工作帶來(lái)了很多不便之處，在工作中缺少了物理界面的出現(xiàn)，從而帶來(lái)了信息安全保密問(wèn)題的出現(xiàn)。通過(guò)長(zhǎng)時(shí)期的了解和觀察，我們發(fā)現(xiàn)我國(guó)信息安全保密還存在以下問(wèn)題：信息安全保密意識(shí)淡薄，缺少緊迫感和正確的認(rèn)識(shí)。信息網(wǎng)絡(luò)防御能力脆弱，信息保密技術(shù)研究和技術(shù)防范手段滯后，泄密隱患突出。信息安全基礎(chǔ)設(shè)施薄弱，缺少必要的物質(zhì)條件，一些重要的信息系統(tǒng)使用進(jìn)口的安全設(shè)備，無(wú)法保證其安全性和有效監(jiān)管。信息安全保密管理力度不夠，管理體系不夠完善，內(nèi)部管理漏洞隱患大，網(wǎng)絡(luò)缺少對(duì)用戶認(rèn)證與權(quán)限的管理，也缺少對(duì)信息內(nèi)容的保密級(jí)別的劃分與設(shè)定?？傊?，本系統(tǒng)安全性保護(hù)不僅是必要的，也是相當(dāng)重要的。安全性要求隨著各個(gè)單位內(nèi)網(wǎng)辦公應(yīng)用系統(tǒng)需求的迫切提升，信息安全已成為焦點(diǎn)問(wèn)題之一，尤其是CA認(rèn)證越來(lái)越成為整個(gè)電子商務(wù)中的安全重要環(huán)節(jié)，所以數(shù)字身份認(rèn)證系統(tǒng)本身的安全也越來(lái)越重要。概括起來(lái)，認(rèn)證系統(tǒng)對(duì)安全的最基本要求如下：身份鑒別(Authentication)在操作員或管理員進(jìn)行認(rèn)證系統(tǒng)的操作錢要能確認(rèn)對(duì)方的身份，并要求在操作過(guò)程中操作員或管理員的身份不能被假冒或偽裝。13數(shù)據(jù)的機(jī)密(Confidentiality)對(duì)敏感信息進(jìn)行加密，及時(shí)別人截獲數(shù)據(jù)也無(wú)法得到其內(nèi)容。數(shù)據(jù)的完整性(Integrity)要求接受方能夠驗(yàn)證受到的信息是否完整，是否被人篡改，保證操作過(guò)程中的信息安全。不可抵賴性(Non-Repudiation)操作一旦完成，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到的信息。安全性設(shè)計(jì)原則在設(shè)計(jì)證書(shū)系統(tǒng)的安全時(shí)，我們主要遵守了以下原則：網(wǎng)絡(luò)信息系統(tǒng)安全與保密的“木桶原則”：對(duì)信息均衡、全面地進(jìn)行安全保護(hù)；網(wǎng)絡(luò)信息安全系統(tǒng)的“整體性原則”：安全防護(hù)、檢測(cè)和應(yīng)急恢復(fù)；數(shù)字身份認(rèn)證系統(tǒng)安全性的“有效性與實(shí)用性”原則：不能影響系統(tǒng)的正常運(yùn)行和合法用戶的操作活動(dòng)；信息安全系統(tǒng)的“等級(jí)性”原則：安全層次和安全級(jí)別；信息安全系統(tǒng)的“動(dòng)態(tài)化”原則：整個(gè)系統(tǒng)內(nèi)盡可能引入更多的可變因素，并具有良好的擴(kuò)展性；安全與保密系統(tǒng)的設(shè)計(jì)應(yīng)與網(wǎng)絡(luò)設(shè)計(jì)相結(jié)合的原則；自主和可控性原則；權(quán)限分割、互相制約、最小化原則；有的放矢、各取所需原則。安全性設(shè)計(jì)方案身份鑒別措施身份鑒別措施是指在操作員或管理員進(jìn)行登陸系統(tǒng)進(jìn)行操作之前必須進(jìn)行身份的鑒別。流程圖如下：14

每個(gè)管理員、操作員、證書(shū)用戶在進(jìn)入系統(tǒng)之前，都必須在系統(tǒng)的數(shù)據(jù)庫(kù)中先錄入各自的證書(shū)，這一過(guò)程也稱開(kāi)戶。在管理員或操作員進(jìn)行登錄前，服務(wù)器會(huì)生成一個(gè)隨機(jī)字符串，并要求登錄者對(duì)這個(gè)字符串進(jìn)行簽名，由于這個(gè)字符串是隨機(jī)的，并含有時(shí)間信息，所以這種方法可防治重放攻擊。登錄者將隨機(jī)字符串簽名后，會(huì)將簽名發(fā)送到服務(wù)器端。服務(wù)器可從庫(kù)中取出簽名者的證書(shū)進(jìn)行校驗(yàn)。如果檢驗(yàn)通過(guò)，則證明登錄者身份真實(shí)。在操作過(guò)程中操作員或管理員無(wú)論進(jìn)行合作操作，都要對(duì)通信信息進(jìn)行簽15名，保證了其身份不能被假冒或偽裝。同時(shí)加入簽名也保證了操作一旦完成，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到的信息。身份認(rèn)證系統(tǒng)應(yīng)用開(kāi)發(fā)接口身份認(rèn)證系統(tǒng)接口函數(shù)身份認(rèn)證系統(tǒng)接口函數(shù)是為所有基于該套系統(tǒng)證書(shū)應(yīng)用程序開(kāi)發(fā)者提供編程接口。應(yīng)用開(kāi)發(fā)者不需要深入了解證書(shū)的結(jié)構(gòu)、獲取、驗(yàn)證等一切與證書(shū)相關(guān)的操作，只需要關(guān)心應(yīng)用的開(kāi)發(fā)即可。接口函數(shù)支持1024/128位強(qiáng)度的加密算法，證書(shū)驗(yàn)證、黑名單查詢、數(shù)字信封，數(shù)字簽名，驗(yàn)證簽名，摘要，對(duì)稱加解密，PEM編解碼，從介質(zhì)中讀取證書(shū)，私鑰，證書(shū)驗(yàn)證（包括CRL，OCSP驗(yàn)證），證書(shū)解碼等。接口函數(shù)包括2種類型：API和證書(shū)管理器。API有標(biāo)準(zhǔn)c版和java版，支持包括Aix、hp、Solaris.Windows在內(nèi)的各種主流操作系統(tǒng)；證書(shū)管理器API支持Windows系列。API提供的功能主要包括簽名、從證書(shū)提取證書(shū)細(xì)節(jié)等各項(xiàng)功能；證書(shū)管理器API不但包括了API的大部分功能，另外還提供了證書(shū)的管理功能，包括證書(shū)的添加、刪除、導(dǎo)入導(dǎo)出等功能，這些功能可以方便客戶端對(duì)證書(shū)的管理，結(jié)合API的強(qiáng)大功能，可以開(kāi)發(fā)出一套功能強(qiáng)大的身份認(rèn)證應(yīng)用系統(tǒng)。我們保證密切配合應(yīng)用系統(tǒng)開(kāi)發(fā)商對(duì)**********身份認(rèn)證信息系統(tǒng)的開(kāi)發(fā)，以確保整個(gè)系統(tǒng)的完整和及時(shí)的開(kāi)發(fā)完成。為客戶端同時(shí)提供ActiveX控件和JavaApplet開(kāi)發(fā)接口。應(yīng)用服務(wù)器端同時(shí)提供動(dòng)態(tài)連接庫(kù)，COM組件和JavaBean開(kāi)發(fā)接口。API與身份認(rèn)證系統(tǒng)結(jié)合開(kāi)發(fā)應(yīng)用系統(tǒng)在**********的系統(tǒng)中，需要加入身份認(rèn)證和數(shù)字信封等功能，保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的安全性、保密性、完整性、身份可識(shí)別以及各項(xiàng)操作的不可否認(rèn)性等安全功能，在分析了**********的具體需求只有，我們認(rèn)為，結(jié)合我們現(xiàn)有的產(chǎn)品身份認(rèn)證系統(tǒng)和接口函數(shù)，可以開(kāi)發(fā)出一套適合需求的產(chǎn)品。16在開(kāi)發(fā)過(guò)程中，我們建議按以下流程設(shè)計(jì)應(yīng)用程序：1、********通過(guò)身份認(rèn)證系統(tǒng)為用戶發(fā)放數(shù)字證書(shū)；2、在用戶第一次登錄系統(tǒng)時(shí)，要求用戶使用數(shù)字證書(shū)等陸，應(yīng)用系統(tǒng)發(fā)出隨機(jī)串要求客戶端對(duì)隨機(jī)串進(jìn)行簽名，并返回簽過(guò)名的隨機(jī)串，由應(yīng)用系統(tǒng)驗(yàn)證用戶身份；（建議客戶端使用證書(shū)管理器API開(kāi)發(fā)，服務(wù)器端使用API）3、確認(rèn)用戶身份后，可以根據(jù)*********系統(tǒng)的授權(quán)，進(jìn)行各項(xiàng)操作。因?yàn)樯矸菡J(rèn)證系統(tǒng)是軟、硬件一體機(jī)，用戶只要通過(guò)Web就可以輕松的發(fā)放證書(shū)，無(wú)需額外的管理和復(fù)雜的操作，并且結(jié)合接口函數(shù)功能，可以完成各項(xiàng)對(duì)于證書(shū)的操作以及證書(shū)的管理。同時(shí)身份認(rèn)證系統(tǒng)的功能主要是管理證書(shū)和發(fā)放證書(shū)，在應(yīng)用系統(tǒng)中，只與應(yīng)用系統(tǒng)關(guān)聯(lián)，對(duì)網(wǎng)絡(luò)沒(méi)有額外的要求，所以不會(huì)影響到外網(wǎng)的用戶。通過(guò)身份認(rèn)證系統(tǒng)數(shù)據(jù)導(dǎo)出接口，可以把證書(shū)服務(wù)器和認(rèn)證服務(wù)器中的用戶數(shù)據(jù)與主應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器（Oracle9i）中的系統(tǒng)用戶數(shù)據(jù)保持實(shí)時(shí)的一致，確保整個(gè)系統(tǒng)用戶管理功能的統(tǒng)一。身份認(rèn)證系統(tǒng)使用案例身份認(rèn)證系統(tǒng)已經(jīng)成功應(yīng)用在上海市信息辦、上海市證券交易所、上海藥品監(jiān)督局、上海市統(tǒng)戰(zhàn)部、上海市青浦區(qū)政府、上海市小企業(yè)管理辦公室、浙江移動(dòng)通信有限公司等政府部門和企業(yè)。如下以身份認(rèn)證系統(tǒng)在政務(wù)網(wǎng)系統(tǒng)中應(yīng)用為例，說(shuō)明信息加密和身份控制的應(yīng)用。政府上網(wǎng)工程中必須保證以下幾個(gè)因素：在線身份認(rèn)證身份認(rèn)證在整個(gè)政務(wù)網(wǎng)中的重要性是不言而喻的。所有其他的控制都來(lái)自于身份認(rèn)證的正確性。傳統(tǒng)的密碼口令不能足以保證身份的準(zhǔn)確性。必須采用高強(qiáng)度的認(rèn)證機(jī)制（CA認(rèn)證機(jī)制）。同時(shí)也必須提供在線的認(rèn)證機(jī)制，以避免證書(shū)在丟失后可能導(dǎo)致的風(fēng)險(xiǎn)。權(quán)限控制由于業(yè)務(wù)應(yīng)用系統(tǒng)網(wǎng)中，大多為內(nèi)部機(jī)密信息。對(duì)權(quán)限的控制非常重要，17

必須提供嚴(yán)格的控制，這種控制如果通過(guò)傳統(tǒng)的數(shù)據(jù)庫(kù)方式進(jìn)行，可以做到，但會(huì)花費(fèi)極大的成本，同時(shí)也增加了管理的難度。用數(shù)字證書(shū)可以方便的實(shí)現(xiàn)全程通用的模塊，而不用建立獨(dú)立的數(shù)據(jù)庫(kù)，單獨(dú)進(jìn)行管理。不可抵賴和數(shù)據(jù)完整性業(yè)務(wù)應(yīng)用系統(tǒng)網(wǎng)由于其特性的限制，對(duì)每個(gè)信息的認(rèn)證必須是強(qiáng)有力的，比如冒充領(lǐng)導(dǎo)發(fā)布命令，可能會(huì)導(dǎo)致很大的損失。必須對(duì)信息進(jìn)行不可抵賴性驗(yàn)證。數(shù)據(jù)加密業(yè)務(wù)應(yīng)用系統(tǒng)網(wǎng)流通的信息都是機(jī)密信息，必須進(jìn)行數(shù)據(jù)加密，以免網(wǎng)絡(luò)監(jiān)聽(tīng)或其他非法獲取信息。為保證以上安全，可以采用身份認(rèn)證系統(tǒng)和身份認(rèn)證系統(tǒng)接口函數(shù)結(jié)合，打造安全的網(wǎng)絡(luò)。（如下圖所示）安裝皿打廠色土SafeEngine