南空司令部信息化PKI體系建設(shè)方案

南空司令部信息化PKI體系建設(shè)方案南空司令部信息化系統(tǒng)PKI體系建設(shè)方案中國(guó)金融認(rèn)證中心2010年4月

目錄1 綜述 42 系統(tǒng)安全需求 52.1 身份認(rèn)證（Authentication） 52.2 通信的保密性（Confidentiality） 52.3 數(shù)據(jù)完整性（Integrity） 62.4 文件的不可否認(rèn)性（Non-Repudiation） 62.5 訪問(wèn)控制（AccessControl） 62.6 系統(tǒng)可用性（Availability） 62.7 數(shù)據(jù)備份與恢復(fù)（Recovery） 73 系統(tǒng)安全建設(shè)目標(biāo) 73.1 總體建設(shè)目標(biāo) 73.2 總體安全框架設(shè)計(jì) 74 PKI體系建設(shè) 94.1 PKI體系建設(shè)說(shuō)明 94.1.1 數(shù)字認(rèn)證信任管理模式 94.1.2 PKI系統(tǒng)基本組成 114.2 PKI體系主要建設(shè)內(nèi)容 124.3 PKI基礎(chǔ)安全服務(wù)體系建設(shè) 154.3.1 CA系統(tǒng)設(shè)計(jì) 154.3.2 RA系統(tǒng)設(shè)計(jì) 194.3.3 目錄發(fā)布與查詢服務(wù)系統(tǒng)設(shè)計(jì) 224.3.4 密鑰管理中心設(shè)計(jì) 254.4 證書(shū)安全應(yīng)用平臺(tái)建設(shè) 274.4.1 證書(shū)安全應(yīng)用平臺(tái)分析 284.4.2 證書(shū)安全應(yīng)用平臺(tái)建設(shè)原則 294.4.3 證書(shū)應(yīng)用安全平臺(tái)框架 304.4.4 證書(shū)安全應(yīng)用平臺(tái)主要技術(shù) 314.4.5 SSL安全網(wǎng)關(guān)產(chǎn)品 334.4.6 應(yīng)用開(kāi)發(fā)包 394.5 系統(tǒng)運(yùn)營(yíng)安全管理建設(shè) 424.5.1 運(yùn)營(yíng)管理規(guī)范 424.5.2 安全應(yīng)急處理管理規(guī)范 434.5.3 系統(tǒng)建設(shè)相關(guān)文檔 444.5.4 人員管理安全 455 自建CA系統(tǒng)軟硬件要求 465.1 南空司令部完全自建CA方案要求 465.2 報(bào)價(jià) 46綜述在網(wǎng)絡(luò)技術(shù)迅速發(fā)展的今天，企事業(yè)、政府機(jī)構(gòu)面臨著如何利用網(wǎng)絡(luò)這一虛擬的環(huán)境為網(wǎng)內(nèi)用戶提供全面的、安全性的信息服務(wù)問(wèn)題，在這一環(huán)境下應(yīng)運(yùn)如生，目前國(guó)內(nèi)政府、企事業(yè)單位都紛紛推出了基于內(nèi)網(wǎng)的服務(wù)要求。網(wǎng)絡(luò)業(yè)務(wù)在蘊(yùn)藏著強(qiáng)大功能的同時(shí)也帶來(lái)了風(fēng)險(xiǎn)，對(duì)于開(kāi)設(shè)內(nèi)部網(wǎng)絡(luò)服務(wù)的南空司令部來(lái)說(shuō)，當(dāng)務(wù)之急就是要解決信息交互的安全問(wèn)題。南空司令部信息化系統(tǒng)如何為網(wǎng)內(nèi)用戶提供更加方便、穩(wěn)定、安全的業(yè)務(wù)服務(wù)？南京翔晟信息技術(shù)有限公司和CFCA從南空司令部信息化系統(tǒng)應(yīng)用實(shí)際出發(fā)，充分考慮到南空內(nèi)部的管理機(jī)構(gòu)設(shè)置、現(xiàn)有信息系統(tǒng)架構(gòu)和業(yè)務(wù)對(duì)安全的具體需求，并總結(jié)多年的金融、政府信息安全建設(shè)經(jīng)驗(yàn)，提出了基于PKI體系架構(gòu)，以數(shù)字證書(shū)為媒介的系統(tǒng)安全解決方案。該方案采用國(guó)際通用的信息安全技術(shù)，在保證物理安全與網(wǎng)絡(luò)安全的基礎(chǔ)上，加強(qiáng)信息交互的安全管理，提供統(tǒng)一的身份認(rèn)證、安全的數(shù)據(jù)傳輸機(jī)制、數(shù)字簽名驗(yàn)證機(jī)制和訪問(wèn)控制機(jī)制，確保各種業(yè)務(wù)應(yīng)用的數(shù)據(jù)完整性、保密性和行為的不可否認(rèn)性；通過(guò)統(tǒng)一的身份信息及認(rèn)證服務(wù)，為系統(tǒng)用戶提供便捷高效的單點(diǎn)登陸解決方案；通過(guò)集中的授權(quán)及訪問(wèn)控制服務(wù)，為各業(yè)務(wù)應(yīng)用系統(tǒng)提供集中的權(quán)限管理設(shè)計(jì)，在有效保護(hù)和節(jié)約系統(tǒng)建設(shè)投資的同時(shí)，提供用戶權(quán)限的集中管理，保證系統(tǒng)運(yùn)行的高效、安全和穩(wěn)定。系統(tǒng)安全需求從應(yīng)用的角度來(lái)看，安全體系建設(shè)的需求包括以下幾個(gè)方面：身份認(rèn)證（Authentication）由于南空司令部?jī)?nèi)部網(wǎng)絡(luò)的特殊性，業(yè)務(wù)交互的雙方可能彼此都無(wú)法確認(rèn)對(duì)方的真實(shí)身份，因此迫切需要解決“你是誰(shuí)”的問(wèn)題。身份認(rèn)證一般基于以下幾種因素來(lái)進(jìn)行身份的確認(rèn)：你知道什么（somethingyouknow）：比如用戶名/口令、個(gè)人識(shí)別碼（PIN）等你擁有什么（somethingyouhave）：比如智能卡（smartcard）、USBkey等生理特征（somethingyouare,oraphysicalcharacteristic）：比如指紋、面部特征等口令可以被猜出，卡有可能丟失，指紋系統(tǒng)驗(yàn)證可能會(huì)有較高的誤判率；很顯然，如果結(jié)合兩種以上的因素來(lái)進(jìn)行身份的認(rèn)證，認(rèn)證可以獲得更高的強(qiáng)度。公鑰基礎(chǔ)設(shè)施（PKI）通過(guò)物理身份（公民身份證）和數(shù)字身份（數(shù)字證書(shū)）的綁定，將數(shù)字證書(shū)保存到智能卡或者USBkey中的方式，很好的解決了“身份確認(rèn)”的問(wèn)題。通信的保密性（Confidentiality）用戶通過(guò)網(wǎng)絡(luò)訪問(wèn)Web應(yīng)用服務(wù)器時(shí)，如果不采取特殊手段，在網(wǎng)絡(luò)上的信息傳輸是明文方式，由此很容易導(dǎo)致用戶帳戶信息的泄露，為了彌補(bǔ)這個(gè)安全漏洞，有必要對(duì)通信信道進(jìn)行加密。目前國(guó)際上通行的方法是通過(guò)標(biāo)準(zhǔn)的SSL協(xié)議，使用SSL安全網(wǎng)關(guān)保護(hù)Web通信的安全。通信雙方通過(guò)數(shù)字證書(shū)實(shí)現(xiàn)了身份的認(rèn)證，通過(guò)對(duì)稱加密技術(shù)實(shí)現(xiàn)了傳輸數(shù)據(jù)的加密。SSL安全網(wǎng)關(guān)應(yīng)能夠信任多種證書(shū)體系（如自建CA系統(tǒng)），支持證書(shū)狀態(tài)的驗(yàn)證，支持客戶端IP地址獲取，支持訪問(wèn)信息監(jiān)控、審計(jì)，支持負(fù)載均衡等需求。數(shù)據(jù)完整性（Integrity）為了確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不被非授權(quán)用戶篡改，同時(shí)也為了防止被授權(quán)用戶不適當(dāng)?shù)拇鄹?，保持信息?nèi)外部的一致性，需要通過(guò)數(shù)字簽名技術(shù)來(lái)保證數(shù)據(jù)的完整性。文件的不可否認(rèn)性（Non-Repudiation）在信息交互的過(guò)程中和信息交互完成后電子文件發(fā)送的雙方可能會(huì)發(fā)生糾紛，為了防止任何一方對(duì)信息交互過(guò)程和交互后果的無(wú)理抵賴和否認(rèn)，需要保存交易憑證或憑據(jù)，以備CA中心的權(quán)威認(rèn)證和責(zé)任認(rèn)定。訪問(wèn)控制（AccessControl）訪問(wèn)控制就是滿足“最小授權(quán)”原則，防止未授權(quán)用戶訪問(wèn)未授予其權(quán)限的資源，以確保信息的保密性和完整性。訪問(wèn)控制按照層次劃分，可以分為：物理層的訪問(wèn)控制，如通過(guò)門(mén)禁系統(tǒng)來(lái)禁止某些人物理上接觸某些系統(tǒng)或者設(shè)備。網(wǎng)絡(luò)層的訪問(wèn)控制，如通過(guò)防火墻的策略，禁止開(kāi)放某些資源或者服務(wù)。主機(jī)或系統(tǒng)層的訪問(wèn)控制，通過(guò)操作系統(tǒng)的授權(quán)機(jī)制來(lái)禁止或者允許對(duì)某些資源的訪問(wèn)。應(yīng)用層的訪問(wèn)控制，如通過(guò)應(yīng)用訪問(wèn)控制系統(tǒng)來(lái)禁止或者允許用戶對(duì)某些業(yè)務(wù)資源的訪問(wèn)。系統(tǒng)可用性（Availability）所謂可用性就是要確保授權(quán)用戶或者實(shí)體對(duì)信息或者資源的正常使用不會(huì)被拒絕，能夠可靠而及時(shí)地訪問(wèn)信息和資源。簡(jiǎn)單的講就是“業(yè)務(wù)服務(wù)不宕機(jī)，用戶訪問(wèn)響應(yīng)及時(shí)、快速”。數(shù)據(jù)備份與恢復(fù)（Recovery）為了防止可能發(fā)生的災(zāi)難（如地震、火災(zāi)、戰(zhàn)爭(zhēng)）或者操作不當(dāng)引起的事故對(duì)數(shù)據(jù)的損害，需要及時(shí)地備份數(shù)據(jù)和恢復(fù)系統(tǒng)的正常運(yùn)營(yíng)，以盡可能地降低損失，需要對(duì)系統(tǒng)及數(shù)據(jù)庫(kù)及時(shí)備份。系統(tǒng)安全建設(shè)目標(biāo)總體建設(shè)目標(biāo)本次南空司令部信息化系統(tǒng)CA建設(shè)的總體目標(biāo)是：采用符合國(guó)際標(biāo)準(zhǔn)的公鑰基礎(chǔ)設(shè)施PKI技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)上的身份認(rèn)證，確保通信的保密性和交易數(shù)據(jù)的完整性及交易的不可否認(rèn)性，以數(shù)字證書(shū)為媒介，通過(guò)使用先進(jìn)的數(shù)字簽名、SSL安全傳輸協(xié)議等安全技術(shù)為南空司令部業(yè)務(wù)平臺(tái)提供一套功能完善、安全、可靠的應(yīng)用安全保障體系，保證網(wǎng)上業(yè)務(wù)的正常交易。安全平臺(tái)的設(shè)計(jì)應(yīng)當(dāng)致力于滿足機(jī)構(gòu)對(duì)統(tǒng)一身份、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)和統(tǒng)一審計(jì)進(jìn)行集中管理的需要，以及系統(tǒng)對(duì)認(rèn)證服務(wù)、身份管理和授權(quán)管理的服務(wù)便捷接入的需要。根據(jù)南空司令部信息化系統(tǒng)產(chǎn)品為基礎(chǔ)構(gòu)架完整的網(wǎng)絡(luò)層安全防御體系，保障設(shè)備和操作系統(tǒng)的整體安全。根據(jù)方案?jìng)?cè)重點(diǎn)，方案重點(diǎn)提供對(duì)PKI基礎(chǔ)設(shè)施及證書(shū)應(yīng)用服務(wù)的建設(shè)，網(wǎng)絡(luò)層安全暫不涉及。采用安全管理與審計(jì)系統(tǒng)來(lái)實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的日常運(yùn)行監(jiān)控、管理與審計(jì)，提高事故處理響應(yīng)速度，提高業(yè)務(wù)服務(wù)水平，提升客戶滿意度?？傮w安全框架設(shè)計(jì)按照需求分析的要求，我們可以按照層次對(duì)安全體系建設(shè)做如下劃分：業(yè)務(wù)層安全通過(guò)安全接入通道提供的用戶身份信息，結(jié)合客戶管理系統(tǒng)，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的訪問(wèn)控制，實(shí)現(xiàn)業(yè)務(wù)層的安全。單點(diǎn)登陸服務(wù)系統(tǒng)提供單點(diǎn)登陸及用戶信息統(tǒng)一管理服務(wù)權(quán)限管理及訪問(wèn)控制服務(wù)提供用戶權(quán)限的統(tǒng)一管理及對(duì)用戶行為的集中權(quán)限控制應(yīng)用層安全證書(shū)認(rèn)證系統(tǒng)CA提供核心的身份認(rèn)證系統(tǒng)部分，通過(guò)數(shù)字證書(shū)實(shí)現(xiàn)用戶物理身份與數(shù)字身份的綁定證書(shū)注冊(cè)系統(tǒng)RA提供客戶身份信息的管理，提供靈活的、完善的、可定制的證書(shū)管理功能證書(shū)發(fā)布與查詢系統(tǒng)證書(shū)發(fā)布與查詢系統(tǒng)主要提供LDAP服務(wù)、OCSP服務(wù)和注冊(cè)服務(wù)密鑰管理中心系統(tǒng)KMC為CA系統(tǒng)提供密鑰的生成、保存、備份、更新、恢復(fù)、查詢等密鑰服務(wù)，解決密鑰管理問(wèn)題。SSL安全通道接入(SSL安全網(wǎng)關(guān))保護(hù)用戶數(shù)據(jù)能夠通過(guò)互聯(lián)網(wǎng)安全的傳輸，并實(shí)現(xiàn)用戶身份的確認(rèn)及SSL安全接入的訪問(wèn)控制數(shù)字簽名及驗(yàn)證系統(tǒng)業(yè)務(wù)系統(tǒng)通過(guò)調(diào)用數(shù)字簽名驗(yàn)證接口，實(shí)現(xiàn)用戶身份確認(rèn)、保護(hù)數(shù)據(jù)完整性、保存交易憑據(jù)以實(shí)現(xiàn)事后審計(jì)及責(zé)任認(rèn)定網(wǎng)絡(luò)層安全通過(guò)防火墻、入侵檢測(cè)系統(tǒng)等實(shí)現(xiàn)網(wǎng)絡(luò)層的訪問(wèn)控制通過(guò)主機(jī)系統(tǒng)加固實(shí)現(xiàn)主機(jī)系統(tǒng)的安全通過(guò)采用負(fù)載均衡設(shè)備實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)和安全接入系統(tǒng)的高可用性和較高的性能注：具體細(xì)節(jié)本方案暫不涉及物理層安全通過(guò)門(mén)禁系統(tǒng)、監(jiān)控系統(tǒng)等防止未授權(quán)人員對(duì)物理設(shè)備、機(jī)房訪問(wèn)注：具體細(xì)節(jié)本方案暫不涉及系統(tǒng)安全管理建設(shè)PKI安全體系建設(shè)的目的是為應(yīng)用系統(tǒng)提供安全保障，其本身的安全性是系統(tǒng)成功運(yùn)行的保障。因此，必須建立完善的管理制度，以保證整個(gè)PKI體系在運(yùn)營(yíng)過(guò)程中正常運(yùn)行。PKI體系建設(shè)PKI體系建設(shè)說(shuō)明PKI是“PublicKeyInfrastructure”的縮寫(xiě)，意為“公鑰基礎(chǔ)設(shè)施”，是一個(gè)用非對(duì)稱密碼算法原理和技術(shù)實(shí)現(xiàn)的、具有通用性的安全基礎(chǔ)設(shè)施。PKI利用數(shù)字證書(shū)標(biāo)識(shí)密鑰持有人的身份，通過(guò)對(duì)密鑰的規(guī)范化管理，為組織機(jī)構(gòu)建立和維護(hù)一個(gè)可信賴的系統(tǒng)環(huán)境，透明地為應(yīng)用系統(tǒng)提供身份認(rèn)證、數(shù)據(jù)保密性和完整性、抗抵賴等各種必要的安全保障，滿足各種應(yīng)用系統(tǒng)的安全需求。數(shù)字認(rèn)證信任管理模式信任是安全的基礎(chǔ)，在缺乏信任的環(huán)境下，實(shí)現(xiàn)信息系統(tǒng)的安全是不可想象的。在X.509中，是如下定義信任的：“通常來(lái)講，一個(gè)實(shí)體設(shè)想另一個(gè)實(shí)體的行為會(huì)是他所期望的，則可以稱為第一個(gè)實(shí)體是信任第二個(gè)實(shí)體的?！保℅enerally,anentitycanbesaidto“trust”asecondentitywhenit(thefirstentity)makestheassumptionthatthesecondentitywillbehaveexactlyasthefirstentityexpects）。任何安全系統(tǒng)的建立都依賴于系統(tǒng)用戶之間存在的各種信任形式，在信息系統(tǒng)中，要實(shí)現(xiàn)有效可靠的信任關(guān)系，主要是通過(guò)以下三種手段的結(jié)合：身份認(rèn)證、數(shù)據(jù)秘密性和完整性、不可抵賴性。要建立信任，首先要確認(rèn)信任參與者的身份。例如：兩個(gè)人第一次見(jiàn)面，A就要把一個(gè)重要的信息傳遞給B，首先，A要確認(rèn)B是這一信息所期望的接受者，而不能是其它人冒名頂替；B也要確認(rèn)A確實(shí)是這一信息的傳送者，而不是其它人假冒，因?yàn)槿绻鸄是假的，那么其傳遞的信息的可靠性就無(wú)法保證。其次，要保證數(shù)據(jù)秘密性和完整性。以上面的例子為例，如果A把信息傳遞給B的時(shí)候，如果有第三者C有可能通過(guò)竊聽(tīng)等手段獲得該信息，那么，即使A可以信任B，認(rèn)為B的行為會(huì)是A所期望的，但是A并不能保證C的行為同樣會(huì)是A所期望的，在此情況下，信息傳遞的風(fēng)險(xiǎn)將非常大。因此，可以想像的結(jié)果是，由于擔(dān)心C的竊聽(tīng)，A不敢或者無(wú)法把信息傳遞給B。所謂的“信任”也失去了意義。最后，“信任”的一個(gè)關(guān)鍵因素：不可抵賴性。在現(xiàn)實(shí)生活中，如果某人總是說(shuō)話不算，事后賴帳，相信誰(shuí)都不會(huì)“信任”他。在信息系統(tǒng)中，也是如此，但是與現(xiàn)實(shí)生活中不同的是，信息系統(tǒng)中對(duì)不可抵賴性的要求更高，由于參與信息交換的各方的不確定性，所造成的損失難以估量，因此，對(duì)不可抵賴性要求從“事后”提前到了“事先”，也就是說(shuō)，在行為發(fā)生前，就必需對(duì)該行為的不可抵賴性作出約束。對(duì)信息系統(tǒng)中所采用的相關(guān)技術(shù)，可以由下表來(lái)作個(gè)比較：身份認(rèn)證可靠性秘密性和完整性不可抵賴性用戶名/口令低無(wú)低生物特征識(shí)別（如指紋，虹膜等）中～高（取決于現(xiàn)有技術(shù)水平）無(wú)中～高（取決于現(xiàn)有技術(shù)水平）動(dòng)態(tài)口令高無(wú)中PKI高高高圖表STYLEREF1\s4SEQ表格\*ARABIC\s11相關(guān)技術(shù)比較表從上面的對(duì)比可以看出，PKI技術(shù)在解決信息系統(tǒng)安全中有不可替代的優(yōu)勢(shì)。它不僅僅是一個(gè)簡(jiǎn)單的身份認(rèn)證系統(tǒng)，事實(shí)上，它可以作為提供統(tǒng)一信任管理服務(wù)的有效平臺(tái)，在系統(tǒng)與系統(tǒng)、用戶與系統(tǒng)、用戶與用戶之間建立起一種信任關(guān)系，從而保證了系統(tǒng)的安全性，這種信任關(guān)系不是只通過(guò)身份認(rèn)證就能夠?qū)崿F(xiàn)的，它包含了更加豐富的內(nèi)容，如數(shù)字簽名、信息加解密等。PKI體系不僅僅為建立這種信任關(guān)系提供了一個(gè)基礎(chǔ)設(shè)施，其建立信任關(guān)系的最終目的就是為了通過(guò)這種信任關(guān)系保證應(yīng)用系統(tǒng)安全。在本方案設(shè)計(jì)的南空司令部信息化系統(tǒng)認(rèn)證中心（CA）系統(tǒng)將基于PKI技術(shù)進(jìn)行合理的定制優(yōu)化與拓展，使其最大限度的符合南空司令部信息系統(tǒng)中對(duì)安全應(yīng)用的需求。PKI系統(tǒng)基本組成根據(jù)PKI體系架構(gòu)設(shè)計(jì)，在通常情況下的PKI數(shù)字認(rèn)證系統(tǒng)建設(shè)由密鑰管理中心KMC、證書(shū)認(rèn)證中心（CA）、證書(shū)注冊(cè)審核中心（RA）、證書(shū)/CRL發(fā)布及查詢系統(tǒng)以及和應(yīng)用系統(tǒng)間的接口五部分組成，其功能結(jié)構(gòu)如下圖所示：圖表STYLEREF1\s42CFCA數(shù)字認(rèn)證中心功能結(jié)構(gòu)密鑰管理中心（KMC）：是公鑰基礎(chǔ)設(shè)施中的一個(gè)重要組成部分，負(fù)責(zé)為CA系統(tǒng)提供密鑰的生成、保存、備份、更新、恢復(fù)、查詢等密鑰服務(wù)，以解決分布式企業(yè)應(yīng)用環(huán)境中大規(guī)模密碼技術(shù)應(yīng)用所帶來(lái)的密鑰管理問(wèn)題。認(rèn)證中心（CA）系統(tǒng)：CA認(rèn)證中心是PKI公鑰基礎(chǔ)設(shè)施的核心，它主要完成生成/簽發(fā)證書(shū)、生成/簽發(fā)證書(shū)撤消列表（CRL）、發(fā)布證書(shū)和CRL到目錄服務(wù)器、維護(hù)證書(shū)數(shù)據(jù)庫(kù)和審計(jì)日志庫(kù)等功能。注冊(cè)中心（RA）系統(tǒng)：RA注冊(cè)中心是數(shù)字證書(shū)的申請(qǐng)、審核和注冊(cè)的機(jī)構(gòu)。它是CA認(rèn)證中心的延伸，在邏輯上RA和CA是一個(gè)整體，主要負(fù)責(zé)提供證書(shū)注冊(cè)、審核以及發(fā)證功能。證書(shū)發(fā)布與查詢服務(wù)系統(tǒng)：證書(shū)發(fā)布與查詢系統(tǒng)主要提供LDAP服務(wù)、OCSP服務(wù)和注冊(cè)服務(wù)。LDAP提供證書(shū)和CRL的目錄瀏覽服務(wù)；OCSP提供證書(shū)狀態(tài)在線查詢服務(wù)；注冊(cè)服務(wù)為用戶提供在線注冊(cè)的功能。系統(tǒng)應(yīng)用接口：系統(tǒng)應(yīng)用接口為外界提供使用PKI安全服務(wù)的入口。系統(tǒng)應(yīng)用接口一般采用API、JavaBean、COM等多種形式。以上五部分之間的配合協(xié)作，對(duì)外提供PKI信任基礎(chǔ)設(shè)施的安全服務(wù)。PKI體系主要建設(shè)內(nèi)容根據(jù)上面的證書(shū)安全應(yīng)用平臺(tái)建設(shè)分層邏輯結(jié)構(gòu)及PKI系統(tǒng)的基本組成，針對(duì)于本次“南空司令部信息化系統(tǒng)項(xiàng)目”建設(shè)的重點(diǎn)，南京翔晟信息技術(shù)有限公司與CFCA提供如下的證書(shū)相關(guān)安全系統(tǒng)建設(shè)：PKI基礎(chǔ)安全服務(wù)體系建設(shè)CA證書(shū)認(rèn)證系統(tǒng)。CA認(rèn)證機(jī)構(gòu)是數(shù)字認(rèn)證中心安全體系的核心，主要完成生成/簽發(fā)證書(shū)、生成/簽發(fā)證書(shū)撤消列表（CRL）、發(fā)布證書(shū)和CRL到目錄服務(wù)器、維護(hù)證書(shū)數(shù)據(jù)庫(kù)和審計(jì)日志庫(kù)等功能。對(duì)于一個(gè)大型的分布式軍隊(duì)信息應(yīng)用系統(tǒng)，可根據(jù)應(yīng)用系統(tǒng)的分布情況和組織結(jié)構(gòu)設(shè)立一級(jí)CA機(jī)構(gòu)，包括根CA、KMC和一級(jí)RA。本方案提供二級(jí)RA的部署結(jié)構(gòu)，一方面滿足南空司令部信息化系統(tǒng)擴(kuò)充應(yīng)用需求，另一方面，也便于該證書(shū)應(yīng)用平臺(tái)日后支持南空司令部其他業(yè)務(wù)應(yīng)用提供擴(kuò)展支持。RA證書(shū)注冊(cè)服務(wù)系統(tǒng)。RA注冊(cè)中心是連接應(yīng)用系統(tǒng)/用戶與CA中心的紐帶，是數(shù)字證書(shū)的申請(qǐng)、審核和注冊(cè)的機(jī)構(gòu)。它是CA認(rèn)證中心的延伸，在邏輯上RA和CA是一個(gè)整體，它向CA中心提交各種證書(shū)請(qǐng)求，接收來(lái)自CA的處理結(jié)果，主要負(fù)責(zé)提供證書(shū)注冊(cè)、審核以及發(fā)證功能，并負(fù)責(zé)為管理員提供證書(shū)管理服務(wù)。證書(shū)發(fā)布與查詢服務(wù)系統(tǒng)。證書(shū)發(fā)布與查詢系統(tǒng)主要提供LDAP服務(wù)，即通過(guò)LDAP服務(wù)軟件提供證書(shū)和CRL的目錄瀏覽服務(wù)。本方案提供針對(duì)自建CA的LDAP證書(shū)及黑名單發(fā)布，同時(shí)，部署的LDAP服務(wù)器需要滿足接入南空司令部所頒發(fā)證書(shū)、CRL列表的同步鏡像支持，以便于使用證書(shū)的用戶在登陸系統(tǒng)時(shí)可以快捷的進(jìn)行證書(shū)驗(yàn)證應(yīng)用。密鑰管理服務(wù)系統(tǒng)。密鑰管理中心服務(wù)系統(tǒng)是為整個(gè)CA系統(tǒng)提供密鑰服務(wù)的關(guān)鍵系統(tǒng)，一般由密鑰管理模塊（包括密鑰生成、存儲(chǔ)、分發(fā)、備份、更新、廢除、恢復(fù)等等）、密鑰庫(kù)管理、認(rèn)證管理、安全審計(jì)系統(tǒng)、密碼服務(wù)等模塊組成。業(yè)務(wù)安全服務(wù)平臺(tái)SSL安全通道系統(tǒng)。包括客戶端CSP密碼模塊和SSL安全網(wǎng)關(guān)系統(tǒng)兩部分。CSP密碼模塊鑲嵌在瀏覽器中，提供符合國(guó)家密碼部門(mén)要求的密碼算法與服務(wù)器端SSL安全網(wǎng)關(guān)系統(tǒng)建立SSL安全連接，實(shí)現(xiàn)交易雙方的身份認(rèn)證、保證數(shù)據(jù)傳輸?shù)陌踩?。CFCA安全通道系統(tǒng)支持多種硬件密鑰載體，如USB-KEY、磁盤(pán)等。數(shù)字簽名驗(yàn)證服務(wù)系統(tǒng)。包括簽名客戶端和簽名驗(yàn)證服務(wù)器兩部分。數(shù)字簽名客戶端控件負(fù)責(zé)對(duì)交易中的關(guān)鍵數(shù)據(jù)進(jìn)行數(shù)字簽名；簽名驗(yàn)證服務(wù)器主要負(fù)責(zé)對(duì)交易過(guò)程中關(guān)鍵數(shù)據(jù)的簽名進(jìn)行驗(yàn)證，保證交易的不可否認(rèn)性和數(shù)據(jù)的完整性。簽名驗(yàn)證客戶端是提供給應(yīng)用程序調(diào)用的接口軟件包，安裝在業(yè)務(wù)應(yīng)用服務(wù)器上，使應(yīng)用方便地使用簽名驗(yàn)證服務(wù)器。PKI體系建立整體架構(gòu)根據(jù)我們對(duì)南空司令部信息化PKI體系建設(shè)的前期調(diào)研，我們建議下圖南空司令部信息化PKICA系統(tǒng)，包括以下幾個(gè)部分：密鑰管理中心（KMC中心）；證書(shū)注冊(cè)簽發(fā)系統(tǒng)（CA中心、10個(gè)RA中心）；證書(shū)發(fā)布查詢系統(tǒng)：包括證書(shū)發(fā)布系統(tǒng)、在線證書(shū)狀態(tài)查詢系（OCSP）；圖證書(shū)管理系統(tǒng)總體設(shè)計(jì)結(jié)構(gòu)系統(tǒng)安全管理建設(shè)建立完善的管理制度，以保證整個(gè)PKI體系在運(yùn)營(yíng)過(guò)程中正常運(yùn)行。主要內(nèi)容包括：人員管理規(guī)范：根據(jù)系統(tǒng)的需要，劃分角色，配置人員，設(shè)置權(quán)限，制定相應(yīng)的人員管理制度和管理策略，保證人員管理的安全性。CA運(yùn)營(yíng)管理規(guī)范：主要包括系統(tǒng)操作、安全策略、授權(quán)管理、證書(shū)管理、用戶管理等各個(gè)方面的規(guī)范化、制度化。應(yīng)急管理規(guī)范：解決PKI安全體系在正常工作中發(fā)生的各類異常情況、安全事件、安全事故。主要包括信息系統(tǒng)應(yīng)急方案、電力系統(tǒng)故障、消防系統(tǒng)應(yīng)急方案、病毒應(yīng)急方案、系統(tǒng)備份應(yīng)急方案、人員異動(dòng)情況應(yīng)急方案、安全事故處理方法、安全應(yīng)急事件及事故處理的程序等等。機(jī)房的安全建設(shè)：全面規(guī)劃?rùn)C(jī)房，針對(duì)不同安全級(jí)別劃分安全區(qū)域，建立完善的機(jī)房管理制度。標(biāo)準(zhǔn)化建設(shè)：包括系統(tǒng)建設(shè)標(biāo)準(zhǔn)化、系統(tǒng)管理標(biāo)準(zhǔn)化、運(yùn)營(yíng)管理標(biāo)準(zhǔn)化等等。通過(guò)建立完善的管理制度和標(biāo)準(zhǔn)化建設(shè)，為PKI安全體系創(chuàng)造一個(gè)安全可靠的運(yùn)行環(huán)境，從管理上和技術(shù)上全面地保證系統(tǒng)的正常運(yùn)營(yíng)。PKI基礎(chǔ)安全服務(wù)體系建設(shè)根據(jù)PKI體系的組成，本章針對(duì)南空司令部信息化PKI體系項(xiàng)目建設(shè)，提供包括CA認(rèn)證服務(wù)中心（包括RA注冊(cè)服務(wù)中心建設(shè)）、LDAP目錄服務(wù)系統(tǒng)、KMC密鑰管理中心系統(tǒng)在內(nèi)的基礎(chǔ)安全服務(wù)體系建設(shè)。CA系統(tǒng)設(shè)計(jì)在本次南空司令部?jī)?nèi)部數(shù)字認(rèn)證中心（CA）系統(tǒng)建設(shè)中，南京翔晟信息技術(shù)有限公司與CFCA建議采用分級(jí)設(shè)計(jì)結(jié)構(gòu)，即根CA和二級(jí)RA中心分開(kāi)建設(shè)，這樣設(shè)計(jì)有清晰、安全、可拓展的優(yōu)勢(shì)。下面分別對(duì)根CA和二級(jí)RA的詳細(xì)設(shè)計(jì)進(jìn)行說(shuō)明。系統(tǒng)服務(wù)結(jié)構(gòu)設(shè)計(jì)CA系統(tǒng)是南空司令部?jī)?nèi)部數(shù)字認(rèn)證中心體系的核心服務(wù)設(shè)備，它接收來(lái)自RA中心的業(yè)務(wù)請(qǐng)求，主要完成所有證書(shū)的簽發(fā)和管理功能。CA系統(tǒng)與注冊(cè)中心（RA）系統(tǒng)間的通信采用通信證書(shū)來(lái)保證其安全性。在分級(jí)、分層次的體系架構(gòu)設(shè)計(jì)中，通信證書(shū)上級(jí)根CA和下級(jí)注冊(cè)中心（RA）系統(tǒng)進(jìn)行通信時(shí)使用的計(jì)算機(jī)設(shè)備證書(shū)。CA中心服務(wù)區(qū)主要包括：CA服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等設(shè)備組成。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s11認(rèn)證中心（CA）系統(tǒng)服務(wù)結(jié)構(gòu)CA中心設(shè)計(jì)CA中心的服務(wù)結(jié)構(gòu)主要包括：CA服務(wù)器、CA數(shù)據(jù)庫(kù)服務(wù)器等。CA服務(wù)器負(fù)責(zé)接收來(lái)自RA中心的證書(shū)請(qǐng)求，簽發(fā)各種用戶證書(shū)，包括設(shè)備證書(shū)、人員證書(shū)、機(jī)構(gòu)證書(shū)等等；管理、制定南空司令部?jī)?nèi)部數(shù)字認(rèn)證中心的安全策略，包括證書(shū)有效期、CRL發(fā)布時(shí)間等等，策略服務(wù)器利用數(shù)據(jù)庫(kù)服務(wù)器保存策略信息。同時(shí)負(fù)責(zé)向目錄服務(wù)系統(tǒng)發(fā)布證書(shū)、CRL等信息。CA數(shù)據(jù)庫(kù)服務(wù)器CA中心的數(shù)據(jù)庫(kù)服務(wù)器負(fù)責(zé)存儲(chǔ)CA系統(tǒng)中的所有數(shù)據(jù)信息，包括各種證書(shū)的請(qǐng)求信息、證書(shū)信息、CRL信息、策略信息和系統(tǒng)日志信息等等。為了保證該數(shù)據(jù)庫(kù)的安全，本方案設(shè)計(jì)將CA數(shù)據(jù)庫(kù)服務(wù)器單獨(dú)設(shè)立在CA服務(wù)區(qū)進(jìn)行證書(shū)信息的集中存放，這樣設(shè)計(jì)也保證了CA系統(tǒng)數(shù)據(jù)存取的高效性。CA系統(tǒng)控制臺(tái)控制臺(tái)提供給CA管理員使用，系統(tǒng)管理以B/S結(jié)構(gòu)提供，管理員可通過(guò)WEB方式登錄CA系統(tǒng)，完成系統(tǒng)管理和維護(hù)。LDAP服務(wù)器LDAP服務(wù)器負(fù)責(zé)接收CA服務(wù)器的證書(shū)發(fā)布及CRL發(fā)布請(qǐng)求。系統(tǒng)功能設(shè)計(jì)認(rèn)證中心（CA）系統(tǒng)是南空司令部?jī)?nèi)部數(shù)字認(rèn)證中心系統(tǒng)建設(shè)的關(guān)鍵，是核心基礎(chǔ)設(shè)施，在根CA策略的統(tǒng)一指導(dǎo)下，CA認(rèn)證中心可為整個(gè)系統(tǒng)內(nèi)的證書(shū)用戶和服務(wù)器簽發(fā)證書(shū)，管理、維護(hù)所簽發(fā)的證書(shū)，匯總?cè)到y(tǒng)范圍內(nèi)的用戶證書(shū)、設(shè)備證書(shū)和CRL，并進(jìn)行統(tǒng)一發(fā)布和維護(hù)。CA系統(tǒng)的主要功能包含如下：證書(shū)服務(wù)功能，包括證書(shū)簽發(fā)、證書(shū)延期、證書(shū)更新、證書(shū)的凍結(jié)和解凍、證書(shū)的掛起和解掛、證書(shū)恢復(fù)、證書(shū)廢除等等。證書(shū)和CRL的在線服務(wù)功能，包括證書(shū)的在線發(fā)布、證書(shū)的在線查詢、CRL的在線查詢等等。CA管理功能，CA系統(tǒng)的初始化、CA的日常管理、管理其它運(yùn)行的子系統(tǒng)、管理CA系統(tǒng)的管理員等等。OCSP服務(wù)功能，為用戶提供在線證書(shū)狀態(tài)查詢服務(wù)。支持HTTP，CMP等國(guó)際標(biāo)準(zhǔn)的OCSP服務(wù)方式，OCSP協(xié)議支持OCSPv1及OCSPv2。證書(shū)策略服務(wù)功能，保存整個(gè)CA系統(tǒng)的證書(shū)及所有的證書(shū)策略。采用統(tǒng)一數(shù)據(jù)中心一方面可以對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一管理，另一方面也可以方便的數(shù)據(jù)進(jìn)行備份。用戶服務(wù)功能，包括個(gè)人證書(shū)管理服務(wù)、證書(shū)到期更新通知服務(wù)、用戶證書(shū)統(tǒng)計(jì)報(bào)表服務(wù)、用戶服務(wù)功能的擴(kuò)展等等。日志服務(wù)功能，包括記錄系統(tǒng)中所發(fā)生各種事件、實(shí)時(shí)統(tǒng)計(jì)和分析發(fā)卡數(shù)量、日志的查詢和審計(jì)、統(tǒng)計(jì)報(bào)表輸出、日志備份等等。報(bào)表統(tǒng)計(jì)功能，包括證書(shū)統(tǒng)計(jì)功能和RA統(tǒng)計(jì)功能。應(yīng)用開(kāi)發(fā)功能，提供豐富的應(yīng)用開(kāi)發(fā)接口，包括SPKMAPI、SDKAPI、CryptoAPI、OCSPAPI等等。CA系統(tǒng)設(shè)計(jì)特點(diǎn)安全性各子系統(tǒng)之間通訊采用SPKM的協(xié)議，安全性高人員管理采用分權(quán)的管理機(jī)制易用性采用向?qū)降南到y(tǒng)部署方式采用友好的純中文的WEB界面的管理方式，方便對(duì)系統(tǒng)進(jìn)行管理兼容性支持第三方的密鑰管理中心支持各種標(biāo)準(zhǔn)的第三方RA系統(tǒng)采用標(biāo)準(zhǔn)的OCSP協(xié)議，支持第三方的OCSP客戶端應(yīng)用證書(shū)采用標(biāo)準(zhǔn)的X.509v3格式，采用標(biāo)準(zhǔn)的LDAPv2目錄訪問(wèn)協(xié)議，支持各種第三方的PKI應(yīng)用支持標(biāo)準(zhǔn)的交叉認(rèn)證協(xié)議，可以和第三方的信任體系實(shí)現(xiàn)互通。支持標(biāo)準(zhǔn)的時(shí)間戮服務(wù)協(xié)議，可以為所有應(yīng)用（包括第三方應(yīng)用）提供安全的時(shí)間戮服務(wù)?？蓴U(kuò)展性系統(tǒng)采用組件化的設(shè)計(jì)，各子系統(tǒng)可以在不影響原有系統(tǒng)的前提下對(duì)其方便的擴(kuò)展。體系結(jié)構(gòu)的可擴(kuò)展性，支持分步式、多層信任體系，支持多級(jí)CA，支持邏輯CA容量的可擴(kuò)展性，目錄服務(wù)支持一主多從的分步式結(jié)構(gòu)支持多種數(shù)字證書(shū)支持個(gè)人用戶證書(shū)、設(shè)備證書(shū)、機(jī)構(gòu)證書(shū)、代碼簽名證書(shū)、服務(wù)器證書(shū)穩(wěn)定性能夠承受上百證書(shū)申請(qǐng)持續(xù)的并發(fā)訪問(wèn)而持續(xù)穩(wěn)定運(yùn)行支持多種發(fā)證形式支持批量發(fā)證和在線申請(qǐng)證書(shū)可維護(hù)性提供自動(dòng)的管理功能，如系統(tǒng)的備份。備份和恢復(fù)過(guò)程支持系統(tǒng)恢復(fù)至故障點(diǎn)，出現(xiàn)故障或?yàn)?zāi)難時(shí)，目錄、證書(shū)和策略庫(kù)可以方便恢復(fù)至正常狀態(tài)。高效性較快響應(yīng)證書(shū)生成等證書(shū)服務(wù)請(qǐng)求可運(yùn)行于眾多平臺(tái)之上IBMAIX、SUNSolaris、WindowsNT/2000、Linux、HPUnix、DEC等；RA系統(tǒng)設(shè)計(jì)RA系統(tǒng)服務(wù)結(jié)構(gòu)設(shè)計(jì)注冊(cè)中心（RA）系統(tǒng)的組成結(jié)構(gòu)包括RA服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等，另外作為RA中心與外界的交互點(diǎn)，RA中心需要配置各種管理/控制操作終端，以完成注冊(cè)、審核、發(fā)證、管理、審計(jì)等操作。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s14注冊(cè)中心（RA）系統(tǒng)結(jié)構(gòu)圖1、RA服務(wù)器是RA中心的核心服務(wù)系統(tǒng)，在整個(gè)CA系統(tǒng)中，起到承上啟下的作用。主要提供證書(shū)信息注冊(cè)服務(wù)、信息審核服務(wù)、證書(shū)下發(fā)服務(wù)、證書(shū)管理服務(wù)、RA管理服務(wù)。同時(shí)，還負(fù)責(zé)制定和管理RA策略，包括RA管理策略、RA流程制定等等。2、數(shù)據(jù)庫(kù)服務(wù)器RA中心的數(shù)據(jù)庫(kù)服務(wù)器負(fù)責(zé)存儲(chǔ)RA系統(tǒng)中的所有數(shù)據(jù)信息，包括各種證書(shū)的請(qǐng)求信息、證書(shū)信息、用戶信息、策略信息和系統(tǒng)日志信息等等。3、RA管理終端RA管理終端包括：注冊(cè)終端、審核終端、發(fā)證終端、管理終端和審計(jì)終端等，各分管系統(tǒng)管理員利用各終端持卡登錄系統(tǒng)進(jìn)行管理，根據(jù)具體情況可合并上述管理終端，如審核/發(fā)證可以是一臺(tái)終端，管理終端可以與其它終端共用。注冊(cè)終端對(duì)應(yīng)注冊(cè)操作員。通過(guò)插入注冊(cè)操作員USBKEY，服務(wù)器通過(guò)對(duì)操作員證書(shū)的認(rèn)證后，注冊(cè)操作員才有權(quán)進(jìn)行注冊(cè)操作。審核終端對(duì)應(yīng)審核操作員。通過(guò)插入審核操作員USBKEY，服務(wù)器通過(guò)對(duì)操作員證書(shū)的認(rèn)證后，審核操作員才有權(quán)進(jìn)行審核操作。發(fā)證終端對(duì)應(yīng)發(fā)證操作員。通過(guò)插入發(fā)證操作員USBKEY，服務(wù)器通過(guò)對(duì)操作員證書(shū)的認(rèn)證后，發(fā)證操作員才有權(quán)進(jìn)行發(fā)證操作。管理終端對(duì)應(yīng)RA管理員。通過(guò)插入RA管理員USBKEY，服務(wù)器通過(guò)對(duì)管理員證書(shū)的認(rèn)證后，RA管理員才有權(quán)進(jìn)行管理操作。審計(jì)終端對(duì)應(yīng)審計(jì)管理員。通過(guò)插入審計(jì)管理員USBKEY，服務(wù)器通過(guò)對(duì)管理員證書(shū)的認(rèn)證后，審計(jì)管理員才有權(quán)進(jìn)行管理操作。系統(tǒng)功能設(shè)計(jì)注冊(cè)中心（RA）系統(tǒng)的功能主要是完成用戶證書(shū)的注冊(cè)申請(qǐng)等功能。此外，還可以對(duì)用戶資料進(jìn)行管理和維護(hù)，提供定義靈活的證書(shū)申請(qǐng)、審核流程。建立注冊(cè)中心（RA）系統(tǒng)，除了可以滿足數(shù)字證書(shū)系統(tǒng)網(wǎng)上應(yīng)用的證書(shū)需求外，還可以提供對(duì)于操作員不同操作權(quán)限的控制及保證系統(tǒng)中要求的對(duì)未來(lái)系統(tǒng)結(jié)構(gòu)的擴(kuò)展支持。其功能設(shè)計(jì)如下：用戶管理功能，包括用戶注冊(cè)、用戶注銷、用戶更新、用戶查看等等。證書(shū)管理功能，包括證書(shū)申請(qǐng)、證書(shū)簽發(fā)、證書(shū)廢除、證書(shū)凍結(jié)、證書(shū)解凍、證書(shū)更新、證書(shū)恢復(fù)、證書(shū)信息查看、證書(shū)審核等等。個(gè)人證書(shū)管理功能，包括自己證書(shū)廢除、自己證書(shū)更新、自己證書(shū)掛起、自己證書(shū)解掛等等。RA人員管理功能，添加人員、刪除人員、修改人員、查看人員、審核人員管理操作等等。系統(tǒng)管理功能，查看日志、查看統(tǒng)計(jì)信息、備份數(shù)據(jù)、恢復(fù)數(shù)據(jù)、設(shè)置RA策略等等。權(quán)限管理功能，為RA管理員和操作員分配權(quán)限，并提供權(quán)限維護(hù)功能，包括增加權(quán)限、修改權(quán)限、注銷權(quán)限等等?！皯?yīng)需而變”的RA系統(tǒng)設(shè)計(jì)優(yōu)勢(shì)本方案設(shè)計(jì)中使用的RA系統(tǒng)具有如下特點(diǎn)：充分的用戶化定制開(kāi)發(fā)能力：根據(jù)項(xiàng)目建設(shè)需求和對(duì)今后應(yīng)用前景的分析，本方案提供的RA系統(tǒng)具有強(qiáng)大的客戶化定制開(kāi)發(fā)能力，雖然客戶化定制開(kāi)發(fā)能力不是一項(xiàng)具體的業(yè)務(wù)功能，但對(duì)于用戶來(lái)說(shuō)，RA系統(tǒng)能否快速的適應(yīng)用戶的業(yè)務(wù)變化、能否顯著的縮短建設(shè)周期，將是決定業(yè)務(wù)成敗的關(guān)鍵；強(qiáng)大的RA管理功能：包括信息統(tǒng)計(jì)、機(jī)構(gòu)管理、人員管理功能等；對(duì)物理分級(jí)和邏輯分級(jí)的靈活支持：可以支持多級(jí)的物理RA機(jī)構(gòu)，在每個(gè)物理RA機(jī)構(gòu)內(nèi)部，又可以支持多級(jí)的邏輯RA機(jī)構(gòu)。安裝和部署過(guò)程的簡(jiǎn)化：全部安裝自動(dòng)進(jìn)行，不需要人工干預(yù)；部署過(guò)程更加簡(jiǎn)單、安全；本方案中的RA系統(tǒng)架構(gòu)設(shè)計(jì)充分考慮了南空司令部自建數(shù)字證書(shū)系統(tǒng)RA中心多樣化的定制建設(shè)需求，從以下幾個(gè)方面實(shí)現(xiàn)“應(yīng)需而變”的目標(biāo)：業(yè)務(wù)流程定義：RA系統(tǒng)的業(yè)務(wù)流程是完全通過(guò)配置文件進(jìn)行定義的，在用戶業(yè)務(wù)流程發(fā)生變更的情況下，可以通過(guò)調(diào)整配置文件迅速的適應(yīng)業(yè)務(wù)流程變更。如：證書(shū)的廢除原來(lái)可以直接執(zhí)行，現(xiàn)在需要改為申請(qǐng)－>審核->執(zhí)行的過(guò)程，這可以非常簡(jiǎn)單的通過(guò)修改兩個(gè)配置文件（證書(shū)狀態(tài)機(jī)配置文件和證書(shū)業(yè)務(wù)配置文件）來(lái)實(shí)現(xiàn)。業(yè)務(wù)數(shù)據(jù)項(xiàng)定義：RA系統(tǒng)的業(yè)務(wù)數(shù)據(jù)項(xiàng)在只需要在系統(tǒng)的兩端進(jìn)行定義，一個(gè)是最前端的頁(yè)面，另一個(gè)是最后端的數(shù)據(jù)庫(kù)。在業(yè)務(wù)數(shù)據(jù)項(xiàng)發(fā)生變化的情況下，只需要修改JSP頁(yè)面和數(shù)據(jù)庫(kù)字段，這類工作甚至系統(tǒng)管理員就可以完成。用戶界面定制：RA系統(tǒng)的用戶界面采用了商業(yè)化的成熟的WEB控件。用戶界面的布局、風(fēng)格等可以通過(guò)少量的定制開(kāi)發(fā)快速變更，迅速適應(yīng)用戶要求?；緲I(yè)務(wù)功能定制：RA系統(tǒng)的將基本業(yè)務(wù)功能分解為“原子業(yè)務(wù)”。通過(guò)組合這些“原子業(yè)務(wù)”可以快速實(shí)現(xiàn)新的基本業(yè)務(wù)，對(duì)于更特殊的業(yè)務(wù)也可以通過(guò)繼承、重載原有的“原子業(yè)務(wù)”或增加新的“原子業(yè)務(wù)”來(lái)實(shí)現(xiàn)。目錄發(fā)布與查詢服務(wù)系統(tǒng)設(shè)計(jì)證書(shū)發(fā)布與查詢服務(wù)系統(tǒng)是PKI體系的重要組成部分，在認(rèn)證中心系統(tǒng)建設(shè)中必不可少，本章介紹完整的證書(shū)發(fā)布與查詢服務(wù)系統(tǒng)設(shè)計(jì)的思路、結(jié)構(gòu)、功能?；径x證書(shū)發(fā)布與查詢服務(wù)系統(tǒng)設(shè)計(jì)主要與LDAP和OCSP協(xié)議相關(guān)(本項(xiàng)目中業(yè)務(wù)系統(tǒng)不需要實(shí)時(shí)的證書(shū)狀態(tài)查詢，即OCSP查詢方式；因此再下面將不做介紹)。LDAP（LightweightDirectoryAccessProtocol）輕量級(jí)目錄訪問(wèn)協(xié)議，簡(jiǎn)化了笨重的X.500目錄訪問(wèn)協(xié)議，并且在功能性、數(shù)據(jù)表示、編碼和傳輸方面都進(jìn)行了相應(yīng)的修改。1993年7月，第一個(gè)LDAP規(guī)范是由密歇根大學(xué)開(kāi)發(fā)的，也就是RFC1487。LDAP的開(kāi)發(fā)者們簡(jiǎn)化了笨重的X.500目錄訪問(wèn)協(xié)議，他們?cè)诠δ苄浴?shù)據(jù)表示、編碼和傳輸方面做了改建。目前，LDAP的版本是第3版本，相對(duì)以前版本來(lái)說(shuō)，3版本在國(guó)際化、提名、安全、擴(kuò)展性和特性方面更加完善。1997年，第3版本成為因特網(wǎng)標(biāo)準(zhǔn)。目前，LDAPv3已經(jīng)在PKI體系中被廣泛應(yīng)用于證書(shū)信息發(fā)布、CRL信息發(fā)布、CA政策以及與信息發(fā)布相關(guān)的各個(gè)方面。這里提到的證書(shū)發(fā)布與查詢服務(wù)系統(tǒng)中的目錄服務(wù)是軟件、硬件、策論以及管理的集合體。系統(tǒng)功能設(shè)計(jì)本方案設(shè)計(jì)的證書(shū)發(fā)布與查詢系統(tǒng)支持證書(shū)和CRL列表的在線發(fā)布及狀態(tài)查詢服務(wù)。具體包括：發(fā)布和更新認(rèn)證中心中心簽發(fā)的數(shù)字證書(shū)；發(fā)布和更新認(rèn)證中心中心簽發(fā)的證書(shū)作廢列表CRL；向外提供公鑰數(shù)字證書(shū)的在線查詢認(rèn)證服務(wù)；向外提供證書(shū)作廢列表CRL的在線查詢認(rèn)證服務(wù)；證書(shū)和CRL在線服務(wù)功能證書(shū)和CRL在線服務(wù)功能如下：證書(shū)的在線發(fā)布；CA可以對(duì)證書(shū)進(jìn)行在線發(fā)布。每當(dāng)簽發(fā)服務(wù)器在簽發(fā)一個(gè)用戶證書(shū)完成后，簽發(fā)服務(wù)器會(huì)同時(shí)將證書(shū)放入目錄服務(wù)器中，以供用戶查詢。因此，用戶在下載證書(shū)時(shí)可以使用在線的方式獲取自己的證書(shū)，同時(shí)可以在CA中心對(duì)外服務(wù)的目錄服務(wù)器中查詢其它用戶的證書(shū)。證書(shū)的在線查詢；CA的證書(shū)查詢功能主要采用LDAP協(xié)議。CA系統(tǒng)簽發(fā)證書(shū)后，將用戶的證書(shū)發(fā)布到系統(tǒng)的主目錄服務(wù)器中，然后利用目錄服務(wù)器的自動(dòng)映射功能，將用戶的證書(shū)發(fā)布到從目錄服務(wù)器中，以供用戶在線查詢證書(shū)。CRL的在線查詢；CA在目錄服務(wù)器系統(tǒng)中發(fā)布CRL，因此用戶可以通過(guò)在線方式實(shí)現(xiàn)對(duì)CRL的查詢。CFCA的系統(tǒng)中采用了CRL分布點(diǎn)技術(shù)，當(dāng)用戶選擇下載CRL進(jìn)行查詢時(shí)，下載的信息并不是南空司令部業(yè)務(wù)系統(tǒng)應(yīng)用CA中心CRL的全部，只是其中的一個(gè)子集，大大地減少了信息量，提高了查詢的速度，降低了網(wǎng)絡(luò)的負(fù)擔(dān)。證書(shū)在線狀態(tài)查詢。由于CA注銷表是周期性簽發(fā)，并非是實(shí)時(shí)的，即使其周期特別短，在對(duì)證書(shū)狀態(tài)實(shí)時(shí)性要求比較高的應(yīng)用中，CRL驗(yàn)證并不能夠滿足需求。CA提供對(duì)證書(shū)在線狀態(tài)查詢協(xié)議的支持，用戶可以通過(guò)標(biāo)準(zhǔn)的證書(shū)狀態(tài)查詢接口來(lái)獲取證書(shū)有效性的檢查結(jié)果，任何證書(shū)的作廢能即時(shí)反映到OCSP中。OCSP服務(wù)功能OCSP服務(wù)子系統(tǒng)為用戶提供在線證書(shū)狀態(tài)查詢服務(wù)。認(rèn)證中心的OCSP服務(wù)子系統(tǒng)可以使用CA證書(shū)或擁有授權(quán)的專用OCSP證書(shū)為用戶簽發(fā)標(biāo)準(zhǔn)的OCSP響應(yīng)。該響應(yīng)對(duì)應(yīng)唯一的OCSP請(qǐng)求并給出所請(qǐng)求證書(shū)的狀態(tài)。本方案設(shè)計(jì)中，采用CFCA自主研發(fā)的OCSP服務(wù)子系統(tǒng)來(lái)實(shí)現(xiàn)南空司令部認(rèn)證中心的證書(shū)在線狀態(tài)查詢。該產(chǎn)品支持HTTP、CMP等國(guó)際標(biāo)準(zhǔn)的OCSP服務(wù)方式，OCSP協(xié)議支持OCSPv1及OCSPv2。CFCA的OCSP服務(wù)子系統(tǒng)備有密碼模塊，可以對(duì)查詢請(qǐng)求信息的簽名進(jìn)行驗(yàn)證，并負(fù)責(zé)對(duì)查詢結(jié)果進(jìn)行簽名。具體功能說(shuō)明如下：證書(shū)狀態(tài)查詢提供查詢證書(shū)的狀態(tài)，確認(rèn)證書(shū)的權(quán)威性及目前的狀態(tài)情況。支持大容量并發(fā)訪問(wèn)采用“調(diào)度－服務(wù)”模式、排隊(duì)機(jī)制及負(fù)載均衡機(jī)制，支持多用戶并發(fā)。分布式服務(wù)分布方式發(fā)布服務(wù)和同步數(shù)據(jù)，各個(gè)系統(tǒng)進(jìn)行數(shù)據(jù)同步，更加快捷的為用戶提供服務(wù)。日志記錄在日志系統(tǒng)中記錄相關(guān)請(qǐng)求和響應(yīng)，內(nèi)容包括請(qǐng)求者的身份、請(qǐng)求時(shí)間等，并且對(duì)響應(yīng)狀態(tài)進(jìn)行監(jiān)控，便于系統(tǒng)管理員日后查閱和統(tǒng)計(jì)。CFCAOCSP產(chǎn)品自帶主機(jī)熱備模塊，支持雙機(jī)熱備。產(chǎn)品性能支持400個(gè)用戶的請(qǐng)求并發(fā)處理，一次OCSP請(qǐng)求處理時(shí)間為20ms。系統(tǒng)安全性設(shè)計(jì)目錄服務(wù)器負(fù)責(zé)用戶與系統(tǒng)公用信息的發(fā)布，在安全性設(shè)計(jì)時(shí)主要達(dá)到以下目標(biāo)：防止黑客的對(duì)數(shù)據(jù)的篡改、刪除；防止未授權(quán)管理員對(duì)數(shù)據(jù)的篡改、刪除；如果目錄服務(wù)器的數(shù)據(jù)遭到侵害，可以及時(shí)、有效的恢復(fù)所有數(shù)據(jù)。密鑰管理中心設(shè)計(jì)密鑰管理中心是為整個(gè)CA系統(tǒng)提供密鑰服務(wù)的關(guān)鍵系統(tǒng)，一般由密鑰管理模塊（包括密鑰生成、存儲(chǔ)、分發(fā)、備份、更新、廢除、恢復(fù)等等）、密鑰庫(kù)管理、認(rèn)證管理、安全審計(jì)系統(tǒng)、密碼服務(wù)等模塊組成。KMC的建設(shè)目標(biāo)密鑰按照算法類型可分為對(duì)稱密鑰、非對(duì)稱密鑰；按照應(yīng)用類型可分為簽名/驗(yàn)證密鑰，加密/解密密鑰；按照功能類型可分為：主密鑰、會(huì)話密鑰、數(shù)據(jù)加密密鑰、密鑰加密密鑰等。KMC負(fù)責(zé)這些密鑰從生成到銷毀整個(gè)生命期中各個(gè)環(huán)節(jié)的安全性。在算法安全的基礎(chǔ)上，攻擊者獲取密鑰的辦法通常是通過(guò)密鑰管理中心的設(shè)計(jì)漏洞直接取得密鑰。密鑰管理中心（KMC）應(yīng)該做到杜絕攻擊者通過(guò)密鑰系統(tǒng)獲取密鑰的可能，也就是說(shuō)通過(guò)對(duì)密鑰管理中心的嚴(yán)密設(shè)計(jì)，消除密鑰管理上的漏洞和安全隱患。業(yè)務(wù)系統(tǒng)認(rèn)證中心系統(tǒng)密鑰管理中心（KMC）需要為業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)提供統(tǒng)一的密鑰管理服務(wù)，保證業(yè)務(wù)系統(tǒng)認(rèn)證中心體系中密鑰在生成、保存、備份、傳遞、分發(fā)、使用、更新、恢復(fù)、銷毀等整個(gè)生命周期中的安全。具體包括：保證根密鑰在生成、備份、保存、使用、更新、銷毀等整個(gè)生命周期中的安全。保證CA密鑰在生成、備份、保存、使用、更新、銷毀等整個(gè)生命周期中的安全。保證各級(jí)CA系統(tǒng)管理員、操作員密鑰的整個(gè)生命周期中的安全。保證業(yè)務(wù)系統(tǒng)認(rèn)證中心系統(tǒng)內(nèi)部服務(wù)器等設(shè)備密鑰在整個(gè)生命周期的安全。對(duì)于證書(shū)，為用戶加密密鑰建立完善的密鑰托管機(jī)制，保證用戶密鑰從開(kāi)始生成、保存、備份更新、分發(fā)、恢復(fù)、銷毀等整個(gè)生命周期的安全。保證業(yè)務(wù)系統(tǒng)認(rèn)證中心系統(tǒng)業(yè)務(wù)應(yīng)用中的所用用戶密鑰的生成、保存、備份、更新、銷毀等整個(gè)生命周期的安全。服務(wù)結(jié)構(gòu)設(shè)計(jì)本方案設(shè)計(jì)的KMC密鑰管理中心將與CA中心分開(kāi)單獨(dú)建設(shè)，密鑰管理中心服務(wù)結(jié)構(gòu)如下圖所示：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s17密鑰管理中心服務(wù)結(jié)構(gòu)密鑰管理中心系統(tǒng)組成包括：KMC服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和加密機(jī)，和可用于容災(zāi)備份的磁盤(pán)陣列設(shè)計(jì)（備選）。１、KMC服務(wù)器密鑰管理服務(wù)器上運(yùn)行了密鑰管理中心的主要組件，包括密鑰管理子系統(tǒng)（KMS）和密鑰托管子系統(tǒng)（KES）。密鑰管理子系統(tǒng)利用密鑰服務(wù)器負(fù)責(zé)生成根密鑰對(duì)、CA密鑰對(duì)、用戶密鑰對(duì)，并與密鑰托管區(qū)進(jìn)行安全通信，可利用數(shù)據(jù)庫(kù)系統(tǒng)和磁盤(pán)陣列完成對(duì)密鑰的備份和保存。密鑰管理終端通過(guò)訪問(wèn)密鑰管理子系統(tǒng)實(shí)現(xiàn)對(duì)整個(gè)密鑰管理系統(tǒng)進(jìn)行管理和維護(hù)。密鑰管理子系統(tǒng)具備密鑰池服務(wù)功能，系統(tǒng)可根據(jù)策略預(yù)先生成一定數(shù)量的密鑰對(duì)并加密保存在密鑰池?cái)?shù)據(jù)庫(kù)中；當(dāng)用戶申請(qǐng)加密證書(shū)時(shí)，則KMC系統(tǒng)直接使用密鑰池中的密鑰對(duì)，以提高系統(tǒng)的服務(wù)處理速度。密鑰托管子系統(tǒng)負(fù)責(zé)加密保存各種用戶密鑰，提供用戶密鑰的備份、恢復(fù)、銷毀等服務(wù)。該子系統(tǒng)利用密碼服務(wù)器生成用戶加密主密鑰，并利用數(shù)據(jù)庫(kù)系統(tǒng)加密保存用戶加密密鑰。數(shù)據(jù)備份可采用磁盤(pán)陣列備份，需要定期的備份KMC的系統(tǒng)和數(shù)據(jù)，實(shí)現(xiàn)了KMC的冗災(zāi)備份。2、KMC數(shù)據(jù)庫(kù)服務(wù)器KMC密鑰管理中心的數(shù)據(jù)庫(kù)服務(wù)器負(fù)責(zé)存儲(chǔ)KMC中心的所有數(shù)據(jù)，包括各種密鑰信息、密鑰請(qǐng)求信息、系統(tǒng)日志信息等等。3、加密機(jī)加密機(jī)負(fù)責(zé)產(chǎn)生、保存和管理KMC系統(tǒng)中的各種密鑰，同時(shí)，采用通信證書(shū)保證KMC與其它設(shè)備通信的安全性。4、KMC管理控制臺(tái)控制臺(tái)提供給KMC管理員使用，系統(tǒng)管理以B/S結(jié)構(gòu)提供，管理員可通過(guò)WEB方式登錄KMC系統(tǒng)，完成系統(tǒng)管理和維護(hù)。安全結(jié)構(gòu)設(shè)計(jì)KMC密鑰管理系統(tǒng)結(jié)構(gòu)安全從以下三個(gè)方面保證：使用密碼服務(wù)系統(tǒng)保證密鑰的安全，CFCA密鑰管理中心（KMC）中的加密模塊，支持業(yè)界加密標(biāo)準(zhǔn)PKCS＃11，支持目前所有主流加密機(jī)（SJY36，SJY42，SJY15，SJY05等）。；采用防火墻將密鑰管理中心隔離成一個(gè)單獨(dú)的網(wǎng)段，設(shè)置訪問(wèn)控制策略，保證密鑰管理中心的安全，所有的密鑰服務(wù)必須通過(guò)密鑰服務(wù)模塊完成；在管理方面，所有重要的密鑰管理操作，如密鑰更新、銷毀等，需要半數(shù)以上的管理員同時(shí)在場(chǎng)插入管理員卡才能完成。證書(shū)安全應(yīng)用平臺(tái)建設(shè)安全應(yīng)用平臺(tái)是使用（CA）系統(tǒng)簽發(fā)的不同種類和類型證書(shū)的為各類應(yīng)用提供安全支撐的集合服務(wù)平臺(tái)，它為認(rèn)證中心簽發(fā)的證書(shū)提供多種應(yīng)用模式支撐，以滿足應(yīng)用系統(tǒng)中不同的安全需求；通過(guò)對(duì)證書(shū)安全應(yīng)用平臺(tái)中的安全產(chǎn)品靈活組合和配置，可以實(shí)現(xiàn)不同安全等級(jí)、不同靈活程度對(duì)安全身份認(rèn)證、私密性、不可否認(rèn)性、CRL檢查等安全方面的需求。全面的PKI理解應(yīng)包括四個(gè)方面（如下圖）：PKI技術(shù)支撐平臺(tái)PKI基礎(chǔ)部件平臺(tái)PKI證書(shū)應(yīng)用平臺(tái)PKI的應(yīng)用圖表STYLEREF1\s4SEQ圖表\*ARABIC\s18PKI平臺(tái)示意圖證書(shū)安全應(yīng)用平臺(tái)分析建立統(tǒng)一的證書(shū)安全應(yīng)用平臺(tái)，制定統(tǒng)一的應(yīng)用安全策略，可以彌補(bǔ)系統(tǒng)中存在的安全漏洞，使不同的系統(tǒng)運(yùn)行于一種統(tǒng)一的，標(biāo)準(zhǔn)的，安全的環(huán)境中，對(duì)用戶屏蔽不同系統(tǒng)造成的差異，提供統(tǒng)一的安全服務(wù)，使整個(gè)系統(tǒng)更加協(xié)調(diào)，從而推進(jìn)整個(gè)應(yīng)用系統(tǒng)的進(jìn)一步實(shí)施，使系統(tǒng)更好的發(fā)揮其作用，更好的為用戶提供各種服務(wù)。統(tǒng)一證書(shū)安全應(yīng)用平臺(tái)不僅是一個(gè)運(yùn)行平臺(tái)、一個(gè)管理平臺(tái)，而且還是一個(gè)開(kāi)發(fā)平臺(tái)。利用該平臺(tái)，開(kāi)發(fā)人員可以方便地完成安全應(yīng)用的二次開(kāi)發(fā)。從最終用戶的角度看，應(yīng)用層要實(shí)現(xiàn)高水準(zhǔn)的信息安全，除了安全系統(tǒng)本身在常規(guī)安全功能，包括ISO7498-2中提出的五大安全功能（即身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和抗否認(rèn)），加上安全審計(jì)和安全管理，及這些功能的實(shí)現(xiàn)機(jī)制方面要達(dá)到一定安全水準(zhǔn)外，安全系統(tǒng)與應(yīng)用系統(tǒng)的結(jié)合風(fēng)險(xiǎn)必須考慮。為了把兩者結(jié)合過(guò)程對(duì)安全水準(zhǔn)的影響降到最低點(diǎn)，保證結(jié)合后的系統(tǒng)達(dá)到安全系統(tǒng)提供的最高安全水準(zhǔn)。證書(shū)安全應(yīng)用平臺(tái)建設(shè)原則面對(duì)諸多應(yīng)用系統(tǒng)中各種各樣的應(yīng)用服務(wù)、各種各樣的服務(wù)架構(gòu)、各種各樣的服務(wù)平臺(tái)，建設(shè)統(tǒng)一應(yīng)用安全平臺(tái)的目的就在于為這些不同的應(yīng)用系統(tǒng)提供一個(gè)統(tǒng)一的、集成的安全平臺(tái)，通過(guò)統(tǒng)一的策略管理為應(yīng)用系統(tǒng)提供統(tǒng)一的安全服務(wù)，保證信息在傳輸過(guò)程中的保密性和完整性，讓正確的人進(jìn)入和訪問(wèn)被授權(quán)的應(yīng)用和數(shù)據(jù)。建立這樣一個(gè)安全平臺(tái)必須遵循以下原則：安全平臺(tái)的通用性統(tǒng)一應(yīng)用安全平臺(tái)作為一種平臺(tái)必須能容納不同的應(yīng)用服務(wù)，為不同應(yīng)用系統(tǒng)提供統(tǒng)一的安全服務(wù)，為用戶提供統(tǒng)一的訪問(wèn)入口。安全服務(wù)的特殊性由于應(yīng)用存在多樣性，特殊性，不可能用一種安全技術(shù)實(shí)現(xiàn)所有應(yīng)用的安全，安全應(yīng)用平臺(tái)除了提供通用的安全外，必須能夠?yàn)樘峁┓蠎?yīng)用的特殊安全保護(hù)。安全的標(biāo)準(zhǔn)性在統(tǒng)一應(yīng)用安全平臺(tái)的基礎(chǔ)上，需制定出一系列應(yīng)用安全建設(shè)的標(biāo)準(zhǔn)，統(tǒng)一規(guī)范和指導(dǎo)應(yīng)用安全的建設(shè)。安全服務(wù)的立體性應(yīng)用系統(tǒng)的安全保護(hù)是一個(gè)全方位的，立體性的，僅在一點(diǎn)或一個(gè)層面上實(shí)現(xiàn)安全只是局部的安全，不能滿足真正安全的需要。安全應(yīng)用平臺(tái)必須能在多層面上為應(yīng)用提供安全服務(wù)。系統(tǒng)的可擴(kuò)展性任何安全系統(tǒng)都不可能提供一勞永逸的安全保障，隨著技術(shù)的發(fā)展，安全問(wèn)題也層出不窮，因此，安全應(yīng)用平臺(tái)必須具有可擴(kuò)展性，可以動(dòng)態(tài)的為應(yīng)用提供安全保障。安全服務(wù)的透明性安全平臺(tái)所提供的安全服務(wù)盡可能做到對(duì)應(yīng)用是透明性的，無(wú)縫的提高原有應(yīng)用系統(tǒng)的安全等級(jí)。安全服務(wù)的可配置性在應(yīng)用系統(tǒng)中，不同的應(yīng)用系統(tǒng)可能需要不同的安全服務(wù)，安全平臺(tái)所提供的安全服務(wù)必須可以根據(jù)不同應(yīng)用系統(tǒng)的需要進(jìn)行動(dòng)態(tài)配置。應(yīng)用接口的規(guī)范化應(yīng)用安全平臺(tái)必須向應(yīng)用系統(tǒng)提供規(guī)范化的應(yīng)用接口，不同的應(yīng)用系統(tǒng)通過(guò)這些規(guī)范化接口能夠很容易地使用各種安全服務(wù)。該接口的定義必須經(jīng)過(guò)規(guī)范化設(shè)計(jì)，今后在進(jìn)行安全服務(wù)的升級(jí)或替換過(guò)程中，只要保證接口不變，就可以在不改變系統(tǒng)結(jié)構(gòu)的同時(shí)，實(shí)現(xiàn)系統(tǒng)功能的動(dòng)態(tài)升級(jí)。證書(shū)應(yīng)用安全平臺(tái)框架應(yīng)用安全的兩個(gè)核心問(wèn)題是信任與授權(quán)。從具體來(lái)看，信任包含了以下的內(nèi)容：實(shí)體鑒別：鑒別對(duì)等的實(shí)體是你所期望的實(shí)體；信息的私密性：信息內(nèi)容不會(huì)被不期望的實(shí)體所獲得；信息的完整性：信息內(nèi)容被不期望的實(shí)體篡改是可以被發(fā)現(xiàn)和驗(yàn)證的；行為的不可抵賴性：實(shí)體事后不可否認(rèn)其執(zhí)行過(guò)的行為。CFCA在對(duì)應(yīng)用系統(tǒng)安全現(xiàn)狀的深入分析基礎(chǔ)上，結(jié)合PKI基礎(chǔ)設(shè)施提出了統(tǒng)一應(yīng)用安全平臺(tái)的解決方案，可以較好的解決目前國(guó)內(nèi)各類信息系統(tǒng)的安全加固問(wèn)題。統(tǒng)一的應(yīng)用安全平臺(tái)的“統(tǒng)一”體現(xiàn)在以下幾個(gè)方面：不同的應(yīng)用系統(tǒng)可以采用統(tǒng)一的模式進(jìn)行安全加固；不同的應(yīng)用系統(tǒng)可以使用統(tǒng)一的安全服務(wù)；不同的應(yīng)用系統(tǒng)可以采用統(tǒng)一的用戶管理和資源管理；統(tǒng)一的應(yīng)用安全平臺(tái)的“平臺(tái)”體現(xiàn)在以下幾個(gè)方面：是一個(gè)開(kāi)發(fā)平臺(tái)：可以在此基礎(chǔ)上構(gòu)建和使用可信的服務(wù)；是一個(gè)運(yùn)行平臺(tái)：各類應(yīng)用的安全加固處理在此平臺(tái)上運(yùn)行；是一個(gè)管理平臺(tái)：各類應(yīng)用的安全管理可以在此平臺(tái)上進(jìn)行。本方案中主要結(jié)合CFCASSL證書(shū)認(rèn)證網(wǎng)關(guān)、證書(shū)應(yīng)用開(kāi)發(fā)包等產(chǎn)品，提供證書(shū)應(yīng)用平臺(tái)的建設(shè)。證書(shū)安全應(yīng)用平臺(tái)主要技術(shù)加密技術(shù)加密技術(shù)是證書(shū)安全應(yīng)用平臺(tái)采取的主要安全措施,它可根據(jù)需要在信息交換的階段使用。目前,加密技術(shù)分為兩類,即對(duì)稱加密和非對(duì)稱加密。對(duì)稱加密/對(duì)稱密鑰加密/專用密鑰加密在對(duì)稱加密方法中,對(duì)信息的加密和解密都使用相同的密鑰。也就是說(shuō),一把鑰匙開(kāi)一把鎖。使用對(duì)稱加密方法將簡(jiǎn)化加密的處理,每個(gè)信息交換方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進(jìn)行信息交換方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機(jī)密性和報(bào)文完整性就可以通過(guò)對(duì)稱加密方法加密機(jī)密信息和通過(guò)隨報(bào)文一起發(fā)送摘要或散列值來(lái)實(shí)現(xiàn)。對(duì)稱加密技術(shù)存在著在信息交換之間確保密鑰安全交換的問(wèn)題。此外,如當(dāng)某一通信方有"n"個(gè)信息交換關(guān)系,那么他就要維護(hù)"n"個(gè)專用密鑰(即每把密鑰對(duì)應(yīng)一通信方)。對(duì)稱加密方式存在的另一個(gè)問(wèn)題是無(wú)法鑒別信息交換發(fā)起方或信息交換最終方。因?yàn)樾畔⒔粨Q雙方共享同一把專用密鑰,信息交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。RC2/RC4/RC5方法是RSA數(shù)據(jù)安全公司的對(duì)稱加密專利算法。RC2/RC4/RC5不同于DES,它們采用可變密鑰長(zhǎng)度的算法。通過(guò)規(guī)定不同的密鑰長(zhǎng)度,RC2/RC4/RC5能夠提高或降低安全的程度。非對(duì)稱加密/公開(kāi)密鑰加密 在非對(duì)稱加密體系中,密鑰被分解為一對(duì)(即一把公開(kāi)密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對(duì)密鑰中的任何一把都可作為公開(kāi)密鑰(加密密鑰)通過(guò)非保密方式向他人公開(kāi),而另一把則作為專用密鑰(解密密鑰)加以保存。公開(kāi)密鑰用于對(duì)機(jī)密性的加密,專用密鑰則用于對(duì)加密信息的解密。專用密鑰只能由生成密鑰對(duì)的通信方掌握,公開(kāi)密鑰可廣泛發(fā)布,但它只對(duì)應(yīng)于生成該密鑰的通信方。 通信方利用該方案實(shí)現(xiàn)機(jī)密信息交換的基本過(guò)程是:如模擬一個(gè)商務(wù)交易，貿(mào)易方產(chǎn)生成一對(duì)密鑰并將其中的一把作為公開(kāi)密鑰向其它貿(mào)易方公開(kāi);得到該公開(kāi)密鑰的貿(mào)易方乙使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把專用密鑰對(duì)加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其專用密鑰解密由其公開(kāi)密鑰加密后的任何信息。 RSA(即Rivest,ShamirAdleman)算法是非對(duì)稱加密領(lǐng)域內(nèi)最為著名的算法,但是它存在的主要問(wèn)題是算法的運(yùn)算速度較慢。因此,在實(shí)際的應(yīng)用中通常不采用這一算法對(duì)信息量大的信息(如大的EDI交易)進(jìn)行加密。對(duì)于加密量大的應(yīng)用,公開(kāi)密鑰加密算法通常用于對(duì)稱加密方法密鑰的加密。密鑰管理技術(shù)對(duì)稱密鑰管理 對(duì)稱加密是基于共同保守秘密來(lái)實(shí)現(xiàn)的。采用對(duì)稱加密技術(shù)的信息交換雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。這樣,對(duì)稱密鑰的管理和分發(fā)工作將變成一件潛在危險(xiǎn)的和繁瑣的過(guò)程。通過(guò)公開(kāi)密鑰加密技術(shù)實(shí)現(xiàn)對(duì)稱密鑰的管理使相應(yīng)的管理變得簡(jiǎn)單和更加安全,同時(shí)還解決了純對(duì)稱密鑰模式中存在的可靠性問(wèn)題和鑒別問(wèn)題。公開(kāi)密鑰管理/數(shù)字證書(shū) 在信息交換過(guò)程種可以使用數(shù)字證書(shū)(公開(kāi)密鑰證書(shū))來(lái)交換公開(kāi)密鑰。國(guó)際電信聯(lián)盟(ITU)制定的標(biāo)準(zhǔn)X.509(即信息技術(shù)--開(kāi)放系統(tǒng)互連--目錄:鑒別框架)對(duì)數(shù)字證書(shū)進(jìn)行了定義該標(biāo)準(zhǔn)等同于國(guó)際標(biāo)準(zhǔn)化組織(ISO)與國(guó)際電工委員會(huì)(IEC)聯(lián)合發(fā)布的ISO/IEC9594-8:195標(biāo)準(zhǔn)。數(shù)字證書(shū)通常包含有唯一標(biāo)識(shí)證書(shū)所有者(即貿(mào)易方)的名稱、唯一標(biāo)識(shí)證書(shū)發(fā)布者的名稱、證書(shū)所有者的公開(kāi)密鑰、證書(shū)發(fā)布者的數(shù)字簽名、證書(shū)的有效期及證書(shū)的序列號(hào)等。證書(shū)發(fā)布者一般稱為證書(shū)管理機(jī)構(gòu)(CA),它是貿(mào)易各方都信賴的機(jī)構(gòu)。數(shù)字證書(shū)能夠起到標(biāo)識(shí)貿(mào)易方的作用,是目前廣泛采用的技術(shù)之一。微軟公司的InternetExplorer3.0和網(wǎng)景公司的Navigator3.0以上版本都提供了數(shù)字證書(shū)的功能來(lái)作為身份鑒別的手段。數(shù)字簽名 數(shù)字簽名是公開(kāi)密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是:報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或摘要)。發(fā)送方用自己的專用密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名。然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值(或摘要),接著再用發(fā)送方的公開(kāi)密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴性。ISO/IECJTC1已在起草有關(guān)的國(guó)際標(biāo)準(zhǔn)規(guī)范。Internet主要的安全協(xié)議 SSL(安全槽層)協(xié)議是由Netscape公司研究制定的安全協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。該協(xié)議通過(guò)在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來(lái)實(shí)現(xiàn)有關(guān)安全特性的審查。在SSL握手信息中采用了DES、MD5等加密技術(shù)來(lái)實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性,并采用X.509的數(shù)字證書(shū)實(shí)現(xiàn)鑒別。該協(xié)議已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn),并被廣泛應(yīng)用于Internet和Intranet的服務(wù)器產(chǎn)品和客戶端產(chǎn)品中。如Netscape公司、微軟公司、IBM公司等領(lǐng)導(dǎo)Internet/Intrnet網(wǎng)絡(luò)產(chǎn)品的公司已在使用該協(xié)議。SSL安全網(wǎng)關(guān)產(chǎn)品CFCA的安全認(rèn)證網(wǎng)關(guān)（后面簡(jiǎn)稱：CFCASSL網(wǎng)關(guān)）是一臺(tái)網(wǎng)關(guān)型SSL硬件設(shè)備。在應(yīng)用中，CFCASSL網(wǎng)關(guān)將應(yīng)用服務(wù)器隔離在一個(gè)獨(dú)立的安全應(yīng)用網(wǎng)段，用戶不通過(guò)CFCASSL網(wǎng)關(guān)認(rèn)證，就無(wú)法訪問(wèn)其保護(hù)的應(yīng)用系統(tǒng)。CFCASSL網(wǎng)關(guān)適用于B/S和C/S的網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)用戶與應(yīng)用服務(wù)器之間的安全傳輸和身份認(rèn)證。CFCASSL網(wǎng)關(guān)支持的客戶端軟件包括：InternetExplorer(5.0以上版本)CFCASSL客戶端代理軟件（在C/S的網(wǎng)絡(luò)架構(gòu)中或者在客戶端使用硬件證書(shū)設(shè)備時(shí)使用）CFCASSL網(wǎng)關(guān)為服務(wù)器端和用戶客戶端間建立基于數(shù)字證書(shū)的最高強(qiáng)度為128位加密安全鏈接，實(shí)現(xiàn)客戶端和服務(wù)器之間數(shù)據(jù)傳輸安全和用戶身份的有效認(rèn)證。CFCASSL網(wǎng)關(guān)支持用戶支持硬件證書(shū)介質(zhì)（IC卡，USBKey等），通過(guò)IE和CFCASSL客戶端軟件來(lái)使用CFCASSL網(wǎng)關(guān)。產(chǎn)品架構(gòu)CFCASSL網(wǎng)關(guān)產(chǎn)品支持標(biāo)準(zhǔn)的SSL2.0/3.0/TLS協(xié)議，通過(guò)對(duì)數(shù)字證書(shū)的驗(yàn)證實(shí)現(xiàn)用戶身份認(rèn)證和加密通信。產(chǎn)品基本功能產(chǎn)品基本功能說(shuō)明模塊名稱功能描述備注SSL服務(wù)模塊支持SSLv2.0/v3.0和TLS1.1支持多個(gè)SSL服務(wù)，每個(gè)SSL服務(wù)可以綁定不同的設(shè)備證書(shū)支持強(qiáng)制SSL通信加密強(qiáng)度支持第三方加密算法替換，需要SSL客戶端代理同時(shí)支持證書(shū)管理支持標(biāo)準(zhǔn)X509v3數(shù)字證書(shū)支持CFCA屬性證書(shū)支持多個(gè)證書(shū)信任鏈管理WEB管理模塊支持加密的WEB管理支持管理員管理SSL服務(wù)進(jìn)程的自動(dòng)啟動(dòng)、停止、啟動(dòng)、重啟綁定證書(shū)信息配置支持SSL協(xié)議端口配置支持受保護(hù)應(yīng)用服務(wù)器IP地址和端口配置支持WEB重定向功能管理員權(quán)限控制網(wǎng)絡(luò)直通，支持HTTP直接訪問(wèn)業(yè)務(wù)主機(jī)支持手工升級(jí)簡(jiǎn)單防火墻模塊包過(guò)濾防火墻策略配置網(wǎng)絡(luò)管理模塊NAT功能網(wǎng)絡(luò)基本信息（網(wǎng)卡）配置功能CRL管理模塊CRL下載CRL驗(yàn)證日志管理模塊訪問(wèn)日志信息管理訪問(wèn)日志實(shí)時(shí)顯示設(shè)備證書(shū)請(qǐng)求模塊設(shè)備證書(shū)請(qǐng)求，生成PKCS＃10數(shù)據(jù)格式的證書(shū)請(qǐng)求設(shè)備證書(shū)私鑰安全存儲(chǔ)雙機(jī)熱備模塊支持雙機(jī)熱備功能支持硬件加密卡支持SSL加速卡限CFCASSL網(wǎng)關(guān)G系列產(chǎn)品系統(tǒng)備份模塊系統(tǒng)配置信息備份系統(tǒng)配置備份信息導(dǎo)入接口模塊支持CFCA信息安全審計(jì)中心（SAC）支持CFCA權(quán)限管理系統(tǒng)模塊（PMS）產(chǎn)品特點(diǎn)高速度CFCASSL網(wǎng)關(guān)采用專門(mén)加密設(shè)備，連接過(guò)程中的加解密運(yùn)算由專門(mén)的加密卡完成，并不消耗服務(wù)器的CPU，這樣大大的提高了處理速度。CFCASSL網(wǎng)關(guān)獨(dú)立于web服務(wù)器，極大的減少了web服務(wù)器的CPU消耗，這樣會(huì)大量增加服務(wù)器所能承受的用戶并發(fā)點(diǎn)擊數(shù)。功能強(qiáng)大通過(guò)證書(shū)信息捆綁使WEB服務(wù)器上層應(yīng)用能夠方便地獲取客戶信息；支持綁定證書(shū)的擴(kuò)展項(xiàng)信息；支持站點(diǎn)或連接的重定向；支持用戶訪問(wèn)信息的審計(jì)接口；一臺(tái)SSL網(wǎng)關(guān)能夠啟動(dòng)多個(gè)SSL服務(wù)，這樣可以為多個(gè)WEB服務(wù)實(shí)現(xiàn)安全連接和身份認(rèn)證功能。一臺(tái)SSL網(wǎng)關(guān)有多個(gè)網(wǎng)卡設(shè)備，可以實(shí)現(xiàn)網(wǎng)絡(luò)隔離，將WEB服務(wù)置于專門(mén)的內(nèi)部網(wǎng)絡(luò)中，外部用戶無(wú)法直接訪問(wèn)WEB服務(wù)，進(jìn)一步的增加了WEB服務(wù)的安全性。備份/恢復(fù)功能，備份當(dāng)前SSL的所有配置，保證系統(tǒng)癱瘓時(shí)的快速恢復(fù)。在實(shí)現(xiàn)網(wǎng)絡(luò)隔離增強(qiáng)WEB服務(wù)器安全性的同時(shí)，提供網(wǎng)絡(luò)直通模塊，讓W(xué)EB服務(wù)器和外界網(wǎng)絡(luò)在某些端口進(jìn)行必要的通訊；提供屬性證書(shū)服務(wù)，能夠?qū)崿F(xiàn)一證通的功能，可使WEB應(yīng)用獲取訪問(wèn)者的用戶證書(shū)對(duì)應(yīng)屬性證書(shū)的相關(guān)屬性信息；可靠性設(shè)備本身平均故障間隔時(shí)間<30分鐘/年，產(chǎn)品還提供雙機(jī)熱備的功能，保證產(chǎn)品從不停止運(yùn)行。自身安全性采用硬件加密卡，自身站點(diǎn)證書(shū)密鑰均保存在加密卡內(nèi)部，無(wú)法導(dǎo)出；本身也內(nèi)嵌了防火墻，充分考慮自身的安全。標(biāo)準(zhǔn)的SSL協(xié)議CFCASSL網(wǎng)關(guān)兼容標(biāo)準(zhǔn)的SSL協(xié)議。管理配置的方便性CFCASSL網(wǎng)關(guān)提供WEB方式的配置，操作方便。加密算法多樣性既支持多種高強(qiáng)度通用加密算法，也支持國(guó)家密碼管理機(jī)構(gòu)認(rèn)可加密算法。應(yīng)用的透明性和兼容性對(duì)WEB應(yīng)用來(lái)說(shuō)，CFCASSL網(wǎng)關(guān)無(wú)縫的與WEB應(yīng)用連接，并不需要WEB應(yīng)用為CFCASSL網(wǎng)關(guān)做特別的定制。因?yàn)镃FCASSL網(wǎng)關(guān)對(duì)應(yīng)用透明，所以對(duì)各種Web服務(wù)器都兼容。擁有廣泛的客戶群體CFCASSL網(wǎng)關(guān)已成熟應(yīng)用于國(guó)家政府部門(mén)、Internet服務(wù)供應(yīng)商（ISP）、WEB站點(diǎn)、網(wǎng)上銀行和網(wǎng)上證券等?？蛻舳薃PI接口開(kāi)發(fā)包基本功能產(chǎn)品基本功能說(shuō)明名稱描述備注初始化接口是否要驗(yàn)證簽名數(shù)據(jù)的證書(shū)驗(yàn)證證書(shū)的方式(CRL或者OCSP方式，可復(fù)選)服務(wù)接口驗(yàn)證數(shù)字簽名身成數(shù)字簽名使用環(huán)境提供JavaBean接口開(kāi)發(fā)包提供C++接口開(kāi)發(fā)包應(yīng)用開(kāi)發(fā)包 CFCA為便于用戶的開(kāi)發(fā)使用，還提供了多種應(yīng)用產(chǎn)品的接口開(kāi)發(fā)包：應(yīng)用產(chǎn)品開(kāi)發(fā)包 應(yīng)用產(chǎn)品開(kāi)發(fā)包，主要針對(duì)CFCA的應(yīng)用安全產(chǎn)品進(jìn)行的二次開(kāi)發(fā)，所提供的API級(jí)的開(kāi)發(fā)包。它包括：RA開(kāi)發(fā)包 提供RA系統(tǒng)的開(kāi)發(fā)包，提供RA證書(shū)管理和CA安全通信功能；使用該開(kāi)發(fā)包可以定制基于南空司令部認(rèn)證中心中RA系統(tǒng)的安全接入應(yīng)用（如網(wǎng)上銀行等）。SSL客戶端開(kāi)發(fā)包 提供SSLClient的通信功能和證書(shū)管理功能API。數(shù)字簽名開(kāi)發(fā)包 提供數(shù)字簽名客戶端和服務(wù)端產(chǎn)品調(diào)用接口API說(shuō)明和數(shù)字簽名客戶端二次開(kāi)發(fā)函數(shù)。OCSP客戶端開(kāi)發(fā)包 提供OCSPClient查詢證書(shū)狀態(tài)功能的API時(shí)間戳服務(wù)開(kāi)發(fā)包 提供時(shí)間戳服務(wù)軟件開(kāi)發(fā)包安全郵件客戶端開(kāi)發(fā)包 提供安全郵件客戶端的軟件開(kāi)發(fā)包。VPN客戶端開(kāi)發(fā)包 提供VPN客戶端軟件開(kāi)發(fā)包 以上開(kāi)發(fā)包工具和開(kāi)發(fā)文檔，將在中標(biāo)后由CFCA提交南空司令部使用。證書(shū)開(kāi)發(fā)包CFCA證書(shū)認(rèn)證中心（CA）產(chǎn)品除了提供證書(shū)外，還提供不同的證書(shū)應(yīng)用開(kāi)發(fā)包。CFCAPKISDK(KPSDK)是基于PKI技術(shù)的證書(shū)開(kāi)發(fā)包，為應(yīng)用程序開(kāi)發(fā)者提供一套完整的應(yīng)用安全接口。應(yīng)用軟件開(kāi)發(fā)者不需要了解安全實(shí)現(xiàn)具體細(xì)節(jié)，只需使用PKISDK就可以方便地為應(yīng)用系統(tǒng)實(shí)現(xiàn)基于PKI技術(shù)的安全保障機(jī)制。CFCAPKISDK(KPSDK)中相關(guān)的證書(shū)開(kāi)發(fā)包包括：證書(shū)SDK開(kāi)發(fā)包證書(shū)有效期驗(yàn)證證書(shū)CRL驗(yàn)證證書(shū)簽名驗(yàn)證證書(shū)鏈驗(yàn)證CRL下載開(kāi)發(fā)包CRL的下載數(shù)字簽名SDK開(kāi)發(fā)包數(shù)字簽名驗(yàn)證用戶證書(shū)驗(yàn)證（有效期，證書(shū)簽名，證書(shū)鏈驗(yàn)證）CRL驗(yàn)證應(yīng)用系統(tǒng)通過(guò)使用上述開(kāi)發(fā)包，可以實(shí)現(xiàn)完整的證書(shū)認(rèn)證方式。產(chǎn)品架構(gòu)CFCASDK完全按照PKCS#11標(biāo)準(zhǔn)開(kāi)發(fā)。為上層應(yīng)用提供了加密、證書(shū)管理、密鑰管理和作廢證書(shū)表管理的基本功能。支持USB智能密碼鑰匙等多種軟硬件密碼模塊。密碼模塊能夠?qū)崿F(xiàn)密鑰對(duì)的產(chǎn)生，私鑰簽名等功能，從而使得私鑰永不離開(kāi)硬件設(shè)備，更好地保護(hù)了私鑰的安全。各種應(yīng)用程序通過(guò)CFCASDK提供的PKCS#11標(biāo)準(zhǔn)接口使用不同的加密設(shè)備完成各種密碼運(yùn)算。各種信息安全產(chǎn)品，都可以基于該模塊為應(yīng)用提供安全服務(wù)。從而為安全系統(tǒng)的擴(kuò)展提供了良好的基礎(chǔ)，