CA認證系統是基于PKI體系的信息安全系統。外交部辦公系統身份認證和訪問控制需要對整個電子化辦公采用統一的身份認證來加強對系統的安全管理,本項目中采用時代億信公司(www.eetrust.com)基于PKI CA體系的身份認證技術平臺。在系統的建設過程中與外交部其它系統無縫結合。具體需求描述如下:
(1)建立CA證書服務器、證書發卡與管理中心。
(2)由于外交部分內外兩套網絡,內外之間都部署物理隔離、防火墻、防病毒網關等設備,這些設備只開放80、389和443這三個端口,就需要CA軟件遵循標準的協議,完全符合業界的規范。
(3)保證現有網絡系統的穩定性,不作大的改動(避免修改現有網絡設備配置)。
(4)建立跨系統的統一的身份認證和訪問控制機制,具體包括:WIN32平臺系統、電子郵件系統、SQL SERVER和ORACLE數據庫系統、建立業務系統用戶身份認證和資源管理與授權統一安全平臺,改造目前已有的系統(B/S模式、C/S模式),實現現有系統的統一的用戶身份認證和授權。
(5)建立SQL SERVER和ORACLE等數據庫系統統一的身份認證中心,實現數據庫用戶在建立數據庫連接中,用戶身份的安全登錄。
(6)建立業務系統(C/S和B/S模式)統一身份認證機制,根據需求,可以建立跨地域的統一的身份認證系統。本身份認證和第三方授權系統結合在一起。
(7)建立各系統的用戶身份認證和訪問控制獨立的審計總中心。
一、PKI體系概述
1、什么是PKI?
公開密鑰體系(Public Key Infrastructure:PKI)是一種遵循既定標準的密鑰管理平臺,是為網絡應用提供加密和數字簽名等密碼服務及所需密鑰和證書的管理體系。PKI由公開密鑰密碼技術、數字證書、認證機構(CA)和有關公開密鑰的安全策略等基本部分組成。
為解決網絡的安全問題,世界各國對其進行了多年的研究,已形成一套完整的網絡安全解決方案,即目前被廣泛采用的公鑰基礎設施---PKI。PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。用戶可利用PKI平臺提供的服務進行安全通信。
2、目前國內PKI體系現狀及存在的問題
現在每個行業系統甚至更小的單位都有各自的信任機制,并且與國家的信任機制并存。PKI并不是一種產品,也不僅僅是一張證書,而是一套安全機制。雖然國家在大力倡導開放的PKI架構,但單獨談論PKI毫無意義,它只有深入到應用的骨髓,與應用連為一體,才能產生真正的價值。而目前國內在PKI的應用領域中,存在許多應用系統與信任體系難以結合的問題。
3、如何構建一套完整的PKI體系?
典型的PKI系統由五個基本部分組成:證書申請者(Subscriber)、注冊機構(Registration Authority,RA)、認證中心 (Certificate Authority,CA)、證書庫(Certificate Repository,CR) 和證書信任方(Relying Party)。其中,認證中心、注冊機構和證書庫三部分是PKI的核心,證書申請者和證書信任方則是利用PKI進行網上交易的參與者。在具體應用中,各部分的功能是有彈性的,有些功能并不在所有的應用中出現,PKI的許多詳細功能要根據業務的操作規程確定。
二、實現方案
本項目采用的都是時代億信公司自主知識產權的產品。產品的核心為:CA認證系統,圍繞CA認證系統的應用,提供SecureKey等產品,實現了操作系統、數據庫和各種業務系統統一的身份認證,改造了外交部辦公系統相關的幾個業務系統的身份認證,為未來的辦公及業務系統提供安全的認證平臺標準。
數據庫用戶登錄還是業務系統的用戶身份認證,在認證用戶身份中,采用了數字證書技術。在整個系統中,根據不同的環境,提供不同的認證模型,C/S應用模型、B/S的應用等模型,各模型的認證和授權采用標準的統一的標準接口,實現跨系統的統一的身份認證和授權。
外交部身份認證和訪問控制平臺建設沒有對現有網絡系統進行大的變動,基本保證了整個業務系統的無縫運行,并根據外交部辦公系統的一些特殊需求進行了定制開發,使整個系統更好地為辦公系統服務。
時代億信PKI體系的建立可以保證網絡安全的四大要素得以解決,即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。而CA數字證書認證系統恰好能夠解決這些問題,他就象通行證一樣時刻伴隨在對應用系統訪問的全過程。數字證書和PKI結合進一步解決了信息系統中的安全問題。在傳統的安全解決方案中,密碼服務與應用緊密地結合在一起,每一種網絡應用都有自己的一套密鑰管理,功能大量冗余,管理維護工作復雜,費用高,而且這種分散的、插件式的安全解決方案存在安全隱患,互操作性也得不到保證。而時代億信CA認證系統以統一的方式來解決所有應用的共同問題,提供通用的管理,無疑是一種更為合理的安全解決方案。
1、系統組成
CA身份認證系統基于PKI理論體系構建,由認證服務器、管理服務器、客戶端安全認證組件和SecurSecureKey(USB智能卡)組成,支持B/S結構和C/S結構的應用系統。
SecurSecureKey(USB智能卡):負責客戶端的數字簽名和加解密,也是用戶數字證書和私鑰的載體,同時私鑰不出卡,不可復制。
客戶端安全認證組件:負責提供客戶端應用程序接口,完成對SecurSecureKey的驅動和訪問,從而產生客戶端用戶認證請求。對于B/S結構的應用系統,提供瀏覽器安全插件,與瀏覽器無縫結合;對于C/S結構的應用系統,提供COM組件。
認證服務器:負責提供服務器端應用程序接口,并對客戶端提交的用戶認證請求進行認證,鑒別用戶身份,控制用戶對應用系統的訪問。
管理服務器:包括用戶管理、證書管理和SecurSecureKey管理等模塊,完成用戶授權、證書申請和SecureKey制作,并提供全面的系統管理和審計功能。
2、系統基本原理
每一個用戶發一個SecurSecureKey,其中存儲有代表用戶身份的數字證書和私鑰文件,用戶在登錄系統時,插上SecurSecureKey,通過安全加密通訊信道與遠程身份認證服務器通訊,由認證服務器完成對用戶身份的認證,并得到當前用戶的身份以及系統的授權信息。
1.用戶在計算機USB接口上插入包含自己證書和私鑰的SecurSecureKey,訪問系統登錄頁面
2.服務器接受登錄請求,并產生一個臨時隨機數,發送到客戶端。
3.用戶輸入SecurSecureKey訪問口令,點擊“登錄”按鈕。
4.客戶端對服務器發來的隨機數以及用戶的身份信息利用SecurSecureKey硬件進行加密,并對加密結果做數字簽名,將結果發送到服務器。
5.應用服務器接收到客戶端發來的數據后,執行如下驗證過程:
a) 驗證用戶的數字證書的有效性,包括簽發者證書鏈、時間期限等。
b) 證書驗證通過后,調用認證服務器驗證接收數據的數字簽名信息。
c) 再調用認證服務器加解密功能模塊對接收的數據進行解密,得到隨機數和用戶身份信息。
d) 驗證用戶身份信息,并比較隨機數是否與開始發送時相同。
e) 根據以上驗證步驟,決定是否驗證成功。
6.應用服務器根據認證服務器的返回結果決定登錄是否成功。
3、系統功能特點
◎ 安全有效的身份認證
采用數字證書和USB智能卡相結合的身份認證方式,使用數字簽名和加密等技術,增強了身份認證過程的安全性,有效地消除了“用戶名+口令”的傳統認證方式所帶來的各種安全問題。
◎ 易于操作和使用
用戶數字證書和私鑰存儲在USB智能卡中,可隨身攜帶,同時私鑰不出卡,保證了私鑰的唯一性;用戶使用時只需要插上USB智能卡,輸入其硬件保護口令,其余操作均由客戶端安全組件自動完成。因此,系統具有很強的安全性和易操作性。
◎ 易于與現有應用系統相結合,提升系統安全性能
對于使用傳統口令認證方式的應用系統,只需在服務器端增加身份認證服務器即可輕松替換傳統的“用戶名+口令”認證方式,實現SecureKey身份認證,提升系統的安全性能。
◎ 自動檢測并加密指定關鍵信息
客戶端安全認證組件,尤其是瀏覽器安全插件與瀏覽器無縫結合,在用戶訪問應用系統時,可自動檢測服務器端指定的關鍵信息,并由SecureKey完成加密簽名等操作,即保證了關鍵信息的安全性,又避免了對全部信息都加密所帶來的性能問題。
