ca系统应用安全解决方案

ca系统应用安全解决方案内容摘要：

计功能，可以查看和统计各种日志，包括：  统计各 CA、 RA 账号证书颁发情况；  记录所有 RA 与 CA 的操作日志；  对所有操作人员的操作行为进行审计。 （ 7） CA 密钥管理 系统支持 CA 密钥管理功能，包括：  CA 密钥产生和存储（软件与硬件）；  CA 证书（包括根 CA 和子 CA）的产生和管理；  CA 密钥归档与备份。 证书应用开发接口（ API） 为了实现基于数字证书的安全应用集成，提供了完整的证书应用开发接口（ API），提供 C、 JAVA 和 COM等多种接口，包括：  个人信任代理（ PTA） 个人信任代理（ PTA）是客户端的软件包，既括安装在客户端的文件加密 /解密程序，也包括用于数字签名和签名验证的 ActiveX 控件。 文件加 /解密模块可以产生随机数密钥对文件进行加密，以及使用输入的密钥对文件进行解密；ActiveX 控件由用户访问相关网页时下载到客户端浏览器中，实现使用本地的证书（私钥）对文件进行数字签名，以及对签名进行验证。  证书解析模块（ CPM） 证书解析模块是一系列平台下的动态链接库，用于解析 DER 或 PEM 编码的 数字证书 ，将证书中的信息，包括用户信息、证书有效期、证书公钥等信息分解为字符串。  数据签名验证模块（ SVM） CA系统应用安全解决 方案 第 10页 共 29页 数据签名及验证模块是一系列平台下的动态链接库或插件，可以应用于客户端和服务器端，实现对传输数据的数字签名，和对数字及其证书进行验。 证书的验证可使用 CRL或 OCSP 来进行有效性验证。 系统工作流程 设计 （ 1）证书发放流程 本方案设计的 用户 CA 认证系统 的证书发放采用 集中发证 的方式， 即由管理员集中申请好证书，保存在 USB KEY 中，发放给用户使用。 其工作流程如下图所示： 图 4 证书发放 流程图 (a) 管理员 使 用浏览器，访问 用户 CA 认证系统 ，进入证书申请页面， 替最终用户 填写证书申请信息，向 用户 CA 认证系统 提交证书申请请求。 在本地（本地的 USB KEY 上）产生证书的公私钥对，并将公钥和用户信息一起作为证书申请请求，提交给 CA 认证系统； (b) CA 认证系统根据 管理员提交的证书申请请求，批准并 签发用户证书，将用户证书发布到数据库中。 同时， 将用户证书返回到管理员端，保存到 USB KEY 中 ； (c) 管理员将申请好 证书的 USB KEY 发放给最终用户。 （ 2） 证书吊销 流程 在用户证书的私钥受到威胁、或者用户私钥丢失时，需要吊销用户的证书， 根据 用户 信息系统 的应用情况，本方案设计证书吊销由管理员进行，其工作流程如下： CA系统应用安全解决 方案 第 11页 共 29页 (a) 管理员在发现用户违反使用规定，或者用户自己向管理员发送邮件，请求吊销自己的证书时，管理员访问 CA 认证系统管理员模块，进行用户证书吊销用户； (b) 管理员通过证书管理功能页面，查询到需要吊销的用户证书； (c) 管理员选择吊销操作，选择吊销用户证书的原因，向 CA 认证系统发送证书吊销请求； (d) CA 认证系统根据管理员的证书吊销请求，自动的吊销用户的证书，并将吊销的用户证书发布到证书吊销列表中，同时对数据库中保存的用户证书的最新状态进行更新； (e) CA 认证系 统给管理员返回证书吊销成功信息，同时给用户发送电子邮件，告诉用户证书已经被吊销，不能再使用自己的证书。 （ 3） 证书更新 流程 最终用户在其证书即将过期之前，需要访问 CA 认证系统，更新自己的证书，其流程为： (a) 最终用户 在证书即将过期前（一般为一个月）， 访问 用户 CA 认证系统 ，登录用户服务页面， 点击 “ 证书更新 ”选项 ； (b) 系统 自动识别用户是否具有 用户 CA 认证系统 颁发的数字证书，并且判断是否过期，如果即将过期，便提示进行更新； (c) 用户选择需要更新的证书，点击提交，向 CA 认证系统提交证书更新请求。 在提交证书更新请求时，在 USB KEY 中，重新产生更新证书的公私钥对，将公钥和即将过期的证书一起，作为证书更新请求，提交给 CA 认证系统 ； (d) CA 认证系统自动批准证书更新请求，自动更新用户证书，将更新的证书发布到目录服务器，同时将更新证书返回到用户端，自动保存到 USB KEY 中。 系统性能和特点分析 采用 iTrusCA 系统建设的 用户 CA 认证系统拥有下列性能和特点： （ 1） 符合国际和行业标准 系统在设计中遵循了相应的国际和工业标准，包括 标准、 PKCS 系列标准、IETF 的 PKIX 工作组制定的 PKI 相关 RFC 标准，以及 HTTP、 SSL、 LDAP 等互联网通讯协议等。 严格遵循这些标准，使得系统具有很好的开放性，能够与各种应用结合CA系统应用安全解决 方案 第 12页 共 29页 成为真正的安全基础设施。 （ 2） 证书类型多样性及灵活配置 系统能够提供各种证书的签发功能， 本方案设计的 CA 认证系统能够签发个人身份证书。 将来 根据 用户 的 需要 ， 可以 进行扩展，通过 灵活配置 可以签发 企业证书、服务器证书、代码签名证书和 VPN 证书等。 （ 3） 灵活的认证体系配置 系统 采用“认证体系设计”一节设计的 CA 认证体系，采用树状结构， 支持多级CA，支持交叉认证。 （ 4） 注册机关（ RA）建设方式多样化 本方案设计的 CA 认证系统采用一个 RA 的配置，根据 用户 的要求，将来可以配置多个 RA 和多级 RA， RA 界面风格可定制。 （ 5） 高安全性和可靠性 使用高强度密码保护密钥，支持加密机、智能卡、 USB KEY 等硬件设备，用户关键信息散列保存，以防遗失。 （ 6） 高扩展性 根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级 CA，支持交叉 CA；系统支持多级 RA。 （ 7） 易于部署与使用 系统所有用户、管理员界面都是 B/S 模式， CA/RA 策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。 （ 8） 高兼容性 支持 Windows、 Linux、 Solaris 等多种操作系统； 支持多种加密设备：软加密库、山大加密机和天融信加密机等； 支持多种数据库： Oracle 和 SQL server 等； 支持多种证书存储介质：硬盘、 USB KEY 和智能卡等 5 应用 系统 安全集成方案 本方案主要目的是解决 用户 应用 系统 的 安全 问题， 采用 iTrusCA 系统利用数字证书在不增加用户 额外负担的情况 下更好的保证了身份认证系统的安全性，以下将从安全原理、安全构架 和具体 应用 流程 等方面入手，针对用户中常见的一些应用系统， 介CA系统应用安全解决 方案 第 13页 共 29页 绍 我们的 应用系统集 成方案。 邮件系统安全 应用 邮件用户从管理员处获得保存有证书的 USB 令牌之后，在所在单位的邮件管理员的指导下，安装 USB 令牌的驱动，将 USB 令牌插入到计算机，对邮件客户端进行安全配置，如下图所示为对 Outlook邮件客户端进行安全配置的示例： 图 5 Outlook安全配置示意图 在完成邮件客户端的安全配置之后，用户就可以使用邮件客户端发送加密和或签名的安全电子邮件，可以实现 ：  对电子邮件的内容和附件进行加密，确保在传输的过程中不被他人阅读、截取和篡改。  对电子邮件进行签名，使得接收方可以确认该电子邮件 是由发送方发送的，并且在传送过程中未被篡改。 CA系统应用安全解决 方案 第 14页 共 29页 图 6 发送和接收安全电子邮件示意图 上图所示是在 Outlook邮件客户端使用的情况，其它邮件客户端类似。 想对邮件进行签名和加密，只需要按下“签名”和“加密”按钮就可以了，系统后台使用您的证书所对应的私钥对邮件进行签名，再使用接收者的证书的公钥对邮件进行加密；在收到邮件时，系统自动使用您的证书所对应的私钥对邮件进行解密和并自动使用发送者的公钥验证发送者的签名，并提示接收者邮件的安全情况，没出现安全问题，直接打开邮件，当出现安全问题时，则提示邮件接收者，邮件什 么地方存在安全隐患，如上图所示。 VPN 安全应用 对于采用标准协议实现的 VPN 设备 ，由于 VPN 设备对数字证书的支持，我们可以通过 CA 认证系统为 VPN 设备颁发数字证书，为客户端颁发个人证书，利用 CA 系统进行相应的数字证书发放和管理。 证书的加密和验证数据在这些设备之间进行传送，产生了一个安全的虚拟专用网络。 以下将进行详细阐述： VPN 安全登录 实现原理 目前，使用 VPN 可以采用两种方式，即使用证书的方式和不使用证书的方式。 对于不使用证书的方式建立的 VPN 存在下列风险： CA系统应用安全解决 方案 第 15页 共 29页 （ 1） 不使用证书的方式建立 VPN 时，是基于“用户名 和口令”的认证，我们知道“用户名和口令”的认证强度低，存在很多安全弱点，无法满足 较高的 安全需求； （ 2） 其次，不使用证书的方式存在 VPN 密钥分发的困难， VPN 密钥是一个对称密钥，用来对 VPN 链路层数据的加密。 而目前比较通常的做法是在配置 VPN时，就在 VPN 客户端和 VPN 服务端（ VPN 网关）之间配置一个共享的对称密钥。 但是这种方式的对称密钥的安全性不高，很容易被泄漏。 为了提高这种方式的安全性，需要管理员不定期的对共享的对称密钥进行更换，但是， 由于更换对称密钥的操作中的人为因素等原因， 使得这种方式存在巨大的安全隐患。 为此， VPN 应用引入了证书，来解决不使用证书方式存在的安全隐患： （ 1） VPN 证书（包括 VPN 设备证书和 VPN 用户证书）是 VPN 设备和用户的护照，表明设备和用户的身份，基于数字证书的身份认证是一种强身份认证，完全可以满足应用的身份认证需求； （ 2） 使用 VPN 证书（包括 VPN 设备证书和 VPN 用户证书）可以实现协商会话密钥，在进行数据通信时，发送方产生会话密钥，对发送数据进行加密，然后使用接收者的证书（公钥）加密会话密钥。 接收者使用自己的证书私钥解密会话密钥，再用会话密钥解密被加密的数据； VPN 证书介绍 VPN 证书也是 人们常说的 IPSec 证书，包括两种证书：  一是 VPN 客户端证书，就是通常的用户证书，可以存放在 IPSec 客户端软件中管理，也可以存放在 IE 浏览器或者 USB KEY 等其他存储介质内。  二是 VPN 设备证书，是标准的 证书，存放在 IPSec 设备中，如带有 VPN功能的路由器、防火墙内，由设备的 VPN 功能模块来配置、管理。 VPN 证书用于 VPN 设备的身份鉴别、建立安全通道。 有了 VPN 证书，客户可在开放的、不安全的 Inter 上构建安全虚拟专用网，实现各分支机构、合作伙伴和远端用户之间的安全数据通讯。 VPN 证书可识别使用 IPSec（ IP 安全）协议进行安全通信的设备。 IPSec 是一套支持 IP 包安全交换的协议，不像 SSL 那样在应用层运行， IPSec 在IP 网络层中运行，对 IP 包进行加密。 IPSec 能够利用验证及加密用的 VPN 证书，将两个网络层对等起来，如两个路由CA系统应用安全解决 方案。