CA认证解决方案-CAServer网关.doc

CA 认证安全解决方案吉大正元信息技术股份有限公司CA 认证安全解决方案 吉大正元信息技术股份有限公司 第 1 页目 录1 方案背景 .............................................................................................................................22 需求分析 .............................................................................................................................33 系统框架设计 ......................................................................................................................54 系统逻辑设计 ......................................................................................................................65 产品介绍 .............................................................................................................................75.1 CA 认证系统 ................................................................................................................75.1.1 系统构架 ..............................................................................................................75.1.2 系统功能 ..............................................................................................................85.1.3 系统流程 ..............................................................................................................95.2 身份认证网关 ..............................................................................................................95.2.1 系统架构 ..............................................................................................................95.2.2 系统功能 ............................................................................................................105.2.3 系统流程 ............................................................................................................126 网络拓扑设计 ....................................................................................................................137 产品配置清单 ....................................................................................................................14CA 认证安全解决方案 吉大正元信息技术股份有限公司 第 2 页1 方案背景随着信息化建设的推进，信息化的水平也有了长足的提高，信息化已经成为政府、企业提高工作效率，降低运营成本、提升客户体验、增加客户粘度，提升自身形象的重要手段。

信息化是架构在网络环境世界来展开，网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险，如何解决虚拟身份的真实有效，敏感信息在网络传输的安全保密且不被攻击者非法篡改，如何防止网络操作日后不被抵赖？同时，随着信息系统的不断增加，信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈因此，安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋，上述问题逐渐给信息化建设管理者提出了新的挑战此外，国家安全管理部门发布了《信息安全等级保护管理办法》 ，提出了“计算机信息系统实行安全等级保护”的要求，等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求，本方案提出一套基于 PKI 密码技术的 CA 认证体系建设方案和基于数字证书的安全应用支撑解决方案，全面解决上述信息安全问题CA 认证安全解决方案 吉大正元信息技术股份有限公司 第 3 页2 需求分析目前， “用户名+口令”的认证方式普遍存在各个信息系统，基于用户名口令的认证方式是一种弱认证方式，由于其具有容易被猜测、字典攻击、非法拦截、责任认定无法到人等系列弱点，已经无法满足信息系统的安全需要，因此，需要建立一套 CA 认证系统，来完成数字证书的申请、审核、发放等生命周期管理，为最终用户提供唯一、安全、可信的网络身份标识。

其次，需要提供一套基于数字证书的安全应用支撑平台，通过 PKI 密码技术实现强身份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项安全功能，同时，作为安全应用支撑平台，还应该面向众多的信息系统提供统一身份认证功能，实现 SSO 单点登录功能，满足应用级的授权管理需要具体来说，安全需求如下： 数字证书的发放管理：提供证书生命周期管理服务，包括证书的申请、审核、发放、更新、吊销等 强身份认证：满足基于数字证书的安全登录需要，提供黑名单查询功能，只有持有合法证书的用户才能登录到信息系统 机密性、完整性：对信息进行加密、完整性处理，保证信息传输过程的机密性和完整性 单点登录，多点漫游：用户只需使用数字证书完成一次统一认证，后续登录不需要再次认证则可进入其他信息系统CA 认证安全解决方案 吉大正元信息技术股份有限公司 第 4 页 应用级访问控制：提供应用级访问控制功能，用户只能登录到被授权的信息系统。

CA 认证安全解决方案 吉大正元信息技术股份有限公司 第 5 页3 系统框架设计根据上述安全需求分析，方案总体框架如下图所示：应用支撑应用门户应用系统 2 应用系统 3基础设施安全应用其他应用系统P K I / C A 证书认证系统证书管理办法证书格式标准密码设施应用系统 1身份认证网关U S B K E Y 智能密码钥匙在整体应用框架下，PKI/ CA 认证系统负责发放和管理数字证书，USBKEY智能密码钥匙作为证书的载体存储数字证书，身份认证网关作为应用支撑体系，为各类业务系统提供基于数字证书的安全支撑，实现统一认证和各项安全功能另外，为了证书发放的规范运营，明确证书管理员的工作职责，需要为此而制定系列的证书管理办法为了满足证书的安全应用，还需要制定本行业、本企业的证书格式规范，确保证书信息能方便被应用系统识别和调用CA 认证安全解决方案 吉大正元信息技术股份有限公司 第 6 页4 系统逻辑设计系统逻辑设计如下图所示：O A 系统其他系统身份认证网关访问访问访问手工导入 C R LP K I / C A 证书认证系统重定向用户F i l t e rF i l t e rF i l t e r产 生Token检查财务系统证书申请证书发放证书管理员(1) 证书管理员登录 CA 系统，为用户申请、下载数字证书，然后交给用户使用；(2) 用户登录业务系统，业务系统通过安装在系统上的 FILTER 过滤器来判断用户是否已经认证过，如果没有，则重定向用户登录网关登录页面；(3) 用户按照网关页面插入 USB KEY，并输入 PIN 保护密码，然后提交认证请求到身份认证网关；(4) 身份认证网关判断证书的真实有效，并通过导入 CRL 证书黑名单，判断证书是否已经被吊销；(5) 如果证书验证全部通过，身份认证网关检查用户权限，然后显示用户可CA 认证安全解决方案 吉大正元信息技术股份有限公司 第 7 页登录系统列表，根据授权策略为用户签发单点登录 TOKEN，用户凭借TOKEN 单点登录到各业务系统中。

5 产品介绍5.1 CA 认证系统5.1.1 系统构架C A 签 发 系 统加 密 机管 理 员CA 认证系统架构如上图所示，其中： CA 签发系统：负责证书的签发管理，所有证书的业务操作请求都提交到 CA 系统进行处理，包括证书签发、证书吊销、证书更新等 加密机：负责提供 CA 密钥服务功能，包括产生和存储 CA 密钥对，对CA 系统提交的证书签发请求进行签发CA 认证安全解决方案 吉大正元信息技术股份有限公司 。