吉大正元信息技术股份有限公司

1方案背景

随着信息化建设的推进，信息化的水平也有了长足的提高，信息化已经成为、企业提高工作效率，降低运营成本、提升客户体验、增加客户粘度，提升自身形象的重要手段。

信息化是架构在网络环境世界来展开，网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险，如何解决虚拟身份的真实有效，敏感信息在网络传输的安全保密且不被攻击者非法篡改，如何防止网络操作日后不被抵赖？同时，随着信息系统的不断增加，信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈。因此，安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋，上述问题逐渐给信息化建设管理者提出了新的挑战。

此外，管理部门发布了《信息安全等级保护管理办法》，提出了“计算机信息系统实行安全等级保护”的要求，等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。

鉴于上述、企业自身的安全建设需要以及安全管理部门的要求，本方案提出一套基于PKI密码技术的CA认证体系建设方案和基于数字证书的安全应用支撑解决方案，全面解决上述信息安全问题。

2需求分析

目前，“用户名+口令”的认证方式普遍存在各个信息系统，基于用户名口令的认证方式是一种弱认证方式，由于其具有容易被猜测、字典攻击、非法拦截、责任认定无法到人等系列弱点，已经无法满足信息系统的安全需要，因此，需要建立一套CA认证系统，来完成数字证书的申请、审核、发放等生命周期管理，为最终用户提供唯一、安全、可信的网络身份标识。

其次，需要提供一套基于数字证书的安全应用支撑平台，通过PKI密码技术实现强身份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项安全功能，同时，作为安全应用支撑平台，还应该面向众多的信息系统提供统一身份认证功能，实现SSO单点登录功能，满足应用级的授权管理需要。

具体来说，安全需求如下：

●数字证书的发放管理：提供证书生命周期管理服务，包括证书的申请、审核、发放、更新、吊销等。

●强身份认证：满足基于数字证书的安全登录需要，提供黑名单查询功能，只有持有合法证书的用户才能登录到信息系统。

●机密性、完整性：对信息进行加密、完整性处理，保证信息传输过程的机密性和完整性。

●单点登录，多点漫游：用户只需使用数字证书完成一次统一认证，后续登录不需要再次认证则可进入其他信息系统。

●应用级访问控制：提供应用级访问控制功能，用户只能登录到被授权的信息系统。

3系统框架设计

根据上述安全需求分析，方案总体框架如下图所示：

在整体应用框架下，PKI/ CA认证系统负责发放和管理数字证书，USBKEY智能密码钥匙作为证书的载体存储数字证书，身份认证网关作为应用支撑体系，为各类业务系统提供基于数字证书的安全支撑，实现统一认证和各项安全功能。

另外，为了证书发放的规范运营，明确证书管理员的工作职责，需要为此而制定系列的证书管理办法。为了满足证书的安全应用，还需要制定本行业、本企业的证书格式规范，确保证书信息能方便被应用系统识别和调用。

4系统逻辑设计

系统逻辑设计如下图所示：

(1)证书管理员登录CA系统，为用户申请、下载数字证书，然后交给用户使用；

(2)用户登录业务系统，业务系统通过安装在系统上的FILTER过滤器来判断用户是否已经认证过，如果没有，则重定向用户登录网关登录页面；

(3)用户按照网关页面插入USB KEY，并输入PIN保护密码，然后提交认证请求到身份认证网关；

(4)身份认证网关判断证书的真实有效，并通过导入CRL证书黑名单，判断证书是否已经被吊销；

(5)如果证书验证全部通过，身份认证网关检查用户权限，然后显示用户可登录系统列表，根据授权策略为用户签发单点登录TOKEN，用户凭借TOKEN单点登录到各业务系统中。

5产品介绍

5.1CA认证系统

5.1.1系统构架

CA认证系统架构如上图所示，其中：

●CA签发系统：负责证书的签发管理，所有证书的业务操作请求都提交到CA系统进行处理，包括证书签发、证书吊销、证书更新等。

●加密机：负责提供CA密钥服务功能，包括产生和存储CA密钥对，对CA系统提交的证书签发请求进行签发。

5.1.2系统功能

●证书申请：提供证书的申请功能，包括管理申请和用户自助申请。

●证书签发：对于通过审核的证书申请，CA系统可以为其签发证书。

●证书下载：用户可以通过下载凭证安全的下载证书。

●对一些申请成功但是没有下载的证书，RA系统可以重新生成下载凭证（授权码），使用新的下载凭证即可进行证书下载。

●证书发布：对于签发好的证书，系统进行自动发布。

●证书更新：系统提供证书更新功能。

●证书查询：用户可以通过查询条件查询出符合条件的证书信息。

●证书注销：用户可以对一些不再使用或是使用过程中出现问题的证书进行注销操作，注销后的证书不可恢复。

●证书冻结：用户可以对短期内不会使用的证书进行冻结操作，在冻结期间内证书被不可使用。

●证书解冻：提供证书解冻功能，使得证书可以重新使用。

●证书实体查询：用户可以通过查询条件可以查询出符合条件的证书。

●CRL服务功能：提供CRL产生、CRL发布、CRL查询功能。

●用户信息维护：系统提供按照自定义的格式产生用户信息，并可以对用户信息进行添加、删除、修改等维护方式。

●分权管理：提供系统管理、业务操作和安全审计三权分离功能。

●主题规则管理：支持主题规则定义，提升用户使用服务体验。

●模板定制：提供数字证书模板自定义功能，实现证书扩展域名称、扩展域值的自定义，满足不同发证需求。

●日志审计：审计管理包括查询业务日志和统计证书功能，并生成相应统计报表。

●批量申请和制证：支持批量证书申请和制证的功能，简化管理员操作。

5.1.3系统流程

(1)管理员使用管理员证书登录CA系统完成证书信息的录入和审核，完成证书签发；

(2)证书管理员为用户下载证书，如果证书介质采用USB KEY的话，证书将写入USB KEY；

(3)证书管理员将证书交付用户使用。

5.2身份认证网关

5.2.1系统架构

身份认证网关是基于PKI技术开发的硬件产品，主要满足用户对基于证书的高强度身份认证安全需求。面向多个应用系统，提供集中、统一的安全认证服务，形成统一的、高安全的身份验证中心。

身份认证网关采用代理技术，在业务系统安装Filter过滤插件完成用户的身份认证工作。插件负责拦截用户请求并将请求重定向到网关进行认证。认证成功后，用户直接访问应用系统。

5.2.2系统功能

●用户身份认证：全面支持数字证书强认证，支持多级CA证书链，支持多家证书认证。

●支持动态CRL更新，支持WEB站点下载、LDAP服务器下载及手工导入三种CRL更新模式。

●支持OCSP证书验证方式。

●单点登录：用户完成一次登录认证后，可以单点登录到其他授权系统。

●应用级访问控制：通过策略配置，授权用户允许访问的应用系统。控制策略包括DN规则、时间段规则、IP地址规则、用户名规则。

●应用认证策略配置： 根据用户认证等级策略控制用户对应用的访问权限，认证策略包括：口令认证、证书认证及口令+数字证书认证方式。

●证书DN规则控制：设置DN项规则策略，控制某个或某一群组证书用户对应用的访问，DN规则支持通配符。

●黑白名单：系统采用黑、白名单的形式设置策略来实现访问控制。

●状态监控：包括设备CPU、内存、硬盘的使用监控、网络流量统计、业务状态进行监控。

●日志审计：按照系统日志、业务日志两大类日志对用户、管理员使用系统过程进行完整审计，系统提供SYSLOG发送功能。

●分权管理：内设系统管理员、安全管理员、审计管理员实现对不同角色的分权管理。

●统一门户：提供用户登录应用系统入口，可实现应用是否对用户可见，提供登录界面定制功能。

●信息传递：将认证通过的认证结果、用户信息传送给后台的应用系统。

●备份恢复：系统支持备份恢复功能，可以快速恢复系统的正常工作。

●双机热备：通过网口连接心跳线监听设备的工作状态，当设备停止服务时，服务自动切换到备机继续提供服务。

●故障应急：当设备意外宕机，业务系统的插件将不会拦截用户请求，用户可以直接访问业务系统。

5.2.3系统流程

(1)用户访问应用系统；

(2)业务系统FILTER过滤插件判断用户是否已通过认证，如果没有则重定向到身份认证网关，并要求用户出示数字证书；

(3)身份认证网关验证用户证书有效性，并查询CRL判断用户是否已经被吊销；

(4)验证通过后，身份认证网关将验证结果及用户信息传递给应用系统，用户与应用系统之间直接进行通讯；

6网络拓扑设计

物理拓扑设计如上图所示，身份认证网关与应用系统部署在一个网段，CA认证系统可以专门部署在一个安全的网段。

7产品配置清单