CA认证安全解决方案(认证解决方案网关+签名服务器)

CA认证安全解决方案某某信息技术股份有限公司DATE\@"yyyy年MM月"\*MERGEFORMAT2021年05月CA认证安全解决方案PAGE1/NUMPAGES15目录TOC\o"1-4"\h\z\uHYPERLINK\l_Toc252381方案背景PAGEREF_Toc252382HYPERLINK\l_Toc33972需求分析PAGEREF_Toc33973HYPERLINK\l_Toc185973系统框架设计PAGEREF_Toc185974HYPERLINK\l_Toc31824系统逻辑设计PAGEREF_Toc31825HYPERLINK\l_Toc99235产品介绍PAGEREF_Toc99236HYPERLINK\l_Toc41995.1身份认证网关PAGEREF_Toc41996HYPERLINK\l_Toc113925.1.1系统架构PAGEREF_Toc113926HYPERLINK\l_Toc11115.1.2系统功能PAGEREF_Toc11117HYPERLINK\l_Toc48235.1.3系统流程PAGEREF_Toc48239HYPERLINK\l_Toc56275.2数字签名服务器PAGEREF_Toc56279HYPERLINK\l_Toc283105.2.1系统架构PAGEREF_Toc283109HYPERLINK\l_Toc135355.2.2系统功能PAGEREF_Toc1353510HYPERLINK\l_Toc202665.2.2.1数字签名服务器PAGEREF_Toc2026610HYPERLINK\l_Toc247095.2.2.2数字签名客户端PAGEREF_Toc2470912HYPERLINK\l_Toc216765.2.3系统流程PAGEREF_Toc2167613HYPERLINK\l_Toc257915.2.3.1数字签名流程PAGEREF_Toc2579113HYPERLINK\l_Toc326035.2.3.2签名验证流程PAGEREF_Toc3260313HYPERLINK\l_Toc239976网络拓扑设计PAGEREF_Toc2399714方案背景随着信息化建设的推进，信息化的水平也有了长足的提高，信息化已经成为政府、企业提高工作效率，降低运营成本、提升客户体验、增加客户粘度，提升自身形象的重要手段。信息化是架构在网络环境世界来展开，网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险，如何解决虚拟身份的真实有效，敏感信息在网络传输的安全保密且不被攻击者非法篡改，如何防止网络操作日后不被抵赖？同时，随着信息系统的不断增加，信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈。因此，安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋，上述问题逐渐给信息化建设管理者提出了新的挑战。此外，国家安全管理部门发布了《信息安全等级保护管理办法》，提出了“计算机信息系统实行安全等级保护”的要求，等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求，本方案提出一套基于数字证书的安全应用支撑解决方案，全面解决上述信息安全问题。需求分析目前，“用户名+口令”的认证方式普遍存在各个信息系统，基于用户名口令的认证方式是一种弱认证方式，由于其具有容易被猜测、字典攻击、非法拦截、责任认定无法到人等系列弱点，已经无法满足信息系统的安全需要，因此，需要提供一套基于数字证书的安全应用支撑平台，通过PKI密码技术实现强身份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项安全功能，同时，作为安全应用支撑平台，还应该面向众多的信息系统提供统一身份认证功能，实现SSO单点登录功能，满足应用级的授权管理需要。具体来说，安全需求如下：强身份认证：满足基于数字证书的安全登录需要，提供黑名单查询功能，只有持有合法证书的用户才能登录到信息系统。机密性、完整性：对信息进行加密、完整性处理，保证信息传输过程的机密性和完整性。抗抵赖：采用数字签名技术，对关键操作、关键业务数据产生数字签名满足业务抗抵赖需求。单点登录，多点漫游：用户只需使用数字证书完成一次统一认证，后续登录不需要再次认证则可进入其他信息系统。系统框架设计根据上述安全需求分析，方案总体框架如下图所示：在整体应用框架下身份认证网关和数字签名服务器组成应用支撑体系。身份认证网关为业务系统提供基于数字证书的强身份认证功能、面向多个应用提供统一的身份认证和应用级的授权控制功能。数字签名服务器满足关键业务操作和重要数据交互的身份可信、内容完整以及抗抵赖功能。系统逻辑设计系统逻辑设计如下图所示：用户登录业务系统，业务系统通过安装在系统上的FILTER过滤器来判断用户是否已经认证过，如果没有，则重定向用户登录网关登录页面；用户按照网关页面插入USBKEY，并输入PIN保护密码，然后提交认证请求到身份认证网关；身份认证网关判断证书的真实有效，并从目录服务中查询CRL证书黑名单，判断证书是否已经被吊销；如果证书验证全部通过，身份认证网关检查用户权限，然后显示用户可登录系统列表，根据授权策略为用户签发单点登录TOKEN，用户凭借TOKEN单点登录到各业务系统中。用户提交敏感操作/敏感数据，客户端签名软件将调用USBKEY接口对敏感操作/敏感数据产生数字签名；数字签名传入电子证照系统，电子证照系统调用签名中间件接口，将签名信息传入签名服务器完成数字签名验证，签名服务器返回验证结果；电子证照系统根据验证结果完成后续业务逻辑操作。数字签名服务器除了能够满足用户签名外，还可以提供系统间身份认证及交互数据的数字签名功能，满足系统间的强身份认证及数据完整有效，实现抗抵赖功能。具体逻辑设计如下：产品介绍身份认证网关系统架构身份认证网关是基于PKI技术开发的硬件产品，主要满足用户对基于证书的高强度身份认证安全需求。面向多个电子证照系统，提供集中、统一的安全认证服务，形成统一的、高安全的身份验证中心。身份认证网关采用代理技术，在业务系统安装Filter过滤插件完成用户的身份认证工作。插件负责拦截用户请求并将请求重定向到网关进行认证。认证成功后，用户直接访问电子证照系统。系统功能用户身份认证：全面支持数字证书强认证，支持多级CA证书链，支持多家证书认证。支持动态CRL更新，支持WEB站点下载、LDAP服务器下载及手工导入三种CRL更新模式。支持OCSP证书验证方式。单点登录：用户完成一次登录认证后，可以单点登录到其他授权系统。应用级访问控制：通过策略配置，授权用户允许访问的电子证照系统。控制策略包括DN规则、时间段规则、IP地址规则、用户名规则。应用认证策略配置：根据用户认证等级策略控制用户对应用的访问权限，认证策略包括：口令认证、证书认证及口令+数字证书认证方式。证书DN规则控制：设置DN项规则策略，控制某个或某一群组证书用户对应用的访问，DN规则支持通配符。黑白名单：系统采用黑、白名单的形式设置策略来实现访问控制。状态监控：包括设备CPU、内存、硬盘的使用监控、网络流量统计、业务状态进行监控。日志审计：按照系统日志、业务日志两大类日志对用户、管理员使用系统过程进行完整审计，系统提供SYSLOG发送功能。分权管理：内设系统管理员、安全管理员、审计管理员实现对不同角色的分权管理。统一门户：提供用户登录电子证照系统入口，可实现应用是否对用户可见，提供登录界面定制功能。信息传递：将认证通过的认证结果、用户信息传送给后台的电子证照系统。备份恢复：系统支持备份恢复功能，可以快速恢复系统的正常工作。双机热备：通过网口连接心跳线监听设备的工作状态，当设备停止服务时，服务自动切换到备机继续提供服务。故障应急：当设备意外宕机，业务系统的插件将不会拦截用户请求，用户可以直接访问业务系统。系统流程用户访问电子证照系统；业务系统FILTER过滤插件判断用户是否已通过认证，如果没有则重定向到身份认证网关，并要求用户出示数字证书；身份认证网关验证用户证书有效性，并查询LDAP目录服务判断用户是否已经被吊销；验证通过后，身份认证网关将验证结果及用户信息传递给电子证照系统，用户与电子证照系统之间直接进行通讯；数字签名服务器系统架构吉大正元数字签名服务器由数字签名服务器和数字签名客户端组成，均可独立提供数字签名、数字信封等服务。其中：服务器接口（V-STK）：应用数据通过V-STK传入签名服务器，处理后再经由V-STK传出供电子证照系统获取。V-STK提供Java接口、COM接口、C接口，方便用户电子证照系统的调用。数字签名客户端：独立运行的组件（V-CTK），将数据传入进行签名/验签处理，再把处理结果经由接口函数传出交给客户端程序。V-CTK支持标准CSP技术，支持标准软证书、硬证书，并提供ActiveX控件开发包、Jar包、DLL链接库等多种方式供用户选择。系统功能数字签名服务器数字签名支持对数据、文件制作数字签名，签名结构符合PKCS#7标准；支持验证符合PKCS#7标准的签名结果。数字签名服务器支持对数据制作数字签名，签名结构符合PKCS#1标准；支持通过证书导入、证书配置方式验证符合PKCS#1标准的签名结果。身份验证：使用证书进行数字签名，接收者可验证签名，而其他任何人都不能伪造签名。事后验证：使用证书进行完整数字签名，签名结果中包含签名时的全部证书状态信息，接收者可在生成后的任意时间验证，而其他任何人都不能伪造。数据完整性：对重要数据、文件制作数字签名，如果验证签名失败，说明数据的完整性遭到破坏。行为抗抵赖：对操作行为（数据形式）制作数字签名，签名者事后不能否认自己的签名。数字信封数字签名服务器支持对数据、文件制作数字信封，信封结构符合PKCS#7标准；支持解密符合PKCS#7标准的信封结果。对重要数据、文件制作数字信封，通过双层加密技术来保障数据的私密性。证书验证支持对签名、加密证书进行全面验证；根据配置不同CA签发的根证书，验证证书的信任域；根据系统时间，验证证书的有效期；根据CRL或OCSP验证证书状态。证书状态验证方式包括，标准OCSP验证证书，连接LDAP服务器更新CRL验证，连接WEB服务器更新CRL验证。交叉验证数字签名、数字信封，结构严格遵循PKCS#7标准，可供其他CA机构验证。支持配置多信任CA签发的根证书，可验证不同CA机构签发的符合PKCS#7标准的签名、信封结果。双机热备数字签名服务器内置双机热备系统；当备机发现工作机停止工作，切换到备机提供服务，当主机恢复正常后，备机自动切回到主机。配置管理数字签名服务器支持串口管理、WEB管理两种方式。数字签名客户端数字签名：支持对数据、文件制作数字签名，签名结构符合PKCS#7标准；支持验证符合PKCS#7标准的签名结果。数字信封：支持对数据、文件制作数字信封，信封结构符合PKCS#7标准；支持解密符合PKCS#7标准的信封结果。证书扩展：支持获取证书标准信息及其扩展信息，供电子证照系统使用。系统流程数字签名流程电子证照系统通过V-STK将签名请求数据发送到签名服务器；签名服务器接收请求报文并解析；整理并收集原始数据、签名证书、算法等必要信息；调用内部签名模块对原始数据签名；获得签名结果；将签名结果转换为应答报文发回V-STK；V-STK解析应答报文，返回签名结果，数字签名完成。签名验证流程电子证照系统通过V-STK将验签请求数据发送到签名服务器；签名服务器接收请求报文并解析；整理并收集原始数据、签名证书、算法等必要信息；调用内部签名验证模块对签名结果进行验证；获得验签结果；将验签结果转换为应答报文发回V-STK；V-STK解析应答报文，返回验签结果，签名验证完成。网络拓扑设计物理拓扑设计如上图所示，身份认证网关及签名服务器与电子证照系统部署在一个网段，CA认证系统可以专门部署在一个安全独立的网段。