身份認(rèn)證系統(tǒng)技術(shù)方案
******身份認(rèn)證系統(tǒng) 技術(shù)方案 目 錄 1. 概述 3 1.1 前言 3 1.2 身份認(rèn)證系統(tǒng)用戶認(rèn)證需求描述 3 1.3 身份認(rèn)證系統(tǒng)認(rèn)證解決之道 5 1.3.1 身份認(rèn)證系統(tǒng)的模式 5 1.3.2 建立身份認(rèn)證系統(tǒng) 6 1.3.3 證書(shū)在身份認(rèn)證系統(tǒng)上的安全應(yīng)用 6 2. 詳細(xì)設(shè)計(jì)方案 8 2.1　身份認(rèn)證系統(tǒng) 8 2.2 產(chǎn)品設(shè)計(jì)原則 8 2.2.1認(rèn)證系統(tǒng)的設(shè)計(jì)原則 8 2.2.2 網(wǎng)絡(luò)環(huán)境設(shè)計(jì)原則 9 2.3 功能模塊架構(gòu) 10 2.4 身份認(rèn)證系統(tǒng)功能簡(jiǎn)介 12 2.5 身份認(rèn)證系統(tǒng)安全性分析 13 2.5.1本系統(tǒng)安全性保護(hù)的必要性 14 2.5.2安全性要求 14 2.5.3安全性設(shè)計(jì)原則 15 2.5.4安全性設(shè)計(jì)方案 15 2.6 身份認(rèn)證系統(tǒng)應(yīng)用開(kāi)發(fā)接口 17 2.6.1身份認(rèn)證系統(tǒng)接口函數(shù) 17 2.6.2 API與身份認(rèn)證系統(tǒng)結(jié)合開(kāi)發(fā)應(yīng)用系統(tǒng) 17 2.7 身份認(rèn)證系統(tǒng)使用案例 18 3. 系統(tǒng)配置 21 3.1 設(shè)備配置 21 1. 概述 1.1 前言 隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，個(gè)人和企業(yè)將越來(lái)越多地把業(yè)務(wù)活動(dòng)放到網(wǎng)絡(luò)上，因此 網(wǎng)絡(luò)的安全問(wèn)題就更加關(guān)鍵和重要。據(jù)統(tǒng)計(jì)，在全球范圍內(nèi)，由于信息系統(tǒng)的脆弱性而 導(dǎo)致的經(jīng)濟(jì)損失，每年達(dá)數(shù)十億美元，并且呈逐年上升的趨勢(shì)。 利用數(shù)字證書(shū)、PKI、對(duì)稱加密算法、數(shù)字簽名、數(shù)字信封等加密技術(shù)，可以建立起 安全程度極高的身份認(rèn)證系統(tǒng)，確保網(wǎng)上信息有效、安全地進(jìn)行，從而使信息除發(fā)送方 和接收方外，不被其他方知悉（保密性）；保證傳輸過(guò)程中不被篡改（完整性和一致性 ）；發(fā)送方確信接收方不是假冒的（身份的真實(shí)性和不可偽裝性）；發(fā)送方不能否認(rèn)自 己的發(fā)送行為（不可抵賴性）。 本方案根據(jù)*****的業(yè)務(wù)流程、管理模式的實(shí)施方案，充分運(yùn)用現(xiàn)代網(wǎng)絡(luò)信息技術(shù)及 CA認(rèn)證體系，建立*****身份認(rèn)證系統(tǒng)，并可作為公務(wù)網(wǎng)CA的配套系統(tǒng)。 1.2 身份認(rèn)證系統(tǒng)用戶認(rèn)證需求描述 在***********業(yè)務(wù)發(fā)展過(guò)程中，為了更好的實(shí)現(xiàn)數(shù)據(jù)資源共享，充分發(fā)揮信息化對(duì) *********系統(tǒng)發(fā)展的促進(jìn)作用，************將綜合開(kāi)發(fā)一套身份認(rèn)證系統(tǒng)對(duì)目前的用 戶身份進(jìn)行管理，為社會(huì)、相關(guān)職能部門(mén)以及各級(jí)機(jī)構(gòu)提供服務(wù)。 在此系統(tǒng)的開(kāi)發(fā)應(yīng)用過(guò)程中，一個(gè)重要的任務(wù)是解決如何對(duì)應(yīng)用系統(tǒng)用戶進(jìn)行身份 認(rèn)證從而確保數(shù)據(jù)的安全。下面將針對(duì)在此系統(tǒng)的開(kāi)發(fā)應(yīng)用中對(duì)用戶身份認(rèn)證所做的需 求加以說(shuō)明。 整個(gè)系統(tǒng)的邏輯結(jié)構(gòu)如圖1所示： [pic] 圖1：系統(tǒng)邏輯結(jié)構(gòu)示意圖 如圖1示，整個(gè)系統(tǒng)涉及了應(yīng)用服務(wù)器、證書(shū)服務(wù)器以及相應(yīng)的客戶端。系統(tǒng)運(yùn)作流 程簡(jiǎn)述如下： o 客戶端訪問(wèn)應(yīng)用服務(wù)器，應(yīng)用服務(wù)器向認(rèn)證服務(wù)器發(fā)出認(rèn)證請(qǐng)求； o 認(rèn)證服務(wù)器完成對(duì)用戶身份的認(rèn)證并將與該用戶相對(duì)應(yīng)的認(rèn)證信息返回相應(yīng)的應(yīng) 用服務(wù)器； o 用戶在通過(guò)認(rèn)證之后獲得在應(yīng)用服務(wù)器獲得相應(yīng)的授權(quán)，從而可以對(duì)應(yīng)用系統(tǒng)進(jìn) 行相應(yīng)的訪問(wèn)。 所提交的認(rèn)證系統(tǒng)在滿足上述流程之外需要提供應(yīng)用開(kāi)發(fā)接口，滿足與應(yīng)用服務(wù)器 之間的交互。這是將認(rèn)證系統(tǒng)集成到整個(gè)身份認(rèn)證系統(tǒng)的基礎(chǔ)條件，使得后續(xù)的開(kāi)發(fā)工 作能夠利用認(rèn)證信息做進(jìn)一步的數(shù)據(jù)處理?？紤]到平臺(tái)的兼容性，應(yīng)用系統(tǒng)開(kāi)發(fā)方可以 開(kāi)發(fā)一個(gè)統(tǒng)一的接口程序與認(rèn)證系統(tǒng)進(jìn)行交互。另外還有如下幾點(diǎn)要求需注意： o 認(rèn)證服務(wù)器的用戶信息需要依據(jù)數(shù)據(jù)庫(kù)服務(wù)器中的用戶信息為基礎(chǔ)； o 對(duì)于客戶端的身份認(rèn)證最好采用硬件方式； o 客戶端通過(guò)廣域網(wǎng)連接到認(rèn)證服務(wù)器，要求認(rèn)證服務(wù)器是能夠面向廣域網(wǎng)用戶的 ； o 客戶端數(shù)量可以按250用戶計(jì)算； o 提供認(rèn)證系統(tǒng)的安全模式說(shuō)明，詳細(xì)介紹如何確保系統(tǒng)的安全； o 系統(tǒng)對(duì)認(rèn)證系統(tǒng)的操作系統(tǒng)平臺(tái)無(wú)特殊要求。 1.3 身份認(rèn)證系統(tǒng)認(rèn)證解決之道 根據(jù)身份認(rèn)證系統(tǒng)的設(shè)計(jì)原則，系統(tǒng)安全需要解決如下幾個(gè)方面的問(wèn)題： o 數(shù)據(jù)的保密性。包括數(shù)據(jù)靜態(tài)存儲(chǔ)的保密性和數(shù)據(jù)傳輸過(guò)程中的保密性； o 有效的身份認(rèn)證和權(quán)限控制。系統(tǒng)中的各個(gè)授權(quán)人員具有其特定級(jí)別的權(quán)限，可 以進(jìn)行該權(quán)限的操作，無(wú)法越權(quán)操作；操作者事后無(wú)法否認(rèn)其進(jìn)行的操作；未 授權(quán)人員無(wú)法進(jìn)入系統(tǒng)。 我們建議利用業(yè)界行之有效的高強(qiáng)度的加解密技術(shù)和身份認(rèn)證技術(shù)保證身份認(rèn)證系 統(tǒng)的安全，上海CA中心的數(shù)字身份認(rèn)證系統(tǒng)可以為用戶提供解決辦法。身份認(rèn)證系統(tǒng)主 要負(fù)責(zé)證書(shū)管理，保證系統(tǒng)安全不間斷地提供證書(shū)的申請(qǐng)和作廢，提供用戶信息和證書(shū) 的備份和歸檔，保證系統(tǒng)數(shù)據(jù)的完整性。 如何解決身份認(rèn)證系統(tǒng)的安全性是我們關(guān)心的最大問(wèn)題，結(jié)合身份認(rèn)證系統(tǒng)，我們 設(shè)計(jì)如下的應(yīng)用模式： 1.3.1 身份認(rèn)證系統(tǒng)的模式 首先我們來(lái)看一下身份認(rèn)證系統(tǒng)的模式： o 中心向操作員發(fā)放數(shù)字證書(shū)； o 用戶使用數(shù)字證書(shū)登陸，經(jīng)身份驗(yàn)證后，進(jìn)入身份認(rèn)證系統(tǒng)，填寫(xiě)或修改表單并 提交； o 系統(tǒng)對(duì)表單進(jìn)行處理，然后提交、登記身份認(rèn)證系統(tǒng)。 1.3.2 建立身份認(rèn)證系統(tǒng) 身份認(rèn)證系統(tǒng)以及與其發(fā)生業(yè)務(wù)的部門(mén)通過(guò)網(wǎng)絡(luò)和數(shù)字證書(shū)建立安全可靠的身份認(rèn) 證系統(tǒng)。 身份認(rèn)證系統(tǒng)以及客戶和部門(mén)申請(qǐng)數(shù)字證書(shū)，其申請(qǐng)數(shù)字證書(shū)的方式詳見(jiàn)以下章節(jié) 的多種可選方案。 身份認(rèn)證系統(tǒng)以及客戶和部門(mén)申請(qǐng)到了標(biāo)識(shí)其身份的數(shù)字證書(shū)文件和對(duì)應(yīng)的私鑰文 件。在此將證書(shū)信息文件稱為UserCert.der，私鑰信息文件稱為UserKey.key。證書(shū)的存 儲(chǔ)介質(zhì)是帶有算法的USBKEY。 在我們的身份認(rèn)證系統(tǒng)提供支持多種平臺(tái)的證書(shū)應(yīng)用接口API（Application Programming Interface），WINDOWS平臺(tái)以DLL的形式提供，各種UNIX平臺(tái)以“.a”庫(kù)的形式提供。利用 該API，應(yīng)用系統(tǒng)可以很方便的將數(shù)字證書(shū)應(yīng)用嵌入到業(yè)務(wù)系統(tǒng)之中。 上海CA中心同時(shí)在客戶端提供ActiveX控件和JavaApplet開(kāi)發(fā)接口應(yīng)用服務(wù)器端同時(shí) 提供動(dòng)態(tài)連接庫(kù)，COM組件和JavaBean開(kāi)發(fā)接口。 1.3.3 證書(shū)在身份認(rèn)證系統(tǒng)上的安全應(yīng)用 以下假設(shè)向身份認(rèn)證系統(tǒng)發(fā)訂單，利用數(shù)字證書(shū)的一次數(shù)據(jù)流程。身份認(rèn)證系統(tǒng)的 服務(wù)器和操作員計(jì)算機(jī)各自申請(qǐng)一張標(biāo)識(shí)其身份的數(shù)字證書(shū)，即具有其對(duì)應(yīng)的證書(shū)文件 ，私鑰文件。這樣，通過(guò)自己計(jì)算機(jī)上的IE瀏覽器可以安全的訪問(wèn)身份認(rèn)證系統(tǒng)。 根據(jù)以上數(shù)據(jù)傳輸過(guò)程，可以完全保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?、身份認(rèn)證和不 可抵賴性。同理諸多運(yùn)行在身份認(rèn)證系統(tǒng)上的信息流都可以通過(guò)加密技術(shù)、數(shù)字簽名技 術(shù)以身份認(rèn)證形式、安全電子郵件形式或文檔形式進(jìn)行安全。 2. 詳細(xì)設(shè)計(jì)方案 2.1　身份認(rèn)證系統(tǒng) 身份認(rèn)證系統(tǒng)是在實(shí)際運(yùn)作過(guò)程中，根據(jù)用戶需求開(kāi)發(fā)的一套內(nèi)網(wǎng)數(shù)字身份認(rèn)證解決 方案套件。該系統(tǒng)可以作為公務(wù)網(wǎng)身份認(rèn)證系統(tǒng)的配套產(chǎn)品適用于接入公務(wù)網(wǎng)的各委、 辦、局、區(qū)縣的內(nèi)網(wǎng)應(yīng)用系統(tǒng)中。該系統(tǒng)將主要針對(duì)內(nèi)網(wǎng)的應(yīng)用系統(tǒng)，同時(shí)結(jié)合公務(wù)網(wǎng) 身份認(rèn)證系統(tǒng)的特點(diǎn)和需求，向辦公內(nèi)網(wǎng)提供本地證書(shū)庫(kù)、本地證書(shū)管理、本地證書(shū)目 錄、本地證書(shū)管理、CRL查詢等服務(wù)。 該套系統(tǒng)的API提供了與身份認(rèn)證系統(tǒng)配合使用的WEB安全套件，為WEB應(yīng)用提供全方 位的身份認(rèn)證服務(wù)。包括UniTrust登錄、UniTrust退出、對(duì)表單進(jìn)行簽名、對(duì)表單進(jìn)行 驗(yàn)證、對(duì)數(shù)據(jù)進(jìn)行加密、解密、對(duì)信息進(jìn)行時(shí)間標(biāo)記和時(shí)間驗(yàn)證、以及身份信息控制。 可以滿足5 分鐘內(nèi)500個(gè)并發(fā)用戶的驗(yàn)證要求。 2.2 產(chǎn)品設(shè)計(jì)原則 2.2.1認(rèn)證系統(tǒng)的設(shè)計(jì)原則 身份認(rèn)證系統(tǒng)在設(shè)計(jì)時(shí)，從系統(tǒng)建設(shè)的近期和長(zhǎng)遠(yuǎn)目標(biāo)來(lái)綜合考慮在設(shè)計(jì)中遵循了規(guī) 范性、安全可靠性、實(shí)用性、擴(kuò)展性、經(jīng)濟(jì)性、易用性和業(yè)務(wù)獨(dú)立性等原則。并在以上 原則中著重考慮了： 安全性 安全性是認(rèn)證系統(tǒng)最為關(guān)注的問(wèn)題，也是認(rèn)證系統(tǒng)設(shè)計(jì)及建設(shè)中的關(guān)鍵，它包括Bro wser與Server間信息傳遞的安全控制，訪問(wèn)系統(tǒng)的安全控制，系統(tǒng)數(shù)據(jù)的可追溯性。認(rèn) 證系統(tǒng)有完整的安全策略控制體系以實(shí)現(xiàn)安全控制。其關(guān)鍵技術(shù)包括網(wǎng)頁(yè)簽名技術(shù)，身 份認(rèn)證及信息加密技術(shù)，可保證系統(tǒng)間信息傳遞的安全，訪問(wèn)系統(tǒng)的安全控制。 規(guī)范性 標(biāo)準(zhǔn)和規(guī)范是認(rèn)證系統(tǒng)設(shè)計(jì)中的重要內(nèi)容，這里所說(shuō)的規(guī)范性，是指認(rèn)證系統(tǒng)設(shè)計(jì)及建 立過(guò)程的規(guī)范性。目前有關(guān)認(rèn)證系統(tǒng)的實(shí)際應(yīng)用有著多種相關(guān)的規(guī)范，如X.509，PKCS1 0，PKCS7，PKCS12等。不同的用戶及系統(tǒng)在使用認(rèn)證系統(tǒng)及證書(shū)時(shí)往往都按照相關(guān)的規(guī) 范調(diào)用。同時(shí)良好的規(guī)范也保證了身份認(rèn)證系統(tǒng)協(xié)調(diào)工作時(shí)的方便性和準(zhǔn)確性。 可擴(kuò)展性 認(rèn)證系統(tǒng)方案設(shè)計(jì)中，每個(gè)層次的設(shè)計(jì)采用模塊化設(shè)計(jì)，可根據(jù)用戶的不同需要發(fā)展 進(jìn)行靈活擴(kuò)展。如，在數(shù)字證書(shū)中加入自定義擴(kuò)展項(xiàng)，從而使政府用戶可在證書(shū)中加入 相應(yīng)的工作證號(hào)等信息。 特別是證書(shū)系統(tǒng)采用了B/S中的多層設(shè)計(jì)思想，使得系統(tǒng)可實(shí)現(xiàn)對(duì)于不同用戶的定制 服務(wù)，可以方便地實(shí)行對(duì)應(yīng)用的控制與更新。 易管理性 系統(tǒng)的易管理性是證書(shū)認(rèn)證系統(tǒng)的一個(gè)重要特點(diǎn)，系統(tǒng)對(duì)應(yīng)提供多套管理系統(tǒng)，可對(duì) 系統(tǒng)各個(gè)層次進(jìn)行管理。并可對(duì)一些經(jīng)常性的統(tǒng)計(jì)工作提供基于Web的管理。 2.2.2 網(wǎng)絡(luò)環(huán)境設(shè)計(jì)原則 我們?cè)谧鳟a(chǎn)品系統(tǒng)實(shí)施方案時(shí)充分考慮了網(wǎng)絡(luò)的高性能、可靠性，可擴(kuò)充性，以便支 持以后網(wǎng)絡(luò)分階段升級(jí)的需要，保護(hù)原有投資。為此，遵循了以下原則： 先進(jìn)性和實(shí)用性 盡可能采用國(guó)際上先進(jìn)的技術(shù)和設(shè)備，使產(chǎn)品系統(tǒng)具有良好的性能，不僅能滿足當(dāng)前 認(rèn)證系統(tǒng)的需要，還要滿足未來(lái)3至5年的需要。對(duì)一些目前不重要的部分，則以經(jīng)濟(jì)實(shí) 用為主，但要為以后的擴(kuò)充打下基礎(chǔ)。 高可靠性 采用成熟的先進(jìn)技術(shù)，關(guān)鍵部件和線路有足夠備份，有必要的冗余容錯(cuò)能力，如出了 故障，要能及時(shí)指出故障點(diǎn)及故障原因。 較強(qiáng)的擴(kuò)充性能 產(chǎn)品提供了很多于應(yīng)用相連結(jié)的標(biāo)準(zhǔn)函數(shù)借口，能與將來(lái)的先進(jìn)技術(shù)相結(jié)合，保護(hù)現(xiàn) 有投資，保證系統(tǒng)能隨時(shí)加入新的功能模塊，保證有關(guān)軟件能順利升級(jí)和擴(kuò)充。 良好的安全保密措施 由于此產(chǎn)品是一套獨(dú)立的身份認(rèn)證系統(tǒng)，為了確保系統(tǒng)的安全保密措施和系統(tǒng)的大范 圍適用性，我們提供了軟硬件一體機(jī)，通過(guò)訪問(wèn)控制、及為用戶設(shè)置權(quán)限等措施，防止 非法侵入。 2.3 功能模塊架構(gòu) 身份認(rèn)證系統(tǒng)特性 身份認(rèn)證系統(tǒng)支持平臺(tái) 身份認(rèn)證系統(tǒng)充分發(fā)揮硬件的特性，便于管理和維護(hù)。減少人為干預(yù)。 兼容的應(yīng)用軟件和操作系統(tǒng) 身份認(rèn)證系統(tǒng)可與以下軟件協(xié)同工作 客戶端應(yīng)用程序： Netscape Navigator Netscape Communication Microsoft Internet Exploer UniTrust SafeEngine, UniTrust 證書(shū)管理器 各種WEB服務(wù)器： MicroSoft IIS WebServer Netscape Enterprise Apache Java WebServer Domino 統(tǒng)一的管理界面 身份認(rèn)證系統(tǒng)的操作管理都基于WEB頁(yè)面，有效降低維護(hù)的成本。 支持各種介質(zhì) 身份認(rèn)證系統(tǒng)支持用戶證書(shū)存放在軟盤(pán)、IC卡、USB棒以及服務(wù)器。 嚴(yán)格的權(quán)限控制 身份認(rèn)證系統(tǒng)分為系統(tǒng)管理員、系統(tǒng)操作員、系統(tǒng)用戶和匿名用戶四個(gè)級(jí)別用戶。系 統(tǒng)管理員對(duì)系統(tǒng)的運(yùn)行負(fù)責(zé)，但不能接觸任何用戶數(shù)據(jù)，同時(shí)必須超過(guò)半數(shù)的系統(tǒng)管理 員到場(chǎng)時(shí)才能進(jìn)入系統(tǒng)管理模式。操作員僅能對(duì)用戶進(jìn)行操作，不能影響系統(tǒng)的運(yùn)行。 用戶僅能對(duì)自己的數(shù)據(jù)進(jìn)行操作，不能修改他人數(shù)據(jù)。匿名用戶提供公用的服務(wù)，如下 載他人證書(shū)、根證書(shū)、下載黑名單等。所有的認(rèn)證方式均采用數(shù)字認(rèn)證方式進(jìn)行，確保 系統(tǒng)安全。 私鑰保護(hù) 身份認(rèn)證系統(tǒng)對(duì)私鑰進(jìn)行嚴(yán)格的保護(hù)，對(duì)所有存放在身份認(rèn)證系統(tǒng)上的私鑰，采用多 重加密方式，同時(shí)身份認(rèn)證系統(tǒng)采用硬件機(jī)，無(wú)人可以直接獲得身份認(rèn)證系統(tǒng)上的數(shù)據(jù) 。 日志 身份認(rèn)證系統(tǒng)提供詳盡的日志功能。包括系統(tǒng)日志和用戶日志。系統(tǒng)日志主要提供所 有系統(tǒng)管理員、系統(tǒng)操作員、用戶對(duì)系統(tǒng)信息、或證書(shū)信息的操作。系統(tǒng)管理員可以通 過(guò)日志查詢獲得系統(tǒng)的狀態(tài)。 歷史信息查詢 身份認(rèn)證系統(tǒng)提供國(guó)內(nèi)首創(chuàng)（專利號(hào)）的技術(shù)，用戶歷史信息查詢。歷史信息包括用 戶的證書(shū)申請(qǐng)歷史和證書(shū)使用信息。證書(shū)申請(qǐng)信息包括用戶申請(qǐng)證書(shū)的記錄申請(qǐng)時(shí)間、 批準(zhǔn)或駁回、更新時(shí)間、作廢時(shí)間、上一張證書(shū)、下一張證書(shū)等。用戶證書(shū)使用信息查 詢包括證書(shū)被驗(yàn)證記錄，提供驗(yàn)證者信息和時(shí)間。供用戶本人查證自己證書(shū)使用紀(jì)錄， 是否有他人試圖使用自己的證書(shū)。下一版本中，將提供用戶告警機(jī)制，用戶可以設(shè)定自 己的檢查條件，系統(tǒng)核查滿足條件后，就發(fā)送告警信息給用戶。以盡快解決安全隱患。 政策編輯 身份認(rèn)證系統(tǒng)提供自行編輯證書(shū)政策的功能，可以讓運(yùn)行商自行修改證書(shū)策略。 數(shù)據(jù)備份 身份認(rèn)證系統(tǒng)提供根證書(shū)的導(dǎo)入導(dǎo)出功能，也支持所有的數(shù)據(jù)備份和恢復(fù)功能。為數(shù) 據(jù)安全提供保障。 產(chǎn)品升級(jí) 對(duì)不斷提高的技術(shù)和新的需求，身份認(rèn)證系統(tǒng)努力提升產(chǎn)品性能和功能。身份認(rèn)證系 統(tǒng)只需要系統(tǒng)管理員將系統(tǒng)進(jìn)入維護(hù)模式，運(yùn)行與該系統(tǒng)配套提供的軟件升級(jí)包，就可 以對(duì)產(chǎn)品進(jìn)行升級(jí)。 2.4 身份認(rèn)證系統(tǒng)功能簡(jiǎn)介 系統(tǒng)初始化 執(zhí)行系統(tǒng)初始化功能，包括刪除所有數(shù)據(jù)，缺省系統(tǒng)管理員、系統(tǒng)操作員的生成。根 證書(shū)的生成或指定。系統(tǒng)IP地址更改。 系統(tǒng)管理 執(zhí)行系統(tǒng)管理功能，包括系統(tǒng)管理員管理、操作員管理、根證書(shū)管理、系統(tǒng)服務(wù)管...
身份認(rèn)證系統(tǒng)技術(shù)方案