CA认证解决方案-CA Server 网关汇总

合集下载

CA认证介绍

CA认证介绍为促进电子商务在中国的顺利开展，一些行业都已建成了自己的一套CA体系，如中国电信CA安全认证体系（CTCA）、中国金融认证中心（CFCA）等；还有一些行政区也建立了或正在建立区域性的CA体系，如上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）、海南省电子商务认证中心（CNCA）、云南省电子商务认证中心（CNCA）等。

1. 中国电信CA安全认证系统（CTCA）中国电信自1997年底，开始在长沙进行电子商务试点工作，由长沙电信局负责组织。

CTCA是国内最早的CA中心。

1999年8月3日，中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定，并获得国家信息产品安全认证中心颁发的认证证书，成为首家允许在公网上运营的CA安全认证系统。

目前，中国电信可以在全国范围内向用户提供CA证书服务。

现在中国电信已经为用户发放了6万多张CTCA证书。

中国电信CTCA系统有一套完善的证书发放体系和管理制度。

体系采用三级管理结构：全国CA安全认证中心，（包括全国CTCA中心、CTCA湖南备份中心），省级RA中心以及地市业务受理点，在2000年6月形成覆盖全国的CA证书申请、发放、管理的完整体系。

系统为参与电子商务的不同用户提供个人证书、企业证书和服务器证书。

同时，中国电信还组织制定了《中国电信电子商务总体技术规范》、《中国电信CTCA接口标准》、《网上支付系统的接口标准》、《中国电信电子商务业务管理办法》等，而且中国电信向社会免费公布CTCA系统接口标准和API软件包，为更多的电子商务应用开发商提供CTCA系统的支持与服务。

中国电信已经与银行、证券、民航、工商、税务等多个行业联合开发出了网上安全支付系统、电子缴费系统、电子银行系统、电子证券系统、安全电子邮件系统、电子订票系统、网上购物系统、网上报税等一系列基于中国电信CTCA安全认证系统的电子商务应用，已经初步建立起中国电信电子商务平台。

CA认证解决方案-CAServer网关

CA认证安‎全解决方案‎吉大正元信‎息技术股份‎有限公司目录1方案背景 ....................................................................................... 错误！未定义书签。

2需求分析 ....................................................................................... 错误！未定义书签。

3系统框架设‎计 .............................................................................. 错误！未定义书签。

4系统逻辑设‎计 .............................................................................. 错误！未定义书签。

5产品介绍....................................................................................... 错误！未定义书签。

5.1CA认证系‎统.........................................................................错误！未定义书签。

5.1.1系统构架 .........................................................................错误！未定义书签。

5.1.2系统功能 .........................................................................错误！未定义书签。

5.1.3系统流程 .........................................................................错误！未定义书签。

数据中心信息安全解决方案

数据中心解决方案（安全)目录第一章信息安全保障系统 (2)1.1 系统概述 (2)1。

2 安全标准 (2)1。

3 系统架构 (2)1.4 系统详细设计 (3)1.4.1 计算环境安全 (3)1。

4.2 区域边界安全 (5)1。

4。

3 通信网络安全 (6)1.4。

4 管理中心安全 (7)1。

5 安全设备及系统 (9)1.5。

1 VPN加密系统 (10)1。

5.2 入侵防御系统 (10)1。

5.3 防火墙系统 (11)1。

5.4 安全审计系统 (12)1。

5.5 漏洞扫描系统 (13)1.5.6 网络防病毒系统 (15)1.5.7 PKI/CA身份认证平台 (16)1.5。

8 接入认证系统 (18)1。

5。

9 安全管理平台 (19)第一章信息安全保障系统1.1 系统概述信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。

它以网络基础设施为依托，为实现各信息系统间的互联互通，整合各种资源，提供信息安全上的有力支撑.系统的体系架构如图所示：图1.信息安全保障系统体系架构图信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度，它涵盖系统的许多方面，一个安全可靠的系统需要多方面因素共同作用。

1.2 安全标准在数据中心建设中，信息系统安全依据《信息系统等级保护安全设计技术要求》(GB/T 24856—2009）二级防护要求进行设计。

该标准依据国家信息安全等级保护的要求，规范了信息系统等级保护安全设计技术要求,标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据.信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。

已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准，为信息安全等级保护工作的开展提供了法律、政策、标准依据。

CA服务器的创建和CA客户端认证过程【范本模板】

CA服务器的创建和CA客户端认证过程实验内容:创建一台CA服务器,和一台IIS服务器,通过IIS服务器搭建网站，连接DNS服务器获取CA安全服务，验证CA客户端安全认证过程；实验思路：准备实验所需的两台虚拟机A、B，在虚拟机A中安装CA服务,同时也要安装IIS服务，用来支持CA服务，在虚拟机B中安装IIS服务和DNS服务，用作CA客户端，然后在虚拟机B中搭建网站，对CA服务器请求CA服务，验证实验全过程；实验步骤：1.准备实验所需的两台虚拟机“CA 192.168.4。

186”、“DNS+IIS 192。

168。

4。

187”；2.在虚拟机“CA”中安装CA服务，注意同时也要安装IIS服务，因为CA的注册页面必须由IIS支持，注意IIS可以先安装，或同时安装,但不能在CA后安装；注意在选择CA服务的时候，会出现如下页面,这里我们应选“是”后继续安装3.由上步选择“是"后,安装继续;4。

在上一步中点击“下一步"后，进入选择CA类型，这里我们选择“独立根”;5。

设置CA的识别信息；6。

证书数据库设置；7。

启用ASP,注意这里一定要选择“是”,启用ASP功能，否则会导致实验失败；8。

安装完成；9。

在控制台中添加CA管理；注意我们要添加的是“证书颁发机构"，不要和“证书"、“证书模块”弄混淆；10。

选择管理CA的计算机，这里我们就选择“本地计算机”进行操作；11。

添加成功；12。

启动虚拟机“DNS+IIS"；13.在虚拟机“DNS+IIS"中安装DNS和IIS服务；14。

安装完成；15。

运行控制台添加DNS和IIS管理单元;16.添加成功；17.搭建DNS控制台；18.搭建IIS网站；新建网站文件搭建IIS网站搭建成功19.进入“web”属性,安装web安全通信服务证书；进入web安装向导由于是第一次安装，所以我们选择“新建证书”证书名称和安全性设置申请证书单位名设置站点公用名设置,这里一般是所操作的计算机名申请证书客户的地理信息证书保存的位置和文件名安装完成20。

统一身份认证设计方案(版)

统一身份认证设计方案日期：2016年2月目录1.1 系统总体设计 (5)1.1.1 总体设计思想51.1.2 平台总体介绍61.1.3 平台总体逻辑结构71.1.4 平台总体部署8 1.2 平台功能说明 (8)1.3 集中用户管理 (9)1.3.1 管理服务对象101.3.2 用户身份信息设计111.3.2.1 用户类型111.3.2.2 身份信息模型111.3.2.3 身份信息的存储121.3.3 用户生命周期管理121.3.4 用户身份信息的维护13 1.4 集中证书管理 (14)1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16)1.5.1 集中授权应用背景161.5.2 集中授权管理对象171.5.3 集中授权的工作原理181.5.4 集中授权模式191.5.5 细粒度授权191.5.6 角色的继承20 1.6 集中认证管理 (21)1.6.1 集中认证管理特点221.6.2 身份认证方式221.6.2.1 用户名/口令认证231.6.2.2 数字证书认证231.6.2.3 Windows域认证241.6.2.4 通行码认证241.6.2.5 认证方式与安全等级241.6.3 身份认证相关协议251.6.3.1 SSL协议251.6.3.2 Windows 域251.6.3.3 SAML协议261.6.4 集中认证系统主要功能281.6.5 单点登录291.6.5.1 单点登录技术291.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)为了加强对业务系统和办公系统的安全管控，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。

1.1.1 总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案：在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。

信息安全认证与数据安全管控平台技术方案

(2)账号配置管理系统
账号配置管理系统以管理用户账号的生命周期为核心，并将所发生的管理操作行为最终传播到目录服务和应用系统为结果。账号配置管理系统帮助IT系统维持了一个及时准确的核心用户身份和帐号数据源，这个帐号数据源服务于认证和授权服务平台，最终供应用系统所使用。
而用户管理的生命周期可以通过业务系统发起，也可以由用户通过自服务发起，在经历一些人工或自动化的帐号配置供应和管控工作流程后，最终这些用户的帐号得以创建。而发起这些应用帐号创建的应用系统我们通常称为身份供应的上游系统，这些上游用户帐号的供应者发起了帐号的创建、禁用和销毁等操作，决定了用户帐号的状态。在用户生命周期中还涉及到使用这些用户帐号的应用系统，它们不决定这些帐号的状态，但需要使用这些帐号，甚至需要将这些帐号同步到应用系统的内部，我们把消费使用用户帐号数据的应用系统成为下游应用系统。
能够跟踪用户的登录过程，并使用安全认证策略来提高登录的安全性，如定义允许登录尝试失败的次数，若超过尝试次数，用户即被锁死。
（2）单点登录要求
支持B/S应用的单点登录功能，支持航信业务应用单点登录功能。
提供B/S应用的单点登录功能，支持跨域单点登录。
提供开放的API，支持Java、JavaScript等。
支持授权时进行排斥角色检查
支持基于角色的访问控制
（5）加解密支持要求
基于数字证书提供各种加解密需求
支持SM系列国产加密算法
支持三级密钥管理模式
1.1.2.
1.1.2.1
从用户管理和认证的全流程来看，为保证用户和账号全生命周期的管控和跟踪，完整的用户管理体系建设目标由下面几部分组成：
图3-31用户管理体系建设示意图
提供WEB环境的用户身份管理与注册功能。
提供开放的API，支持Java或WebServices等技术。

各CA机构现状初查

税务网上申报社保网上申报组织机构数字证书
江苏省阳光工程江苏省地税局江苏省建设厅常州市劳动和社会保障局苏州市吴中区国家税务局江苏省省级行政机关政府采购中心昆山市国家税务局泰州市国家税务局
天威诚信
权威电子认证服务互联网信任服务
信息安全咨询服务身份宝 iTrus ID/BL
账号宝 iTrus Pay
证据宝 iTrus Biz 北京数字证书认证信天行数字证书,首都政务通中心有限公司 (BJCA)
陕西省数字证书认时间戳服务器证中心有限责任公司(SNCA)
国投安信数字证书 JLCA数字证书(个人证书,企业证书,代码签名认证有限公司证书,电子邮件证书,服务器证书) (JLCA)
行业服务网上申报系统
解决方案拓扑图
“移动办公”安全子系统网上银行安全认证系统银企互联数据安全传输平台网上交易安全认证系统网上竞价系统苏宁B2B企业电子订单项目中国反洗钱监测分析系统（第一海航集团资金管理系统电信行业应用系统图1 集团企业应用系统图2
数字证书认证系统iTrusCA 加密宝iTrusEM
企业CA解决方案网络实名接入解决方案无线应用解决方案电子化政府采购解决方案资源交换平台安全解决方案
图6 图7 图8 图9
网上招投标及网上政府采购安全网上报税系统安全网上工商系统网上行政审批系统银行业信息安全解决方案网上报税系统企业信息系统
CA系统平台证书存储介质及加密设备 SecuAccess安全接入认证服务器
印相派个性相册统一身份认证解决方案身份验证系统数字签名/数字签章系统访问控制系统桌面安全系统统一用户管理系统安全认证网关电子签章统一信任管理平台签名验证服务器安全存储箱安全桌面网上安全交易解决方案 OA办公安全解决方案

CA认证功能介绍

CA认证功能介绍发布日期：2008-12-30 11:38:25概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。

CA的核心功能就是发放和管理数字证书，具体描述如下：（1）接收验证最终用户数字证书的申请。

（2）确定是否接受最终用户数字证书的申请-证书的审批。

（3）向申请者颁发、拒绝颁发数字证书-证书的发放。

（4）接收、处理最终用户的数字证书更新请求-证书的更新。

（5）接收最终用户数字证书的查询、撤销。

（6）产生和发布证书废止列表（CRL）。

（7）数字证书的归档。

（8）密钥归档。

（9）历史数据归档。

认证中心为了实现其功能，主要由以下三部分组成：（1）注册服务器：通过 Web Server 建立的站点，可为客户提供每日24小时的服务。

因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表，免去了排队等候等烦恼。

（2）证书申请受理和审核机构：负责证书的申请和审核。

它的主要功能是接受客户证书申请并进行审核。

（3）认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。

CA认证简介为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一个可以被验证的标识，这就是数字证书。

数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。

该数字证书具有唯一性。

它将实体的公开密钥同实体本身联系在一起，为实现这一目的，必须使数字证书符合X.509国际标准，同时数字证书的来源必须是可靠的。

这就意味着应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。

各级CA认证机构的存在组成了整个电子商务的信任链。

如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性，电子商务就根本无从谈起。

CA安全体系认证建设

2019/2/1
Copyright 1998-2009 Infosec
省级运营CA中心
• 各省级运营CA中心（工业公司运营CA中心、商业公司运营CA中心）作为烟草行业CA认证中心中的另一个重要组成部分，在接受国家局运营CA中心的垂直监管的同时，其主要功能： – 1、为本省单位所辖范围内的用户发放和管理数字证书； – 2、为本省单位各业务系统提供身份认证、数据安全保障等服务；
烟草行业根CA 中心
• 行业根CA中心的作用是：负责签发和管理二级CA的数字证书。根CA中心由国家局建设，作为烟草行业CA认证中心的信任源； • 行业根CA中心由其自身组成；
2019/2/1
Copyright 1998-2009 Infosec
烟草行业CA认证中心的建设内容
– 烟草行业根CA中心建设 – 国家局运营CA中心建设
目录
• • • • • 建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接
2019/2/1
Copyright 1998-2009 Infosec
烟草行业CA安全认证体系建设

烟草行业CA安全认证体系建设项目主要内容：
– 1、CA安全认证体系建设 – 2、实现CA与应用系统之间的挂接
TSA Server
RA Admin
TSA 服务器
2019/2/1
Copyright 1998-2009 Infosec
数字证书应用支撑系统
• 数字证书应用支撑系统
– 实现“数字证书持有者在业务应用系统中有效、安全地使用数字证书”，其实现功能：
• 为业务系统提供基于数字证书的强身份认证； • 为业务系统提供数据私密性和完整性保证； • 为业务系统提供操作不可否认性机制

中国电信CA认证系统与电子商务应用

中国电信电子商务CA安全认证中心
CA备份中心
省内建
业务受理点
业务受理点
2.4 中国电信CA认证系统的技术特点
• 遵循国际PKCS、PKIX系列标准，签发证书符合ITU-T X.509
V3标准 • 全部采用通过国家密码办签定的加密设备和加密算法。 • 根据不同应用，系统可签发通用数字证书、SSL证书、S/MIME 证书，可与标准浏览器、WEB 服务器实现互通。 • 根据安全强度不同，系统支持512Bit和1024Bit公钥证书的签发。 • 根据业务系统实时性不同要求，系统两种黑名单查询方式，即实时证书状态查询（OCSP)和定期证书黑名单列表（CRL）。
中国电信中国电信caca认证系统与电子商务应用认证系统与电子商务应用中国电信集团公司数据通信事业部中国电信集团公司数据通信事业部第一部分中国电信电子商务的发展思路1111中国电信在电子商务领域定位中国电信在电子商务领域定位?电子商务基础设施服务提供商?电子商务解决方案提供商电子商务解决方案提供商?电子商务应用服务运营商电子商务应用服务运营商1122中国电信电子商务业务中国电信电子商务业务1电子商务基础设施?完整电子商务ca安全认证系统
第三部分基于CTCA的电子商务应用案例
• 电子报税和纳税业务 • 电子证券业务
• 网上电信营业厅
3.1
电子报税业务
2000年9月，中国电信集团公司与国税总局签定合作协议，在北
京、山东、浙江、湖南、河南等九个省、市进行试点工作。
以山东为例，2000年5月开始在东营地区试点，到10月试点成功，
在14000家企业中11000多家采用了电子报税和纳税业务，月纳税额5 亿元。山东全省17个地、市全部推行电子报税和纳税业务，到3月10日，企业用户已达30多万户，月纳税额近40亿多元。

CA认证开发简介

2.4.1
①客户端的浏览器向服务器传送客户端SSL协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。
②服务器向客户端传送SSL协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。
③客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过期，发行服务器证书的CA是否可靠，发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证通过，将继续进行第四步。
2．使用发信方的公钥从数字签名部分得到原摘要；
3．收方对您所发送的源信息进行hash运算，也产生一个摘要；
4．收方比较两个摘要，如果两者相同，则可以证明信息签名者的身份。
如果两摘要内容不符，会说明什么原因呢？
可能对摘要进行签名所用的私钥不是签名者的私钥，这就表明信息的签名者不可信；也可能收到的信息根本就不是签名者发送的信息，信息在传输过程中已经遭到破坏或篡改。
1。表明自己身份：除非第三方有你私钥，否则无法假冒你发送数据数据给对方。
2。加密。
jks(java key store)：
java用的存储密钥的容器。可以同时容纳n个公钥或私钥，后缀一般是.jks或者.keystore或.truststore等，千奇百怪。不管什么后缀，它就是一个容器，各个公司或机构叫法不同而已。比如把只包含"受信任的公钥"的容器存成.truststore文件等。
1.1
证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。
证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509国际标准。

ca运营方案

ca运营方案第一章：项目概述1.1 项目背景近年来，伴随着经济的快速发展，中国的CA（Certificate Authority）行业也呈现出了蓬勃的发展势头。

CA作为信息安全领域的重要环节，承担着数字证书颁发、认证和管理的重要职责，服务于互联网、电子商务等领域。

然而，随着信息技术的不断发展和用户需求的不断增长，对CA服务的稳定性、安全性和灵活性提出了更高的要求。

为了解决当前CA行业存在的瓶颈和挑战，我们拟定了一套CA运营方案，旨在提升CA运营效率，提高服务质量，满足用户需求，推动整个行业的发展。

1.2 项目目标- 提升CA服务的稳定性和可用性，降低出错率，加强系统监控和预警机制，保障用户数字证书安全- 改善CA服务的用户体验，简化证书申请和管理流程，提高服务效率和响应速度- 强化CA的安全防护能力，建设全方位的安全体系，防范各类攻击和安全威胁- 扩大CA服务的适用范围，提供更多元化的证书产品，满足不同行业和用户的需求- 推动CA服务的可持续发展，提升行业竞争力，促进行业良性发展和协同合作1.3 项目范围本方案主要涉及CA运营管理、技术架构优化、安全防护体系建设、用户体验优化、证书产品拓展等方面，其中具体内容包括但不限于以下几个方面：- CA运营管理：包括运营流程优化、服务规范制定、人员培训等- 技术架构优化：包括系统架构调整、性能优化、系统集成、服务升级等- 安全防护体系建设：包括安全政策制定、安全设备部署、攻击监测与防范等- 用户体验优化：包括界面设计、交互流程优化、服务响应速度提升等- 证书产品拓展：包括证书种类拓展、行业应用定制、用户需求调研等第二章：CA运营管理2.1 运营流程优化建立科学、规范的运营流程是提升CA服务效率和质量的关键。

我们将对现有运营流程进行全面审核和优化，针对用户需求和业务情况进行精细化设计，压缩流程环节，避免繁琐的重复操作，提高工作效率。

同时，制定运营流程标准化的操作手册和规范，确保每一个环节都有明确的规章制度和操作流程。

吉大正元简介-新

吉大正元信息技术股份有限公司简介
公司介绍
1999年2月成立
注册资本：13530万元
主营业务：信息安全产品的研发、生产、销售，提供安全咨询、安全集成和行业应用开发等服务国内最大的公钥基础设施（PKI）产品供应商在PKI电子证书认证系统领域处于绝对领先地位拥有88项自主知识产权，67项资质证书国家密码管理局认定的首批商用密码产品生产定点单位和销售许可单位
双机热备
产品特点
多样的身份认证机制支持所有的B/S、C/S架构的应用系统应用系统零改造接入细粒度的访问控制完善的监控审计、支持日志报送支持分权管理完全的网络兼容性和应用兼容性自身安全性高 WEB方式管理、无客户端软件，简单易用
产品简介
CA产品
安全支撑体系框架如下：
LDAP目录服务系统
CRL校验 CRL校验
产生 Token
数字签名服务器
签名/验签签名验签中间件应用系统1 访问
PKI/CA体系
访问请求证书管理证书申请/下载
身份认证网关
信息传递
portal SSO
访问访问
应用系统1
证书管理员
用户客户端软件
其他系统
证书发放
登录认证
开发用API
JIT RA Toolkit
连接CA，实现证书管理功能
JIT OCSP Toolkit
连接OCSP，实现证书状态查询功能
功能介绍－CA Server
CA Server的核心作用
• 签发、管理证书和CRL • 以证书为中心管理数据
证书管理模板管理超级管理员自定义扩展域管理权限管理业务管理员

自建CA认证系统实用方案

自建CA认证系统实用方案
一、背景
认证是完成安全交易所必不可少的一个因素。

在网络信息时代，认证
问题日趋重要，为了确保信息安全，必须采取合适的认证机制，以确保双
方的信息安全。

在企业内部，一般采用账户密码认证的机制来实现认证功能，而在网
络上，则需要采用更安全的认证机制，如数字签名认证系统和密钥交换机
制等。

这样的认证机制提供了更高的安全性，但普遍存在三个问题：首先，客户端的安全性可能无法得到有效保障，其次，客户端之间的认证可能面
临着大量的法律法规和监管，最后，服务器端的安全性可能受到攻击。

为了解决上述问题，特别是客户端之间的认证问题，采用自建CA认
证系统可能是一个非常好的解决方案，它可以有效地提高安全性，也可以
满足企业内部认证要求，同时相对简单实用。

1、准备工作
首先，需要准备一台服务器，并安装CA认证服务器；其次，准备一
台虚拟机，用于安装CA认证客户端；最后，要为认证系统设计规则，并
安装证书签发服务以及客户端软件。

2、配置CA认证服务器
在服务器上安装CA认证服务器，并根据规则设置服务器配置，以实
现安全认证服务。

电子政务内网应用软件支撑平台方案

电子政务内网应用软件支撑平台方案建设背景和依据目前，我国电子政务处在“跨越式”发展阶段，政府各部门的内部信息系统建设已经非常普及，随着电子政务的发展和深入应用，政务需求越来越清晰化，办公自动化程度要求越来越高，政府内部及部门间协作的智能化要求更加旺盛，电子政务内网网络建设和应用软件的推广和深层次应用受到重视各级机关的普遍重视。

政务内网主要满足各级政务部门内部办公、管理、协调、监督和决策的需要，同时满足副省级以上政务部门的特殊办公需要。

政府电子政务内网(以下简称“政务内网”)是以政府系统各级、各部门行政领导、政府部门和政府工作人员为服务对象，具有办公事务处理、辅助决策、信息管理和资源共享等网上办公的政务协同基础平台。

政务内网应用软件支撑平台是政务内网开展软件建设和推进应用的软件支撑平台，平台建设后可将办公业务和信息服务统一集中到一个平台上，主要提供统一的数据库服务、统一的用户认证和单点登录服务，统一的权限划分和角色配置服务，统一的电子公章、数字签名、版式文件服务、统一的工作流程配置引擎和全站搜索服务。

为公文办理、信息传输、会议管理、人力资源管理等各种政务工作提供支撑服务。

实现各级行政主管部门同应用、互联互通、信息资源共享、网上办公和政务公开，提高政务信息化整体水平。

最终构筑统一的政务协同基础平台，建立统一的政务内网信息门户。

建设必需的安全保障体系，初步实现“政务资源数字化、内部办公协同化、信息交流网络化”。

建设内容电子政务内网应用软件支撑平台主要建设内容如下：(1) 协同办公平台，支持业务开发的公共平台;(2) 内部门户：应用集成和内容集成;(3) 通用办公：政务管理、公文管理等功能的通用行政办公系统;(4)统一工作流管理平台：建立一个统一的业务流程管理平台，为办公系统、政务信息系统等提供服务;(5)数据集成平台：建立一个可覆盖全业务的数据中心，实现各业务系统间的数据共享、数据同步，数据交换。

解决信息孤岛问题;(6)用户统一身份认证(CA中心)：建立一个统一的用户身份认证管理系统，来解决身份真实性认证及数据安全传输问题。

自建CA认证系统实用方案

⾃建CA认证系统实⽤⽅案⾃建CA认证系统实⽤⽅案⼀、CA认证系统建设的背景1.1 ⽹络⾝份认证风险如何认证互联⽹业务中对⽅的⾝份，是制约信息产业发展的瓶颈，⾝份认证问题亟待解决：（图⼀)⾝份认证是第⼀道防线纵使是固若⾦汤的保险库，⾮法分⼦⼀旦掌握了打开⼤门的钥匙，保险重地将会变成了窃贼的后院。

业务系统即使被防⽕墙、⼊侵监测、防病毒等边界系统保护，⼀旦⼊侵者冒充合法⾝份进⼊，系统安全荡然⽆存。

基于⽤户名/⼝令的认证⽅式是最常⽤的⼀种技术，也是现在财务系统使⽤的认证⽅式，⽆论是数据⽹中的系统管理、业务管理、办公⾃动化系统还是远程登录，都是基于⽤户名和⼝令的⽅式认证。

基于⽤户名/⼝令的认证⽅式存在严重的安全问题，是攻击者最容易攻击的⽬标：1) 单因素的认证，安全性仅依赖于⼝令，⼝令⼀旦泄露，⽤户即可被冒充。

2) 为记忆⽅便，是⽤户往往选择简单、容易被猜测的⼝令，如：与⽤户名相同的⼝令、⽣⽇、单词等。

这往往成为安全系统最薄弱的突破⼝。

3) ⼝令⼀般是经过加密后存放在⼝令⽂件中，如果⼝令⽂件被窃取，那么就可以进⾏离线的字典式攻击。

这也是⿊客最常⽤的⼿段之⼀。

最近屡屡爆出的⼝令泄密事件，如CSDN、天涯、新浪微博、⼴东省进出境管理都是⾝份认证⽅式选择不当引起的。

⽽弱认证带来的经济损失更是触⽬惊⼼，江苏郝⾦龙利⽤计算机⼊侵扬州某银⾏计算机⽹络，修改账户信息，⼤肆窃取现⾦。

⿊客利⽤钓鱼⽹站获取⽹银⽤户账号密码以及动态密码，浙江乐清市陈⼥⼠⽹银被窃200万元。

1.2 信息泄露风险传输在客户端与Web服务器之间的敏感、机密信息和交易数据，如资⾦调拨、资⾦往来、个⼈账户信息等，这些数据都是保密的数据，⼀旦被竞争对⼿或者⾮法分⼦获得，将会给企业财务系统带来致命威胁。

互联⽹的开放特性使得任何跨机房传输的信息可能被截取，被⾮法⽤户加以利⽤，给⽤户和企业造成损失。

⽬前使⽤最多的⼀些互联⽹抓包⼯具如sniffer，具备初级计算机应⽤⽔平就能操作⾃如。

四川CA简介解答

电子签章：实现了电子签名的图形化展示
安全网站服务
解决的问题 • 对网站的真实身份进行第三方权威认证，防止真实网站被钓鱼网站假冒。 • 给经权威认证的网站颁发第三方安全认证标志，客户可查看标志以辨别网站的安全性和可信度。 • 保证客户与网站之间交互的所有数据信息是以SSL加密方式传输，防止机密信息被泄露。
加密机
务靠的技术体系
技术体系
电子政务
电子商务业务应用系统
内部信息化
身份认证应用授权单点登录数字签名数据加密可视签章证据验证证据展示 PKI应用层——功能展示
四数字证书 PC客户端移动客户端认证/签名中间件认证网关签名网关证据网关四
“身份盗用、交易诈骗、网络钓鱼等各种安全事件频发，与蓬勃发展的网络应用矛盾日益突出。据统计，我国有近1.28亿互联网用户遭遇过上述安全事件影响，初步估计损失超过150亿元。”
------摘自《电子认证服务业“十二五”发展规划》
成立背景
技术与政策
技术支撑数字认证（PKI）技术成熟
国际通用、成熟的信息安全技术
安 CA认证系统签名验签服务器
全产
安全网关
证书开发套件
网上银行安全解决方案网上证券安全解决方案电子订单系统安全解决方案企业网上办公安全解决方案财务管理信息化系统安全解决方案 ……
可电子签名信任服务可信网站服务
信服
安全电子邮件服务可信时间戳服务
子签名法》法律保障
品电子签章
《四川CA安全制度》、《四川CA保密制度》、《四川CA审计制度》……
鉴证服务保障
1 线上线下
多方式申请
2 资料审核、查证

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

CA认证安全解决方案吉大正元信息技术股份有限公司目录1方案背景 (2)2需求分析 (3)3系统框架设计 (5)4系统逻辑设计 (6)5产品介绍 (7)5.1CA认证系统 (7)5.1.1系统构架 (7)5.1.2系统功能 (8)5.1.3系统流程 (9)5.2身份认证网关 (9)5.2.1系统架构 (9)5.2.2系统功能 (10)5.2.3系统流程 (12)6网络拓扑设计 (13)7产品配置清单 (14)1方案背景随着信息化建设的推进，信息化的水平也有了长足的提高，信息化已经成为政府、企业提高工作效率，降低运营成本、提升客户体验、增加客户粘度，提升自身形象的重要手段。

信息化是架构在网络环境世界来展开，网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险，如何解决虚拟身份的真实有效，敏感信息在网络传输的安全保密且不被攻击者非法篡改，如何防止网络操作日后不被抵赖？同时，随着信息系统的不断增加，信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈。

因此，安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋，上述问题逐渐给信息化建设管理者提出了新的挑战。

此外，国家安全管理部门发布了《信息安全等级保护管理办法》，提出了“计算机信息系统实行安全等级保护”的要求，等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。

鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求，本方案提出一套基于PKI密码技术的CA认证体系建设方案和基于数字证书的安全应用支撑解决方案，全面解决上述信息安全问题。

2需求分析目前，“用户名+口令”的认证方式普遍存在各个信息系统，基于用户名口令的认证方式是一种弱认证方式，由于其具有容易被猜测、字典攻击、非法拦截、责任认定无法到人等系列弱点，已经无法满足信息系统的安全需要，因此，需要建立一套CA认证系统，来完成数字证书的申请、审核、发放等生命周期管理，为最终用户提供唯一、安全、可信的网络身份标识。

其次，需要提供一套基于数字证书的安全应用支撑平台，通过PKI密码技术实现强身份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项安全功能，同时，作为安全应用支撑平台，还应该面向众多的信息系统提供统一身份认证功能，实现SSO单点登录功能，满足应用级的授权管理需要。

具体来说，安全需求如下：●数字证书的发放管理：提供证书生命周期管理服务，包括证书的申请、审核、发放、更新、吊销等。

●强身份认证：满足基于数字证书的安全登录需要，提供黑名单查询功能，只有持有合法证书的用户才能登录到信息系统。

●机密性、完整性：对信息进行加密、完整性处理，保证信息传输过程的机密性和完整性。

●单点登录，多点漫游：用户只需使用数字证书完成一次统一认证，后续登录不需要再次认证则可进入其他信息系统。

应用级访问控制：提供应用级访问控制功能，用户只能登录到被授权的信息系统。

3系统框架设计根据上述安全需求分析，方案总体框架如下图所示：在整体应用框架下，PKI/ CA认证系统负责发放和管理数字证书，USBKEY 智能密码钥匙作为证书的载体存储数字证书，身份认证网关作为应用支撑体系，为各类业务系统提供基于数字证书的安全支撑，实现统一认证和各项安全功能。

另外，为了证书发放的规范运营，明确证书管理员的工作职责，需要为此而制定系列的证书管理办法。

为了满足证书的安全应用，还需要制定本行业、本企业的证书格式规范，确保证书信息能方便被应用系统识别和调用。

4系统逻辑设计系统逻辑设计如下图所示：用户(1)证书管理员登录CA系统，为用户申请、下载数字证书，然后交给用户使用；(2)用户登录业务系统，业务系统通过安装在系统上的FILTER过滤器来判断用户是否已经认证过，如果没有，则重定向用户登录网关登录页面；(3)用户按照网关页面插入USB KEY，并输入PIN保护密码，然后提交认证请求到身份认证网关；(4)身份认证网关判断证书的真实有效，并通过导入CRL证书黑名单，判断证书是否已经被吊销；(5)如果证书验证全部通过，身份认证网关检查用户权限，然后显示用户可登录系统列表，根据授权策略为用户签发单点登录TOKEN，用户凭借TOKEN单点登录到各业务系统中。

5 产品介绍5.1CA认证系统5.1.1系统构架加密机管理员CA认证系统架构如上图所示，其中：●CA签发系统：负责证书的签发管理，所有证书的业务操作请求都提交到CA系统进行处理，包括证书签发、证书吊销、证书更新等。

●加密机：负责提供CA密钥服务功能，包括产生和存储CA密钥对，对CA系统提交的证书签发请求进行签发。

5.1.2系统功能●证书申请：提供证书的申请功能，包括管理申请和用户自助申请。

●证书签发：对于通过审核的证书申请，CA系统可以为其签发证书。

●证书下载：用户可以通过下载凭证安全的下载证书。

●对一些申请成功但是没有下载的证书，RA系统可以重新生成下载凭证（授权码），使用新的下载凭证即可进行证书下载。

●证书发布：对于签发好的证书，系统进行自动发布。

●证书更新：系统提供证书更新功能。

●证书查询：用户可以通过查询条件查询出符合条件的证书信息。

●证书注销：用户可以对一些不再使用或是使用过程中出现问题的证书进行注销操作，注销后的证书不可恢复。

●证书冻结：用户可以对短期内不会使用的证书进行冻结操作，在冻结期间内证书被限制不可使用。

●证书解冻：提供证书解冻功能，使得证书可以重新使用。

●证书实体查询：用户可以通过查询条件可以查询出符合条件的证书。

●CRL服务功能：提供CRL产生、CRL发布、CRL查询功能。

●用户信息维护：系统提供按照自定义的格式产生用户信息，并可以对用户信息进行添加、删除、修改等维护方式。

●分权管理：提供系统管理、业务操作和安全审计三权分离功能。

●主题规则管理：支持主题规则定义，提升用户使用服务体验。

●模板定制：提供数字证书模板自定义功能，实现证书扩展域名称、扩展域值的自定义，满足不同发证需求。

●日志审计：审计管理包括查询业务日志和统计证书功能，并生成相应统计报表。

●批量申请和制证：支持批量证书申请和制证的功能，简化管理员操作。

5.1.3系统流程(1)管理员使用管理员证书登录CA系统完成证书信息的录入和审核，完成证书签发；(2)证书管理员为用户下载证书，如果证书介质采用USB KEY的话，证书将写入USB KEY；(3)证书管理员将证书交付用户使用。

5.2身份认证网关5.2.1系统架构身份认证网关是基于PKI技术开发的硬件产品，主要满足用户对基于证书的高强度身份认证安全需求。

面向多个应用系统，提供集中、统一的安全认证服务，形成统一的、高安全的身份验证中心。

应用系统客户端FILTER身份认证网关身份认证网关采用代理技术，在业务系统安装Filter 过滤插件完成用户的身份认证工作。

插件负责拦截用户请求并将请求重定向到网关进行认证。

认证成功后，用户直接访问应用系统。

5.2.2 系统功能● 用户身份认证：全面支持数字证书强认证，支持多级CA 证书链，支持多家证书认证。

● 支持动态CRL 更新，支持WEB 站点下载、LDAP 服务器下载及手工导入三种CRL 更新模式。

● 支持OCSP 证书验证方式。

● 单点登录：用户完成一次登录认证后，可以单点登录到其他授权系统。

● 应用级访问控制：通过策略配置，授权用户允许访问的应用系统。

控制策略包括DN 规则、时间段规则、IP 地址规则、用户名规则。

● 应用认证策略配置：根据用户认证等级策略控制用户对应用的访问权限，认证策略包括：口令认证、证书认证及口令+数字证书认证方式。

●证书DN规则控制：设置DN项规则策略，控制某个或某一群组证书用户对应用的访问，DN规则支持通配符。

●黑白名单：系统采用黑、白名单的形式设置策略来实现访问控制。

●状态监控：包括设备CPU、内存、硬盘的使用监控、网络流量统计、业务状态进行监控。

●日志审计：按照系统日志、业务日志两大类日志对用户、管理员使用系统过程进行完整审计，系统提供SYSLOG发送功能。

●分权管理：内设系统管理员、安全管理员、审计管理员实现对不同角色的分权管理。

●统一门户：提供用户登录应用系统入口，可实现应用是否对用户可见，提供登录界面定制功能。

●信息传递：将认证通过的认证结果、用户信息传送给后台的应用系统。

●备份恢复：系统支持备份恢复功能，可以快速恢复系统的正常工作。

●双机热备：通过网口连接心跳线监听设备的工作状态，当设备停止服务时，服务自动切换到备机继续提供服务。

●故障应急：当设备意外宕机，业务系统的插件将不会拦截用户请求，用户可以直接访问业务系统。

5.2.3系统流程身份认证网关应用系统客户端FILTER●检查根证书●检查是否过期●检查是否吊销12CA认证系统LDAP目录服务3证书信息（证书、序列号、主题…..）45(1)用户访问应用系统；(2)业务系统FILTER过滤插件判断用户是否已通过认证，如果没有则重定向到身份认证网关，并要求用户出示数字证书；(3)身份认证网关验证用户证书有效性，并查询CRL判断用户是否已经被吊销；(4)验证通过后，身份认证网关将验证结果及用户信息传递给应用系统，用户与应用系统之间直接进行通讯；6 网络拓扑设计物理拓扑设计如上图所示，身份认证网关与应用系统部署在一个网段，CA 认证系统可以专门部署在一个安全独立的网段。

7产品配置清单。