CA认证解决方案-CA Server 网关汇总

CA认证安全解决方案

吉大正元信息技术股份有限公司

目录

1方案背景 (2)

2需求分析 (3)

3系统框架设计 (5)

4系统逻辑设计 (6)

5产品介绍 (7)

5.1CA认证系统 (7)

5.1.1系统构架 (7)

5.1.2系统功能 (8)

5.1.3系统流程 (9)

5.2身份认证网关 (9)

5.2.1系统架构 (9)

5.2.2系统功能 (10)

5.2.3系统流程 (12)

6网络拓扑设计 (13)

7产品配置清单 (14)

1方案背景

随着信息化建设的推进，信息化的水平也有了长足的提高，信息化已经成为政府、企业提高工作效率，降低运营成本、提升客户体验、增加客户粘度，提升自身形象的重要手段。

信息化是架构在网络环境世界来展开，网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险，如何解决虚拟身份的真实有效，敏感信息在网络传输的安全保密且不被攻击者非法篡改，如何防止网络操作日后不被抵赖？同时，随着信息系统的不断增加，信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈。因此，安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋，上述问题逐渐给信息化建设管理者提出了新的挑战。

此外，国家安全管理部门发布了《信息安全等级保护管理办法》，提出了“计算机信息系统实行安全等级保护”的要求，等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。

鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求，本方案提出一套基于PKI密码技术的CA认证体系建设方案和基于数字证书的安全应用支撑解决方案，全面解决上述信息安全问题。

2需求分析

目前，“用户名+口令”的认证方式普遍存在各个信息系统，基于用户名口令的认证方式是一种弱认证方式，由于其具有容易被猜测、字典攻击、非法拦截、责任认定无法到人等系列弱点，已经无法满足信息系统的安全需要，因此，需要建立一套CA认证系统，来完成数字证书的申请、审核、发放等生命周期管理，为最终用户提供唯一、安全、可信的网络身份标识。

其次，需要提供一套基于数字证书的安全应用支撑平台，通过PKI密码技术实现强身份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项安全功能，同时，作为安全应用支撑平台，还应该面向众多的信息系统提供统一身份认证功能，实现SSO单点登录功能，满足应用级的授权管理需要。

具体来说，安全需求如下：

●数字证书的发放管理：提供证书生命周期管理服务，包括证书的申请、

审核、发放、更新、吊销等。

●强身份认证：满足基于数字证书的安全登录需要，提供黑名单查询功能，

只有持有合法证书的用户才能登录到信息系统。

●机密性、完整性：对信息进行加密、完整性处理，保证信息传输过程的

机密性和完整性。

●单点登录，多点漫游：用户只需使用数字证书完成一次统一认证，后续

登录不需要再次认证则可进入其他信息系统。

应用级访问控制：提供应用级访问控制功能，用户只能登录到被授权的信息系统。

3系统框架设计

根据上述安全需求分析，方案总体框架如下图所示：

在整体应用框架下，PKI/ CA认证系统负责发放和管理数字证书，USBKEY 智能密码钥匙作为证书的载体存储数字证书，身份认证网关作为应用支撑体系，为各类业务系统提供基于数字证书的安全支撑，实现统一认证和各项安全功能。

另外，为了证书发放的规范运营，明确证书管理员的工作职责，需要为此而制定系列的证书管理办法。为了满足证书的安全应用，还需要制定本行业、本企业的证书格式规范，确保证书信息能方便被应用系统识别和调用。

4系统逻辑设计

系统逻辑设计如下图所示：

用户

(1)证书管理员登录CA系统，为用户申请、下载数字证书，然后交给用户

使用；

(2)用户登录业务系统，业务系统通过安装在系统上的FILTER过滤器来判

断用户是否已经认证过，如果没有，则重定向用户登录网关登录页面；

(3)用户按照网关页面插入USB KEY，并输入PIN保护密码，然后提交认

证请求到身份认证网关；

(4)身份认证网关判断证书的真实有效，并通过导入CRL证书黑名单，判

断证书是否已经被吊销；

(5)如果证书验证全部通过，身份认证网关检查用户权限，然后显示用户可

登录系统列表，根据授权策略为用户签发单点登录TOKEN，用户凭借

TOKEN单点登录到各业务系统中。

5 产品介绍

5.1CA认证系统

5.1.1系统构架

加密机

管理员

CA认证系统架构如上图所示，其中：

●CA签发系统：负责证书的签发管理，所有证书的业务操作请求都提交

到CA系统进行处理，包括证书签发、证书吊销、证书更新等。

●加密机：负责提供CA密钥服务功能，包括产生和存储CA密钥对，对

CA系统提交的证书签发请求进行签发。

5.1.2系统功能

●证书申请：提供证书的申请功能，包括管理申请和用户自助申请。

●证书签发：对于通过审核的证书申请，CA系统可以为其签发证书。

●证书下载：用户可以通过下载凭证安全的下载证书。

●对一些申请成功但是没有下载的证书，RA系统可以重新生成下载凭证

（授权码），使用新的下载凭证即可进行证书下载。

●证书发布：对于签发好的证书，系统进行自动发布。

●证书更新：系统提供证书更新功能。

●证书查询：用户可以通过查询条件查询出符合条件的证书信息。

●证书注销：用户可以对一些不再使用或是使用过程中出现问题的证书进

行注销操作，注销后的证书不可恢复。

●证书冻结：用户可以对短期内不会使用的证书进行冻结操作，在冻结期

间内证书被限制不可使用。

●证书解冻：提供证书解冻功能，使得证书可以重新使用。

●证书实体查询：用户可以通过查询条件可以查询出符合条件的证书。

●CRL服务功能：提供CRL产生、CRL发布、CRL查询功能。

●用户信息维护：系统提供按照自定义的格式产生用户信息，并可以对用

户信息进行添加、删除、修改等维护方式。