管理系统CA认证解决方案

管理系统CA认证解决方案
机电系统维修管理系统CA认证
解决方案介绍
1 / 13
目录
1 概
述 ..................................................................... ......................................................... 3 2 需求分
析 ..................................................................... ................................................. 4 2.1 身份真实性(认证安
全) .................................................................... ................. 4 2.2 数据信息的机密
性 ..................................................................... ........................... 5 2.3 信息的完整
性 ..................................................................... ................................... 6 3 解决方
案 ..................................................................... ................................................. 7 3.1 PKI/CA数字证书技
术 ..................................................................... .. (7)
3.1.1 PKI/CA简
介 ..................................................................... . (7)
3.1.2 CA中
心 ..................................................................... .. (8)
3.1.3 X509数字证
书 ..................................................................... .......................... 9 3.2 USB
key .................................................................... .. (10)
3.2.1 产品功
能 ..................................................................... (10)
3.2.2 产品特
点 ..................................................................... (10)
3.2.3 性能指
标 ..................................................................... (12)
3.2.4 产品实
施 ..................................................................... ................................. 12 3.3 收费项目和标
准 ..................................................................... .. (13)
2 / 13
1 概述
随着网络的快速发展，网络应用已经成为一种趋势，如网上证券、网上银行、电子政务、电子商务、网上办公等，越来越多的重要信息在网络中传输，如何保护这些数据的流转安全是网络应用面临的一个重要问题。

但通常的网络应用都存在以下安全隐患:
没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式，这种认证用户的模式，存在极大的隐患，具体表现在:
1) 口令易被猜测;
2) 口令在公网中传输，容易被截获;
3) 一旦口令泄密，所有安全机制即失效;
4) 后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全，管
理非常困难。

存在数据安全隐患:当前大多网络应用所发放的数据包均是按照TCP/IP协议进行传输的，而且这种协议为明文方式发送;而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。

存在数据被篡改隐患:由于网络的公开特性，使得信息提供者以外的人修改信息成为可能。

如何防止他人篡改信息是安全应用系统需要解决的一个重要问题。

存在操作抵赖问题:在信息提供过程中如果一方在确认信息操作后又抵赖，将对应用系统的使用造成很大的损失。

安全应用系统必须提供某种技术手段，以便应用系统能对信息的提供进行确认。

网络应用的进一步发展必须有一种安全机制来保证信息传输的安全性、保密性、有效性。

3 / 13
2 需求分析
通过对现有政府部门、企事业单位的应用系统的整体分析，目前应用系统的安全需求可总结为下几个方面。

2.1 身份真实性(认证安全)
1. 应用系统用户身份认证
在实际应用中，身份认证是验证应用系统访问者的合法性的基础手段。

目前常采用的方法为“用户名+口令”，但是这种方法过于脆弱。

首先由于应用系统设计上的缺陷，用户口令可能在网络中以明文传输。

其次，在口令的存储过程中，大部分应用可能是以明文或是采取简单加密措施。

这些安全隐患都可能为恶意的攻击提供可能。

用户名+口令的方式还存在以下安全隐患:
1) 密码容易被无意中泄漏;
2) 黑客和木马工具层出不穷，密码很容易被窃取;
3) 由于密码长度有限，设置密码时没有进行强密码限制，导致密码可能被
猜测、穷举、破译;
随着信息化进程的推进，应用系统逐步增多，每个应用系统都采用独立的用户管理机制，导致同一用户在每个应用都有用户名及相应的密码，而密码多了就容易忘记。

另外随着口令破解技术的提高，口令的弱点越发显现出来。

常用的口令破解技术包括:
1) 穷举法(蛮力猜测)
2) 利用技术和管理漏洞
3) 字典法破译
4) 通过网络监听非法得到用户口令
4 / 13
5) 采用缺省口令直接猜测
恶意攻击者可以利用口令存在的弱点很容易获得用户口令，如果一个用户的口令被非法用户获悉，则该非法用户即获得了该用户的全部权限，尤其是高权限用户的口令泄露以后，应用服务器和网络也就随即失去了安全性，如果泄露的信息涉及国家秘密、商业机密、核心技术，这样将给国家、企业会带来巨大的政治、经济损失。

2. 应用系统服务身份(真实性)的认证
常用的用户身份验证方式，除了存在与“用户名+口令”方式的安全隐患外，还无法验证要访问的应用系统服务的真实性。

由于信息化建设开展的初期，应用系统范围大都在局域网中，规模较小，可视其物理连接为直接连接，用户可相信其所访问应用服务的真实性，所以应用系统只对系统用户的身份进行单向验证，即应用系统要求验证用户身份，而用户只需被动被验证，无需验证应用服务的真实性。

随着网络的发展，任何一个政府部门、企事业单位的应用网络，都不再是一个简单的局域网络，而是通过各种方式与其他的局域网、城域网、互联网相连。

此时，应用系统运行在复杂的网络环境中，此时应用系统提供服务的真实性就需要能够被有效验证。

现实中，非法用户可以通过采用虚拟IP等技术方式，伪造、假冒政府部门、企事业单位对外网站、应用系统服务等，进行相应的破坏活动。

因此，访问网站或
应用系统的用户及相关人员，就必须能够安全有效地验证所访问应用系统服务的真实性。

2.2 数据信息的机密性
在应用系统中的数据有可能在传输过程中被非法用户截取，而重要数据信息如被截取将给政府部门、企事业单位造成极大的损失。

在典型的政府部门、企事业单位应用系统，例如OA系统、财务系统、物流系统、销售系统中，很多敏感信息频繁通过网络进行传输，如订单信息、价格信息、库存信息、资金信息等，这些信息直接关系到企业的形象、商誉和市场中的竞争优势。

这些数据如果不能被有效的保护，没有进行加密处理，一旦造成数据的泄露(例如被非法用户获得)或是数据不真实(数据被删除或恶意篡改)，不
5 / 13
但直接影响国家和企业的利益，同时往往影响到政府部门、企事业单位的对外形象。

另外在实际的业务流程中，大量的敏感数据需要通过很多环节进行处理，在大多数应用系统中仅仅通过应用界面的数据项只读处理来保护数据不被篡改，不但对数据的真实性保护不足，同时缺乏有效的真实性验证措施。

这些重要数据的真实性往往直接影响企业的相关决策，一旦出现失误将造成重大损失。

2.3 信息的完整性
应用系统数据的完整性对于应用业务来讲，其重要程度不亚于信息的机密性要求。

信息数据的不完整，会影响到政府部门、企事业单位的业务处理效率和效果，在实际的业务处理流程中，数据信息由于遗漏或被篡改，而导致数据信息的不完整，将会影响到对业务处理目标真实完整的描述，如果这种现象发生，会直接造成处理流程的中断甚至出现错误的处理，增加部门间协作的复杂性，增加管理的难度，影响企业事务处理的效率和问题相应的准确性。

6 / 13
3 解决方案
3.1 PKI/CA数字证书技术
利用PKI技术，结合相应的安全系统可在应用系统中实现身份安全认证、数据安全传输、数据签名等安全功能。

下面将详细介绍PKI技术及PKI/CA系统相关情况。

3.1.1 PKI/CA简介
身份认证是为网络信息交流提供一个信任的基础，即在操作用户实体和虚拟的网络空间中的用户角色之间建立一种映射关系，以便能将现实的物理世界中的信任关系移植到虚拟的网络空间中。

目前身份认证信任管理体系的主流技术主要是PKI公钥技术，该技术通过公钥密码体制中的用户私钥的机密性来提供用户身份的唯一性验证，并通过公钥数字证书的方式为每个合法用户的公钥提供一个合法性的证明，建立了用户公钥到证书
ID号之间的唯一映射关系。

数字证书中的信息通过数字签名技术提供了真实性及完整性的保护，因此可以通过公开的方式(如LDAP服务)对外发布。

由于数字证书本身是公开的，因此在身份验证过程中必须通过公钥与私钥之间的唯一映射关系(由公钥加密体制自身提供保证)来间接建立用户私钥(用户身份)和证书ID号之间的映射关系。

PKI是Public Key Infrastructure 的缩写，中文译名为公钥基础设施，是使用公钥(公开密钥)理论和技术建立的提供安全认证服务的基础设施。

PKI认证体系结构采用数字证书的形式管理公钥，通过认证权威(Certificate Authority，CA)系统，把用户的公钥和用户的其它标识信息(如名称、身份证
号码、e-mail地址等)捆绑在一起，实现用户身份的验证;将公钥密码和对称密码结合起来，通过网络和计算机技术实现密钥的自动管理，保证机密数据的保密性和
完整性;通过采用PKI体系管理密钥和证书，可以建立一个安全的网络环境，并成功地为安全相关的活动实现四个主要安全功能:
7 / 13
, 安全身份认证:保证在信息的共享和交换过程中，参与者的真实身份;
, 信息的保密性:保证信息的交换过程中，其内容不能够被非授权者阅读;
, 信息的完整性:保证信息的交换过程中，其内容不能够被修改;
, 不可否认性(抗抵赖):信息或相关权责处理的操作者无法否认其操作。

就应用系统安全建设中，实现有效的PKI认证体系而言，是非常必要的。

如果不能从应用中的安全身份认证、加密和数字签名中获得益处，那么PKI是没有价值的。

而为了使PKI得以有效实施，对PKI最重要的约束是透明。

透明意味着用户不必知道PKI是如何管理密钥和证书的，只从安全身份认证、加密和数字签名中获得益处就足够了，一个有效的PKI是透明的。

在典型的电子业务、电子商务业务活动中，业务服务机构和各级机关人员，通过基于PKI认证系统的信任管理服务相互验证对方的身份，并在此基础上完成最终的业务处理。

PKI体系及技术由于其合理性和可行性，已广泛应用于电子政务、电子商务领域，尤其是发达国家更是得到了全面普及。

3.1.2 CA中心
CA(Certification Authority)认证权威是PKI的核心组成部分，通常被称为认证中心，它是数字证书的签发管理机构。

PKI服务系统的关键问题是如何实现密钥管理，目前较好的解决方案是引进证书(Certificate)机制来实现。

在公钥机制环境中，必须有一个可信的系统来对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。

CA正是这样的系统，它的功能归纳起来有:
, 验证并标识证书申请者的身份
, 确保CA用于签发证书的非对称密钥的质量
, 确保整个签证过程的安全性，确保签名私钥的安全性
, 证书资料的管理(包括公钥证书序列号、CA标识等)的管理
, 确定并验证证书的有效期限
, 确保证书主体标识的唯一性
, 发布并维护证书注销列表(CRL)
, 对整个证书签发过程作日志纪录
8 / 13
, 向申请人发出通知
, 为用户签发数字证书
我们可以把CA中心看作是日常居民身份证的签发中心。

居民身份证是由权威机构(公安局)颁发的一种安全文件，它是身份证有者的一种物理的身份证明，任何信任该身份证书签发机构(公安局)的人或机构也会信任该中心所签发的身份证，进而确认身份证上所标识的个人信息。

与身份证相类似，在信息网络应用中，数字证书是由权威中心(CA中心)签发的一种电子安全文件，它是数字证书持有者的一种电子版身份证明，任何信任该CA 中心的所有用户也会信任该CA中心所签发的数字证书，进而确定证书持有者的身份。

除此以外，数字证书中的相关密钥信息还可用来实现抗抵赖等安全功能。

3.1.3 X509数字证书
CA中心是PKI的核心系统，而数字证书则是其基本的要素。

数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决"我是谁"的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。

数字证书通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的
名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。

数字证书是由权威公正的第三方机构即CA中心签发的，以加密技术对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及操作实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

数字证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。

X.509标准是国际电话与电报咨询委员会(CCITT)规定的一种行业标准。

在这个标准中提供了一个数字证书的标准格式，规定数字证书必须包含的一些信息:如版本号、序列号、签名算法、有效期限等。

凡是符合X.509格式的证书
9 / 13
都是X.509证书。

3.2 USB key
3.2.1 产品功能
北京飞天诚信科技有限公司推出的sPass2001型号USB Key提供CSP和
PKCS#11接口，通过非对称密钥技术实现可靠的身份认证和数据加密，与PKI应用无缝结合。

产品外观图:
3.2.2 产品特点
sPass2001型号USB Key具有以下特点:
3.2.2.1 性价比高
相对于国内其它满足需求的USB key，飞天诚信推出的sPass2001具有质量高，价格低的特点，在国内市场上的占有率首屈一指。

3.2.2.2 无需硬件驱动
ePass2001 采用HID 扩展设备技术，利用操作系统内置的标准HID 驱动实现对USB Key 的访问。

在 Windows 98SE 以上的Windows 操作系统以及在Linux 和Mac OS 等操作系统中使用ePass2001 无需另外安装硬件驱动，增加了软硬件系统的稳定性。

3.2.2.3 高性能
使用专门定制的高安全CPU 核心，采用 8 位的处理器，并配有硬件加密
10 / 13
协处理器，使密钥对生成和密钥运算速度大大提高。

3.2.2.4 高安全性
使用基于硬件 RSA 算法的 ePass2001比使用单纯的软件实现的RSA 应用更加安全可靠。

因为敏感数据都被安全地保存在 ePass2001 的安全存储区域中，未授权用户是无法接触到这些信息的。

数据的签名和加密操作全部在 ePass2001内部完成，私钥从生成的时刻起就一直保存其中，可有效的杜绝黑客程序的攻击。

ePass2001 的安全性还在于ePass2001 使用的加密算法都是被广泛公开，业界公认的，经受了多年考验的算法。

同时，一流的芯片封装工艺也保证了芯片内数据的安全性。

3.2.2.5 无缝集成
ePass2001提供符合业界广泛认可的PKCS#11 和Microsoft CryptoAPI 两种标准的接口，任何兼容这两种接口的应用程序都可以立即集成ePass2001 进行使用。

同时，ePass2001 也针对多个第三方的软件产品进行了兼容性优化。

此外，ePass2001 内置大容量的安全存储器，可以同时存储多个数字证书和用户私钥及其
他数据，也就是说，多个PKI 应用程序可以共用同一个ePass2001。

3.2.2.6 高可靠性
ePass2001 使用严格工艺制造，最少擦写次数 10 万次，室温下数据保持时间最少 10 年，有效地确保非易失性存储区可长期安全的保存用户的数据。

3.2.2.7 硬件实现的加密算法
ePass2001 采用先进的智能卡技术，智能卡芯片内部可实现下列算法:
, 512、1024 位的RSA 非对称密钥对生成、加解密和签名、校验操作;
, 对称加密算法DES、3DES;
, 散列函数 SHA-1;
由于关键的加密算法都在硬件内实现，这就保证了进行加密运算的密钥的
11 / 13
安全性。

3.2.3 性能指标
ePass2001 的硬件性能技术参数:
工作电压 5V (USB 口供电)
工作电流 80-150mA
工作温度 0,70?C
存储温度 -20,85?C
湿度 0~100,不结露
外壳 PC (聚碳酸酯)
通讯协议 USB，HID
接口类型标准 USB1.1 设备，兼容 USB2.0 接口(A 型插头 ) 处理器 8 位智能卡芯片
存储空间 32K，PKI 用户可用空间24K
擦写次数最少擦写次数 10 万次
3.2.4 产品实施
ePass2001型号USB Key提供标准CSP及PKCS#11接口，方便开发和集成，提供标准安全中间件 CSP 及 PKCS#11 v2.11 接口，硬件实现数字签名，支持X.509 v3标准证书格式。

可配合各种主流浏览器使用，如Internet Explorer，Netscape，Mozilla，Firefox 等。

机电系统维修管理系统采用X.509 v3标准证书格式，证书统一有公司颁发。

使用浏览器为Internet Explorer。

3.2.
4.1 证书颁发
公司提供一台专门用户颁发证书的服务器计算机，计算机要求安装Windows Server 2003操作系统。

各使用用户在使用机电系统维修管理系统之前，
12 / 13
必须首先向公司申请相关的数字证书，公司审核通过给予证书发放，并最终存入ePass2001型号USB key，实现数字证书CA认证。

申请数字证书申请审核
身份验证证书发放
3.2.
4.2 程序开发
ePass2001 的应用程序开发是针对PKI 应用的开发。

ePass2001 提供了
PKCS#11 和CSP for Microsoft CryptoAPI 2.0 两种主流的应用接口。

这两个接口分别遵循RSA公司开发的PKCS#11标准和微软公司制定的MS CryptoAPI接口标准。

由于这两个接口标准同时也被其他很多软硬件厂商所支持，因此，ePass2001 可以不需要二次开发就与符合这两种接口规范的应用集成使用。

ePass2001的PKCS#11接口以Win32动态链接库(DLL)的方式提供。

浏览器程序开发时可以采取ActiveX调用Win32动态链接库的方式来实现对CA的认证和管理。

3.3 收费项目和标准
项目费用客户端产品ePass2001 55/支
上门服务费 2000/人/日
13 / 13。