XX身份认证系统专业技术方案

1、*身份认证系统技术方案1. 概述 31.1 前言 31.2 身份认证系统用户认证需求描述 31.3 身份认证系统认证解决之道 41.3.1 身份认证系统的模式 51.3.2 建立身份认证系统 51.3.3 证书在身份认证系统上的安全应用 62. 详细设计方案 72.1 身份认证系统 72.2 产品设计原则 72.2.1 认证系统的设计原则 72.2.2 网络环境设计原则 82.3 功能模块架构 92.4 身份认证系统功能简介 112.5 身份认证系统安全性分析 132.5.1 本系统安全性保护的必要性 132.5.2 安全性要求 132.5.3 安全性设计原则 142.5.4 安全性设计方案

2、142.6 身份认证系统应用开发接口 162.6.1 身份认证系统接口函数 162.6.2 API 与身份认证系统结合开发应用系统 162.7 身份认证系统使用案例 173. 系统配置 193.1 设备配置 191. 概述1.1 前言随着网络技术的高速发展，个人和企业将越来越多地把业务活动放到网络 上，因此网络的安全问题就更加关键和重要。据统计，在全球范围内，由于信息 系统的脆弱性而导致的经济损失，每年达数十亿美元，并且呈逐年上升的趋势。利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术，可 以建立起安全程度极高的身份认证系统， 确保网上信息有效、 安全地进行， 从而 使信息除发

3、送方和接收方外，不被其他方知悉（ 保密性 ）；保证传输过程中不被 篡改（ 完整性和一致性 ）；发送方确信接收方不是假冒的（ 身份的真实性和不可 伪装性）；发送方不能否认自己的发送行为（ 不可抵赖性 ）。本方案根据 * 的业务流程、管理模式的实施方案，充分运用现代网络信 息技术及CA认证体系，建立*身份认证系统，并可作为公务网 CA的配套系 统。1.2 身份认证系统用户认证需求描述在* 业务发展过程中，为了更好的实现数据资源共享，充分发挥 信息化对 * 系统发展的促进作用， * 将综合开发一套身份认 证系统对目前的用户身份进行管理， 为社会、相关职能部门以及各级机构提供服 务。在此系统的开发应用

4、过程中，一个重要的任务是解决如何对应用系统用户 进行身份认证从而确保数据的安全。 下面将针对在此系统的开发应用中对用户身 份认证所做的需求加以说明。整个系统的逻辑结构如图 1 所示：图 1：系统逻辑结构示意图如图 1 示，整个系统涉及了应用服务器、证书服务器以及相应的客户端。 系统运作流程简述如下：客户端访问应用服务器，应用服务器向认证服务器发出认证请求； 认证服务器完成对用户身份的认证并将与该用户相对应的认证信息 返回相应的应用服务器； 用户在通过认证之后获得在应用服务器获得相应的授权，从而可以 对应用系统进行相应的访问。所提交的认证系统在满足上述流程之外需要提供应用开发接口，满足与应 用服

5、务器之间的交互。 这是将认证系统集成到整个身份认证系统的基础条件， 使 得后续的开发工作能够利用认证信息做进一步的数据处理。考虑到平台的兼容 性，应用系统开发方可以开发一个统一的接口程序与认证系统进行交互。 另外还 有如下几点要求需注意： 认证服务器的用户信息需要依据数据库服务器中的用户信息为基 础； 对于客户端的身份认证最好采用硬件方式； 客户端通过广域网连接到认证服务器，要求认证服务器是能够面向 广域网用户的； 客户端数量可以按 250 用户计算； 提供认证系统的安全模式说明，详细介绍如何确保系统的安全； 系统对认证系统的操作系统平台无特殊要求。1.3 身份认证系统认证解决之道根据身份认证

6、系统的设计原则，系统安全需要解决如下几个方面的问题： 数据的保密性。包括数据静态存储的保密性和数据传输过程中的保 密性； 有效的身份认证和权限控制。系统中的各个授权人员具有其特定级 别的权限，可以进行该权限的操作，无法越权操作；操作者事后无 法否认其进行的操作；未授权人员无法进入系统。我们建议利用业界行之有效的高强度的加解密技术和身份认证技术保证身 份认证系统的安全，上海CA中心的数字身份认证系统可以为用户提供解决办法。 身份认证系统主要负责证书管理，保证系统安全不间断地提供证书的申请和作 废，提供用户信息和证书的备份和归档，保证系统数据的完整性。如何解决身份认证系统的安全性是我们关心的最大问

7、题，结合身份认证系 统，我们设计如下的应用模式：1.3.1 身份认证系统的模式首先我们来看一下身份认证系统的模式： 中心向操作员发放数字证书； 用户使用数字证书登陆，经身份验证后，进入身份认证系统，填写 或修改表单并提交； 系统对表单进行处理，然后提交、登记身份认证系统。1.3.2 建立身份认证系统身份认证系统以及与其发生业务的部门通过网络和数字证书建立安全可靠 的身份认证系统。身份认证系统以及客户和部门申请数字证书，其申请数字证书的方式详见 以下章节的多种可选方案。身份认证系统以及客户和部门申请到了标识其身份的数字证书文件和对应 的私钥文件。在此将证书信息文件称为 UserCert.der

8、，私钥信息文件称为 UserKey.key。证书的存储介质是带有算法的 USBKE。在我们的 身份认证系 统提供支持多种平台的证书 应用 接口 API(Application Programmi ng In terface )，WINDOWS 台以 DLL 的形式提供，各 种UNIX平台以“ .a ”库的形式提供。利用该 API，应用系统可以很方便的将数 字证书应用嵌入到业务系统之中。上海CA中心同时在客户端提供 ActiveX控件和JavaApplet开发接口应用 服务器端同时提供动态连接库，COM&件和JavaBean开发接口。1.3.3 证书在身份认证系统上的安全应用以下假设向身份认证系

9、统发订单，利用数字证书的一次数据流程。身份认应用系统平台 UserCert.der 应用系统平台 UserKey.key 操作员 UserCert.der证系统的服务器和操作员计算机各自申请一张标识其身份的数字证书， 即具有其 对应的证书文件，私钥文件。这样，通过自己计算机上的 IE浏览器可以安全的 访问身份认证系统。根据以上数据传输过程，可以完全保证数据传输的保密性、完整性、身份 认证和不可抵赖性。同理诸多运行在身份认证系统上的信息流都可以通过加密技 术、数字签名技术以身份认证形式、安全电子邮件形式或文档形式进行安全。2. 详细设计方案2.1 身份认证系统身份认证系统是在实际运作过程中， 根

10、据用户需求开发的一套内网数字身份 认证解决方案套件。 该系统可以作为公务网身份认证系统的配套产品适用于接入 公务网的各委、办、局、区县的内网应用系统中。该系统将主要针对内网的应用 系统，同时结合公务网身份认证系统的特点和需求， 向办公内网提供本地证书库、 本地证书管理、本地证书目录、本地证书管理、CRL查询等服务。该套系统的API提供了与身份认证系统配合使用的 WEB安全套件，为 WEB 应用提供全方位的身份认证服务。包括 UniTrust 登录、 UniTrust 退出、对表单 进行签名、对表单进行验证、对数据进行加密、解密、对信息进行时间标记和时 间验证、以及身份信息控制。可以满足 5 分

11、钟内 500个并发用户的验证要求。2.2 产品设计原则认证系统的设计原则身份认证系统在设计时， 从系统建设的近期和长远目标来综合考虑在设计中 遵循了规范性、安全可靠性、实用性、扩展性、经济性、易用性和业务独立性等 原则。并在以上原则中着重考虑了：安全性安全性是认证系统最为关注的问题，也是认证系统设计及建设中的关键，它 包括 Browser 与 Server 间信息传递的安全控制，访问系统的安全控制，系统数 据的可追溯性。 认证系统有完整的安全策略控制体系以实现安全控制。 其关键技 术包括网页签名技术， 身份认证及信息加密技术， 可保证系统间信息传递的安全， 访问系统的安全控制。规范性标准和规范

12、是认证系统设计中的重要内容，这里所说的规范性，是指认证 系统设计及建立过程的规范性。 目前有关认证系统的实际应用有着多种相关的规 范，如 X.509 ，PKCS10 ，PKCS7 ，PKCS12 等。不同的用户及系统在使用认证 系统及证书时往往都按照相关的规范调用。 同时良好的规范也保证了身份认证系 统协调工作时的方便性和准确性。可扩展性 认证系统方案设计中，每个层次的设计采用模块化设计，可根据用户的不同 需要发展进行灵活扩展。 如，在数字证书中加入自定义扩展项， 从而使政府用户 可在证书中加入相应的工作证号等信息。特别是证书系统采用了 B/S 中的多层设计思想， 使得系统可实现对于不同用 户

13、的定制服务，可以方便地实行对应用的控制与更新。易管理性系统的易管理性是证书认证系统的一个重要特点， 系统对应提供多套管理系 统，可对系统各个层次进行管理。并可对一些经常性的统计工作提供基于 Web 的管理。2.2.2 网络环境设计原则我们在作产品系统实施方案时充分考虑了网络的高性能、 可靠性，可扩充性， 以便支持以后网络分阶段升级的需要，保护原有投资。为此，遵循了以下原则： 先进性和实用性尽可能采用国际上先进的技术和设备，使产品系统具有良好的性能，不仅能 满足当前认证系统的需要，还要满足未来 3 至 5 年的需要。对一些目前不重要 的部分，则以经济实用为主，但要为以后的扩充打下基础。高可靠性采

14、用成熟的先进技术， 关键部件和线路有足够备份， 有必要的冗余容错能力， 如出了故障，要能及时指出故障点及故障原因。较强的扩充性能产品提供了很多于应用相连结的标准函数借口，能与将来的先进技术相结合，保护现有投资，保证系统能随时加入新的功能模块， 保证有关软件能顺利升 级和扩充。良好的安全保密措施由于此产品是一套独立的身份认证系统， 为了确保系统的安全保密措施和系 统的大范围适用性，我们提供了软硬件一体机，通过访问控制、及为用户设置权 限等措施，防止非法侵入。2.3功能模块架构应用系统Safee ngineSafeE ngi ne证书管理器身份认证系统系统初始化/系统管理/用户管理/证书管理/用户

15、自服务/系统服务证书编码OCSP/CRL等编码签发证书/黑名单/OCSP等用户信息管理证书信息管理编码加解密数据库Hardware身份认证系统特性身份认证系统支持平台身份认证系统充分发挥硬件的特性，便于管理和维护。减少人为干预兼容的应用软件和操作系统身份认证系统可与以下软件协同工作客户端应用程序：Netscape NavigatorNetscape CommunicationMicrosoft Internet ExploerUniTrust SafeEngine, UniTrust 证书管理器各种WE曲艮务器：MicroSoft IIS WebServerNetscape Enterpris

16、eApacheJava WebServerDomino统一的管理界面身份认证系统的操作管理都基于 WEB页面，有效降低维护的成本。支持各种介质身份认证系统支持用户证书存放在软盘、IC卡、USB棒以及服务器。严格的权限控制 身份认证系统分为系统管理员、系统操作员、系统用户和匿名用户四个级别 用户。系统管理员对系统的运行负责， 但不能接触任何用户数据， 同时必须超过 半数的系统管理员到场时才能进入系统管理模式。操作员仅能对用户进行操作， 不能影响系统的运行。 用户仅能对自己的数据进行操作， 不能修改他人数据。 匿 名用户提供公用的服务，如下载他人证书、根证书、下载黑名单等。所有的认证 方式均采用数

17、字认证方式进行，确保系统安全。私钥保护身份认证系统对私钥进行严格的保护，对所有存放在身份认证系统上的私 钥，采用多重加密方式， 同时身份认证系统采用硬件机， 无人可以直接获得身份 认证系统上的数据。日志 身份认证系统提供详尽的日志功能。包括系统日志和用户日志。系统日志主 要提供所有系统管理员、系统操作员、用户对系统信息、或证书信息的操作。系 统管理员可以通过日志查询获得系统的状态。历史信息查询 身份认证系统提供国内首创（专利号）的技术，用户历史信息查询。历史信 息包括用户的证书申请历史和证书使用信息。 证书申请信息包括用户申请证书的 记录申请时间、 批准或驳回、 更新时间、作废时间、上一张证书

18、、下一张证书等。 用户证书使用信息查询包括证书被验证记录， 提供验证者信息和时间。 供用户本 人查证自己证书使用纪录， 是否有他人试图使用自己的证书。 下一版本中， 将提 供用户告警机制， 用户可以设定自己的检查条件， 系统核查满足条件后， 就发送 告警信息给用户。以尽快解决安全隐患。政策编辑身份认证系统提供自行编辑证书政策的功能， 可以让运行商自行修改证书策 略。数据备份身份认证系统提供根证书的导入导出功能， 也支持所有的数据备份和恢复功 能。为数据安全提供保障。产品升级 对不断提高的技术和新的需求，身份认证系统努力提升产品性能和功能。身 份认证系统只需要系统管理员将系统进入维护模式， 运行

19、与该系统配套提供的软 件升级包，就可以对产品进行升级。2.4 身份认证系统功能简介系统初始化 执行系统初始化功能，包括删除所有数据，缺省系统管理员、系统操作员的 生成。根证书的生成或指定。系统 IP 地址更改。系统管理 执行系统管理功能，包括系统管理员管理、操作员管理、根证书管理、系统 服务管理、系统日志管理、 License 管理、系统密钥管理。用户信息管理主要执行用户信息管理的工作，包括用户信息的增加、修改、删除。证书申请信息管理 主要执行证书申请信息的管理工作， 包括证书申请信息的添加、 修改和删除。 证书的管理 如作废、签发、暂停、恢复等等。以及统计报表的制作打印等等。用户、证书自服务

20、：用户证书自管理的工作，如用户信息的录入，修改，用 户证书申请请求， 用户证书的下载， 用户证书的废除。 以及查询、 下载他人证书、 CRL 。下载根证书。接收注册请求，签发公钥证书 支持离线或在线签发证书两种方式。前者密钥对由身份认证系统生成；后者 密钥对在客户端由浏览器或其他 PKI 软件生成。证书查询用户可以输入一定的条目如 Email 或姓名等，通过模糊查询，获得用户证书 列表，选择一张证书下载到浏览器中，或保存。发布证书吊销名单（ CRL）定期发布最新证书吊销名单。 CRL 遵从 X.509V3 格式。 提供在线证书状态查询（ OCSP） 身份认证系统提供证书状态查询，有效提高可靠性

21、。 提供日志管理 日志是每次操作的记录，其主要作用有二。一是用于事后故障清查的系统维 护方面；其二是事故处理， 为系统安全审计提供现场记录数据， 是安全审计与追 踪的基础。身份认证系统访问控制访问身份认证系统需要强身份验证， 只有通过超过半数以上的系统管理员的 PIN 卡验证后，才允许系统管理员访问身份认证系统，执行安全操作。用户证书介质制作 用户证书介质即用户身份标识介质，介质中存有用户证书、该证书的签发者 证书、和被加密的该用户的私钥。 用户证书介质可以是软盘， 也可以是安全性更 高的 IC 卡或 USB 棒。用户证书介质的选择，需视用户对安全性的要求而定。2.5 身份认证系统安全性分析我

22、们提供的该套身份认证系统在安全设计过程中主要考虑四个主要措施： 身 份鉴别措施、数据的传递过程的机密性与完整性措施、 权限分割与互相制约措施、 自主和可控性措施的四项措施。2.5.1 本系统安全性保护的必要性数字化信息社会虽然给人们的工作带来了方便， 但是由于它是基于网络的信 息传递也给人们的工作带来了很多不便之处，在工作中缺少了物理界面的出现， 从而带来了信息安全保密问题的出现。 通过长时期的了解和观察， 我们发现我国 信息安全保密还存在以下问题：信息安全保密意识淡薄，缺少紧迫感和正确的认识。 信息网络防御能力脆弱，信息保密技术研究和技术防范手段滞后， 泄密隐患突出。信息安全基础设施薄弱，缺

23、少必要的物质条件，一些重要的信息系 统使用进口的安全设备，无法保证其安全性和有效监管。 信息安全保密管理力度不够，管理体系不够完善，内部管理漏洞隐 患大，网络缺少对用户认证与权限的管理，也缺少对信息内容的保 密级别的划分与设定。总之，本系统安全性保护不仅是必要的，也是相当重要的。2.5.2 安全性要求随着各个单位内网办公应用系统需求的迫切提升， 信息安全已成为焦点问题 之一，尤其是CA认证越来越成为整个电子商务中的安全重要环节，所以数字身 份认证系统本身的安全也越来越重要。 概括起来， 认证系统对安全的最基本要求 如下：身份鉴别( Authentication )在操作员或管理员进行认证系统的

24、操作钱要能确认对方的身份， 并要求在操 作过程中操作员或管理员的身份不能被假冒或伪装。数据的机密( Confidentiality ) 对敏感信息进行加密，及时别人截获数据也无法得到其内容。 数据的完整性( Integrity ) 要求接受方能够验证受到的信息是否完整，是否被人篡改，保证操作过程中 的信息安全。不可抵赖性( Non-Repudiation ) 操作一旦完成，发送方不能否认他发送的信息，接收方则不能否认他所收到 的信息。2.5.3 安全性设计原则在设计证书系统的安全时，我们主要遵守了以下原则：网络信息系统安全与保密的“木桶原则” ：对信息均衡、全面地进行 安全保护；网络信息安全系

25、统的“整体性原则” ：安全防护、检测和应急恢复； 数字身份认证系统安全性的“有效性与实用性”原则：不能影响系 统的正常运行和合法用户的操作活动； 信息安全系统的“等级性”原则：安全层次和安全级别； 信息安全系统的“动态化”原则：整个系统内尽可能引入更多的可 变因素，并具有良好的扩展性； 安全与保密系统的设计应与网络设计相结合的原则； 自主和可控性原则；权限分割、互相制约、最小化原则； 有的放矢、各取所需原则。2.5.4 安全性设计方案身份鉴别措施 身份鉴别措施是指在操作员或管理员进行登陆系统进行操作之前必须进行 身份的鉴别。流程图如下：每个管理员、操作员、证书用户在进入系统之前，都必须在系统的

26、数据库 中先录入各自的证书，这一过程也称开户。在管理员或操作员进行登录前，服务器会生成一个随机字符串，并要求登录者对这个字符串进行签名，由于这个字符串是随机的，并含有时间信息，所以 这种方法可防治重放攻击。登录者将随机字符串签名后，会将签名发送到服务器端。服务器可从库中 取出签名者的证书进行校验。如果检验通过，则证明登录者身份真实。在操作过程中操作员或管理员无论进行合作操作，都要对通信信息进行签 名，保证了其身份不能被假冒或伪装。 同时加入签名也保证了操作一旦完成， 发 送方不能否认他发送的信息，接收方则不能否认他所收到的信息。2.6 身份认证系统应用开发接口2.6.1 身份认证系统接口函数身

27、份认证系统接口函数是为所有基于该套系统证书应用程序开发者提供编 程接口。应用开发者不需要深入了解证书的结构、 获取、验证等一切与证书相关 的操作，只需要关心应用的开发即可。接口函数支持 1024/128 位强度的加密算 法，证书验证、黑名单查询、数字信封，数字签名，验证签名，摘要，对称加解 密，PEM编解码，从介质中读取证书，私钥，证书验证（包括 CRL, OCSP验 证），证书解码等。接口函数包括2种类型：API和证书管理器。API有标准c版和java版，支 持包括 Aix 、hp、Solaris、Windows 在内的各种主流操作系统；证书管理器 API 支持 Windows 系列。API

28、 提供的功能主要包括签名、从证书提取证书细节等各项功能；证书管理 器 API 不但包括了 API 的大部分功能，另外还提供了证书的管理功能，包括证 书的添加、删除、导入导出等功能，这些功能可以方便客户端对证书的管理，结 合 API 的强大功能，可以开发出一套功能强大的身份认证应用系统。我们保证密切配合应用系统开发商对 * 身份认证信息系统的开发， 以确保整个系统的完整和及时的开发完成。为客户端同时提供 ActiveX 控件和 JavaApplet 开发接口。应用服务器端同时提供动态连接库，COM组件和JavaBean开发接口。2.6.2 API 与身份认证系统结合开发应用系统在* 的系统中，需

29、要加入身份认证和数字信封等功能，保护网络上 数据的安全性、 保密性、 完整性、身份可识别以及各项操作的不可否认性等安全 功能，在分析了 * 的具体需求只有， 我们认为， 结合我们现有的产品身 份认证系统和接口函数，可以开发出一套适合需求的产品在开发过程中，我们建议按以下流程设计应用程序：1、* 通过身份认证系统为用户发放数字证书；2、在用户第一次登录系统时，要求用户使用数字证书等陆，应用系统发出 随机串要求客户端对随机串进行签名， 并返回签过名的随机串， 由应用系统验证 用户身份；（建议客户端使用证书管理器 API 开发，服务器端使用 API ）3、确认用户身份后，可以根据 * 系统的授权，进

30、行各项操作。因为身份认证系统是软、硬件一体机，用户只要通过Web就可以轻松的发放 证书，无需额外的管理和复杂的操作， 并且结合接口函数功能， 可以完成各项对 于证书的操作以及证书的管理。 同时身份认证系统的功能主要是管理证书和发放 证书，在应用系统中，只与应用系统关联，对网络没有额外的要求，所以不会影 响到外网的用户。通过身份认证系统数据导出接口， 可以把证书服务器和认证服务器中的用户 数据与主应用系统的数据库服务器（Oracle 9i）中的系统用户数据保持实时的一 致，确保整个系统用户管理功能的统一。2.7 身份认证系统使用案例身份认证系统已经成功应用在 上海市信息办、上海市证券交易所、上海药品 监督局、上海市统战部、上海市青浦区政府、上海市小企业管理办公室、浙江 移动通信有限公司等政府部门和企业。如下以身份认证系统