CA认证安全方案

CA^证安全解决方案错误!未找到引用源。CA认证安全解决方案TOC\o"1-5"\h\z\o"CurrentDocument"1方案背景 2\o"CurrentDocument"2需求分析 3\o"CurrentDocument"3系统框架设计 43.1.1系统流程 5\o"CurrentDocument"4第三方应用系统接入 .6\o"CurrentDocument"5CA证书与VPN的区别 7第1页CA认证安全解决方案1方案背景随着信息化建设的推进，信息化的水平也有了长足的提高，信息化已经成为政府、企业提高工作效率，降低运营成本、提升客户体验、增加客户粘度，提升自身形象的重要手段。信息化是架构在网络环境世界来展开，网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险，如何解决虚拟身份的真实有效，敏感信息在网络传输的安全保密且不被攻击者非法篡改，如何防止网络操作日后不被抵赖？同时，随着信息系统的不断增加，信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈。因此，安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋，上述问题逐渐给信息化建设管理者提出了新的挑战。此外，国家安全管理部门发布了《信息安全等级保护管理办法》，提出了”计算机信息系统实行安全等级保护〃的要求，等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求，本方案提出一套基于PKI密码技术的CA认证体系建设方案和基于数字证书的安全应用支撑解决方案，全面解决上述信息安全问题。CA认证安全解决方案2需求分析目前，”用户名+口令〃的认证方式普遍存在各个信息系统，基于用户名口令的认证方式是一种弱认证方式，由于其具有容易被猜测、字典攻击、非法拦截、责任认定无法到人等系列弱点，已经无法满足信息系统的安全需要，因此，需要建立一套CA认证系统，来完成数字证书的申请、审核、发放等生命周期管理，为最终用户提供唯一、安全、可信的网络身份标识。其次，需要提供一套基于数字证书的安全应用支撑平台，通过PKI密码技术实现强身份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项安全功能，同时，作为安全应用支撑平台，还应该面向众多的信息系统提供统一身份认证功能，实现SSO单点登录功能，满足应用级的授权管理需要。具体来说，安全需求如下：数字证书的发放管理：提供证书生命周期管理服务，包括证书的申请、审核、发放、更新、吊销等。强身份认证:满足基于数字证书的安全登录需要才是供黑名单查询功能，只有持有合法证书的用户才能登录到信息系统。机密性、完整性：对信息进行加密、完整性处理，保证信息传输过程的机密性和完整性。单点登录，多点漫游：用户只需使用数字证书完成一次统一认证，后续登录不需要再次认证则可进入其他信息系统。CA认证安全解决方案3系统框架设计根据上述安全需求分析，方案总体框架如下图所示：错误!未找到引用源。在整体应用框架下，PKI/CA认证系统负责发放和管理数字证书，USBKEY智能密码钥匙作为证书的载体存储数字证书，身份认证网关作为应用支撑体系，为各类业务系统提供基于数字证书的安全支撑，实现统一认证和各项安全功能。3.1.1系统流程(1)用户访问应用系统；(2)业务系统FILTER过滤插件判断用户是否已通过认证，如果没有则重定向到身份认证网关，并要求用户出示数字证书；(3)身份认证网关验证用户证书有效性，并查询CRL判断用户是否已经被CA认证安全解决方案吊销；⑷验证通过后，身份认证网关将验证结果及用户信息传递给应用系统，用户与应用系统之间直接进行通讯；(5)如果证书验证全部通过，身份认证网关检查用户权限，然后显示用户可登录系统列表，根据授权策略为用户签发单点登录TOKEN，用户凭借TOKEN单点登录到各业务系统中.CA认证安全解决方案4第三方应用系统接入第三方应用系统用户账号与证书进行绑定（数据库做好关联关系），当用户在登陆页面输入好账号、密码并选择好对应的证书，点击登陆按钮，数字证书需要对随机产生的一段字符串进行签名，并将随机字符串以及随机字符串的签名值作为参数提交到登陆后台处理。同时在客户端解析出证书的属性，证书序列号也做为参数提交到后台。这时候后台做的事情为：1、验证账号密码是否正确，验证前端提交来的证书序列号是否与该用户绑定的证书序列号一致（用户表与证书表做关联关系，证书表有序列号等属性值）。上述的验证通过后，要对前段提交来的签名值做验签动作，当账户密码+证书序列号+验签通过后才能当做完成认证登陆过程。

CA认证安全解决方案5CA证书与VPN的区别类型CAVPN概念CA机构，又称为证书授证(CertificateAuthority)中心，作为电子商务交易中受信任和具有权威性的第二方，承担公钥体系中公钥的合法性检验的责任。VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。CA中心为每个使用公开密钥的客户发放数字证书，数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。CA机构的数字签名使得第三者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书，因此是安全电子信息交换的核心。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问.作用.自身密钥的产生、存储、备份/恢复、归档和销毁.为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务1.VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者WiFi网络)连接到企业网络。此外，高速宽带第7页

CA认证安全解决方案.确定客户密钥生存周期，实施密钥吊销和更新管理.提供密钥生成和分发服务.提供密钥托管和密钥恢复服务.其他密钥生成和管理、密码运算功能网连接提供一种成本效率高的连接远程办公室的方法。2,设计良好的宽带VPN是模块化的和可升级的。VPN能够让应用者使用一种很容易设置的互联网基础设施，让新的用户迅速和轻松地添加到这个网络。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。技术支撑购买CA服务。CA中心颁发证书。服务端导入CA证书。烧录USBKey,应用程序改造为key登录模式。（如果需要key验证的话）。购买VPN服务。搭建部署VPN网络通道及设备。通过VPN控制台进行虚拟网络配置。VPN账户管理（如果需要用户同步的话，还要做用户接口）客户端需要安装VPN连接程序。场景分析为了提高外网应用（网站）的