身份認證系統技術方案
******身份認證系統 技術方案 目 錄 1. 概述 3 1.1 前言 3 1.2 身份認證系統用戶認證需求描述 3 1.3 身份認證系統認證解決之道 5 1.3.1 身份認證系統的模式 5 1.3.2 建立身份認證系統 6 1.3.3 證書在身份認證系統上的安全應用 6 2. 詳細設計方案 8 2.1　身份認證系統 8 2.2 產品設計原則 8 2.2.1認證系統的設計原則 8 2.2.2 網絡環(huán)境設計原則 9 2.3 功能模塊架構 10 2.4 身份認證系統功能簡介 12 2.5 身份認證系統安全性分析 13 2.5.1本系統安全性保護的必要性 14 2.5.2安全性要求 14 2.5.3安全性設計原則 15 2.5.4安全性設計方案 15 2.6 身份認證系統應用開發(fā)接口 17 2.6.1身份認證系統接口函數 17 2.6.2 API與身份認證系統結合開發(fā)應用系統 17 2.7 身份認證系統使用案例 18 3. 系統配置 21 3.1 設備配置 21 1. 概述 1.1 前言 隨著網絡技術的高速發(fā)展，個人和企業(yè)將越來越多地把業(yè)務活動放到網絡上，因此 網絡的安全問題就更加關鍵和重要。據統計，在全球范圍內，由于信息系統的脆弱性而 導致的經濟損失，每年達數十億美元，并且呈逐年上升的趨勢。 利用數字證書、PKI、對稱加密算法、數字簽名、數字信封等加密技術，可以建立起 安全程度極高的身份認證系統，確保網上信息有效、安全地進行，從而使信息除發(fā)送方 和接收方外，不被其他方知悉（保密性）；保證傳輸過程中不被篡改（完整性和一致性 ）；發(fā)送方確信接收方不是假冒的（身份的真實性和不可偽裝性）；發(fā)送方不能否認自 己的發(fā)送行為（不可抵賴性）。 本方案根據*****的業(yè)務流程、管理模式的實施方案，充分運用現代網絡信息技術及 CA認證體系，建立*****身份認證系統，并可作為公務網CA的配套系統。 1.2 身份認證系統用戶認證需求描述 在***********業(yè)務發(fā)展過程中，為了更好的實現數據資源共享，充分發(fā)揮信息化對 *********系統發(fā)展的促進作用，************將綜合開發(fā)一套身份認證系統對目前的用 戶身份進行管理，為社會、相關職能部門以及各級機構提供服務。 在此系統的開發(fā)應用過程中，一個重要的任務是解決如何對應用系統用戶進行身份 認證從而確保數據的安全。下面將針對在此系統的開發(fā)應用中對用戶身份認證所做的需 求加以說明。 整個系統的邏輯結構如圖1所示： [pic] 圖1：系統邏輯結構示意圖 如圖1示，整個系統涉及了應用服務器、證書服務器以及相應的客戶端。系統運作流 程簡述如下： o 客戶端訪問應用服務器，應用服務器向認證服務器發(fā)出認證請求； o 認證服務器完成對用戶身份的認證并將與該用戶相對應的認證信息返回相應的應 用服務器； o 用戶在通過認證之后獲得在應用服務器獲得相應的授權，從而可以對應用系統進 行相應的訪問。 所提交的認證系統在滿足上述流程之外需要提供應用開發(fā)接口，滿足與應用服務器 之間的交互。這是將認證系統集成到整個身份認證系統的基礎條件，使得后續(xù)的開發(fā)工 作能夠利用認證信息做進一步的數據處理。考慮到平臺的兼容性，應用系統開發(fā)方可以 開發(fā)一個統一的接口程序與認證系統進行交互。另外還有如下幾點要求需注意： o 認證服務器的用戶信息需要依據數據庫服務器中的用戶信息為基礎； o 對于客戶端的身份認證最好采用硬件方式； o 客戶端通過廣域網連接到認證服務器，要求認證服務器是能夠面向廣域網用戶的 ； o 客戶端數量可以按250用戶計算； o 提供認證系統的安全模式說明，詳細介紹如何確保系統的安全； o 系統對認證系統的操作系統平臺無特殊要求。 1.3 身份認證系統認證解決之道 根據身份認證系統的設計原則，系統安全需要解決如下幾個方面的問題： o 數據的保密性。包括數據靜態(tài)存儲的保密性和數據傳輸過程中的保密性； o 有效的身份認證和權限控制。系統中的各個授權人員具有其特定級別的權限，可 以進行該權限的操作，無法越權操作；操作者事后無法否認其進行的操作；未 授權人員無法進入系統。 我們建議利用業(yè)界行之有效的高強度的加解密技術和身份認證技術保證身份認證系 統的安全，上海CA中心的數字身份認證系統可以為用戶提供解決辦法。身份認證系統主 要負責證書管理，保證系統安全不間斷地提供證書的申請和作廢，提供用戶信息和證書 的備份和歸檔，保證系統數據的完整性。 如何解決身份認證系統的安全性是我們關心的最大問題，結合身份認證系統，我們 設計如下的應用模式： 1.3.1 身份認證系統的模式 首先我們來看一下身份認證系統的模式： o 中心向操作員發(fā)放數字證書； o 用戶使用數字證書登陸，經身份驗證后，進入身份認證系統，填寫或修改表單并 提交； o 系統對表單進行處理，然后提交、登記身份認證系統。 1.3.2 建立身份認證系統 身份認證系統以及與其發(fā)生業(yè)務的部門通過網絡和數字證書建立安全可靠的身份認 證系統。 身份認證系統以及客戶和部門申請數字證書，其申請數字證書的方式詳見以下章節(jié) 的多種可選方案。 身份認證系統以及客戶和部門申請到了標識其身份的數字證書文件和對應的私鑰文 件。在此將證書信息文件稱為UserCert.der，私鑰信息文件稱為UserKey.key。證書的存 儲介質是帶有算法的USBKEY。 在我們的身份認證系統提供支持多種平臺的證書應用接口API（Application Programming Interface），WINDOWS平臺以DLL的形式提供，各種UNIX平臺以“.a”庫的形式提供。利用 該API，應用系統可以很方便的將數字證書應用嵌入到業(yè)務系統之中。 上海CA中心同時在客戶端提供ActiveX控件和JavaApplet開發(fā)接口應用服務器端同時 提供動態(tài)連接庫，COM組件和JavaBean開發(fā)接口。 1.3.3 證書在身份認證系統上的安全應用 以下假設向身份認證系統發(fā)訂單，利用數字證書的一次數據流程。身份認證系統的 服務器和操作員計算機各自申請一張標識其身份的數字證書，即具有其對應的證書文件 ，私鑰文件。這樣，通過自己計算機上的IE瀏覽器可以安全的訪問身份認證系統。 根據以上數據傳輸過程，可以完全保證數據傳輸的保密性、完整性、身份認證和不 可抵賴性。同理諸多運行在身份認證系統上的信息流都可以通過加密技術、數字簽名技 術以身份認證形式、安全電子郵件形式或文檔形式進行安全。 2. 詳細設計方案 2.1　身份認證系統 身份認證系統是在實際運作過程中，根據用戶需求開發(fā)的一套內網數字身份認證解決 方案套件。該系統可以作為公務網身份認證系統的配套產品適用于接入公務網的各委、 辦、局、區(qū)縣的內網應用系統中。該系統將主要針對內網的應用系統，同時結合公務網 身份認證系統的特點和需求，向辦公內網提供本地證書庫、本地證書管理、本地證書目 錄、本地證書管理、CRL查詢等服務。 該套系統的API提供了與身份認證系統配合使用的WEB安全套件，為WEB應用提供全方 位的身份認證服務。包括UniTrust登錄、UniTrust退出、對表單進行簽名、對表單進行 驗證、對數據進行加密、解密、對信息進行時間標記和時間驗證、以及身份信息控制。 可以滿足5 分鐘內500個并發(fā)用戶的驗證要求。 2.2 產品設計原則 2.2.1認證系統的設計原則 身份認證系統在設計時，從系統建設的近期和長遠目標來綜合考慮在設計中遵循了規(guī) 范性、安全可靠性、實用性、擴展性、經濟性、易用性和業(yè)務獨立性等原則。并在以上 原則中著重考慮了： 安全性 安全性是認證系統最為關注的問題，也是認證系統設計及建設中的關鍵，它包括Bro wser與Server間信息傳遞的安全控制，訪問系統的安全控制，系統數據的可追溯性。認 證系統有完整的安全策略控制體系以實現安全控制。其關鍵技術包括網頁簽名技術，身 份認證及信息加密技術，可保證系統間信息傳遞的安全，訪問系統的安全控制。 規(guī)范性 標準和規(guī)范是認證系統設計中的重要內容，這里所說的規(guī)范性，是指認證系統設計及建 立過程的規(guī)范性。目前有關認證系統的實際應用有著多種相關的規(guī)范，如X.509，PKCS1 0，PKCS7，PKCS12等。不同的用戶及系統在使用認證系統及證書時往往都按照相關的規(guī) 范調用。同時良好的規(guī)范也保證了身份認證系統協調工作時的方便性和準確性。 可擴展性 認證系統方案設計中，每個層次的設計采用模塊化設計，可根據用戶的不同需要發(fā)展 進行靈活擴展。如，在數字證書中加入自定義擴展項，從而使政府用戶可在證書中加入 相應的工作證號等信息。 特別是證書系統采用了B/S中的多層設計思想，使得系統可實現對于不同用戶的定制 服務，可以方便地實行對應用的控制與更新。 易管理性 系統的易管理性是證書認證系統的一個重要特點，系統對應提供多套管理系統，可對 系統各個層次進行管理。并可對一些經常性的統計工作提供基于Web的管理。 2.2.2 網絡環(huán)境設計原則 我們在作產品系統實施方案時充分考慮了網絡的高性能、可靠性，可擴充性，以便支 持以后網絡分階段升級的需要，保護原有投資。為此，遵循了以下原則： 先進性和實用性 盡可能采用國際上先進的技術和設備，使產品系統具有良好的性能，不僅能滿足當前 認證系統的需要，還要滿足未來3至5年的需要。對一些目前不重要的部分，則以經濟實 用為主，但要為以后的擴充打下基礎。 高可靠性 采用成熟的先進技術，關鍵部件和線路有足夠備份，有必要的冗余容錯能力，如出了 故障，要能及時指出故障點及故障原因。 較強的擴充性能 產品提供了很多于應用相連結的標準函數借口，能與將來的先進技術相結合，保護現 有投資，保證系統能隨時加入新的功能模塊，保證有關軟件能順利升級和擴充。 良好的安全保密措施 由于此產品是一套獨立的身份認證系統，為了確保系統的安全保密措施和系統的大范 圍適用性，我們提供了軟硬件一體機，通過訪問控制、及為用戶設置權限等措施，防止 非法侵入。 2.3 功能模塊架構 身份認證系統特性 身份認證系統支持平臺 身份認證系統充分發(fā)揮硬件的特性，便于管理和維護。減少人為干預。 兼容的應用軟件和操作系統 身份認證系統可與以下軟件協同工作 客戶端應用程序： Netscape Navigator Netscape Communication Microsoft Internet Exploer UniTrust SafeEngine, UniTrust 證書管理器 各種WEB服務器： MicroSoft IIS WebServer Netscape Enterprise Apache Java WebServer Domino 統一的管理界面 身份認證系統的操作管理都基于WEB頁面，有效降低維護的成本。 支持各種介質 身份認證系統支持用戶證書存放在軟盤、IC卡、USB棒以及服務器。 嚴格的權限控制 身份認證系統分為系統管理員、系統操作員、系統用戶和匿名用戶四個級別用戶。系 統管理員對系統的運行負責，但不能接觸任何用戶數據，同時必須超過半數的系統管理 員到場時才能進入系統管理模式。操作員僅能對用戶進行操作，不能影響系統的運行。 用戶僅能對自己的數據進行操作，不能修改他人數據。匿名用戶提供公用的服務，如下 載他人證書、根證書、下載黑名單等。所有的認證方式均采用數字認證方式進行，確保 系統安全。 私鑰保護 身份認證系統對私鑰進行嚴格的保護，對所有存放在身份認證系統上的私鑰，采用多 重加密方式，同時身份認證系統采用硬件機，無人可以直接獲得身份認證系統上的數據 。 日志 身份認證系統提供詳盡的日志功能。包括系統日志和用戶日志。系統日志主要提供所 有系統管理員、系統操作員、用戶對系統信息、或證書信息的操作。系統管理員可以通 過日志查詢獲得系統的狀態(tài)。 歷史信息查詢 身份認證系統提供國內首創(chuàng)（專利號）的技術，用戶歷史信息查詢。歷史信息包括用 戶的證書申請歷史和證書使用信息。證書申請信息包括用戶申請證書的記錄申請時間、 批準或駁回、更新時間、作廢時間、上一張證書、下一張證書等。用戶證書使用信息查 詢包括證書被驗證記錄，提供驗證者信息和時間。供用戶本人查證自己證書使用紀錄， 是否有他人試圖使用自己的證書。下一版本中，將提供用戶告警機制，用戶可以設定自 己的檢查條件，系統核查滿足條件后，就發(fā)送告警信息給用戶。以盡快解決安全隱患。 政策編輯 身份認證系統提供自行編輯證書政策的功能，可以讓運行商自行修改證書策略。 數據備份 身份認證系統提供根證書的導入導出功能，也支持所有的數據備份和恢復功能。為數 據安全提供保障。 產品升級 對不斷提高的技術和新的需求，身份認證系統努力提升產品性能和功能。身份認證系 統只需要系統管理員將系統進入維護模式，運行與該系統配套提供的軟件升級包，就可 以對產品進行升級。 2.4 身份認證系統功能簡介 系統初始化 執(zhí)行系統初始化功能，包括刪除所有數據，缺省系統管理員、系統操作員的生成。根 證書的生成或指定。系統IP地址更改。 系統管理 執(zhí)行系統管理功能，包括系統管理員管理、操作員管理、根證書管理、系統服務管...
身份認證系統技術方案