现在的位置: 首页 > 综合 > 正文

企业CA认证系统部署应用案例

2013年05月25日 ⁄ 综合 ⁄ 共 3214字 ⁄ 字号 评论关闭

    PKI技术已经发展成熟并在各国得到了很好的应用,我国也建立了完善、自主的PKI安全体系,建设了很多地区性的CA认证中心和行业性CA认证中心。

    一、概述:

  国内某上市公司信息化起步较早,应用系统主要分布于总公司、局公司、处公司三级单位。已经初步实现OA系统的信息整合,信息化工作进一步将围绕信息流、工作流的整合,项目管理系统的建立以及公共基础安全平台建设展开。国内某上市公司信息系统是基于互联网进行建设,由于互联网的广泛性和开放性,使得整体信息系统存在很多安全隐患,给下一步的系统建设提出了高强度身份认证、数据机密性、完整性、不可抵赖等诸多安全需求。

  基于PKI((Public Key Infrastructure,公钥基础设施)技术、基于数字证书的完整的信息安全解决方案,从通信层面和应用层面解决了在网络环境和应用环境中的安全认证、数据加密、数据完整性保护和信息不可抵赖性的安全需求。能够很好实现应用资源和信息资源的开放性和安全性的结合。同时,PKI技术已经发展成熟并在各国得到了很好的应用,我国也建立了完善、自主的PKI安全体系,建设了很多地区性的CA认证中心和行业性CA认证中心。

  PKI技术是国际上通行的信息安全技术,应用范围最为广泛,并且基于PKI技术的数字签名已经成为具有法律效率的信息安全手段。在美国、加拿大、欧洲以及很多发展中国家都制定了相关电子签名法案,在我国电子签名法已于2005年4月1日正式开始实施,这些法案使得基于PKI技术的数字签名真正得到了法律的认可,并使得PKI技术逐步成为最为广泛采用的信息安全技术。

  国内某上市公司信息化建设中的身份认证、数据保密、数据完整、行为的抗抵赖等安全需求可以通过建设内部CA认证系统,通过向应用系统的使用者签发数字证书,实现系统登录以及操作和传输的安全保护,保证国内某上市公司各级单位信息系统的应用安全。

  二、总体设计思路

  某公司安全基础信息平台主要是建设企业内部CA认证系统,面向应用系统的用户和应用服务器颁发数字证书;并通过数字签名系统(MR DSign)实现基于数字证书的身份认证,替换以前的用户名+口令的认证模式。进一步还可以通过数字签名系统提供的数据加密和数字签名接口对应用系统进行深度安全加固,实现基于数字证书的机密性、完整性、抗抵赖性等安全功能。

  三、CA认证系统设计

  

  上图所示为国内某上市公司认证系统的组成,其中实线部分为本次建设的内容,包括:一个CA Server(认证中心)、一个LDAP(目录服务系统)。虚线部分为扩展性考虑部分,今后随着应用系统的建设和实施,以及证书应用的推广可在局公司建设二级CA,并可在处公司建设RA系统实现整个公司系统的信任体系和身份认证系统的建设。

  总公司CA认证系统:

  1. 总公司CA

  该CA认证系统采用梦龙科技电子证书认证系统(MRCA)产品,公司CA是整个公司系统的信任源头,该CA部署在公司总部,该CA主要职责如下:

  ◆与其他CA系统的交叉认证;

  ◆制订、管理整个公司的证书策略(CP)、证书实施说明(CPS);

  ◆为公司人员、机构、设备提供证书管理,主要包括证书申请、签发、下载、注销、更新等,管理证书注销列表。

  ◆支持直接下载用户申请成功的证书并制作到用户证书载体中,证书载体包括:软盘、USB Key和IC卡等。

  ◆管理下级CA和RA中心的接入。

  2. 目录服务系统(LDAP)

  目录服务系统采用梦龙科技的银河目录服务器(MR Galaxy)产品,目录服务系统主要提供数字证书、证书注销列标的发布,用户通过访问目录服务系统可以实现数字证书、根证书、证书注销列表的下载。

  3. 注册机构RA

  登记中心服务器面向登记中心操作员,在CA体系结构中起承上启下的作用,一方面向CA转发安全服务器传输过来的证书申请请求,另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。

  四、安全身份认证设计

  应用系统获得CA系统提供的安全服务,实现基于数字证书的高强度身份认证和其他安全需求可以通过采用数字签名系统(MR Cinas DSign)实现。

  

  针对B/S应用来讲,客户端采用ActiveX控件,用户在访问指定网页时可以自动的完成ActiveX的下载和注册,无须干预,有效提高产品的易用性和通用性,其结构请参考下图:

  

  五、证书介质设计

  证书格式和种类:

  全面支持X.509 V3证书,并且支持所有的X.509 V3标准定义的扩展。提供证书定制模板功能,允许管理员自定义证书类型、结构、需要的扩展域,另外系统支持汉字证书。

  支持X.509 V2证书撤销列表(CRL)。并采用CRL分布点技术提高应用查询性能。

  CA可以根据不同的用户需求签发不同应用的证书,证书的各种不同应用是证书策略的一部分,体现在X.509 V3 的扩展域上面,应用软件通过解释这些证书扩展域来实现各种应用,从而实现证书的管理策略。

  在系统中可以签发个人证书、企业证书和其他类型的证书(WEB证书、管理员证书、VPN证书、服务器证书、代码签名证书、windows域控制器证书、windows域用户证书等)。

  证书存储介质:

  CA认证系统所签发的证书支持以下存放介质:

  IC 卡

  CA认证系统签发的证书可以以IC卡作为存放介质。IC卡又称MEMORY卡,只能作为证书的存放介质,不能在卡内进行加解密和数字签名的工作,不能符合国家对安全方面的要求,建议一般用于安全性安全级别较低的场合。

  智能卡片方式

  CA认证系统签发的证书可以以智能IC卡作为存储介质。智能IC卡又称为CPU卡,即发放证书时,密钥对在智能IC卡内产生,所有的运算均在卡内完成,从根本上保证了用户私钥的安全。

  USBKEY(推荐)

  CA认证系统签发的证书可以以USBKEY作为存储介质,此种方式在携带还使用上都比较的方便,安全性也好,是现在CA证书存储介质比较常用的一种。

  本次方案中证书存储介质支持文件存储方式和USBKey存储方式,推荐采用USBKey存储方式。

  USBkey(密码钥匙),它主要是用来存储证书/密钥和完成相关密码运算的设备。它使用方便安全性高,已经在整个领域得到了充分的使用。对于内部用户我们建议使用这种方式来保护证书。

  六、遵从标准

MRCA产品支持的标准
类别
标准
标准内容
1、密码算法和标准
加密
SSF33分组密码算法
数字签名
RSA 数字签名,符合PKCS#1 V2.0
DSA,符合数字签名标准、美国 FIPS PUB 186 和 ANSIX9.30 (第一部分)
散列函数
SHA-1,符合美国 FIPS PUB 180-1 和 ANSI X9.30(第二部分)
MD5 报文摘要算法,符合因特网 RFC 1321
密钥管理
RSA 密钥传输符合因特网RFC 1421 和 1423 (PEM) 和 PKCS#1 V2.0
伪随机数生成符合 ANSIX9.1
对称技术的完整性
报文验证码 (MAC),符合美国 FIPSPUB 113、ANSIX9.9 和 X9.19
伪随机数生成
符合 ANSIX9.17
2、数据格式和协议
证书和证书注销列表格式
第3版证书和证书扩展,符合 ITU-Trec.X.509 (1997) 和公用标准 ISO/IEC 9594-8 (1997)
证书注销表和证书注销表扩展,符合 IETF PKIX-1概况表技术规范
证书注销表和证书注销表扩展,符合 IETF PKIX-1概况表技术规范
RSA 算法标识符和公开密钥格式,符合PEM 和 PKCS #1 V2.0
文件包封格式
基于因特网 RFC 1421 (PEM) 的标准文件包封格式
安全文件包封技术,符合 PKCS#7和S/MIME
安全会话格式
使用简单公钥机制 (SPKM),符合因特网 RFC 2025;SPKM 实体验证,符合 FIPS 196
目录协议
轻量目录存取协议 (LDAP),符合 RFC 1777
PKI 操作协议
符合 PKIX-2

抱歉!评论已关闭.