CA认证解决方案-CA-Server+网关

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

CA认证安全解决方案吉大正元信息技术股份有限公司CA认证安全解决方案吉大正元信息技术股份有限公司第1页目录1方案背景.............................................................................................................................22需求分析.............................................................................................................................33系统框架设计......................................................................................................................54系统逻辑设计......................................................................................................................65产品介绍.............................................................................................................................75.1CA认证系统...............................................................................................................75.1.1系统构架..............................................................................................................75.1.2系统功能..............................................................................................................85.1.3系统流程..............................................................................................................95.2身份认证网关..............................................................................................................95.2.1系统架构..............................................................................................................95.2.2系统功能............................................................................................................105.2.3系统流程............................................................................................................126网络拓扑设计....................................................................................................................137产品配置清单....................................................................................................................14CA认证安全解决方案吉大正元信息技术股份有限公司第2页1方案背景随着信息化建设的推进,信息化的水平也有了长足的提高,信息化已经成为政府、企业提高工作效率,降低运营成本、提升客户体验、增加客户粘度,提升自身形象的重要手段。信息化是架构在网络环境世界来展开,网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险,如何解决虚拟身份的真实有效,敏感信息在网络传输的安全保密且不被攻击者非法篡改,如何防止网络操作日后不被抵赖?同时,随着信息系统的不断增加,信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈。因此,安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋,上述问题逐渐给信息化建设管理者提出了新的挑战。此外,国家安全管理部门发布了《信息安全等级保护管理办法》,提出了“计算机信息系统实行安全等级保护”的要求,等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求,本方案提出一套基于PKI密码技术的CA认证体系建设方案和基于数字证书的安全应用支撑解决方案,全面解决上述信息安全问题。CA认证安全解决方案吉大正元信息技术股份有限公司第3页2需求分析目前,“用户名+口令”的认证方式普遍存在各个信息系统,基于用户名口令的认证方式是一种弱认证方式,由于其具有容易被猜测、字典攻击、非法拦截、责任认定无法到人等系列弱点,已经无法满足信息系统的安全需要,因此,需要建立一套CA认证系统,来完成数字证书的申请、审核、发放等生命周期管理,为最终用户提供唯一、安全、可信的网络身份标识。其次,需要提供一套基于数字证书的安全应用支撑平台,通过PKI密码技术实现强身份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项安全功能,同时,作为安全应用支撑平台,还应该面向众多的信息系统提供统一身份认证功能,实现SSO单点登录功能,满足应用级的授权管理需要。具体来说,安全需求如下:数字证书的发放管理:提供证书生命周期管理服务,包括证书的申请、审核、发放、更新、吊销等。强身份认证:满足基于数字证书的安全登录需要,提供黑名单查询功能,只有持有合法证书的用户才能登录到信息系统。机密性、完整性:对信息进行加密、完整性处理,保证信息传输过程的机密性和完整性。单点登录,多点漫游:用户只需使用数字证书完成一次统一认证,后续登录不需要再次认证则可进入其他信息系统。CA认证安全解决方案吉大正元信息技术股份有限公司第4页应用级访问控制:提供应用级访问控制功能,用户只能登录到被授权的信息系统。CA认证安全解决方案吉大正元信息技术股份有限公司第5页3系统框架设计根据上述安全需求分析,方案总体框架如下图所示:应用支撑应用门户应用系统2应用系统3基础设施安全应用其他应用系统PKI/CA证书认证系统证书管理办法证书格式标准密码设施应用系统1身份认证网关USBKEY智能密码钥匙在整体应用框架下,PKI/CA认证系统负责发放和管理数字证书,USBKEY智能密码钥匙作为证书的载体存储数字证书,身份认证网关作为应用支撑体系,为各类业务系统提供基于数字证书的安全支撑,实现统一认证和各项安全功能。另外,为了证书发放的规范运营,明确证书管理员的工作职责,需要为此而制定系列的证书管理办法。为了满足证书的安全应用,还需要制定本行业、本企业的证书格式规范,确保证书信息能方便被应用系统识别和调用。CA认证安全解决方案吉大正元信息技术股份有限公司第6页4系统逻辑设计系统逻辑设计如下图所示:OA系统其他系统身份认证网关访问访问访问手工导入CRLPKI/CA证书认证系统重定向用户FilterFilterFilter产生Token检查财务系统证书申请证书发放证书管理员(1)证书管理员登录CA系统,为用户申请、下载数字证书,然后交给用户使用;(2)用户登录业务系统,业务系统通过安装在系统上的FILTER过滤器来判断用户是否已经认证过,如果没有,则重定向用户登录网关登录页面;(3)用户按照网关页面插入USBKEY,并输入PIN保护密码,然后提交认证请求到身份认证网关;(4)身份认证网关判断证书的真实有效,并通过导入CRL证书黑名单,判断证书是否已经被吊销;(5)如果证书验证全部通过,身份认证网关检查用户权限,然后显示用户可CA认证安全解决方案吉大正元信息技术股份有限公司第7页登录系统列表,根据授权策略为用户签发单点登录TOKEN,用户凭借TOKEN单点登录到各业务系统中。5产品介绍5.1CA认证系统5.1.1系统构架CA签发系统加密机管理员CA认证系统架构如上图所示,其中:CA签发系统:负责证书的签发管理,所有证书的业务操作请求都提交到CA系统进行处理,包括证书签发、证书吊销、证书更新等。加密机:负责提供CA密钥服务功能,包括产生和存储CA密钥对,对CA系统提交的证书签发请求进行签发。CA认证安全解决方案吉大正元信息技术股份有限公司第8页5.1.2系统功能证书申请:提供证书的申请功能,包括管理申请和用户自助申请。证书签发:对于通过审核的证书申请,CA系统可以为其签发证书。证书下载:用户可以通过下载凭证安全的下载证书。对一些申请成功但是没有下载的证书,RA系统可以重新生成下载凭证(授权码),使用新的下载凭证即可进行证书下载。证书发布:对于签发好的证书,系统进行自动发布。证书更新:系统提供证书更新功能。证书查询:用户可以通过查询条件查询出符合条件的证书信息。证书注销:用户可以对一些不再使用或是使用过程中出现问题的证书进行注销操作,注销后的证书不可恢复。证书冻结:用户可以对短期内不会使用的证书进行冻结操作,在冻结期间内证书被限制不可使用。证书解冻:提供证书解冻功能,使得证书可以重新使用。证书实体查询:用户可以通过查询条件可以查询出符合条件的证书。CRL服务功能:提供CRL产生、CRL发布、CRL查询功能。用户信息维护:系统提供按照自定义的格式产生用户信息,并可以对用户信息进行添加、删除、修改等维护方式。CA认证安全解决方案吉大正元信息技术股份有限公司第9页分权管理:提供系统管理、业务操作和安全审计三权分离功能。主题规则管理:支持主题规则定义,提升用户使用服务体验。模板定制:提供数字证书模板自定义功能,实现证书扩展域名称、扩展域值的自定义,满足不同发证需求。日志审计:审计管理包括查询业务日志和统计证书功能,并生成相应统计报表。批量申请和制证:支持批量证书申请和制证的功能,简化管理员操作。5.1.3系统流程(1)管理员使用管理员证书登录CA系统完成证书信息的录入和审核,完成证书签发;(2)证书管理员为用户下载证书,如果证书介质采用USBKEY的话,证书将写入USBKEY;(3)证书管理员将证书交付用户使用。5.2身份认证网关5.2.1系统架构身份认证网关是基于PKI技术开发的硬件产品,主要满足用户对基于证书的高强度身份认证安全需求。面向多个应用系统,提供集中、统一的安全认证服务,形成统一的、高安全的身份验证中心。CA认证安全解决方案吉大正元信息技术股份有限公司第10页应用系统客户端FILTER身份认证网关身份认证网关采用代理技术,在业务系统安装Filter过滤插件完成用户的身份认证工作。插件负责拦截用户请求并将请求重定向到网关进行认证。认证成功后,用户直接访问应用系统。5.2.2系统功能用户身份认证:全面支持

1 / 15
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功