某身份认证系统技术方案.docx

*身份认证系统技术方案目 录1. 概述31.1前言31.2身份认证系统用户认证需求描述31.3身份认证系统认证解决之道51.3.1身份认证系统的模式51.3.2建立身份认证系统61.3.3证书在身份认证系统上的安全应用62. 详细设计方案82.1身份认证系统82.2产品设计原则82.2.1认证系统的设计原则82.2.2 网络环境设计原则92.3功能模块架构102.4 身份认证系统功能简介122.5身份认证系统安全性分析132.5.1本系统安全性保护的必要性142.5.2安全性要求142.5.3安全性设计原则152.5.4安全性设计方案152.6身份认证系统应用开发接口172.6.1身份认证系统接口函数172.6.2 API与身份认证系统结合开发应用系统172.7身份认证系统使用案例183.系统配置213.1 设备配置211.概述1.1前言随着网络技术的高速发展，个人和企业将越来越多地把业务活动放到网络上，因此网络的安全问题就更加关键和重要。据统计，在全球范围内，由于信息系统的脆弱性而导致的经济损失，每年达数十亿美元，并且呈逐年上升的趋势。利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高的身份认证系统，确保网上信息有效、安全地进行，从而使信息除发送方和接收方外，不被其他方知悉（保密性）；保证传输过程中不被篡改（完整性和一致性）；发送方确信接收方不是假冒的（身份的真实性和不可伪装性）；发送方不能否认自己的发送行为（不可抵赖性）。本方案根据*的业务流程、管理模式的实施方案，充分运用现代网络信息技术及CA认证体系，建立*身份认证系统，并可作为公务网CA的配套系统。1.2身份认证系统用户认证需求描述在*业务发展过程中，为了更好的实现数据资源共享，充分发挥信息化对*系统发展的促进作用，*将综合开发一套身份认证系统对目前的用户身份进行管理，为社会、相关职能部门以及各级机构提供服务。在此系统的开发应用过程中，一个重要的任务是解决如何对应用系统用户进行身份认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需求加以说明。整个系统的逻辑结构如图1所示：图1：系统逻辑结构示意图如图1示，整个系统涉及了应用服务器、证书服务器以及相应的客户端。系统运作流程简述如下：l 客户端访问应用服务器，应用服务器向认证服务器发出认证请求；l 认证服务器完成对用户身份的认证并将与该用户相对应的认证信息返回相应的应用服务器；l 用户在通过认证之后获得在应用服务器获得相应的授权，从而可以对应用系统进行相应的访问。所提交的认证系统在满足上述流程之外需要提供应用开发接口，满足与应用服务器之间的交互。这是将认证系统集成到整个身份认证系统的基础条件，使得后续的开发工作能够利用认证信息做进一步的数据处理。考虑到平台的兼容性，应用系统开发方可以开发一个统一的接口程序与认证系统进行交互。另外还有如下几点要求需注意：l 认证服务器的用户信息需要依据数据库服务器中的用户信息为基础；l 对于客户端的身份认证最好采用硬件方式；l 客户端通过广域网连接到认证服务器，要求认证服务器是能够面向广域网用户的；l 客户端数量可以按250用户计算；l 提供认证系统的安全模式说明，详细介绍如何确保系统的安全；l 系统对认证系统的操作系统平台无特殊要求。1.3身份认证系统认证解决之道根据身份认证系统的设计原则，系统安全需要解决如下几个方面的问题：l 数据的保密性。包括数据静态存储的保密性和数据传输过程中的保密性；l 有效的身份认证和权限控制。系统中的各个授权人员具有其特定级别的权限，可以进行该权限的操作，无法越权操作；操作者事后无法否认其进行的操作；未授权人员无法进入系统。我们建议利用业界行之有效的高强度的加解密技术和身份认证技术保证身份认证系统的安全，上海CA中心的数字身份认证系统可以为用户提供解决办法。身份认证系统主要负责证书管理，保证系统安全不间断地提供证书的申请和作废，提供用户信息和证书的备份和归档，保证系统数据的完整性。如何解决身份认证系统的安全性是我们关心的最大问题，结合身份认证系统，我们设计如下的应用模式：1.3.1身份认证系统的模式首先我们来看一下身份认证系统的模式：l 中心向操作员发放数字证书；l 用户使用数字证书登陆，经身份验证后，进入身份认证系统，填写或修改表单并提交；l 系统对表单进行处理，然后提交、登记身份认证系统。1.3.2建立身份认证系统身份认证系统以及与其发生业务的部门通过网络和数字证书建立安全可靠的身份认证系统。身份认证系统以及客户和部门申请数字证书，其申请数字证书的方式详见以下章节的多种可选方案。身份认证系统以及客户和部门申请到了标识其身份的数字证书文件和对应的私钥文件。在此将证书信息文件称为UserCert.der，私钥信息文件称为UserKey.key。证书的存储介质是带有算法的USBKEY。在我们的身份认证系统提供支持多种平台的证书应用接口API（Application Programming Interface），WINDOWS平台以DLL的形式提供，各种UNIX平台以“.a”库的形式提供。利用该API，应用系统可以很方便的将数字证书应用嵌入到业务系统之中。上海CA中心同时在客户端提供ActiveX控件和JavaApplet开发接口应用服务器端同时提供动态连接库，COM组件和JavaBean开发接口。1.3.3证书在身份认证系统上的安全应用以下假设向身份认证系统发订单，利用数字证书的一次数据流程。身份认证系统的服务器和操作员计算机各自申请一张标识其身份的数字证书，即具有其对应的证书文件，私钥文件。这样，通过自己计算机上的IE浏览器可以安全的访问身份认证系统。根据以上数据传输过程，可以完全保证数据传输的保密性、完整性、身份认证和不可抵赖性。同理诸多运行在身份认证系统上的信息流都可以通过加密技术、数字签名技术以身份认证形式、安全电子邮件形式或文档形式进行安全。2.详细设计方案2.1身份认证系统身份认证系统是在实际运作过程中，根据用户需求开发的一套内网数字身份认证解决方案套件。该系统可以作为公务网身份认证系统的配套产品适用于接入公务网的各委、办、局、区县的内网应用系统中。该系统将主要针对内网的应用系统，同时结合公务网身份认证系统的特点和需求，向办公内网提供本地证书库、本地证书管理、本地证书目录、本地证书管理、CRL查询等服务。 该套系统的API提供了与身份认证系统配合使用的WEB安全套件，为WEB应用提供全方位的身份认证服务。包括UniTrust登录、UniTrust退出、对表单进行签名、对表单进行验证、对数据进行加密、解密、对信息进行时间标记和时间验证、以及身份信息控制。可以满足5 分钟内500个并发用户的验证要求。2.2产品设计原则2.2.1认证系统的设计原则身份认证系统在设计时，从系统建设的近期和长远目标来综合考虑在设计中遵循了规范性、安全可靠性、实用性、扩展性、经济性、易用性和业务独立性等原则。并在以上原则中着重考虑了：安全性安全性是认证系统最为关注的问题，也是认证系统设计及建设中的关键，它包括Browser与Server间信息传递的安全控制，访问系统的安全控制，系统数据的可追溯性。认证系统有完整的安全策略控制体系以实现安全控制。其关键技术包括网页签名技术，身份认证及信息加密技术，可保证系统间信息传递的安全，访问系统的安全控制。规范性 标准和规范是认证系统设计中的重要内容，这里所说的规范性，是指认证系统设计及建立过程的规范性。目前有关认证系统的实际应用有着多种相关的规范，如X.509，PKCS10，PKCS7，PKCS12等。不同的用户及系统在使用认证系统及证书时往往都按照相关的规范调用。同时良好的规范也保证了身份认证系统协调工作时的方便性和准确性。可扩展性认证系统方案设计中，每个层次的设计采用模块化设计，可根据用户的不同需要发展进行灵活扩展。如，在数字证书中加入自定义扩展项，从而使政府用户可在证书中加入相应的工作证号等信息。特别是证书系统采用了B/S中的多层设计思想，使得系统可实现对于不同用户的定制服务，可以方便地实行对应用的控制与更新。易管理性系统的易管理性是证书认证系统的一个重要特点，系统对应提供多套管理系统，可对系统各个层次进行管理。并可对一些经常性的统计工作提供基于Web的管理。2.2.2 网络环境设计原则我们在作产品系统实施方案时充分考虑了网络的高性能、可靠性，可扩充性，以便支持以后网络分阶段升级的需要，保护原有投资。为此，遵循了以下原则： 先进性和实用性 尽可能采用国际上先进的技术和设备，使产品系统具有良好的性能，不仅能满足当前认证系统的需要，还要满足未来3至5年的需要。对一些目前不重要的部分，则以经济实用为主，但要为以后的扩充打下基础。 高可靠性 采用成熟的先进技术，关键部件和线路有足够备份，有必要的冗余容错能力，如出了故障，要能及时指出故障点及故障原因。 较强的扩充性能 产品提供了很多于应用相连结的标准函数借口，能与将来的先进技术相结合，保护现有投资，保证系统能随时加入新的功能模块，保证有关软件能顺利升级和扩充。 良好的安全保密措施 由于此产品是一套独立的身份认证系统，为了确保系统的安全保密措施和系统的大范围适用性，我们提供了软硬件一体机，通过访问控制、及为用户设置权限等措施，防止非法侵入。 2.3功能模块架构应用系统证书管理器SafeEngineSafeengine身份认证系统系统初始化/系统管理/用户管理/证书管理/用户自服务/系统服务证书信息管理用户信息管理签发证书/黑名单/OCSP等证书编码OCSP/CRL等编码数据库加解密编码HardWare身份认证系统特性身份认证系统支持平台身份认证系统充分发挥硬件的特性，便于管理和维护。减少人为干预。兼容的应用软件和操作系统身份认证系统可与以下软件协同工作客户端应用程序：Netscape NavigatorNetscape CommunicationMicrosoft Internet ExploerUniTrust SafeEngine, UniTrust 证书管理器各种WEB服务器：MicroSoft IIS WebServerNetscape EnterpriseApacheJava WebServerDomino统一的管理界面身份认证系统的操作管理都基于WEB页面，有效降低维护的成本。支持各种介质身份认证系统支持用户证书存放在软盘、IC卡、USB棒以及服务器。严格的权限控制身份认证系统分为系统管理员、系统操作员、系统用户和匿名用户四个级别用户。系统管理员对系统的运行负责，但不能接触任何用户数据，同时必须超过半数的系统管理员到场时才能进入系统管理模式。操作员仅能对用户进行操作，不能影响系统的运行。用户仅能对自己的数据进行操作，不能修改他人数据。匿名用户提供公用的服务，如下载他人证书、根证书、下载黑名单等。所有的认证方式均采用数字认证方式进行，确保系统安全。私钥保护身份认证系统对私钥进行严格的保护，对所有存放在身份认证系统上的私钥，采用多重加密方式，同时身份认证系统采用硬件机，无人可以直接获得身份认证系统上的数据。日志身份认证系统提供详尽的日志功能。包括系统日志和用户日志。系统日志主要提供所有系统管理员、系统操作员、用户对系统信息、或证书信息的操作。系统管理员可以通过日志查询获得系统的状态。历史信息查询身份认证系统提供国内首创（专利号）的技术，用户历史信息查询。历史信息包括用户的证书申请历史和证书使用信息。证书申请信息包括用户申请证书的记录申请时间、批准或驳回、更新时间、作废时间、上一张证书、下一张证书等。用户证书使用信息查询包括证书被验证记录，提供验证者信息和时间。供用户本人查证自己证书使用纪录，是否有他人试图使用自己的证书。下一版本中，将提供用户告警机制，用户可以设定自己的检查条件，系统核查满足条件后，就发送告警信息给用户。以尽快解决安全隐患。政策编辑身份认证系统提供自行编辑证书政策的功能，可以让运行商自行修改证书策略。数据备份身份认证系统提供根证书的导入导出功能，也支持所有的数据备份和恢复功能。为数据安全提供保障。产品升级对不断提高的技术和新的需求，身份认证系统努力提升产品性能和功能。身份认证系统只需要系统管理员将系统进入维护模式，运行与该系统配套提供的软件升级包，就可以对产品进行升级。2.4 身份认证系统功能简介系统初始化执行系统初始化功能，包括删除所有数据，缺省系统管理员、系统操作员的生成。根证书的生成或指定。系统IP地址更改。系统管理执行系统管理功能，包括系统管理员管理、操作员管理、根证书管理、系统服务管理、系统日志管理、License管理、系统密钥管理。用户信息管理主要执行用户信息管理的工作，包括用户信息的增加、修改、删除。证书申请信息管理主要执行证书申请信息的管理工作，包括证书申请信息的添加、修改和删除。证书的管理如作废、签发、暂停、恢复等等。以及统计报表的制作打印等等。用户、证书自服务：用户证书自管理的工作，如用户信息的录入，修改，用户证书申请请求，用户证书的下载，用户证书的废除。以及查询、下载他人证书、CRL。下载根证书。接收注册请求，签发公钥证书支持离线或在线签发证书两种方式。前者密钥对由身份认证系统生成；后者密钥对在客户端由浏览器或其他PKI软件生成。证书查询 用户可以输入一定的条目如Email或姓名等，通过模糊查询，获得用户证书列表，选择一张证书下载到浏览器中，或保存。发布证书吊销名单（CRL）定期发布最新证书吊销名单。CRL遵从X.509V3格式。提供在线证书状态查询（OCSP）身份认证系统提供证书状态查询，有效提高可靠性。提供日志管理日志是每次操作的记录，其主要作用有二。一是用于事后故障清查的系统维护方面；其二是事故处理，为系统安全审计提供现场记录数据，是安全审计与追踪的基础。身份认证系统访问控制访问身份认证系统需要强身份验证，只有通过超过半数以上的系统管理员的PIN卡验证后，才允许系统管理员访问身份认证系统，执行安全操作。用户证书介质制作用户证书介质即用户身份标识介质，介质中存有用户证书、该证书的签发者证书、和被加密的该用户的私钥。用户证书介质可以是软盘，也可以是安全性更高的IC卡或USB棒。用户证书介质的选择，需视用户对安全性的要求而定。2.5身份认证系统安全性分析我们提供的该套身份认证系统在安全设计过程中主要考虑四个主要措施：身份鉴别措施、数据的传递过程的机密性与完整性措施、权限分割与互相制约措施、自主和可控性措施的四项措施。2.5.1本系统安全性保护的必要性数字化信息社会虽然给人们的工作带来了方便，但是由于它是基于网络的信息传递也给人们的工作带来了很多不便之处，在工作中缺少了物理界面的出现，从而带来了信息安全保密问题的出现。通过长时期的了解和观察，我们发现我国信息安全保密还存在以下问题：l 信息安全保密意识淡薄，缺少紧迫感和正确的认识。l 信息网络防御能力脆弱，信息保密技术研究和技术防范手段滞后，泄密隐患突出。l 信息安全基础设施薄弱，缺少必要的物质条件，一些重要的信息系统使用进口的安全设备，无法保证其安全性和有效监管。l 信息安全保密管理力度不够，管理体系不够完善，内部管理漏洞隐患大，网络缺少对用户认证与权限的管理，也缺少对信息内容的保密级别的划分与设定。总之，本系统安全性保护不仅是必要的，也是相当重要的。2.5.2安全性要求随着各个单位内网办公应用系统需求的迫切提升，信息安全已成为焦点问题之一，尤其是CA认证越来越成为整个电子商务中的安全重要环节，所以数字身份认证系统本身的安全也越来越重要。概括起来，认证系统对安全的最基本要求如下：身份鉴别（Authentication ）在操作员或管理员进行认证系统的操作钱要能确认对方的身份，并要求在操作过程中操作员或管理员的身份不能被假冒或伪装。数据的机密（Confidentiality）对敏感信息进行加密，及时别人截获数据也无法得到其内容。数据的完整性（Integrity）要求接受方能够验证受到的信息是否完整，是否被人篡改，保证操作过程中的信息安全。不可抵赖性（Non-Repudiation）操作一旦完成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。2.5.3安全性设计原则在设计证书系统的安全时，我们主要遵守了以下原则：l 网络信息系统安全与保密的“木桶原则”：对信息均衡、全面地进行安全保护；l 网络信息安全系统的“整体性原则”：安全防护、检测和应急恢复；l 数字身份认证系统安全性的“有效性与实用性”原则：不能影响系统的正常运行和合法用户的操作活动；l 信息安全系统的“等级性”原则：安全层次和安全级别；l 信息安全系统的“动态化”原则：整个系统内尽可能引入更多的可变因素，并具有良好的扩展性；l 安全与保密系统的设计应与网络设计相结合的原则；l 自主和可控性原则；l 权限分割、互相制约、最小化原则；l 有的放矢、各取所需原则。2.5.4安全性设计方案身份鉴别措施身份鉴别措施是指在操作员或管理员进行登陆系统进行操作之前必须进行身份的鉴别。流程图如下：登录者用自己的私钥对这段随机文字进行签名，并上送自己的证书序列号服务器随机生成一段文字，下传到客户端服务器根据上送的证书序列号从数据库中取出登录者的证书校验签名成功登录拒绝登录成功拒绝每个管理员、操作员、证书用户在进入系统之前，都必须在系统的数据库中先录入各自的证书，这一过程也称开户。在管理员或操作员进行登录前，服务器会生成一个随机字符串，并要求登录者对这个字符串进行签名，由于这个字符串是随机的，并含有时间信息，所以这种方法可防治重放攻击。登录者将随机字符串签名后，会将签名发送到服务器端。服务器可从库中取出签名者的证书进行校验。如果检验通过，则证明登录者身份真实。在操作过程中操作员或管理员无论进行合作操作，都要对通信信息进行签名，保证了其身份不能被假冒或伪装。同时加入签名也保证了操作一旦完成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。2.6身份认证系统应用开发接口2.6.1身份认证系统接口函数身份认证系统接口函数是为所有基于该套系统证书应用程序开发者提供编程接口。应用开发者不需要深入了解证书的结构、获取、验证等一切与证书相关的操作，只需要关心应用的开发即可。接口函数支持1024/128位强度的加密算法，证书验证、黑名单查询、数字信封，数字签名，验证签名，摘要，对称加解密，PEM编解码，从介质中读取证书，私钥，证书验证（包括CRL，OCSP验证），证书解码等。接口函数包括2种类型：API和证书管理器。API有标准c版和java 版，支持包括Aix、hp、Solaris、Windows 在内的各种主流操作系统；证书管理器API支持Windows系列。API提供的功能主要包括签名、从证书提取证书细节等各项功能；证书管理器API不但包括了API的大部分功能，另外还提供了证书的管理功能，包括证书的添加、删除、导入导出等功能，这些功能可以方便客户端对证书的管理，结合API的强大功能，可以开发出一套功能强大的身份认证应用系统。我们保证密切配合应用系统开发商对*身份认证信息系统的开发，以确保整个系统的完整和及时的开发完成。为客户端同时提供ActiveX控件和JavaApplet开发接口。应用服务器端同时提供动态连接库，COM组件和JavaBean开发接口。 2.6.2 API与身份认证系统结合开发应用系统在*的系统中，需要加入身份认证和数字信封等功能，保护网络上数据的安全性、保密性、完整性、身份可识别以及各项操作的不可否认性等安全功能，在分析了*的具体需求只有，我们认为，结合我们现有的产品身份认证系统和接口函数，可以开发出一套适合需求的产品。在开发过程中，我们建议按以下流程设计应用程序：1、*通过身份认证系统为用户发放数字证书；2、在用户第一次登录系统时，要求用户使用数字证书等陆，应用系统发出随机串要求客户端对随机串进行签名，并返回签过名的随机串，由应用系统验证用户身份；（建议客户端使用证书管理器 API开发，服务器端使用API）3、确认用户身份后，可以根据*系统的授权，进行各项操作。因为身份认证系统是软、硬件一体机，用户只要通过Web就可以轻松的发放证书，无需额外的管理和复杂的操作，并且结合接口函数功能，可以完成各项对于证书的操作以及证书的管理。同时身份认证系统的功能主要是管理证书和发放证书，在应用系统中，只与应用系统关联，对网络没有额外的要求，所以不会影响到外网的用户。通过身份认证系统数据导出接口，可以把证书服务器和认证服务器中的用户数据与主应用系统的数据库服务器（Oracle 9i）中的系统用户数据保持实时的一致，确保整个系统用户管理功能的统一。2.7身份认证系统使用案例身份认证系统已经成功应用在上海市信息办、上海市证券交易所、上海药品监督局、上海市统战部、上海市青浦区政府、上海市小企业管理办公室、浙江移动通信有限公司等政府部门和企业。如下以身份认证系统在政务网系统中应用为例，说明信息加密和身份控制的应用。政府上网工程中必须保证以下几个因素：在线身份认证身份认证在整个政务网中的重要性是不言而喻的。所有其他的控制都来自于身份认证的正确性。传统的密码口令不能足以保证身份的准确性。必须采用高强度的认证机制（CA认证机制）。同时也必须提供在线的认证机制，以避免证书在丢失后可能导致的风险。权限控制由于业务应用系统网中，大多为内部机密信息。对权限的控制非常重要，必须提供严格的控制，这种控制如果通过传统的数据库方式进行，可以做到，但会花费极大的成本，同时也增加了管理的难度。用数字证书可以方便的实现全程通用的模块，而不用建立独立的数据库，单独进行管理。不可抵赖和数据完整性业务应用系统网由于其特性的限制，对每个信息的认证必须是强有力的，比如冒充领导发布命令，可能会导致很大的损失。必须对信息进行不可抵赖性验证。数据加密业务应用系统网流通的信息都是机密信息，必须进行数据加密，以免网络监听或其他非法获取信息。为保证以上安全，可以采用身份认证系统和身份认证系统接口函数结合，打造安全的网络。（如下图所示）在案例中，我们对业务应用系统网采用一级的证书、多级管理模式，适合于内部人数少于500人的网络。操作员可以通过网络进行管理，对所属的用户进行证书管理工作，如审核、签发、废除等。每个用户可以通过专网或公网向证书服务器申请证书。每个服务器上的应用采用SafeEngine进行开发，该套件可以提供数据签名、数据加密、身份认证等需要用到功能模块，应用开发者只需要调用模块可以进行方便的开发。在每个应用中，可以对用户进行身份验证、获取身份信息，可以已此进行权限控制、对指定的表单进行加密、签名等等所有的工作。由此可以建立一套完整的安全政务环境。3.系统配置3.1 设备配置序号清单内容说明数量1.身份认证系统认证服务器用于集中的身份认证1电源线1根读卡器SHECA 型1个初始化卡SHECA 型2张系统操作员卡SHECA 型5张系统管理员卡SHECA 型5张License卡SHECA 型1张产品资料手册1本销售许可证1份产品保修卡1份使用注意事项1份系统配套光盘证书管理器、Acrobat、 Reader5.0(Chinese)1套操作终端操作员IC卡 1操作员IC卡 2用户证书介质带算法USB 接口棒25020