大型企业CA认证系统部署应用案例解析
国内某上市公司信息化起步较早,应用系统主要分布于总公司、局公司、处公司三级单位。已经初步实现OA系统的信息整合,信息化工作进一步将围绕信息流、工作流的整合,项目管理系统的建立以及公共基础安全平台建设展开。国内某上市公司信息系统是基于互联网进行建设,由于互联网的广泛性和开放性,使得整体信息系统存在很多安全隐患,给下一步的系统建设提出了高强度身份认证、数据机密性、完整性、不可抵赖等诸多安全需求。
基于PKI((Public Key Infrastructure,公钥基础设施)技术、基于数字证书的完整的信息安全解决方案,从通信层面和应用层面解决了在网络环境和应用环境中的安全认证、数据加密、数据完整性保护和信息不可抵赖性的安全需求。能够很好实现应用资源和信息资源的开放性和安全性的结合。同时,PKI技术已经发展成熟并在各国得到了很好的应用,我国也建立了完善、自主的PKI安全体系,建设了很多地区性的CA认证中心和行业性CA认证中心。
PKI技术是国际上通行的信息安全技术,应用范围最为广泛,并且基于PKI技术的数字签名已经成为具有法律效率的信息安全手段。在美国、加拿大、欧洲以及很多发展中国家都制定了相关电子签名法案,在我国电子签名法已于2005年4月1日正式开始实施,这些法案使得基于PKI技术的数字签名真正得到了法律的认可,并使得PKI技术逐步成为最为广泛采用的信息安全技术。
国内某上市公司信息化建设中的身份认证、数据保密、数据完整、行为的抗抵赖等安全需求可以通过建设内部CA认证系统,通过向应用系统的使用者签发数字证书,实现系统登录以及操作和传输的安全保护,保证国内某上市公司各级单位信息系统的应用安全。
二、总体设计思路
某公司安全基础信息平台主要是建设企业内部CA认证系统,面向应用系统的用户和应用服务器颁发数字证书;并通过数字签名系统(MR DSign)实现基于数字证书的身份认证,替换以前的用户名+口令的认证模式。进一步还可以通过数字签名系统提供的数据加密和数字签名接口对应用系统进行深度安全加固,实现基于数字证书的机密性、完整性、抗抵赖性等安全功能。
三、CA认证系统设计
上图所示为国内某上市公司认证系统的组成,其中实线部分为本次建设的内容,包括:一个CA Server(认证中心)、一个LDAP(目录服务系统)。虚线部分为扩展性考虑部分,今后随着应用系统的建设和实施,以及证书应用的推广可在局公司建设二级CA,并可在处公司建设RA系统实现整个公司系统的信任体系和身份认证系统的建设。
总公司CA认证系统:
1. 总公司CA
该CA认证系统采用梦龙科技电子证书认证系统(MRCA)产品,公司CA是整个公司系统的信任源头,该CA部署在公司总部,该CA主要职责如下:
◆与其他CA系统的交叉认证;
◆制订、管理整个公司的证书策略(CP)、证书实施说明(CPS);
◆为公司人员、机构、设备提供证书管理,主要包括证书申请、签发、下载、注销、更新等,管理证书注销列表。
◆支持直接下载用户申请成功的证书并制作到用户证书载体中,证书载体包括:软盘、USB Key和IC卡等。
◆管理下级CA和RA中心的接入。
2. 目录服务系统(LDAP)
目录服务系统采用梦龙科技的银河目录服务器(MR Galaxy)产品,目录服务系统主要提供数字证书、证书注销列标的发布,用户通过访问目录服务系统可以实现数字证书、根证书、证书注销列表的下载。
3. 注册机构RA
登记中心服务器面向登记中心操作员,在CA体系结构中起承上启下的作用,一方面向CA转发安全服务器传输过来的证书申请请求,另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。
四、安全身份认证设计
应用系统获得CA系统提供的安全服务,实现基于数字证书的高强度身份认证和其他安全需求可以通过采用数字签名系统(MR Cinas DSign)实现。
针对B/S应用来讲,客户端采用ActiveX控件,用户在访问指定网页时可以自动的完成ActiveX的下载和注册,无须干预,有效提高产品的易用性和通用性,其结构请参考下图:
五、证书介质设计
证书格式和种类:
全面支持X.509 V3证书,并且支持所有的X.509 V3标准定义的扩展。提供证书定制模板功能,允许管理员自定义证书类型、结构、需要的扩展域,另外系统支持汉字证书。
支持X.509 V2证书撤销列表(CRL)。并采用CRL分布点技术提高应用查询性能。
CA可以根据不同的用户需求签发不同应用的证书,证书的各种不同应用是证书策略的一部分,体现在X.509 V3 的扩展域上面,应用软件通过解释这些证书扩展域来实现各种应用,从而实现证书的管理策略。
在系统中可以签发个人证书、企业证书和其他类型的证书(WEB证书、管理员证书、VPN证书、服务器证书、代码签名证书、windows域控制器证书、windows域用户证书等)。
证书存储介质:
CA认证系统所签发的证书支持以下存放介质:
IC 卡
CA认证系统签发的证书可以以IC卡作为存放介质。IC卡又称MEMORY卡,只能作为证书的存放介质,不能在卡内进行加解密和数字签名的工作,不能符合国家对安全方面的要求,建议一般用于安全性安全级别较低的场合。
智能卡片方式
CA认证系统签发的证书可以以智能IC卡作为存储介质。智能IC卡又称为CPU卡,即发放证书时,密钥对在智能IC卡内产生,所有的运算均在卡内完成,从根本上保证了用户私钥的安全。
USBKEY(推荐)
CA认证系统签发的证书可以以USBKEY作为存储介质,此种方式在携带还使用上都比较的方便,安全性也好,是现在CA证书存储介质比较常用的一种。
本次方案中证书存储介质支持文件存储方式和USBKey存储方式,推荐采用USBKey存储方式。
USBkey(密码钥匙),它主要是用来存储证书/密钥和完成相关密码运算的设备。它使用方便安全性高,已经在整个领域得到了充分的使用。对于内部用户我们建议使用这种方式来保护证书。
六、遵从标准
|
MRCA产品支持的标准 |
||
|
类别 |
标准 |
标准内容 |
|
1、密码算法和标准 |
加密 |
SSF33分组密码算法 |
|
数字签名 |
RSA 数字签名,符合PKCS#1 V2.0 DSA,符合数字签名标准、美国 FIPS PUB 186 和 ANSIX9.30 (第一部分) |
|
|
散列函数 |
SHA-1,符合美国 FIPS PUB 180-1 和 ANSI X9.30(第二部分) MD5 报文摘要算法,符合因特网 RFC 1321 |
|
|
密钥管理 |
RSA 密钥传输符合因特网RFC 1421 和 1423 (PEM) 和 PKCS#1 V2.0 伪随机数生成符合 ANSIX9.1 |
|
|
对称技术的完整性 |
报文验证码 (MAC),符合美国 FIPSPUB 113、ANSIX9.9 和 X9.19 |
|
|
伪随机数生成 |
符合 ANSIX9.17 |
|
|
2、数据格式和协议 |
证书和证书注销列表格式 |
第3版证书和证书扩展,符合 ITU-Trec.X.509 (1997) 和公用标准 ISO/IEC 9594-8 (1997) 证书注销表和证书注销表扩展,符合 IETF PKIX-1概况表技术规范 证书注销表和证书注销表扩展,符合 IETF PKIX-1概况表技术规范 RSA 算法标识符和公开密钥格式,符合PEM 和 PKCS #1 V2.0 |
|
文件包封格式 |
基于因特网 RFC 1421 (PEM) 的标准文件包封格式 安全文件包封技术,符合 PKCS#7和S/MIME |
|
|
安全会话格式 |
使用简单公钥机制 (SPKM),符合因特网 RFC 2025;SPKM 实体验证,符合 FIPS 196 |
|
|
目录协议 |
轻量目录存取协议 (LDAP),符合 RFC 1777 |
|
|
PKI 操作协议 |
符合 PKIX-2 |
|
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【相关文章】
- CA认证系统知识点滴
- CA认证系统在外交部办公系统中的应用
大型企业CA认证系统部署应用案例解析相关推荐
- 资源放送丨《 Oracle RAC高并发系统的故障案例解析 - 2020云和恩墨大讲堂》PPT视频...
前段时间,墨天轮分享了直播<Oracle RAC高并发系统的故障案例解析>,在这里我们共享一下PPT和视频,供大家参考学习. 本次分享主要是跟大家讲解 Oracle RAC 的一些重要等待 ...
- Windows Server2019 搭建CA认证服务器部署方案
1.环境 1台root CA(独立根) 1台内网从属CA 1台有限访问内网的从属CA N台客户机 2.部署 1.先来了解一下CA部署结构 https://blog.51cto.com/thefalle ...
- 网络电话服务器安全认证管理系统,CA 数字证书认证系统建设解决方案
方案介绍 CA数字证书认证系统是信息系统安全基础设施,在企业内部建设CA数字证书认证系统后,签发的数字证书可作为业务系统用户的身份认证凭证,并能对关键交易进行签名,实现防抵赖和防篡改.同时制定统一的安 ...
- DKEY统一动态密码认证系统
大中型企业目前有多个业务系统,动态口令作为目前最安全的认证方式,各种业务系统如:VPN.Web应用程序.C/S应架构应用程序.Windows/Linux开机密码等认证安全,目前这些业务集成动态密码认证 ...
- CA认证与节点保密通信系统的设计与实现
基础知识 基础知识主要包括 公钥密码算法.数字签名.PKI技术.认证协议,可以自行查找观看. 系统方案 系统主要包括系统密钥的生成.证书签发系统以及节点通信系统三个部分的设计.首先,我们将介绍系统方案 ...
- 广州山地计算机软件公司,山地企业CA安全认证系统
产品简介: 企业CA安全认证系统是利用公钥概念和加密技术为ERP.OA.等信息系统提供的符合标准的一整套安全基础平台.企业CA安全认证系统能为不同角色的用户提供各种不同的安全服务,主要有身份识别与鉴别 ...
- 简单认识Samba服务以及Linux操作系统下部署案例解析
1.首先在介绍Samba服务之前我们先来简单的认识一下SMB协议.SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主 ...
- CA认证——使用吉大正元认证系统为门户把关
最近使用JeeCMS的系统需要用到CA认证,之前很是苦逼了一段时间毕竟是第一次接触类似的东西,没有专业的工程师指导,只给了一个demo和几个文档,当时真的是无从下手.幸好通过两个熬夜,不断的尝试终于成 ...
- .Net Core 认证系统之基于Identity Server4 Token的JwtToken认证源码解析
介绍JwtToken认证之前,必须要掌握.Net Core认证系统的核心原理,如果你还不了解,请参考.Net Core 认证组件源码解析,且必须对jwt有基本的了解,如果不知道,请百度.最重要的是你还 ...
最新文章
- 前百度首席科学家吴恩达携手富士康,要用人工智能升级制造业
- (转载)关于IAP与APP互相跳转的实现
- c++ 异步下获取线程执行结果_【分享吧】C++11多线程库介绍
- 洛谷P3349:小星星(容斥dp)
- android glide 版本,Android Studio 第六十七期 - Android Glide3.7.0和3.8.0用法
- 正泰eplan_【万泉河】给EPLAN初学者的建议:不用宏
- 左手补贴右手社交 杀入直播红海的拼多多会有机会吗?
- 【三极管知识】之【9011,9012,9013,9014,8050,8550 三极管的区别】
- lineedit加入边框 qt_qt qlineedit 边框
- 计算机论文参考文献范文,计算机文类论文参考文献 计算机文参考文献有哪些...
- 通过路由器映射 配置 远程访问
- 一次代码评审,差点过不了试用期!
- CANoe入门基础教程(一)
- redis常用命令集合
- 堆栈指针寄存器-SP详解
- 自动驾驶外卖上线,美团即将配送一切-1
- EPC的固定总价和固定单价,如何用?
- 换脸方法之FaceShifter
- uniapp 电子印章_初探uni-app框架 踩坑
- 使用vue做一个“淘宝“项目——3