西南石油大学CA技术说明.docVIP

西南石油大学 PKI/CA技术说明 目录 1. PKI/CA技术原理 3 2. 应用系统结合 3 2.1. 身份验证 3 2.2. 数据加密 4 2.3. 数据签名及签名验证 4 3. 解决效果 5 4. 产品清单 5 PKI/CA技术原理 PKI 技术的核心是采用数字证书进行公钥管理，通过证书认证机构，把用户的公钥和用户的标识信息（如用户名、电子邮件等）捆绑在一起，以在网络上标明和验证用户的身份。为了确保用户的身份及他所持有密钥的正确匹配，公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心（Certification Authority，CA），来确认声称拥有公开密钥的人的真正身份。这个数字证书包含了用户身份的部分信息及用户所持有的公开密钥及认证中心利用本身的私钥为数字证书加盖上数字签名。任何想发放自己公钥的用户，可以去认证中心申请自己的证书。认证中心在鉴定该人的真实身份后，颁发包含用户公钥的数字证书。其他用户只要能验证证书是真实的，并且信任颁发证书的认证中心，就可以确认用户的公钥，有了大家信任的认证中心用户才能放心方便的使用公钥技术带来的安全服务。 国富安公司通过在企业内部建设完整的CA 认证中心通用数字证书体系，能全面解决学校在信息化建设过程中所遇到的四大网络安全问题，学校只需一次性成本投入，建成后由企业完全自主管理和控制，不受第三方CA 机构的限制，并可以把学校所有的信息隐私控制在学校内部，减小信息安全风险。 应用系统结合 PKI/CA通过与应用系统结合可以取得以下效果： 身份验证 首先配置WEB服务器安全设置，配置服务器证书，将http协议配置为https协议，在服务端部署证书解析模块，系统通过证书解析模块获取证书内容。 当用户获得数字证书之后，可以使用证书登陆OA系统，此时用户客户端与应用系统的通讯在SSL通道内进行，保证了用户身份的合法性以及数据的保密性和完整性。 在安全登陆的过程中，用户与应用服务器进行双向的身份认证，即用户需要验证服务器的真实性，服务器也需要验证用户身份的真实性，服务器在验证用户的证书时需要验证以下内容： 1) 数字证书是否由本项目的认证与接入系统颁发。 2) 数字证书的有效期是否有效。 3) 数字证书是否已经被注销。 在验证了用户数字证书的合法性之后，需要结合应用系统的权限审批系统来确认当前用户的权限，确认权限所需的用户信息通过解析数字证书获得，标识用户身份的信息被写入数字证书的主题项（CN）中。 数据加密 本方案中用户客户端与应用系统的通讯在SSL通道内进行，所提供的传输加密过程由SSL协议本身完成。 数据签名及签名验证 签名服务部署选择在服务端部署数据签名控件和签名验证程序。具体签名和签名验证过程如下： 1) 用户在登陆系统后下载签名控件。 2) 客户通过调用安全控件包来执行签名操作。对文件包的签名信息以p7的格式保存，包括签名证书和签名信息。 3) 客户端系统获得p7格式签名信息，然后将对应的p7签名信息发送到服务器端。 4) 服务器接收到用户提交的信息，从p7格式的签名信息中获得签名证书和签名信息，验证证书的有效性和签名的正确性。 5) 验证完成后，应用服务器将用户p7签名信息保存到相应的数据库，同时向客户端发送一个回执，用户即时查看传送是否成功。 解决效果 通过在部署CA以后，取得以下解决效果： 防止对用户身份的假冒：采用数字证书+用户名/口令身份认证方式，防止了对用户身份的假冒； 防止对网络上信息的窃取：采用数字证书加密的方式，防止非法用户对网络上传输信息的窃取； 防止对网络上信息的篡改：通过对传输信息采取Hash算法取得摘要，再进行数字证书非对称加密的方式防止非法用户对网络上信息的篡改； 防止对发出的信息予以否认：通过数字签名的方式对用户发出的信息进行签名，抗抵赖； 通过在数字证书中采用时间戳，防止非法拥护采取“重放攻击”； 对Web服务器采用服务器证书，在用户登录网站平台进行用户-服务器的相互认证，防止网络钓鱼。 产品清单 单位：万圆 产品名称 产品型号 数量 备注 价格 总计 硬件 CA服务器 （高性能） 浪潮英信NF5280 （推荐） 2 CPU：Xeon E5504 内存：8GB DDR III 硬盘：支持热插拔SATA 320GB OS：Windows 2003 Enterprise Edition SP1 网卡：64位高性能双千兆网卡 CA服务器 （一般） 曙光天阔A620r-H （基本） 1 CPU：AMD Opteron 内存：4GB DDR III 硬盘：支持热插拔SAS 146GB OS：Windows 2003 Enterprise Edition SP1 网卡：千兆网卡(RJ45接口) 普通PC机 1 CPU：AMD