PKI_CA(客户端证书)方案.pdfVIP

上海域联软件技术有限公司 PKI/CA 系统解决方案 1 前言2 2 应用安全需求概述2 3 域联PKI/CA 系统简介3 3.1 认证体系设计3 3.2 域联 PKI/CA 系统功能模块5 3.2.1 证书签发5 3.2.2 证书生命周期管理5 3.2.3 CRL 服务功能6 3.2.4 目录服务功能6 3.2.5 CA 管理功能6 3.2.6 日志与审计功能6 3.2.7 CA 密钥管理7 _____________________________________________________________________________________________上海域联软件技术有限公司 1 前言 以Internet 为代表的全球性信息化浪潮迅猛发展，信息网络技术的应用正日益普及和广 泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩 展，从典型的如金融业务系统、网上证券交易业务系统、企业内部应用系统，逐渐扩展到政 府办公系统应用。在这股浪潮的推动下，为了提高企业的办事效率，各个企业纷纷利用先进 的IT 技术来降低政务办公的成本和加强信息管理，广泛的开展电子政务。 由于业务发展的需要，用户也建设了自己的各种应用信息系统，为了保证系统的正常运 转，有必要采取安全的措施来保障各个应用系统运行的安全。本文主要目的是旨在分析用户 的系统安全需求，然后阐明采用PKI/CA 技术，来保障用户的信息系统安全。 2 应用安全需求概述 随着用户信息系统的建设，大量的办公业务数据文件通过网络相互传递，同时大量的数 据文件也保存于文件服务器之上。如果不能保证这些系统的用户登录认证安全，保证这些数 据的传输安全，其后果是可想而知的。此外，在实现资源和数据共享的同时，也面临巨大的 威胁和风险，我们必须对这些资料进行严格控制，保证只有被授权的人员才能够访问合法的 资源，并且对于每个人产生的信息，需要保留相应的记录。由于互联网的广泛性和开放性， 给应用系统带来了很多安全隐患，主要体现在如下几个方面： （1）身份认证 目前，应用系统是采用“用户名＋密码”的方式来验证访问用户的身份。采用“用 户名＋密码”的方式登录应用系统时，用户输入的用户名和密码都是通过明文的方式， 传输给系统服务器，系统服务器根据用户提交的用户名和密码，查询数据库，来判断用 户的身份是否真实。这种方式存在巨大的安全隐患，非法用户可以通过口令攻击、猜测 或窃取口令等方式，假冒合法用户的身份，登录系统进行非法操作或获取机密信息。因 此，需要采用安全的手段，解决应用系统身份认证需求。 （2 ）访问控制 对于系统的不同用户，具有不同的访问操作权限。因此，应用系统在身份认证的基 础上，需要给不同的身份授予不同的访问权限，使他们能够进行相应授权的操作。因此， 需要采用有效的手段，解决应用系统访问控制的需求。 （3 ）信息机密性和完整性 通过应用系统传输很多敏感资料，如通过应用系统，需要通过开放的互联网，非法 用户很容易监听网络传输的数据甚至篡改相关数据，或者入侵到应用系统，窃取有关资 料。因此，需要采用有效的方式保证应用系统传输数据的机密性和完整性。 （4 ）信息抗抵赖 信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖。在应用系统中传输 的很多信息，都需要实现信息抗抵赖。比如财务部进行财务汇报时，如果采用纸质的方 百联-客户端证书方案 1 _______________________________________________________