pki系统方案简介.docVIP

PKI系统方案简介 天威诚信电子商务服务有限公司 2005年11月内容目录 1 概述 1 2 需求分析 2 3 PKI/CA系统简介 3 3.1 技术介绍 3 3.1.1 关键密码技术 4 3.1.2 加密/解密技术 4 3.1.3 数字签名 6 3.1.4 数字证书 8 3.1.5 数字信封 8 3.2 系统组成 10 3.2.1 认证机构(CA/RA) 10 3.2.2 证书库(LDAP) 11 3.2.3 密钥管理系统(KMC) 11 3.2.4 证书作废处理及在线查询系统(CRL/OCSP) 11 3.2.5 PKI安全应接口系统 12 3.3 建设方式 13 3.3.1 自建型 13 3.3.2 第三方服务 13 4 应用支撑 14 4.1 证书应用Toolkit 14 4.2 动态口令 15 5 公司简介 17 概述 在当今随着互联网技术的发展，互联网信息系统的应用日益广泛，Internet的建设日益普及，企业也在大量地进行信息化建设，企业信息化建设极大地提高了企业的经营管理效率，成为企业提高竞争力的有力手段，更值得注意的是，越来越多的企业开始将网络向远程工作人员、移动办公人员、合作伙伴、供应商和用户开放。 虽然Internet的普及应用为企业带来了很多商业利益，对人们的生活也带来了更多得方便，但是同时也增加了企业网络的安全风险，为怀有恶意企图的黑客留下了一扇永不关闭的窗口。所以，企业信息化建设万万不能忽视信息安全的保护，尤其要注意企业数据信息的加密和网络安全监控。如果没有对系统和网络的安全性进行评估，也没有对企业核心数据的保密和安全防范，那么灾难的发生就仅仅是一个时间的问题了。 2003年3月，我国信息产业部确定了电子信息产业的17项研究课题，其中一项是：《大力推动电子政务、企业信息化、电子商务等发展，做好信息化推进各项工作》。信息产业部对信息化的高度重视和积极推进，使我国电子政务、企业信息化、电子商务发展飞速。无论是电子商务也好，电子政务也罢，都有一个共同的特点，就是都离不开对PKI（公用密钥体系，Public Key Infrastructure）的建设。 信息化技术迅猛发展，信息安全问题也越来越受到党中央、国务院的高度重视和全社会的广泛关注。江泽民同志曾经强调指出，“在大力推进我国国民经济和社会信息化的进程中，必须高度重视信息网络安全问题” 。中共政治局常委、国务院副总理，黄菊在全国信息安全工作会议上强调“必须全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化健康发展”。 建立以PKI技术为基础的CA认证系统，实现基于数字证书的身份认证、通信安全和数据安全，解决计算机应用系统的身份认证和应用安全势在必行。 需求分析 目前，整体应用系统中大部分采用C/S架构，部分系统采用T/S架构，应用的认证机制通过传统的用户名，口令的方式完成。但是随着系统的发展，系统中大部分应用将逐渐改造为B/S架构，传统的认证手段越来越无法满足系统安全的需求。传统的用户名、口令主要存在以下几个方面的问题。 1 认证传输过程明文，无法保证传输过程中的数据信息。 2 各个应用系统认证独立，无法统一管理，管理成本高，系统压力大。 3 服务端无法确认用户的真实身份。 4 面对多个应用时，用户维护难度大。 5 认证手段缺乏生命周期的管理，可管理性差。 6 认证系统缺乏标准化。 从上面几个问题中我们可以看出，传统的认证机制无法保证高速增长的应用需求，建立以PKI技术为基础的CA认证系统，实现基于数字证书的身份认证、通信安全和数据安全，保证应用接入的安全是目前应用最迫切需要解决的问题。对于应用系统我们需要满足下面的功能。 身份认证 目前，应用系统是采用“用户名＋密码”的方式来验证访问用户的身份。采用“用户名＋密码”的方式登录应用系统时，用户输入的用户名和密码都是通过明文的方式，传输给系统服务器，系统服务器根据用户提交的用户名和密码，查询数据库，来判断用户的身份是否真实。这种方式存在巨大的安全隐患，非法用户可以通过口令攻击、猜测或窃取口令等方式，假冒合法用户的身份，登录系统进行非法操作或获取机密信息。因此，需要采用安全的手段，解决应用系统身份认证需求。 访问控制 对于系统的不同用户，具有不同的访问操作权限。因此，应用系统在身份认证的基础上，需要给不同的身份授予不同的访问权限，使他们能够进行相应授权的操作。因此，需要采用有效的手段，解决应用系统访问控制的需求。 信息机密性和完整性 通过应用系统传输很多敏感资料，如通过应用系统，需要通过开放的互联网，非法用户很容易监听网络传输的数据甚至篡改相关数据，或者入侵到应用系统，窃取有关资料。因此，需要采用有效的方式保证应用系统传输数据的机密性和完整性。