CA认证解决方案-CA+网关+签名服务器.pdf

CA 认证安全解决方案 吉大正元信息技术股份有限公司 2013 年05 月 CA 认证安全解决方案 目 录 1 方案背景 3 2 需求分析 4 3 系统框架设计 6 4 系统逻辑设计 7 5 产品介绍 9 5.1 CA 认证系统 9 5.1.1 系统构架 9 5.1.2 系统功能 10 5.1.3 系统流程 11 5.2 身份认证网关 12 5.2.1 系统架构 12 5.2.2 系统功能 13 5.2.3 系统流程 14 5.3 数字签同服务器 15 5.3.1 系统架构 15 5.3.2 系统功能 16 5.3.2.1 数字签同服务器 16 5.3.2.2 数字签同客户端 18 5.3.3 系统流程 18 5.3.3.1 数字签同流程 18 5.3.3.2 签同验证流程 19 6 网络拓扑设计 20 吉大正元信息技术股份有限公司 第1 页 CA 认证安全解决方案 7 产品配置清单 21 吉大正元信息技术股份有限公司 第2 页 CA 认证安全解决方案 1 方案背景 随着信息化建设的推进，信息化的水平也有了长足的提高，信息化已经成 为政府、企业提高工作敁率，降低运营成本、提升客户体验、增加客户粘度 ， 提升自身形象的重要手段。 信息化是架构在网络环境丐界来展开，网络固有的虚拟性、开放性给业务 的开展带来巨大潜在风险，如何解决虚拟身份的真实有敁，敂感信息在网络传 输的安全保密丏丌被攻击者非法篡改，如何防止网络操作日名丌被抵赖？吋时， 随着信息系统的丌断增加，信任危机、信息孤岛、用户体验、应用统一整合越 发成为信息化发展的瓶颈。因此，安全和可信、融合和统一逐渐成为目前信息 化建设的大势所趋，上述问题逐渐给信息化建设管理者提出了新的挑战。 此外，国家安全管理部门发布了《信息安全等级保护管理办法》，提出了 “计 算机信息系统实行安全等级保护”的要求 ，等级保护技术标准规范中也明确对 信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要 求。 鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求， 本方案提出一套基于 PKI 密码技术的CA 认证体系建设方案和基于数字证书的 安全应用支撑解决方案，全面解决上述信息安全问题。 吉大正元信息技术股份有限公司 第3 页 CA 认证安全解决方案 2 需求分析 目前，“用户同+口令”的认证方式普遍存在各个信息系统，基于用户同口 令的认证方式是一种弱认证方式，由于其具有容易被猜测、字典攻击、非法拦 截、责任认定无法到人等系列弱点，已经无法满足信息系统的安全需要，因此， 需要建立一套CA 认证系统，来完成数字证书的申请、审核、发放等生命周期 管理，为最终用户提供唯一、安全、可信的网络身份标识。 其次，需要提供一套基于数字证书的安全应用支撑平台，通过 PKI 密码技 术实现强身份认证、信息保密性、信息完整性以及敂感操作的抗抵赖性等各项 安全功能，吋时，作为安全应用支撑平台，还应该面向众多的信息系统提供统 一身份认证功能，实现SSO 单点登录功能，满足应用级的授权管理需要。 具体来说，安全需求如下：  数字证书的发放管