通达 ca 安全认证方案 - cdndown.tongda2000.com · 3.4.2...
TRANSCRIPT
文档编号:
文档类别 解决方案 共 15 页
(含封页) 项目/产品名称 CA 数字证书
通达 CA 安全认证方案
(文档版本号:V1.00)
拟 制: 李鑫 日 期: 2009/2/24
审 核: 日 期:
会 签: 日 期:
批 准: 日 期:
版权所有 不得复制
通达 CA 安全认证方案 修订记录
通达科技 内部资料 请勿外传
修订记录
日 期 修订版本 描 述 作 者
2009/3/2 V1.00 初稿 李鑫
错误!未找到引用源。 目录
I
目 录
1 引言 ............................................................................................................................................... 1
1.1 编写目的 ........................................................................................................................... 1
1.2 术语和缩略语 ................................................................................................................... 1
1.3 参考资料 ........................................................................................................................... 1
2 适用范围 ....................................................................................................................................... 2
3 数字证书概念 ............................................................................................................................... 2
3.1 什么是数字证书 ............................................................................................................... 2
3.2 数字证书的内容 ............................................................................................................... 2
3.3 常用的数字证书类型 ....................................................................................................... 3
3.4 数字证书是如何保障信息安全的 ................................................................................... 4
3.4.1 公开密钥密码体制 .................................................................................................... 4
3.4.2 通过加密技术解决机密性要求 ................................................................................ 5
3.4.3 通过数字签名技术解决真实性、完整性和不可否认性的要求 ............................ 6
3.4.4 如何证明和保证公钥的真实性和有效性 ................................................................ 7
3.4.5 数字证书是PKI的核心元素 ...................................................................................... 8
3.4.6 总结 ............................................................................................................................ 9
3.5 数字证书原理 ................................................................................................................... 9
3.6 数字证书用途 ................................................................................................................. 10
3.7 数字证书应用 ................................................................................................................. 10
4 解决方案 ..................................................................................................................................... 11
4.1 要解决的安全问题 ......................................................................................................... 11
4.1.1 登录身份验证 .......................................................................................................... 11
4.1.2 电子签章系统应用 .................................................................................................. 12
5 报价及技术支持 ......................................................................................................................... 12
图表目录
图表 1 CA在办公系统中的应用 .................................................................................................. 11
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 1 -
通达 CA 安全认证方案
【摘要】:通达科技针对信息化安全应用提出基于数字证书与 SSL 技术的完整解决方案。
【关键词】:CA、数字证书、PKI、USB-KEY、SSL、OA
1 引言
OA 系统承载着信息化办公过程中的重要数据,那么如何确保在网络中传输的身份
认证、机密性、完整性、合法性等问题已成为政务信息化应用的关键。目前最好的应用
安全解决方案是采用 PKI 技术建立数字证书认证中心(CA),配合 USB KEY 设备,通
过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证与信息传输系统,从
而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能
够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
1.1 编写目的
为通达 OA 提供信息安全的解决方案
1.2 术语和缩略语
PKI:Public Key Infrastructure,公钥基础设施
CA:Certificate Authority 是数字证书认证中心
SSL :Secure Socket Layer 一种加密传输协议
1.3 参考资料
《精通 PKI 网络安全认证技术与编程实现》,马臣云;王彦,人民邮电出版社,2008
《公钥基础设施 PKI 及其应用》,关振胜,电子工业出版社,2008
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 2 -
2 适用范围
中小企业版 政府版 集团版 项目版
3 数字证书概念
3.1 什么是数字证书
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的
身份,即要在 Internet 上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张
证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即数字证书认证中心(CA)签发和管理的,是标
志网络用户身份信息的电子文档。
数字证书的内容和身份证颇为相似,可以做以下比较:
身份证 数字证书
相同点
身份证所有者的身份信息 数字证书所有者的身份信息
身份证有效期 数字证书有效期
公安机关颁发 数字证书认证中心签发
不同点 —— 公共密钥
数字证书比身份证只多了一个公共密钥(简称公钥)。如同身份证用来证明每一个人的
身份一样,数字证书用来保证公钥和特定实体之间的联系。数字证书提供的是网络上的身份
证明。因此,也有人称数字证书是“网络身份证”。
3.2 数字证书的内容
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书
中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书
的格式遵循 x.509 国际标准,证书所包含的内容如下:
版本号
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 3 -
序列号
签名算法标识符
认证机构
有效期限
主题信息
认证机构的数字签名
公钥信息
3.3 常用的数字证书类型
数字证书从功能方面来讲,分为加密证书和签名证书两类。加密证书用于加密和解密,
签名证书用于数字签名(电子签名)。从特定实体方面来讲,分为个人数字证书、单位数字
证书、WEB 证书、设备身份证书、代码签名证书、无线应用证书等等,随着数字证书的应
用领域的不断扩展,新疆 CA 中心还会提供更多应用方式的数字证书,以满足广大用户的信
息安全及认证方面的需求。(目前新疆 CA 中心主要办理数字证书的种类是个人数字证书、
单位数字证书、设备数字证书)。
个人数字证书:个人数字证书中包含证书持有者的个人身份信息、公钥及新疆 CA 中心
的签名,它就像我们日常生活中使用的身份证一样,在网络通讯中标识证书持有者个人身份
的电子身份证书。它用于标志证书持有人在进行信息交易、在线支付等网络活动中的身份,
并且保障信息在传输中的安全性和完整性。个人身份证书存贮在 USB 存储器中,方便携带、
保存和使用。
单位数字证书:单位数字证书中包含单位基本信息、公钥及新疆 CA 中心的签名,和个
人数字证书一样,在网络通讯中标识证书持有单位的身份,可以存贮在 USB 存储器中。单
位证书应用于工商、税务、金融、质量监督、车辆管理、政府采购、政府行政办公、社保等
各个行业的网上应用。
WEB 服务器证书:是 Web Server 与用户浏览器之间建立安全连接时所使用的数字证
书。它包含了 WEB 服务器 IP 地址和域名信息、公钥及新疆 CA 中心的签名,主要是通过在
客户端浏览器和 Web Server 之间建立起一条 SSL 安全通道,来保证用户在网络通讯中的
安全性。由于和网站的 IP 地址、域名绑定,因此它可以保证网站的真实性和不被人仿冒。
设备身份证书:设备身份证书中包含设备信息、公钥及新疆 CA 中心的签名,在网络通
讯中标识和验证设备的身份以保证与其他服务器或客户端通信的安全性。设备证书代表证书
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 4 -
持有设备的身份。与设备证书中包含的设备的公钥相对应的私钥存放在设备内部存储器上或
加密硬件设备上。
代码签名证书:代码签名证书包含软件提供商的身份信息、公钥及新疆 CA 中心的签名,
用于保证发布软件的真实性、完整性和可靠性。软件开发者借助代码签名证书,在软件代码
中附加一些相关信息,使得用户在下载这些具有代码签名的软件时,可以确信软件的真实签
发者和软件在签发之后未经篡改或破坏。
无线应用证书:无线应用证书用于无线通讯用户的身份识别和信息安全。通过对无线应
用证书的认证,加强了使用无线网络的单位、个人和无线网络运营商对用户身份的识别,确
保了信息安全和网络安全。
3.4 数字证书是如何保障信息安全的
数字证书是在公开密钥密码体制中,通过加密和数字签名的操作,提供保障信息安全的
密码服务。
加密是运用一定的数学算法将数据转换成不可直接识读的形式。加密有两个基本元素,
加密算法和密钥。加密算法是用来改变原始数据的方法,密钥是使加密过程得出一个唯一结
果的变量(密钥由算法产生)。数字签名是基于被签名数据内容的一种密码变换,也必须完
成一系列加密和解密的转换。
完成加密和解密功能的密码方案称作密码体制。密码体制分为对称密码体制和非对称密
码体制两大类。
3.4.1 公开密钥密码体制
也叫非对称密码体制、双密钥密码体制。公钥密码体制是非对称的,它的特点是加密和
解密使用不同的密钥。加密密钥可以公开,称为公钥;解密密钥必须保密,称为私钥。非对
称秘钥加密技术见下图:
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 5 -
由上图可知,用户 A 从目录中找到用户 B 的公钥,进行加密(明文+算法+用户 B 的公
钥=密文)。说明:由于公钥是公开的,所以只要知道接受者的公钥的人都可以用其公钥加
密消息发给接收者。用户 B 用自己的私钥解密(密文+算法+用户 B 的私钥=明文)。说明:
因为私钥是保密的,只有接收者自己才可以解密消息。
另外一种是对称密钥密码体制也叫单密钥密码体制、常规密钥密码体制。它的特点是加
密和解密使用相同的密钥,它要求发送者和接收者在安全通信之前先商定一个密钥。很明显
它的安全性,完全依赖于密钥是否能够真正保密,一旦泄露密钥就意味着加密所带来的安全
性不复存在。
对称密钥加密技术使用的最大局限在于必须设计出一些方法来安全地分发和管理作为
系统核心的密钥,通常称为密钥管理。当涉及到许多个当事方时,这就为密钥的变更与分发
工作加大了难度和复杂性。而公钥密码体制既解决了常规密钥密码体制的密钥管理与分配的
问题,还可以支持数字签名和不可否认性的需求。公钥密码体制在信息的保密性、密钥分配
和认证领域有着重要意义。
3.4.2 通过加密技术解决机密性要求
由于密钥长度通常在 1024 位—2048 位之间,会导致密文过长,因此非对称加密密钥
算法效率大大低于对称密钥算法。现代密码技术多采用加密技术和非对称加密技术联合加密
的方式,将对称密钥用于敏感数据的加密保护,将非对称密钥用于会话密钥的保护和分发。
这样可以进行更有效更快捷的加密。过程如下图:
对称密钥和非对称密钥联合加/解密的方式
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 6 -
如图所示,用户 A 首先利用随机产生的对称密码加密信息,形成会话密钥。会话密钥
是发送方每次通信产生一个临时通信密钥,目的是用来对通信数据进行加密保护,通信结束
后,会话密钥即销毁。这样可以保证一次一密的要求;用户 A 从目录中找到用户 B 的公钥,
再利用用户 B 的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封;用户 A
将经过加密的对称密钥和文件发送给用户 B;用户 B 用自己的私钥解密数字信封,得到对称
的会话密钥;用户 B 用会话密钥解密密文,得到明文。
3.4.3 通过数字签名技术解决真实性、完整性和不可否认性的
要求
如果把公钥反过来使用,用私钥加密而用公钥解密,这就是数字签名的技术基础。和一
般签名、签章一样,数字签名目的首先也是识别签名人身份并标明签名人认可其中的内容。
同时,数字签名还有保护数据完整性和抗抵赖性的功能。其过程如下图:
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 7 -
如图所示,假如用户 B 想对一份电子文件进行数字签名,首先压缩形成信息摘要,信
息摘要简要地描述了一份较长的信息或文件。目前的数字签名技术常用非对称密钥算法和杂
凑算法(Hash)来实现;然后使用用户 B 自己的私钥对信息摘要进行加密,形成数字签名;
再将结果与原文一起传送。由于用户 B 的公钥是公开的,因此任何知道用户 B 公钥的人都
可以解密文件,但事实是因为私钥只有他自己有,这就成了用户 B 数字签名的基础。
如图所示,用户 A 收到传送来的数据,对用户 B 签名进行验证。可以用相同的杂凑算
法压缩形成信息摘要,并使用用户 B 的公钥解密收到的信息摘要。用户 A 将压缩形成的信
息摘要,与收到的信息摘要进行比较,是否相同。假如两个摘要相同,就可以有三种安全保
证:
用户 B 真的在文件上签了名(身份认证);
用户 B 真的发送了信息(不可否认性);
如果信息有了任何改动,摘要就会不匹配,用户 A 就可以知道没有人在用户 B 签
名之后对文件进行任何改动(数据完整性)。
由此我们可以知道,数字签名可以提供数据的完整性保护,数字签名和证书可以提供身
份识别和不可否认性的服务。
3.4.4 如何证明和保证公钥的真实性和有效性
公钥密码技术是公钥公开,私钥保密,解决了密码系统中密钥分发的复杂性和安全性问
题,使密码技术得以在保障计算机信息系统安全中广泛应用。
然而公钥是公开的,如何确定一个用户的公钥确实属于这个用户,并保证用户和他的公
钥之间的联系真实有效?再有私钥是唯一的,如何保证用户的私钥在被破坏、丢失时或者在
有关机构需要取得证据时能够解密数据?这是两个必须解决的问题。
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 8 -
第一个问题的解决方法是,建立一个大家都信任的权威机构,由这个权威机构用自己的
签名密钥对用户的名称、用户的公钥和其他一些识别信息进行数字签名,形成一个将用户和
他的公钥联系起来的电子信任关系,这就是数字证书,而这个权威机构就是数字证书认证中
心(CA)。CA 的主要任务是:
证明和保证公钥的真实性、有效性;
给每一个用户一张数字证书;
保证证书中的公钥确实属于持有该证书的人;
让用户可以象查电话薄一样查找别人的公钥;
按照安全和管理策略,管理数字证书的生成、签发、发布、更新、撤销和中止。
第二个问题的解决方法是,由国家密码管理机关建立密钥管理中心(KMC),负责生成两
套密钥,分别用于加密和数字签名,签名密钥用于真实性和非否认性需要,而加密密钥用于
数据机密性的需要。
加密密钥由密钥管理中心(KMC)产生并备份于证书历史库中,以备恢复。加密密钥
的公钥也由数字证书认证中心(CA)签发为数字证书。签名密钥由用户产生,不能备份。
由于公开密钥无法推算出私有密钥,所以公开的密钥并不会损害私有密钥的安全,公开密钥
无须保密,可以公开传播,而私有密钥必须保密,丢失时需要报告数字证书认证中心(CA)。
加密与签名绝对不能使用同一个证书。目前第三方认证机构所签发的证书,多采用加密
证书和签名证书的“双证书机制”。
3.4.5 数字证书是 PKI 的核心元素
PKI(Public Key Infrastructure)公钥基础设施,是提供公钥加密和数字签名服务的
系统或平台,目的是为了管理密钥和证书。一个机构通过采用 PKI 框架管理密钥和证书可以
建立一个安全的网络环境。
在封闭的系统中,不具备第三方性质的认证系统,可以不按照第三方机构的要求来建设
和管理。可以简化甚至可以合并。但是不管怎样,将用户和他的公钥联系起来的捆绑过程是
任何公钥基础设施(PKI)中的关键步骤。
数字证书在 PKI 以及在信息系统中的位置和相互关系如下图:
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 9 -
如图所示,数字证书是由 PKI 权威执行机构 CA 所签发的。在密码系统,证书实际上就
是密钥,在应用系统,证书用于证明某一主体(如人、服务器等)的身份以及其公开密钥的
真实合法性。在公开密钥体制中,数字证书是密钥管理的媒介,公钥的分发、传送是靠证书
机制实现的。
3.4.6 总结
数字证书使用公开密钥加密技术,克服了对称密钥加密技术的局限性,也很好地克服了
密钥管理的复杂性。与对称密钥加密技术联合使用,完整地提供了机密性、完整性、真实性
和不可否认性的安全保证。概括起来讲:
采用对称密钥密码算法对数据加密,解决信息的机密性问题;
采用杂凑算法(Hash)计算数据摘要,解决信息的完整性问题;
采用公钥密码算法生成数字签名和验证签名,解决信息的真实性和不可否认性问
题;
采用公钥密码算法生成数字信封,解决会话密钥的保护和传递问题;
建立数字证书认证中心(CA)签发数字证书,保证证书中的公钥确实属于持有该
证书的主体,并对任何一个主体的公钥进行公证,向公钥使用者证明公钥的真实合
法性;
国家建立密钥管理中心(KMC)来提供加密密钥的备份与恢复机制。
3.5 数字证书原理
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设
定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共
密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文
件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就
可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 10 -
私有密钥才能解密。
在公开密钥密码体制中,常用的一种是 RSA 体制。其数学原理是将一个大数分解成两
个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开
密钥),想要推导出解密密钥(私有密钥),在计算上是不可能的。按现在的计算机技术水
平,要破解目前采用的 1024 位 RSA 密钥,需要上千年的计算时间。所以说数字证书是安
全性是绝对的保障的。公开密钥技术解决了密钥发布的管理问题,例如电子商务场合:商户
可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息
进行加密,安全地传送以商户,然后由商户用自己的私有密钥进行解密。
如果用户需要发送加密数据,发送方需要使用接收方的数字证书(公开密钥)对数据进
行加密,而接收方则使用自己的私有密钥进行解密,从而保证数据的安全保密性。
另外,用户可以通过数字签名实现数据的完整性和有效性,只需采用私有密钥对数据进
行加密处理,由于私有密钥仅为用户个人拥有,从而能够签名文件的唯一性,即保证:数据
由签名者自己签名发送,签名者不能否认或难以否认;数据自签发到接收这段过程中未曾作
过任何修改,签发的文件是真实的。
3.6 数字证书用途
身份认证:目前,很多应用系统采用“用户名+密码”的方式来验证访问用户的身
份,用户输入的用户名和密码通过明文方式传输,用户口令易被窃取而导致损失。
因此,需要采用安全的手段,解决应用系统身份认证需求。
机密性、完整性:大量企业敏感信息在网上传输,非法用户很容易监听网络传输的
数据甚至篡改相关数据,或者入侵到应用系统,窃取有关资料。因此,需要采用有
效的方式保证应用系统传输数据的机密性和完整性。
抗抵赖性:信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖,不能否
认自己发送信息的行为。因此,需要提供一种有效的机制,来保证业务系统中传递
信息的抗抵赖性。
3.7 数字证书应用
CA 中心所发放的数字安全证书可以应用于行政作业活动和公众网络上的商务活动,包
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 11 -
括支付型和非支付型电子商务活动,其应用范围涉及需要身份认证及数据安全的各个行业,
包括政府行政办公、传统的商业、制造业、流通业的网上交易,以及公共事业、金融服务业、
工商税务海关、教育科研单位、保险、医疗等网上作业系统。它主要应用于网上购物、企业
与企业的电子贸易、安全电子邮件、网上证券交易、网上银行等方面。
4 解决方案
4.1 要解决的安全问题
4.1.1 登录身份验证
一般应用系统广泛应用的“用户名+口令”的认证方式安全强度较低,并且记忆烦琐,
同时信息数据在传输过程中,容易被截获,导致重要信息泄漏。基于目前存在的问题,以数
字证书替代“用户名+口令”,数字证书由通达 CA 中心颁发,存储与用户 USB KEY 中,
保证了用户身份的唯一性,同时传输过程采取 SSL 协议加密,避免信息被窃取。如下图所
示
图表 1 CA 在办公系统中的应用
错误!未找到引用源。
通达科技 内部资料 请勿外传 - 12 -
4.1.2 电子签章系统应用
对于电子印章的管理与使用,依靠密码机制也是不安全的,电子印章往往用户公文传
输、重要审批等场合,对于印章的安全性要求高,所以需要使用数字证书对印章进行签名和
绑定,以满足印章的真实有效性。如图所示,在制章时,以对印章进行签名,以便追溯印章
制作者,同时可以对印章绑定证书公钥,相当于对印章授权,只有授权的证书才能使用此印
章:
5 报价及技术支持
请联系销售人员索取。
直拨电话:010-68964021
分机电话:010-51299003-805
传真:010-58857340 或 68962978-806
Email:[email protected]
QQ:278795647