CA安全体系认证建设.ppt

烟草行业CA建设,Infosec,2019/5/13,Copyright 1998-2009 Infosec,目录,建设目标与总体要求 烟草行业CA安全认证中心总体框架 烟草行业CA认证中心的建设内容 数字证书DN规范 应用对接,2019/5/13,Copyright 1998-2009 Infosec,目录,建设目标与总体要求 烟草行业CA安全认证中心总体框架 烟草行业CA认证中心的建设内容 数字证书DN规范 应用对接,2019/5/13,Copyright 1998-2009 Infosec,烟草行业CA安全认证体系建设,烟草行业CA安全认证体系建设项目主要内容： 1、CA安全认证体系建设 2、实现CA与应用系统之间的挂接,2019/5/13,Copyright 1998-2009 Infosec,CA安全认证体系服务范畴,鉴定 Identification 认证 Authentication 完整性 Integrity 机密性 Confidentiality 不可否认性 Non-repudiation,2019/5/13,Copyright 1998-2009 Infosec,术语解释,数字证书 数字证书，也被称为数字身份证，其用来识别数字证书持有者的真实身份。因数字证书提供的是网络上的身份证明，也可称数字证书是“网络身份证”。 数字证书认证中心（CA） CA是数字证书签发的权威机构，它是CA认证中心的核心组成部分。CA负责数字证书的签发、保管、分发、以及必要时的证书撤销。数字证书认证中心主要包括：CA系统、RA系统等 。 数字证书注册机构（RA） RA是负责数字证书注册的机构，是面向最终用户和发证操作员的业务平台。RA中心负责处理用户的证书申请，对证书申请进行审核，并且通过用户信息系统进行授权，参与用户证书申请、发行和作废的过程。 RA不能签发和发行证书，但是可以作为用户和CA间的中间人。当需要新的证书的时候，用户就给RA发送请求，然后由RA再把这个请求发送给CA，由CA来完成数字证书的签发和发行。 RA安全终端 RA安全终端，是一台专门用于访问RA系统的PC机。 密钥管理中心（KMC） 负责为CA系统提供密钥的保存、备份、更新、恢复等密钥服务。 数字证书应用支撑系统 数字证书应用支撑系统，为单点登录或应用系统提供以数字证书为基础的身份认证、数据私密性、数据完整性、操作不可否认性等安全服务功能。,2019/5/13,Copyright 1998-2009 Infosec,建设目标,烟草行业CA认证中心的建设目标： 一是建设能够为烟草行业信息系统提供高强度的安全身份认证机制，为统一权限管理、单点登录等管理系统提供应用安全支撑平台。 二是建立健全保证CA认证中心基础设施正常运行的标准和制度。,2019/5/13,Copyright 1998-2009 Infosec,总体要求,烟草行业CA认证中心建设的总体要求： 健全管理机制 通过烟草行业CA认证中心的建设，将在烟草行业信息网络内，建立和健全人员身份信息的集中管理机制，通过有效的技术手段对信息化用户的活动状态、行为等方面进行集中监管，从而进一步规范用户的业务系统登录和业务操作行为。 完善管理制度 积极推进制度的建设和完善，为规范烟草行业网络信任体系的运行提供制度保障 。 统一技术标准 烟草行业CA认证中心的建设采用PKI体系框架和X.509标准协议。,2019/5/13,Copyright 1998-2009 Infosec,基本原则,烟草行业CA认证中心建设的基本原则： 统一技术方案 依照本方案的规定，国家局负责烟草行业根CA中心、国家局运营CA中心（二级CA）的建设，其中国家局运营CA中心包括数字证书发放管理系统、数字证书应用支撑系统2个部分； 各省级单位负责本单位省级运营CA中心（二级CA）的建设，省级运营CA中心包括本省数字证书发放管理系统、数字证书应用支撑系统2个部分； 各省级单位必须根据本技术方案和国家相关技术标准的要求，结合本单位的实际情况配置硬件设备和软件系统，进而形成本单位的运营CA中心实施方案。 结合应用分级实施 各单位必须按国家局的要求，使用CA认证技术实现身份认证。各单位应在本技术方案的指导下，从本单位的实际需求出发，来决定省级单位CA中心的建设规模和建设方案 。,2019/5/13,Copyright 1998-2009 Infosec,管理原则,遵循“行政管理怎么管，数字证书就怎么发”的基本思想； 管理原则 统一规范 集中监管 单位自治,2019/5/13,Copyright 1998-2009 Infosec,目录,建设目标与总体要求 烟草行业CA安全认证中心总体框架 烟草行业CA认证中心的建设内容 数字证书DN规范 应用对接,2019/5/13,Copyright 1998-2009 Infosec,烟草行业CA认证中心总体结构,烟草行业CA认证中心 2级结构 根CA（烟草行业根CA中心） 二级CA（国家局运营CA中心、各省级运营CA中心） 3个部分 烟草行业根CA中心 国家局运营CA中心 各省级运营CA中心,2019/5/13,Copyright 1998-2009 Infosec,烟草行业CA认证中心基础架构,2019/5/13,Copyright 1998-2009 Infosec,烟草行业根CA中心,烟草行业CA认证中心的信任源； 其功能主要包括：为二级CA（国家局运营CA中心和各省级运营CA中心）提供互信保障；同时，为各二级CA签发“二级CA证书”； 由于烟草行业根CA中心不面向终端用户，所以其可以采用离线的方式进行封闭式运行。,2019/5/13,Copyright 1998-2009 Infosec,二级CA,二级CA（国家局运营CA中心和各省级运营CA中心）作为烟草行业根CA的子CA系统，其服务对象将主要面向各终端用户和各业务系统； 二级CA的主要功能 1、面向其所辖范围内的终端用户，提供数字证书的发放管理服务； 2、面向各业务系统，保证各业务系统能够接受数字证书用户的身份认证和系统登录。,2019/5/13,Copyright 1998-2009 Infosec,二级CA,组成：国家局运营CA中心和各省级运营CA中心组成； 国家局运营CA中心 “数字证书发放管理系统” “数字证书应用支撑系统” 省级运营CA中心（工业公司运营CA中心、商业公司运营CA中心） “数字证书发放管理系统” “数字证书应用支撑系统”,2019/5/13,Copyright 1998-2009 Infosec,国家局运营CA中心,国家局运营CA中心功能主要包括： 1、为国家局机关内用户发放和管理数字证书； 2、为部分省级单位的用户、有条件地发放和管理数字证书； 3、为国家局各业务系统提供身份认证、数据安全保障等服务； 4、对各省级运营CA中心进行垂直监管。,2019/5/13,Copyright 1998-2009 Infosec,省级运营CA中心,各省级运营CA中心（工业公司运营CA中心、商业公司运营CA中心）作为烟草行业CA认证中心中的另一个重要组成部分，在接受国家局运营CA中心的垂直监管的同时，其主要功能： 1、为本省单位所辖范围内的用户发放和管理数字证书； 2、为本省单位各业务系统提供身份认证、数据安全保障等服务；,2019/5/13,Copyright 1998-2009 Infosec,烟草行业CA认证中心基础架构,2019/5/13,Copyright 1998-2009 Infosec,烟草行业CA认证中心总体架构,3大功能系统 数字证书发放管理系统 数字证书应用支撑系统 数字证书综合监管系统,2019/5/13,Copyright 1998-2009 Infosec,数字证书发放管理系统,数字证书发放管理系统 是为烟草行业用户提供数字证书的签发、发布、撤销等一系列管理服务； 主要实现“签发和管理数字证书” 。 其服务对象为：数字证书的持有者和数字证书应用支撑系统。 用户的数字证书包含如下个人身份信息描述： 姓名 职务 部门 单位,2019/5/13,Copyright 1998-2009 Infosec,数字证书发放管理系统 （国家局运营CA中心）,国家局运营CA中心的数字证书发放管理系统自身的数字证书由“烟草行业根CA中心” 签发； 主要负责签发国家局机关内用户的数字证书，即：个人数字证书； 同时为部分省级单位的用户、有条件地发放和管理数字证书。,2019/5/13,Copyright 1998-2009 Infosec,数字证书发放管理系统 （省级运营CA中心）,各省级运营CA中心的数字证书发放管理系统自身的数字证书由“烟草行业根CA中心” 签发； 负责签发其所辖范围内用户的数字证书，即：个人数字证书 。,2019/5/13,Copyright 1998-2009 Infosec,数字证书发放管理系统 -国家局系统与省级系统的关系,国家局数字证书发放管理系统与省级数字证书发放管理系统之间属于同一信任源，相互间存在相互信任的关系。 省级数字证书发放管理系统所颁发的每一张用户数字证书都须在国家局数字证书发放管理系统中登记备案。,2019/5/13,Copyright 1998-2009 Infosec,CA系统组成,CA Server,OCSP Server,CA Admin,KMC Admin,KMC Server,TSA Server,RA Server,AA Server,LDAP Server,RA Admin,2019/5/13,Copyright 1998-2009 Infosec,数字证书应用支撑系统,数字证书应用支撑系统 实现“数字证书持有者在业务应用系统中有效、安全地使用数字证书”，其实现功能： 为业务系统提供基于数字证书的强身份认证； 为业务系统提供数据私密性和完整性保证； 为业务系统提供操作不可否认性机制 其服务对象为：数字证书持有者和业务应用系统。,2019/5/13,Copyright 1998-2009 Infosec,数字证书应用支撑系统,数字证书应用支撑系统 NSAE应用安全代理网关： 支持B/S结构应用的双向数字证书认证； 为业务系统提供基于传输通道的数据加密服务； 为业务系统提供基于数字证书的身份认证机制 NetSign数字签名服务器 为C/S结构应用提供基于数字证书的身份认证机制 为业务系统提供操作不可否认性机制 为业务系统提供基于内容的加解密服务,2019/5/13,Copyright 1998-2009 Infosec,目录,建设目标与总体要求 烟草行业CA安全认证中心总体框架 烟草行业CA认证中心的建设内容 数字证书DN规范 应用对接,2019/5/13,Copyright 1998-2009 Infosec,烟草行业CA认证中心的建设内容,烟草行业根CA中心建设 国家局运营CA中心建设 各省级运营CA中心建设,2019/5/13,Copyright 1998-2009 Infosec,烟草行业根CA中心建设,2019/5/13,Copyright 1998-2009 Infosec,烟草行业根CA 中心,行业根CA中心的作用是：负责签发和管理二级CA的数字证书。根CA中心由国家局建设，作为烟草行业CA认证中心的信任源； 行业根CA中心由其自身组成；,2019/5/13,Copyright 1998-2009 Infosec,烟草行业CA认证中心的建设内容,烟草行业根CA中心建设 国家局运营CA中心建设 省级运营CA中心建设,2019/5/13,Copyright 1998-2009 Infosec,省级运营CA中心建设,省级数字证书发放管理系统 省级数字证书应用支撑系统,2019/5/13,Copyright 1998-2009 Infosec,省级运营CA中心建设基本要求,遵循国家相关建设的法律法规的要求； 按照国家局颁发的CA认证中心的建设方案要求进行建设； 省级运营CA认证中心的建设必须结合本单位的业务应用的需求和发展情况，确定建设规模和建设方案。,2019/5/13,Copyright 1998-2009 Infosec,省级运营CA中心建设,建设内容 数字证书发放管理系统（包括：CA子系统、KMC子系统、RA子系统） 数字证书应用支撑系统。 职能描述： 支持为本单位所辖范围内的所有行业内用户和行业外用户提供数字证书的发放和管理服务； 支持为省级单位自己的核心业务系统（如：财务系统等）提供基于数字证书的身份认证。,2019/5/13,Copyright 1998-2009 Infosec,省级运营CA中心数字证书发放管理系统架构,2019/5/13,Copyright 1998-2009 Infosec,地市级数字证书发放管理,遵循用户属地管理原则 行政管理怎么管，数字证书就怎么发 RA系统架构采取单一物理架构，多层逻辑管理架构 证书注册数据来源统一 逻辑上实现多层管理架构,2019/5/13,Copyright 1998-2009 Infosec,省级数字证书应用支撑系统,数字证书应用支撑系统 应用安全代理网关实现基于数字证书的客户端与服务器身份认证、数据传输通道加密、数据完整性保证等功能 数字签名系统实现业务数据的完整性、操作不可否认性保证；,2019/5/13,Copyright 1998-2009 Infosec,系统部署示意图,2019/5/13,Copyright 1998-2009 Infosec,地市级数字证书应用支撑系统,地市级单位分布式应用架构需要分布式数字证书应用支撑架构支持 数字证书应用支撑系统 应用安全代理网关实现基于数字证书的客户端与服务器身份认证、数据传输通道加密、数据完整性保证等功能 数字签名系统实现业务数据的完整性、操作不可否认性保证；,2019/5/13,Copyright 1998-2009 Infosec,地市级数字证书应用支撑系统部署示意图,2019/5/13,Copyright 1998-2009 Infosec,目录,建设目标与总体要求 烟草行业CA安全认证中心总体框架 烟草行业CA认证中心的建设内容 数字证书DN规范 应用对接,2019/5/13,Copyright 1998-2009 Infosec,数字证书DN规范,烟草行业根CA中心数字证书DN为： CN=中国烟草根CA O=Tobacco C=CN,2019/5/13,Copyright 1998-2009 Infosec,数字证书DN规范,二级CA运营CA中心数字证书DN为,示例XX省局CA的DN为：,示例XX中烟CA的DN为：,2019/5/13,Copyright 1998-2009 Infosec,数字证书DN规范,个人数字证书DN格式为,2019/5/13,Copyright 1998-2009 Infosec,目录,建设目标与总体要求 烟草行业CA安全认证中心总体框架 烟草行业CA认证中心的建设内容 数字证书DN规范 应用对接,2019/5/13,Copyright 1998-2009 Infosec,应用对接,应用开发商工作 实现改变应用基于用户名/口令的认证方式，增加基于数字证书的身份认证方式 实现数据在传输和存储过程的加密，提供数据的私密性保护 实现业务过程中的数字签名，提供数据的完整性保护和操作的不可否认性机制 遵循烟草行业数字证书应用接口规范,2019/5/13,Copyright 1998-2009 Infosec,应用对接,应用改造 建立数字证书与应用系统帐号的对应关系 单点登录系统中只需与系统帐号绑定 非单点登录系统需分别与各业务系统帐号绑定 身份认证 单点登录系统配置为证书认证方式 B/S应用由应用服务器从应用安全网关转发的HTTP报文中约定位置获取证书信息，从之前建立的数字证书与应用系统帐号的对应关系表中找到对应的系统帐号 C/S应用由客户端对应用服务器发出挑战随机数进行数字签名，服务端签名验证通过后获取签名证书的信息，从之前建立的数字证书与应用系统帐号的对应关系表中找到对应的系统帐号,2019/5/13,Copyright 1998-2009 Infosec,应用对接,应用改造 数据加密 基于通道: 将HTTP协议改为HTTPS协议，通过应用安全网关实现基于SSL加密通道的数据加密方式 基于内容:应用直接调用签名服务器提供的加密/解密接口对数据进行加密或解密操作 数字签名 调用签名服务器提供的签名/验签名接口对数据进行签名和签名验证操作,2019/5/13,Copyright 1998-2009 Infosec,省级系统配置列表,2019/5/13,Copyright 1998-2009 Infosec,地市级系统配置列表,2019/5/13,Copyright 1998-2009 Infosec,谢 谢！,问题与讨论,2019/5/13,Copyright 1998-2009 Infosec,