没有合适的资源?快使用搜索试试~ 我知道了~
CA系统应用安全解决方案
需积分: 9 9 下载量 129 浏览量
2013-08-22
15:35:31
上传
评论
收藏 1.77MB DOC 举报
温馨提示
试读
30页
以Internet为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,从典型的如金融业务系统、网上证券交易业务系统、企业内部应用系统,逐渐扩展到政府办公系统应用。在这股浪潮的推动下,为了提高企业的办事效率,各个企业纷纷利用先进的IT技术来降低政务办公的成本和加强信息管理,广泛的开展电子政务。 由于业务发展的需要,用户也建设了自己的各种应用信息系统,为了保证系统的正常运转,有必要采取安全的措施来保障各个应用系统运行的安全。本文主要目的是旨在分析用户的系统安全需求,然后阐明采用PKI/CA技术,来保障用户的信息系统安全。
资源推荐
资源详情
资源评论
CA 系统应用安全解决方案
(版本:1.0)
CA 系统应用安全解决方案 目录
目 录
1 前言 1
2 应用安全需求概述 1
3 方案总体设计思想 2
4 CA 认证系统设计 3
5 应用系统安全集成方案 12
5.1.1 VPN 安全登录实现原理 14
5.1.2 VPN 证书介绍 15
5.1.3 VPN 证书应用 15
5.1.4 域登陆 16
5.1.5 智能卡及数字证书 16
5.1.6 智能卡域登录 17
5.1.7 B/S 架构系统安全原理 19
5.1.8 应用系统安全架构 22
5.1.9 应用系统身份认证流程23
5.1.10 应用系统签名流程 23
5.1.11 系统集成原理 25
5.1.12 系统安全架构 26
5.1.13 证书应用开发接口(API) 26
5.1.14 系统工作流程 27
6 总结 28
CA 系统应用安全解决方案 第 1 页 共28页
1 前言
以 Internet 为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正日益普及
和广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键
业务系统扩展,从典型的如金融业务系统、网上证券交易业务系统、企业内部应用系
统,逐渐扩展到政府办公系统应用。在这股浪潮的推动下,为了提高企业的办事效率,
各个企业纷纷利用先进的 IT 技术来降低政务办公的成本和加强信息管理,广泛的开展
电子政务。
由于业务发展的需要,用户也建设了自己的各种应用信息系统,为了保证系统的
正常运转,有必要采取安全的措施来保障各个应用系统运行的安全。本文主要目的是
旨在分析用户的系统安全需求,然后阐明采用 PKI/CA 技术,来保障用户的信息系统安
全。
2 应用安全需求概述
随着用户信息系统的建设,大量的办公业务数据文件通过网络相互传递,同时大
量的数据文件也保存于文件服务器之上。如果不能保证这些系统的用户登录认证安全,
保证这些数据的传输安全,其后果是可想而知的。此外,在实现资源和数据共享的同
时,也面临巨大的威胁和风险,我们必须对这些资料进行严格控制,保证只有被授权
的人员才能够访问合法的资源,并且对于每个人产生的信息,需要保留相应的记录。
由于互联网的广泛性和开放性,给应用系统带来了很多安全隐患,主要体现在如下几
个方面:
(1)身份认证
目前,应用系统是采用“用户名+密码”的方式来验证访问用户的身份。采用
“用户名+密码”的方式登录应用系统时,用户输入的用户名和密码都是通过明文的
方式,传输给系统服务器,系统服务器根据用户提交的用户名和密码,查询数据
库,来判断用户的身份是否真实。这种方式存在巨大的安全隐患,非法用户可以
通过口令攻击、猜测或窃取口令等方式,假冒合法用户的身份,登录系统进行非
法操作或获取机密信息。因此,需要采用安全的手段,解决应用系统身份认证需
求。
CA 系统应用安全解决方案 第 2 页 共28页
(2)访问控制
对于系统的不同用户,具有不同的访问操作权限。因此,应用系统在身份认
证的基础上,需要给不同的身份授予不同的访问权限,使他们能够进行相应授权
的操作。因此,需要采用有效的手段,解决应用系统访问控制的需求。
(3)信息机密性和完整性
通过应用系统传输很多敏感资料,如通过应用系统,需要通过开放的互联网,
非法用户很容易监听网络传输的数据甚至篡改相关数据,或者入侵到应用系统,
窃取有关资料。因此,需要采用有效的方式保证应用系统传输数据的机密性和完
整性。
(4)信息抗抵赖
信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖。在应用系统
中传输的很多信息,都需要实现信息抗抵赖。比如财务部进行财务汇报时,如果
采用纸质的方式,可以在财务报表上签字盖章。但是通过电子数据共享和传输,
不可能像纸质文件那样进行手写签字和盖章。而如果没有有效的手段保证电子数
据共享和传输的抗抵赖,财务部可以否认自己共享和传输过的电子数据。一旦出
现问题,将没有任何有效的证据,对肇事者进行追究。另外,对于通过应用系统
进行网上申报与审批时,如果没有抗抵赖性,申报者将可以否认自己的申报数据
和行为,审批者也可以否认自己的审批意见和行为,甚至出现假冒他人进行申报
或审批的行为。这样,将导致整个应用系统不能正常工作,将给企业造成巨大的
损失。
为此,根据用户的信息系统安全现状,采用 PKI(Public Key Infrastructure,公钥
基础设施)技术,为用户设计了基于数字证书的应用安全解决方案。
3 方案总体设计思想
根据用户的系统安全需求,基于自身在 PKI/CA 领域的技术优势,采用自主开发的
PKI 产品——iTrusCA 系统,为用户提供了完善的安全解决方案,解决方案总体框架包
含如下几个基本思想:
一、 采用 iTrusCA 系统,为用户建设一套功能完善的 CA 认证系统,为用户各个
应用系统的用户颁发数字证书,提供安全认证服务。
CA 系统应用安全解决方案 第 3 页 共28页
二、 用户应用系统集成数字证书的应用,用户登录系统时,必须提交 CA 认证系
统颁发的用户证书,系统通过用户证书来实现身份认证和访问控制,同时通
过加密技术和数字签名技术,实现信息传输的机密性和抗抵赖性等安全需求。
三、 用户证书保存在 USB KEY 中,USB KEY 是一种安全的证书存储介质,可
以设置口令,保证证书和私钥的安全,使用 USB KEY 也可以实现对移动办
公的安全需求。
以下,将分别对方案总体框架描述中 CA 认证系统、应用系统安全集成方案等几部
分分别进行描述。
4 CA 认证系统设计
CA 认证系统负责为用户提供安全认证服务,本方案采用 iTrusCA 产品进行设计和
建设。
1.1 iTrusCA 系统简介
iTrusCA 系统是参照国际领先的 CA 系统的设计思想,继承了国际领先 CA 系统的
成熟性、先进性、安全可靠及可扩展性,自主开发的、享有完全自主知识产权的数字
证书服务系统。系统具有完善的功能,能够完成从企业自主建立标准 CA 到政府、行业
建立大型服务型 CA 等全面的需求。
iTrusCA 系统采用模块化结构设计,由最终用户、RA 管理员、CA 管理员、注册
中心(RA)、认证中心(CA)等构成,其中注册中心(RA)和认证中心(CA)又包
含相应的模块,系统架构如下图:
剩余29页未读,继续阅读
资源评论
qrm336
- 粉丝: 0
- 资源: 6
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- u=138704656,2508719391&fm=253&fmt=auto&app=138&f=JPEG.webp
- Midjourney关键词手册-所有常用关键词大全+控制角色一致性方法
- 基于区块链的多辅助计算卸载
- C# OpenCvSharp 模拟生成车辆运行视频.rar
- window下用Qt来编译qrencode链接库(静态链接库、动态链接库)
- 1111111111111111111hat.zip
- 前端知识点梳理 web前端
- YOLOX-将YOLOX的backbone替换为CSPDarkNet-支持CSP-S+M+L+X+Tiny+Nano-附项目源码
- 头歌python程序设计答案.rar
- 中国省市县行政区划gis数据
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功