PKI建设实施方案.docx
《PKI建设实施方案.docx》由会员分享,可在线阅读,更多相关《PKI建设实施方案.docx(26页珍藏版)》请在冰点文库上搜索。
PKI建设实施方案
国联人寿PKI根底设施建立方案
版本
V1.1
作者
济美
日期
2015-08-20
信安世纪科技**
INFOSECTECHNOLOGIESCO.,LTD
1概述
目前,国联人寿已经具有多套应用系统,通过不同的应用系统来完成不同的工作。
既有平安级别较高的系统,如网上商城、电子保单、在线支付等系统,同时又有如同办公人员所使用的OA系统、ERP系统等。
国联人寿目前方案通过投资建立PKI体系,对目前各个业务系统进展改造,以提高各个业务的整体平安性。
2PKI技术
PKI系统全称为公钥根底设施系统,按照类型可以分为两块,如下所示:
PKI
PKI根底设施
数字证书全生命周期管理平台
CA
RA
KMC
LDAP
OCSP
TSA
…
PKI应用支撑
SSL
VPN(SSL/IPSEC)
数字签名系统
动态密码系统
客户端介质
USBKEY
OTP
证书颁发系统:
主要实现数字证书全生命周期管理,有以下局部组成:
⏹CA:
数字证书签发的核心,负责签发和管理所有的证书及证书废止列表〔CRL〕;
⏹RA:
数字证书注册系统,所有用户通过RA系统完成注册后,向CA发送申请,获取证书;
⏹KMC:
提供加密证书提供密钥对的产生、保存、恢复效劳,防止使用者恶意加密文件所导致的文件无法访问;
⏹OCSP:
提供标准的“在线证书状态协议〞〔OnlineCertificateStatusProtocol〕应答效劳,负责向请求者返回特定证书的状态,完成即时的证书状态查询功能。
⏹LDAP:
公共信息存储;
⏹RADS:
RADS是信安NetCert系统提供的开发软件包,RADS提供了C语言和Java语言接口的CA应用开发工具,能方便地嵌入到Java应用效劳器中又能够支持其他采用C语言开发的应用系统,提供全部的证书管理功能
⏹EEDS:
CAServer与最终用户之间的连接器〔Connector〕,EEDS将处理CAServer与最终用户之间的证书自主管理请求与响应
⏹NetCertEnroll:
CA系统的用户端的证书管理控件,NetcertEnroll控件通过web方式下载,并在浏览器中运行,与EEDS配合,实现更加平安的最终用户自主证书管理功能。
数字证书支撑平台:
通过数字证书颁发平台所颁发的数字证书,实现应用系统的数据**性、完整性、抗抵赖性等。
常见包括:
⏹SSL:
通过数字证书,完成通信加密,客户端与效劳端的身份认证等;
⏹VPN:
通过数字证书,完成通信加密,常用于创立虚拟局域网等功能;
⏹数字签名:
通过数字证书,完成数据传输时的完整性,以及数据的康抵赖性;
⏹动态密码:
通过算法,向客户端发送一次性口令,完成身份认证等操作。
3信安世纪与国密
目前,根据相关指导部门的意见,需要在金融行业逐渐普及国密算法,例如在本年度7月30日,保监会即明确指出保险行业电子保单系统中,电子保单系统需支持国密算法。
信安世纪PKI全线产品均支持国密算法〔可在国密局官网在线查询〕,并且信安世纪签名效劳器曾获得发改委专项资金支持,同时在银行领域,2012年全国性国密改造试点的4个银行中,中国农业银行、民生银行、银行均与信安世纪合作,采用信安世纪PKI产品,全线支持其国密改造试点工作。
同时,中国工商银行总行、中国建立银行总行、中国交通银行总行、中国平安银行的CA系统也选择信安世纪NetCert作为国密CA解决方案。
本文中所涉及的方案以及产品,均支持国密,故下述方案中不在具体说明支持国密。
4数字证书的选择
目前,根据国联人寿的方案,将自行部署一套CA系统,通过该CA系统为各个使用者颁发数字证书。
目前已规划在网上商城、OA系统、在线支付系统、电子保单系统使用PKI技术以增强其平安性。
建议国联人寿在类似于网上商城、OA系统这样只涉及甲乙双方关系的系统中使用自建CA系统进展数字证书的颁发,一方面,由于此类系统中,使用人数众多,采用第三方CA系统颁发数字证书,需要高昂的数字证书维护费用〔第三方CA所颁发证书为租赁方式,需要按年计费〕。
另一方面,这些系统的使用者如使用数字证书,需要灵活、便利的管理方式,因此在这些系统中建议使用自检CA系统进展数字证书的颁发。
对于在线支付系统,电子保单系统等,涉及到第三方的应用系统,建议采用第三方CA生成的数字证书。
在线支付以及电子保单系统,两个系统只需要向第三方CA颁申请两表示国联人寿的企业证书即可。
5方案
1.1电子保单系统
1.1.1.方案架构
1.1.1.1.电子保单生成
不带签名的原始电子保单由APP应用效劳器生成,APP应用效劳器将原始电子保单送到签名效劳器进展数字签名,签名效劳器根据APP应用效劳器提供的参数及文件,选择数字证书进展数字签名,并重新生成与原始电子保单格式一样的带签名的电子保单,签名效劳器将此文件返回给APP应用效劳器。
APP应用开发,由应用开发人员根据保险公司电子保单的生成要求进展现场应用开发。
当用户购置并确认提交保单后,APP应用效劳器将用户信息、险种信息、保险条款等按照定义的保单模板组合,调用文件生成API〔HTML文件不需要生成API〕,生成指定格式的原始电子保单。
现阶段,原始的电子保单格式一般采用HTML、PDF格式,这两种格式是目前互联网和客户主机非常通用的格式文件,用户使用时不需要额外的软件安装和设置。
随着互联网的开展,会出现和使用更灵活的格式文件,APP应用效劳器只要集成此文件格式的生成API,即可生成新格式的电子保单文件。
原始的电子保单送到签名效劳器,签名效劳器使用数字证书对保单进展数字签名,并重新生成与原始保单格式一样的带签名的电子保单,并可以根据API所送参数在电子保单中增加附加信息,例如增加本保险公司图章,PDF文件在指定位置显示验签结果信息等。
1.1.1.2.电子保单验证
用户下载带签名的电子保单后,可以在线或离线验证电子保单的数字签名。
HTML格式通过信安世纪提供的验签控件对电子签名进展验签,并直接提示用户验签结果;PDF格式通过AdobeReader软件自带的验签功能验签,并直观地显示验签结果。
带签名的电子保单有任何改动,则验签不成功。
HTML格式直接提示用户验签不成功,且不会显示保单容;PDF格式文件改动后可能不能翻开,即使能翻开,也会提示用户文件有改动验签错误,并直观显示验签结果,例如验签成功则显示绿色√,失败则显示红色×。
1.1.1.3.带数字签名电子保单生成流程
1.客户登陆公司,查看并选择险种。
2.所有客户的操作由WEB效劳器送到APP应用效劳器进展应用业务逻辑处理。
3.客户选择险种,并使用用户名、密码登陆,填写保单所需信息后,提交保单。
4.APP应用处理用户提交保单信息,根据用户信息生成原始的电子保单。
5.APP应用将原始的电子保单发送到签名效劳器进展数字签名。
6.签名效劳器完成原始电子保单数字签名后,将带签名的电子保单返给APP应用。
7.用户下载最终带数字签名的电子保单
8.用户本地保存带签名的电子保单。
用户可离线或在线验签电子保单,并根据验签结果显示保单容。
1.1.2.系统平移
由于国联人寿目前已经采用了CA所提供的数字签名效劳器完成电子保单的生成任务。
但方案中将建立一套PKI根底设施平台,该平台中既包括了信安世纪数字签名效劳器系统。
如国联人寿方案使用信安世纪签名效劳器对该平台进展替换,需完成以下两方面工作:
1>将CA所提供的数字证书导出,移入信安世纪签名效劳器平台〔也可等待当前CA签名效劳器中数字证书到期后,又信安世纪平台进展重新生成CSR请求即可,这样就无需导入当前证书〕;
2>重新部署API接口,使用信安世纪API接口替换CA接口,并调用信安世纪PDF签名方法即可。
1.1.3.方案优势
⏹可支持用户在线或离线两种认证方式;
⏹支持HTML和PDF两种方式的电子保单形式;
⏹可根据需求定制电子图章,电子图章可直观的显示;
⏹签名验签效劳器可平安保存证书私钥;
⏹可负载均衡或HA部署,实现系统高可用性;
⏹每秒3000笔以上的高性能。
1.1.4.方案投入
产品名称
功能
数量
NetSign3300
签名/验签
3〔2生产,1开发〕
说明1:
上述报价并不包含国联人寿所需的从国第三方CA〔如CA〕获取的标示国联人寿企业身份的数字签名证书价格。
说明2:
本方案中报价均按照每一个系统所使用的产品进展报价,实际上,信安世纪产品均支持多效劳,即一套产品均可以为多个系统使用(在网络以及平安策略允许的前提下)。
如签名效劳器,一套签名效劳器即可为电子保单使用,也可为网上商城所使用。
1.2网上商城系统
1.1.5.典型需求
1.1.1.4.**性
通信报文在网络中以密文形式传输,加密算法必须获得国密委的认同。
1.1.1.5.完整性
保证收到的数据与发送的数据完全一致。
1.1.1.6.有效性
通信报文不能被篡改或泄露
1.1.1.7.不可否认性
具备数字签名/验证签名功能,能为通信双方提供关键数据的不可否认性。
1.1.1.8.平安审计
能提供完善的审计功能,包括访问的时间、访问者身份、访问的资源、访问者的IP地址等信息。
具备行为日志的记录功能。
1.1.1.9.高可靠性和高稳定性
⏹具备并发处理的能力。
⏹具备抗网络攻击的能力。
⏹采用多级权限管理,实现权限分割,确保数据的平安。
⏹可以满足客户7*24不连续工作的需求。
1.1.6.实现方式
以B/S构造为根本应用框架
采用数字证书作为用户身份认证凭证
以数字证书为根底实现应用平安
以SSL实现加密传输和身份认证
以数字签名实现抗抵赖和防篡改
保证在互联网上通信数据平安
1.1.7.方案架构
1.1.8.功能分析
1)采用信安世纪NetCertCA系统为网上商城建立认证中心系统〔CA〕,该系统可为网上银行用户签发数字证书。
2)数字证书的签发管理通过网上商城用户注册系统〔RA〕实现,RA系统以加密方式连接到CA系统,实现证书的申请、签发、作废、更新等操作。
3)考虑到用户的使用便利性以及本钱,建议采用文件证书的方式。
4)对于入站的请求,采用信安世纪NetOpit-LT实现链路负载能力,以及基于用户所属ISP的智能DNS解析,实现链路高可靠性,乃至未来的全局负载能力。
5)信安世纪NSAE-NB作为网上商城系统的平安门户,NSAE实现与客户端IE浏览器的SSL加密通讯,并对用户数字证书进展验证。
并且NSAE与后台系统通过J2EE证书处理机制联动,NSAE验证过的证书信息可直接为后台应用系统利用,实现应用系统中对用户身份确实认。
6)在应用效劳器区,考虑到应用效劳器作为系统的关键资源节点,采用信安世纪NetOptiADN系统对效劳器进展负载的同时,提高高可靠性。
7)信安世纪数字签名系统NetSign作为网上商城交易确认和事后审计的保证。
1.1.9.业务实现流程
1)客户根据需求使用浏览器访问网上商城不同业务的域名或效劳。
2)用户产生DNS解析请求,最终会命安世纪NetOpti-NL设备,NetOpti-NL设备根据用户所属ISP,返回网上商城对应资源的公网IP地址,实现域名解析,快速入站的能力。
同时,实现多链路冗余。
3)用户完成请求后,访问至信安世纪NSAE-NB设备,实现SSL卸载:
⏹用户可以采用单向SSL加密的手段,实现对银行域名效劳的校验。
⏹用户也可以采用双向SSL加密的手段,不但实现了对银行域名效劳的校验、而且银行通过SSL加速设备还能校验客户端证书的有效性。
4)NSAE-NB设备为All-in-One设备,在本工程中同时提供SSL与负载均衡功能,SSL加速设备通过对SSL的数据分析之后,将访问流量发送给负载均衡模块,负载均衡模块按照不同的应用类型(效劳端口)或者访问路径(URL)等信息,并且根据不同的算法,将流量智能的分配到不同的后台Web效劳器上,由Web效劳器响应静态资源的请求,并将动态资源的请求转发到后台APP负载均衡设备上。
5)APP负载均衡设备根据预定的算法将相应的请求命中至指定的APP效劳器。
同时,实施对效劳器进展安康检查,当探测到任何一个效劳器出现异常时,则在毫秒级时间片将后续流量引导至正常工作的效劳器上,确保其应用故障不影响使用者,从而隔离故障域。
6)在一些涉及到用户资金的交易过程中,客户需要通过Active*控件将交易的信息进展数字签名,并将这些签名信息通过SSL加密隧道一层一层的传输到应用效劳器上,应用效劳器通过API的调用和签名效劳器进展交互,由签名效劳器判断签名数据在经过网络传输过程中是否经过恶意篡改,以及实现抗抵赖性
1.1.10.方案优势
⏹高可用性
对于链路而言,当一条链路失效时,信安世纪全局负载均衡系统可瞬时感知链路通断状态,并且屏蔽该链路对应的公网DNS地址,引导后续流量从正常ISP线路入站,对用户屏蔽线路故障。
对于应用而言当系统的*个节点出现关机、宕机、重启或者网卡载波丧失〔连接断开〕时,所有的流量就会被立即转到另一台热备设备上。
保证了整个系统的正常运行。
⏹兼容性
数字签名控件有良好的兼容性,能支持到主流浏览器,保证在多样化的客户端浏览器的正常使用。
支持所有标准的Java应用效劳器,包括Weblogic。
⏹稳定性
SSL加速设备提供能会话保持策略,保证每次会话指向固定应用效劳器
⏹平安性
通过双向HTTPS协议认证客户端与效劳端,通讯双方的身份得到认证,通讯容的私密性得到保障。
独立的CRL文件下载效劳,保证应用系统运行的连续性和平安级别。
⏹高性能
信安世纪CA系统,SSL系统均为高性能系统,支撑了国如工商银行总行、农业银行总行网银系统上千万用户规模的使用。
另一方面,在本工程中,通过在关键节点部署负载均衡系统,将应用的A/S〔Active/Standby〕架构升级至A/A架构,按照双节点部署的典型应用下,系统容量理论值增加一倍。
⏹可维护性
基于Web和命令行的效劳带来高可维护性。
强大的审计功能保证了对用户的操作进展审计记录,并且可以按照管理员要求进展特殊的行为日志记录。
⏹可扩展性
SSL设备上需支持部署多个ssl证书并接入多个域名,保证了不同客户的不同SSL加密入口。
同时,采用负载均衡设计的架构下,当未来应用出现瓶颈时,仅需增加应用效劳器资源即可,无需调整网络架构,实现模块化部署,极大的简化了应用系统投产的时间与复杂度。
1.1.11.方案投入
产品名称
功能
数量
说明
NetSign3300
签名/验签
3〔2生产,1开发〕
NetOpti2200-LT
链路负载
2
NSAE2500-NB
SSL+效劳器负载
3〔2生产,1开发〕
NetOpti2200-NL
效劳器负载
2
NetSign3300
签名效劳器
3〔2生产,1开发〕
PC客户端签名控件Chrom
客户端签名
标准版仅支持IE
PC客户端签名控件FireFo*
客户端签名
标准版仅支持IE
说明1:
上述报价并不包含国联人寿所需的国际第三方证书〔如Versign〕价格,需国联人寿自行提供第三方的SSL效劳器站点证书。
说明2:
本方案中均按照每一个系统所使用的产品,实际上,信安世纪产品均支持多效劳,即一套产品均可以为多个系统使用(在网络以及平安策略允许的前提下)。
如签名效劳器,一套签名效劳器即可为电子保单使用,也可为网上商城所使用。
1.3OA系统
说明:
对于网的应用而言,可以通过NetCertCA系统所颁发的数字证书与微软的AD域控进展集成,在用户登录AD域控时,通过数字证书进展验证,从而实现身份认证。
也可以与单点登陆系统进展对接,用户在登陆单点登陆系统时,需要出示数字证书,通过验证后才可登陆单点登陆系统。
或者单独与OA系统进展对接,完成身份认证,数据加密,数据完整性校验等。
无论与AD、单点登陆、还是单独与OA系统进展集成,其实现原理根本一样,本文仅描述与OA系统对接过程。
1.1.12.典型需求
1.1.1.10.CA系统
⏹同步OA系统人员的相关的信息。
⏹提供数字证书的申请、作废、更新和查询等相关操作。
⏹证书申请和证书更新实现一步操作,成功后将数字证书发送到人员中,由用户自行下载安装数字证书。
⏹证书作废实现一步操作,成功后删除该员工信息。
⏹提供数字证书查询功能,查询RA数据库中已有的员工相关信息。
⏹提供日志查询功能,对操作RA的操作员所做的功能操作都要有日志记录;同时提供日志查询界面
⏹需要将RA应用系统集成在国联金融OA系统中,并且由国联金融OA系统的管理员来操作数字证书管理的相关操作;同时,保证其访问RA应用系统的平安性。
⏹提供OA系统用户自主更新和账户关闭接口,完成用户自主更新和账户关闭操作。
1.1.1.11.其他
⏹通过技术手段实现数据传输时的**性;
⏹通过技术手段时间数据传输过程中的完整性;
⏹通过技术手段时间操作者对所做操作的抗抵赖性;
1.1.13.系统概述
国联金融自建CA,RA应用系统集成于国联金融OA系统中,由OA系统的管理员来管理和操作数字证书的申请、更新和作废,以及证书和日志查询操作;同时,RA应用系统提供OA系统用户自主更新证书和关闭账户的接口,以完成用户证书的更新和账户关闭的操作。
同时,依托于PKI技术,实现数据传输时的**性以及完整性和抗抵赖性。
1.1.14.系统架构
1.1.14.1.整体架构图
⏹通过NSAE-NB设备,一方面构建基于SSL的平安通道,确保使用者使用OA时的**性;同时,通过NSAE-NB的负载均衡功能,可以完成对OA系统的高可靠性保障;
⏹通过NetCertCA系统为用户颁发数字证书;
⏹通过数字签名系统完成数字签名,实现完整性以及抗抵赖性。
由于本方案中,NetCertCA与OA系统集成要求较为严密,下文主要描述NetCertCA系统:
1.1.14.2.NetCertCA系统架构如下列图所示:
证书管理系统由信安世纪公司负责开发和实施,通过自建CA颁发行员工数字证书,数字证书用于行OA系统的登陆凭证。
系统管理员通过证书管理系统为行每位员工申请证书,证书会自动发送到员工行,员工安装所申请的证书即可完成OA系统登陆。
员工还可通过证书管理系统来进展证书的作废、更新等证书管理操作。
1.1.15.流程介绍
1.1.15.1.数字管理流程
⏹证书申请流程:
在国联金融OA系统中,由OA系统管理员登陆RA系统,选择证书申请操作,输入员工编号、员工**以及选择部门等查询条件,通过OA系统提供的视图查询得到员工的信息〔员工编号、员工**、部门编号、部门名称和地址〕;确认员工信息后,进展证书申请操作,证书申请成功,则将数字证书发送到员工的中;如果证书申请失败,系统能够给出错误提示和要求信息。
提供对OA系统新增加未申请证书人员查询功能,以及非正常操作导致的信息已确认但没有申请证书的查询功能。
⏹证书更新流程:
在国联金融OA系统中,由OA系统管理员登陆RA系统,选择证书更新操作,输入员工编号、员工**、证书的起止日期以及选择部门等查询条件,查询得到员工证书的信息〔员工编号、员工**、部门名称和地址〕;确认员工信息后,进展证书更新操作,证书更新成功,则将数字证书发送到员工的中;如果证书更新失败,系统能够给出错误提示和要求提示信息。
提供人员证书30即将到期提醒和查询以及以日期〔天〕查询即将到期的人员证书。
⏹证书作废流程:
在国联金融OA系统中,由OA系统管理员登陆RA系统,选择证书作废操作,输入员工编号、员工**以及选择部门〔OA系统提供部门信息的下拉列表框〕等查询条件,查询得到员工证书的信息〔员工编号、员工**、部门名称和地址〕;确认员工信息后,进展证书作废操作,证书作废成功,返回成功信息;如果证书作废失败,系统能够给出错误提示和要求提示信息。
1.1.15.2.应用系统使用流程
1)客户根据需求使用浏览器访问OA系统;
2)用户完成请求后,访问至信安世纪NSAE-NB设备,实现SSL卸载,由于在网使用,使用环境较为平安,建议采用单向SSL即可。
3)NSAE-NB设备为All-in-One设备,在本工程中同时提供SSL与负载均衡功能,SSL加速设备通过对SSL的数据分析之后,将访问流量发送给负载均衡模块,负载均衡模块按照不同的应用类型(效劳端口)或者访问路径(URL)等信息,并且根据不同的算法,将流量智能的分配到不同的后台OA效劳器上。
4)在一些涉及到领导审批等重要操作环节,客户需要通过Active*控件将交易的信息进展数字签名,并将这些签名信息通过SSL加密隧道一层一层的传输到应用效劳器上,应用效劳器通过API的调用和签名效劳器进展交互,由签名效劳器进展验签操作,完成后交给应用存档,以实操作者对签名操作的抗抵赖性。
1.1.16.方案优势
⏹完善的数字证书管理功能:
提供数字证书的申请、下载、更新、冻结、解冻、作废等功能,为数字证书提供完善的生命周期管理支持。
⏹丰富的数字证书应用类型:
产品自带签名证书、加密证书、SSL站点证书等多种数字证书模板,用户还可以通过证书模板管理功能灵活配置各种算法、用途和格式的数字证书。
⏹与管理方式高度融合的特性:
基于RADS开发组件定制开发的RA系统可实现与证书管理和用户管理的高度融合。
⏹平安的软件设计:
系统采用平安的构造设计,各模块之间通讯使用独立的平安传输通道。
在权限管理方面采取分权制衡的设计思路。
⏹大规模应用实践检验:
目前世界上发证数量最大的两大CA系统,中国工商银行和中国农业银行CA系统均采用的NetCert产品系列,实践经历的积累使得NetCert的稳定性和兼容性非常优秀。
1.1.17.方案投入
产品名称
功能
数量
说明
NetCert(含CA、RA、LDAP、NetCertEnroll)
数字证书生成系统
1
NSAE2500-NB
SSL+效劳器负载
3〔2生产,1开发〕
NetSign3300
签名效劳器
3〔2生产,1开发〕
NetCertRA开发费用〔如用户同步、证书自助更新等等〕
说明:
本方案中报价均按照每一个系统所使用的产品进展报价,实际上,信安世纪产品均支持多效劳,即一套产品均可以为多个系统使用(在网络以及平安策略允许的前提下)。
如签名效劳器,一套签名效劳器即可为电子保单使用,也可为网上商城所使用。
1.4支付系统
1.1.18.典型需求
国联人寿方案推出的网上商城中,包含了用户在线支付功能。
目前正在完成与通联金融以及农商行对接的过程中。
在与农商行对接的过程中,需要由国联人寿访问的农商行,传递经过国联人寿数字签名的用户开通快捷支付以及扣款指令等,此访问过程,已过国联金融访问农商行发布的SSL完成加密。
同时,农商行完成业务处理后,需要将经过农商行数字签名的回执返回给国联金融,目前,此访问为未加密的HTTP连接,本方案则为本系统的下联通道〔即农商行回访国联金融〕提供加密隧道。
⏹实现农商行至国联人寿通道的**性。
⏹实现应用系统的高可靠性。
1.1.19.实现方式
通过NSAE-NB设备在农商行与国联人寿之间,构建平安的HTTPS加密隧道,确保数据交互时的**性,同时借助于NSAE-NB所提供的负载均衡能力,提供给用系统的高性能与高可靠性。
1.1.20.方案架构
1.1.21.业务实现流程
1>国联人寿应用系统生成用户的快捷支付开通或付款指令;
2>通过软件以及标示国联人寿身份的数字证书实现对预传数据的数字签名;
3>通过农商行发布的SS