□楊 栓□任建勛□宋 博□張亞萍□杜 磊

（1河南省水利信息中心；2商丘市梁園區(qū)水利局）

河南省水利廳身份認(rèn)證及應(yīng)用安全技術(shù)方案研究

□楊 栓1□任建勛1□宋 博1□張亞萍2□杜 磊2

（1河南省水利信息中心；2商丘市梁園區(qū)水利局）

隨著水利信息化的深入發(fā)展，信息網(wǎng)絡(luò)有效實(shí)現(xiàn)了資源共享和互聯(lián)互通，但也帶來了安全性的問題。通過數(shù)字證書技術(shù)來實(shí)現(xiàn)用戶可信身份的標(biāo)識(shí)，通過對(duì)用戶數(shù)字證書的驗(yàn)證，實(shí)現(xiàn)對(duì)用戶身份的高強(qiáng)度認(rèn)證，保證河南省水利廳業(yè)務(wù)系統(tǒng)的運(yùn)行安全。

身份認(rèn)證；應(yīng)用安全；方案研究

1 概述

河南省水利廳身份認(rèn)證體系建設(shè)，依托于水利部外網(wǎng)已建設(shè)的身份認(rèn)證系統(tǒng)PKI/CA系統(tǒng)，以水利部外網(wǎng)身份認(rèn)證體系為信任源頭，在河南省水利廳沿用水資源的證書注冊(cè)系統(tǒng)RA，為河南省水利廳本地用戶提供全面的、貼切的證書服務(wù)，通過數(shù)字證書的技術(shù)手段實(shí)現(xiàn)用戶身份的可信描述以及單點(diǎn)登錄。河南省水利廳應(yīng)用安全支撐體系屬于身份認(rèn)證體系和應(yīng)用系統(tǒng)之間的中間環(huán)節(jié)，通過該中間環(huán)節(jié)起到的承上啟下作用，可以保證應(yīng)用系統(tǒng)方便、快速的實(shí)現(xiàn)和數(shù)字證書之間的整合，享受到身份認(rèn)證體系提供的各類安全服務(wù)。

2 框架設(shè)計(jì)

2.1 身份認(rèn)證體系

身份認(rèn)證體系為河南省水利廳外網(wǎng)身份信任體系建設(shè)的核心內(nèi)容，采用數(shù)字證書的手段來實(shí)現(xiàn)用戶身份的描述，通過建設(shè)身份認(rèn)證體系，來實(shí)現(xiàn)河南省水利廳外網(wǎng)的用戶、設(shè)備的權(quán)威、統(tǒng)一身份表達(dá)、描述。河南省水利廳身份認(rèn)證體系接入到水利部身份認(rèn)證體系中，實(shí)現(xiàn)身份認(rèn)證體系的統(tǒng)一信任。河南省水利廳身份認(rèn)證體系主要包括證書注冊(cè)系統(tǒng)RA（沿用水資源RA系統(tǒng)），證書注冊(cè)系統(tǒng)RA屬于水利部外網(wǎng)運(yùn)營CA提供證書服務(wù)的窗口，為河南省水利廳本地人員提供證書申請(qǐng)、下載、注銷、更新等各項(xiàng)業(yè)務(wù)的服務(wù)。

2.2 應(yīng)用安全支撐體系

應(yīng)用安全支撐體系是通過對(duì)身份認(rèn)證體系所簽發(fā)的數(shù)字證書的應(yīng)用，基于組件化服務(wù)的方式，向業(yè)務(wù)系統(tǒng)提供統(tǒng)一的、體系化的安全支撐服務(wù)。為業(yè)務(wù)系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證和統(tǒng)一用戶管理功能，業(yè)務(wù)系統(tǒng)通過調(diào)用應(yīng)用安全支撐提供的服務(wù)，經(jīng)過簡(jiǎn)單的配置或少量的代碼更改就可以實(shí)現(xiàn)安全功能的嵌入和實(shí)現(xiàn)用戶賬戶的同步，實(shí)現(xiàn)業(yè)務(wù)和數(shù)字證書的結(jié)合、用戶源的統(tǒng)一管理。河南省水利廳應(yīng)用安全支撐體系主要包括身份認(rèn)證網(wǎng)關(guān)和統(tǒng)一用戶管理系統(tǒng)，為業(yè)務(wù)系統(tǒng)提供統(tǒng)一的身份認(rèn)證和用戶管理功能。

2.3 目錄服務(wù)體系

目錄服務(wù)體系主要負(fù)責(zé)用戶數(shù)字證書、證書注銷黑名單、用戶屬性數(shù)據(jù)的統(tǒng)一發(fā)布，是身份認(rèn)證系統(tǒng)和應(yīng)用之間的橋梁；方案設(shè)計(jì)沿用水資源CA從目錄，復(fù)制水利部河南證書相關(guān)數(shù)據(jù)為本地提供服務(wù)。

2.4 故障恢復(fù)與災(zāi)難備份體系

故障恢復(fù)與災(zāi)難備份體系主要是通過綜合應(yīng)用備份與恢復(fù)技術(shù)，提升身份認(rèn)證系統(tǒng)的可靠性。在實(shí)際的工程實(shí)施中，可以采用磁帶機(jī)或者是利用用戶現(xiàn)在的備份體系或軟件自帶的備份功能進(jìn)行相關(guān)數(shù)據(jù)的備份。

2.5 安全防御體系

安全防御體系主要是通過部署防火墻等產(chǎn)品，保障身份認(rèn)證系統(tǒng)網(wǎng)絡(luò)層面的安全性。

2.6 標(biāo)準(zhǔn)規(guī)范體系

標(biāo)準(zhǔn)規(guī)范體系涵蓋系統(tǒng)建設(shè)、系統(tǒng)命名、數(shù)字證書格式、證書注冊(cè)系統(tǒng)建設(shè)、身份認(rèn)證網(wǎng)關(guān)建設(shè)、應(yīng)用接口等標(biāo)準(zhǔn)；河南省水利廳身份認(rèn)證體系建設(shè)將照水利部外網(wǎng)身份認(rèn)證體系統(tǒng)一標(biāo)準(zhǔn)執(zhí)行。

3 水利部CA體系邏輯結(jié)構(gòu)

河南省水利廳需要部署RA系統(tǒng)（沿用水資源RA）、目錄服務(wù)系統(tǒng)（沿用水資源LDAP）、身份認(rèn)證網(wǎng)關(guān)、統(tǒng)一用戶管理系統(tǒng)。按照水利部外網(wǎng)的要求，接入到水利部外網(wǎng)身份認(rèn)證系統(tǒng)；通過建設(shè)RA系統(tǒng)，實(shí)現(xiàn)證書的本地化服務(wù)，為本地的人員發(fā)放證書；通過建設(shè)身份認(rèn)證網(wǎng)關(guān)，實(shí)現(xiàn)認(rèn)證的本地化服務(wù)，為水利廳業(yè)務(wù)系統(tǒng)提供基于證書的身份認(rèn)證。

身份認(rèn)證體系（指證書發(fā)放體系）集中部署于省級(jí)（沿用原有水資源RA和LDAP），制作省級(jí)證書業(yè)務(wù)管理員證書key，為省級(jí)用戶以及地市用戶集中發(fā)放數(shù)字證書（USB-KEY）。

4 水利廳應(yīng)用整合及單點(diǎn)登錄設(shè)計(jì)

4.1 整合需求

河南省水利廳業(yè)務(wù)系統(tǒng)的安全主要是要求基于數(shù)字證書來實(shí)現(xiàn)用戶身份高強(qiáng)度認(rèn)證，代替?zhèn)鹘y(tǒng)的“用戶名＋口令”身份認(rèn)證模式。采用統(tǒng)一用戶管理技術(shù)實(shí)現(xiàn)用戶的統(tǒng)一管理。

4.2 整合思路

利用河南省水利廳證書注冊(cè)系統(tǒng)RA為用戶頒發(fā)的數(shù)字證書，基于身份認(rèn)證網(wǎng)關(guān)來實(shí)現(xiàn)用戶基于數(shù)字證書的高強(qiáng)度身份認(rèn)證，以代替業(yè)務(wù)傳統(tǒng)的“用戶名＋口令”身份認(rèn)證模式，通過建立數(shù)字證書主用戶規(guī)范各個(gè)應(yīng)用系統(tǒng)的用戶標(biāo)識(shí)，達(dá)到用戶的統(tǒng)一管理和同步。

4.3 整合方案

RA系統(tǒng)，主要負(fù)責(zé)為用戶和設(shè)備頒發(fā)數(shù)字證書，解決身份標(biāo)識(shí)問題。目錄服務(wù)系統(tǒng)，該系統(tǒng)主要負(fù)責(zé)發(fā)布數(shù)字證書和黑名單信息，為用戶身份的驗(yàn)證提供基礎(chǔ)。身份認(rèn)證網(wǎng)關(guān)，該系統(tǒng)主要為業(yè)務(wù)系統(tǒng)提供身份認(rèn)證服務(wù)，只有經(jīng)過身份認(rèn)證網(wǎng)關(guān)認(rèn)證通過的用戶才可以訪問的應(yīng)用系統(tǒng)。統(tǒng)一用戶管理系統(tǒng)（簡(jiǎn)稱UMS），該系統(tǒng)主要為業(yè)務(wù)系統(tǒng)提供統(tǒng)一用戶管理服務(wù)，進(jìn)行用戶屬性信息同步。

4.4 訪問流程設(shè)計(jì)

用戶訪問應(yīng)用系統(tǒng)必須通過身份認(rèn)證網(wǎng)關(guān)驗(yàn)證，它可以接收用戶的數(shù)字證書，通過驗(yàn)證證書鏈、查詢CRL（證書黑名單）等來判斷用戶的身份是否合法。通過調(diào)用和查詢統(tǒng)一用戶管理系統(tǒng)（UMS）中該證書的屬性信息（身份證號(hào)或其他標(biāo)識(shí)）傳遞給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)從而獲知用戶身份，展現(xiàn)相應(yīng)的頁面，并將用戶的訪問過程記錄成日志存儲(chǔ)在身份認(rèn)證網(wǎng)關(guān)中（也可以以syslog發(fā)送給審計(jì)系統(tǒng)）。

5 省級(jí)移動(dòng)辦公擴(kuò)展

為了解決移動(dòng)辦公應(yīng)用數(shù)據(jù)機(jī)密性、身份認(rèn)證強(qiáng)度兩方面安全風(fēng)險(xiǎn)，同時(shí)結(jié)合移動(dòng)辦公場(chǎng)景的特點(diǎn)，相應(yīng)的安全解決方案主要涉及證書發(fā)布體系建設(shè)、中間件服務(wù)器改造及移動(dòng)信息終端APP整合三部分內(nèi)容。

5.1 業(yè)務(wù)應(yīng)用流程

在建設(shè)好PKI/RA系統(tǒng)及移動(dòng)證書門戶后，移動(dòng)終端用戶進(jìn)行數(shù)字證書申請(qǐng)發(fā)放的流程如下：證書管理員首先將用戶信息預(yù)先錄入至RA系統(tǒng)，生成證書申請(qǐng)憑證碼；證書管理員通過郵件，將證書申請(qǐng)憑證碼發(fā)送給移動(dòng)終端用戶；移動(dòng)終端用戶在移動(dòng)終端通過整合后的移動(dòng)辦公APP訪問安全接入網(wǎng)關(guān)，并經(jīng)過安全接入網(wǎng)關(guān)連接移動(dòng)證書門戶，提交證書申請(qǐng)憑證碼，進(jìn)行證書申請(qǐng)；移動(dòng)證書門戶連接PKI/RA系統(tǒng)，簽發(fā)移動(dòng)證書；移動(dòng)終端用戶通過安全接入網(wǎng)關(guān)，從移動(dòng)證書門戶將證書下載至本地，安裝在移動(dòng)辦公APP中，證書申請(qǐng)結(jié)束。

5.2 移動(dòng)應(yīng)用訪問流程

將客戶端APP進(jìn)行改造后，集成VPN連接客戶端接口，同時(shí)針對(duì)移動(dòng)中間件平臺(tái)進(jìn)行必要改造，將認(rèn)證方式從用戶名/口令方式改變?yōu)閿?shù)字證書認(rèn)證方式。改造完成后，移動(dòng)辦公用戶的應(yīng)用訪問流程如下：移動(dòng)辦公用戶通過點(diǎn)擊客戶端APP，APP集成的VPN客戶端接口向VPN網(wǎng)關(guān)發(fā)起訪問請(qǐng)求；VPN系統(tǒng)要求移動(dòng)辦公用戶提交數(shù)字證書，進(jìn)行身份有效性認(rèn)證。認(rèn)證通過后，VPN通道建立。

6 地市身份認(rèn)證體系擴(kuò)展

6.1 整體邏輯架構(gòu)擴(kuò)展設(shè)計(jì)

省級(jí)身份認(rèn)證系統(tǒng)負(fù)責(zé)為省廳發(fā)放數(shù)字證書、制定證書策略、管理下級(jí)地市LRA接入，并將證書的CRL發(fā)布到目錄，供全省地市的目錄復(fù)制。省廳自身目錄供省廳本地業(yè)務(wù)系統(tǒng)使用。地市身份認(rèn)證系統(tǒng)為地市提供數(shù)字證書服務(wù)，并通過LDAP從省廳復(fù)制獲取證書CRL相關(guān)信息。

6.2 證書發(fā)放設(shè)計(jì)

省廳用戶通過省級(jí)證書業(yè)務(wù)管理員KEY登錄RA系統(tǒng)為省級(jí)用戶頒發(fā)數(shù)字證書（USBKEY）；地市LRA制證系統(tǒng)通過省廳行政授權(quán)和系統(tǒng)授權(quán)連入省廳RA系統(tǒng)。

6.3 應(yīng)用支撐

由于省、市都有應(yīng)用系統(tǒng)，因此應(yīng)用安全支撐平臺(tái)采取分布式部署方式，省級(jí)身份認(rèn)證網(wǎng)關(guān)支撐省級(jí)應(yīng)用，各地市身份認(rèn)證網(wǎng)關(guān)支撐地市應(yīng)用。用戶在進(jìn)行訪問時(shí)，根據(jù)應(yīng)用系統(tǒng)所屬地，選擇所屬地對(duì)應(yīng)的身份認(rèn)證網(wǎng)關(guān)進(jìn)行身份的認(rèn)證。

6.4 防汛抗旱應(yīng)用系統(tǒng)接入

通過集中身份認(rèn)證網(wǎng)關(guān)建立用戶和防汛抗旱應(yīng)用平臺(tái)直接連接的橋梁，用戶在防汛抗旱應(yīng)用平臺(tái)點(diǎn)擊登陸時(shí)首先訪問到身份認(rèn)證網(wǎng)關(guān)，并按要求提交數(shù)字證書。身份認(rèn)證網(wǎng)關(guān)聯(lián)合水資源RA目錄校驗(yàn)證書有效性，并查詢UMS中該證書的屬性信息。由身份認(rèn)證網(wǎng)關(guān)將數(shù)字證書信息和屬性信息發(fā)送給防汛抗旱應(yīng)用平臺(tái)，防汛抗旱應(yīng)用平臺(tái)根據(jù)此信息實(shí)現(xiàn)證書登錄，再由防汛抗旱應(yīng)用平臺(tái)整理并抽取相關(guān)信息發(fā)送給應(yīng)用系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄。用戶的證書信息和屬性信息由UMS向防汛抗旱應(yīng)用平臺(tái)實(shí)現(xiàn)同步。防汛抗旱應(yīng)用平臺(tái)通過內(nèi)部機(jī)制實(shí)現(xiàn)自身與各個(gè)應(yīng)用系統(tǒng)的用戶同步。

6.5 電子簽名服務(wù)器與簽章的結(jié)合

電子簽名與簽章的整合需要證書體系整合，將水利部的證書體系替換電子簽章的證書體系；介質(zhì)整合，使用水利部統(tǒng)一的USBKEY（飛天epass3003），并將簽章灌制到飛天epass3003中。

7 結(jié)語

通過建設(shè)河南省水利廳身份認(rèn)證體系和應(yīng)用安全支撐體系，可以保證應(yīng)用系統(tǒng)方便、快速的實(shí)現(xiàn)和數(shù)字證書之間的整合，享受到身份認(rèn)證體系提供的各類安全服務(wù)，來完成對(duì)應(yīng)用數(shù)據(jù)的保護(hù)和終端設(shè)備的保護(hù)，實(shí)現(xiàn)安全需求的快速拓展。

（責(zé)任編輯：邢博輝）

F830.49

B

1673-8853（2016）11-0049-02

2016-07-16