14.9 元
下载资源

CA安全体系认证建设.ppt

上传人:tian****1990 文档编号:7891349 上传时间:2020-03-25 格式:PPT 页数:52 大小:3.50MB
返回 下载 相关 举报
CA安全体系认证建设.ppt_第1页
第1页 / 共52页
CA安全体系认证建设.ppt_第2页
第2页 / 共52页
CA安全体系认证建设.ppt_第3页
第3页 / 共52页
点击查看更多>>
资源描述
烟草行业CA建设 Infosec 2020 3 25 Copyright1998 2009Infosec 目录 建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接 2020 3 25 Copyright1998 2009Infosec 目录 建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接 2020 3 25 Copyright1998 2009Infosec 烟草行业CA安全认证体系建设 烟草行业CA安全认证体系建设项目主要内容 1 CA安全认证体系建设2 实现CA与应用系统之间的挂接 2020 3 25 Copyright1998 2009Infosec CA安全认证体系服务范畴 鉴定Identification认证Authentication完整性Integrity机密性Confidentiality不可否认性Non repudiation 2020 3 25 Copyright1998 2009Infosec 术语解释 数字证书数字证书 也被称为数字身份证 其用来识别数字证书持有者的真实身份 因数字证书提供的是网络上的身份证明 也可称数字证书是 网络身份证 数字证书认证中心 CA CA是数字证书签发的权威机构 它是CA认证中心的核心组成部分 CA负责数字证书的签发 保管 分发 以及必要时的证书撤销 数字证书认证中心主要包括 CA系统 RA系统等 数字证书注册机构 RA RA是负责数字证书注册的机构 是面向最终用户和发证操作员的业务平台 RA中心负责处理用户的证书申请 对证书申请进行审核 并且通过用户信息系统进行授权 参与用户证书申请 发行和作废的过程 RA不能签发和发行证书 但是可以作为用户和CA间的中间人 当需要新的证书的时候 用户就给RA发送请求 然后由RA再把这个请求发送给CA 由CA来完成数字证书的签发和发行 RA安全终端RA安全终端 是一台专门用于访问RA系统的PC机 密钥管理中心 KMC 负责为CA系统提供密钥的保存 备份 更新 恢复等密钥服务 数字证书应用支撑系统数字证书应用支撑系统 为单点登录或应用系统提供以数字证书为基础的身份认证 数据私密性 数据完整性 操作不可否认性等安全服务功能 2020 3 25 Copyright1998 2009Infosec 建设目标 烟草行业CA认证中心的建设目标 一是建设能够为烟草行业信息系统提供高强度的安全身份认证机制 为统一权限管理 单点登录等管理系统提供应用安全支撑平台 二是建立健全保证CA认证中心基础设施正常运行的标准和制度 2020 3 25 Copyright1998 2009Infosec 总体要求 烟草行业CA认证中心建设的总体要求 健全管理机制通过烟草行业CA认证中心的建设 将在烟草行业信息网络内 建立和健全人员身份信息的集中管理机制 通过有效的技术手段对信息化用户的活动状态 行为等方面进行集中监管 从而进一步规范用户的业务系统登录和业务操作行为 完善管理制度积极推进制度的建设和完善 为规范烟草行业网络信任体系的运行提供制度保障 统一技术标准烟草行业CA认证中心的建设采用PKI体系框架和X 509标准协议 2020 3 25 Copyright1998 2009Infosec 基本原则 烟草行业CA认证中心建设的基本原则 统一技术方案依照本方案的规定 国家局负责烟草行业根CA中心 国家局运营CA中心 二级CA 的建设 其中国家局运营CA中心包括数字证书发放管理系统 数字证书应用支撑系统2个部分 各省级单位负责本单位省级运营CA中心 二级CA 的建设 省级运营CA中心包括本省数字证书发放管理系统 数字证书应用支撑系统2个部分 各省级单位必须根据本技术方案和国家相关技术标准的要求 结合本单位的实际情况配置硬件设备和软件系统 进而形成本单位的 运营CA中心实施方案 结合应用分级实施各单位必须按国家局的要求 使用CA认证技术实现身份认证 各单位应在本技术方案的指导下 从本单位的实际需求出发 来决定省级单位CA中心的建设规模和建设方案 2020 3 25 Copyright1998 2009Infosec 管理原则 遵循 行政管理怎么管 数字证书就怎么发 的基本思想 管理原则统一规范集中监管单位自治 2020 3 25 Copyright1998 2009Infosec 目录 建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接 2020 3 25 Copyright1998 2009Infosec 烟草行业CA认证中心总体结构 烟草行业CA认证中心2级结构根CA 烟草行业根CA中心 二级CA 国家局运营CA中心 各省级运营CA中心 3个部分烟草行业根CA中心国家局运营CA中心各省级运营CA中心 2020 3 25 Copyright1998 2009Infosec 烟草行业CA认证中心基础架构 2020 3 25 Copyright1998 2009Infosec 烟草行业根CA中心 烟草行业CA认证中心的信任源 其功能主要包括 为二级CA 国家局运营CA中心和各省级运营CA中心 提供互信保障 同时 为各二级CA签发 二级CA证书 由于烟草行业根CA中心不面向终端用户 所以其可以采用离线的方式进行封闭式运行 2020 3 25 Copyright1998 2009Infosec 二级CA 二级CA 国家局运营CA中心和各省级运营CA中心 作为烟草行业根CA的子CA系统 其服务对象将主要面向各终端用户和各业务系统 二级CA的主要功能1 面向其所辖范围内的终端用户 提供数字证书的发放管理服务 2 面向各业务系统 保证各业务系统能够接受数字证书用户的身份认证和系统登录 2020 3 25 Copyright1998 2009Infosec 二级CA 组成 国家局运营CA中心和各省级运营CA中心组成 国家局运营CA中心 数字证书发放管理系统 数字证书应用支撑系统 省级运营CA中心 工业公司运营CA中心 商业公司运营CA中心 数字证书发放管理系统 数字证书应用支撑系统 2020 3 25 Copyright1998 2009Infosec 国家局运营CA中心 国家局运营CA中心功能主要包括 1 为国家局机关内用户发放和管理数字证书 2 为部分省级单位的用户 有条件地发放和管理数字证书 3 为国家局各业务系统提供身份认证 数据安全保障等服务 4 对各省级运营CA中心进行垂直监管 2020 3 25 Copyright1998 2009Infosec 省级运营CA中心 各省级运营CA中心 工业公司运营CA中心 商业公司运营CA中心 作为烟草行业CA认证中心中的另一个重要组成部分 在接受国家局运营CA中心的垂直监管的同时 其主要功能 1 为本省单位所辖范围内的用户发放和管理数字证书 2 为本省单位各业务系统提供身份认证 数据安全保障等服务 2020 3 25 Copyright1998 2009Infosec 烟草行业CA认证中心基础架构 2020 3 25 Copyright1998 2009Infosec 烟草行业CA认证中心总体架构 3大功能系统数字证书发放管理系统数字证书应用支撑系统数字证书综合监管系统 2020 3 25 Copyright1998 2009Infosec 数字证书发放管理系统 数字证书发放管理系统是为烟草行业用户提供数字证书的签发 发布 撤销等一系列管理服务 主要实现 签发和管理数字证书 其服务对象为 数字证书的持有者和数字证书应用支撑系统 用户的数字证书包含如下个人身份信息描述 姓名职务部门单位 2020 3 25 Copyright1998 2009Infosec 数字证书发放管理系统 国家局运营CA中心 国家局运营CA中心的数字证书发放管理系统自身的数字证书由 烟草行业根CA中心 签发 主要负责签发国家局机关内用户的数字证书 即 个人数字证书 同时为部分省级单位的用户 有条件地发放和管理数字证书 2020 3 25 Copyright1998 2009Infosec 数字证书发放管理系统 省级运营CA中心 各省级运营CA中心的数字证书发放管理系统自身的数字证书由 烟草行业根CA中心 签发 负责签发其所辖范围内用户的数字证书 即 个人数字证书 2020 3 25 Copyright1998 2009Infosec 数字证书发放管理系统 国家局系统与省级系统的关系 国家局数字证书发放管理系统与省级数字证书发放管理系统之间属于同一信任源 相互间存在相互信任的关系 省级数字证书发放管理系统所颁发的每一张用户数字证书都须在国家局数字证书发放管理系统中登记备案 2020 3 25 Copyright1998 2009Infosec CA系统组成 CAServer OCSPServer CAAdmin KMCAdmin KMCServer TSAServer RAServer AAServer LDAPServer RAAdmin 2020 3 25 Copyright1998 2009Infosec 数字证书应用支撑系统 数字证书应用支撑系统实现 数字证书持有者在业务应用系统中有效 安全地使用数字证书 其实现功能 为业务系统提供基于数字证书的强身份认证 为业务系统提供数据私密性和完整性保证 为业务系统提供操作不可否认性机制其服务对象为 数字证书持有者和业务应用系统 2020 3 25 Copyright1998 2009Infosec 数字证书应用支撑系统 数字证书应用支撑系统NSAE应用安全代理网关 支持B S结构应用的双向数字证书认证 为业务系统提供基于传输通道的数据加密服务 为业务系统提供基于数字证书的身份认证机制NetSign数字签名服务器为C S结构应用提供基于数字证书的身份认证机制为业务系统提供操作不可否认性机制为业务系统提供基于内容的加解密服务 2020 3 25 Copyright1998 2009Infosec 目录 建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接 2020 3 25 Copyright1998 2009Infosec 烟草行业CA认证中心的建设内容 烟草行业根CA中心建设国家局运营CA中心建设各省级运营CA中心建设 2020 3 25 Copyright1998 2009Infosec 烟草行业根CA中心建设 2020 3 25 Copyright1998 2009Infosec 烟草行业根CA中心 行业根CA中心的作用是 负责签发和管理二级CA的数字证书 根CA中心由国家局建设 作为烟草行业CA认证中心的信任源 行业根CA中心由其自身组成 2020 3 25 Copyright1998 2009Infosec 烟草行业CA认证中心的建设内容 烟草行业根CA中心建设国家局运营CA中心建设省级运营CA中心建设 2020 3 25 Copyright1998 2009Infosec 省级运营CA中心建设 省级数字证书发放管理系统省级数字证书应用支撑系统 2020 3 25 Copyright1998 2009Infosec 省级运营CA中心建设基本要求 遵循国家相关建设的法律法规的要求 按照国家局颁发的CA认证中心的建设方案要求进行建设 省级运营CA认证中心的建设必须结合本单位的业务应用的需求和发展情况 确定建设规模和建设方案 2020 3 25 Copyright1998 2009Infosec 省级运营CA中心建设 建设内容数字证书发放管理系统 包括 CA子系统 KMC子系统 RA子系统 数字证书应用支撑系统 职能描述 支持为本单位所辖范围内的所有行业内用户和行业外用户提供数字证书的发放和管理服务 支持为省级单位自己的核心业务系统 如 财务系统等 提供基于数字证书的身份认证 2020 3 25 Copyright1998 2009Infosec 省级运营CA中心数字证书发放管理系统架构 2020 3 25 Copyright1998 2009Infosec 地市级数字证书发放管理 遵循用户属地管理原则行政管理怎么管 数字证书就怎么发RA系统架构采取单一物理架构 多层逻辑管理架构证书注册数据来源统一逻辑上实现多层管理架构 2020 3 25 Copyright1998 2009Infosec 省级数字证书应用支撑系统 数字证书应用支撑系统应用安全代理网关实现基于数字证书的客户端与服务器身份认证 数据传输通道加密 数据完整性保证等功能数字签名系统实现业务数据的完整性 操作不可否认性保证 2020 3 25 Copyright1998 2009Infosec 系统部署示意图 2020 3 25 Copyright1998 2009Infosec 地市级数字证书应用支撑系统 地市级单位分布式应用架构需要分布式数字证书应用支撑架构支持数字证书应用支撑系统应用安全代理网关实现基于数字证书的客户端与服务器身份认证 数据传输通道加密 数据完整性保证等功能数字签名系统实现业务数据的完整性 操作不可否认性保证 2020 3 25 Copyright1998 2009Infosec 地市级数字证书应用支撑系统部署示意图 2020 3 25 Copyright1998 2009Infosec 目录 建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接 2020 3 25 Copyright1998 2009Infosec 数字证书DN规范 烟草行业根CA中心数字证书DN为 CN 中国烟草根CAO TobaccoC CN 2020 3 25 Copyright1998 2009Infosec 数字证书DN规范 二级CA运营CA中心数字证书DN为 示例 XX省局CA的DN为 示例 XX中烟CA的DN为 2020 3 25 Copyright1998 2009Infosec 数字证书DN规范 个人数字证书DN格式为 2020 3 25 Copyright1998 2009Infosec 目录 建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接 2020 3 25 Copyright1998 2009Infosec 应用对接 应用开发商工作实现改变应用基于用户名 口令的认证方式 增加基于数字证书的身份认证方式实现数据在传输和存储过程的加密 提供数据的私密性保护实现业务过程中的数字签名 提供数据的完整性保护和操作的不可否认性机制遵循 烟草行业数字证书应用接口规范 2020 3 25 Copyright1998 2009Infosec 应用对接 应用改造建立数字证书与应用系统帐号的对应关系单点登录系统中只需与系统帐号绑定非单点登录系统需分别与各业务系统帐号绑定身份认证单点登录系统配置为证书认证方式B S应用由应用服务器从应用安全网关转发的HTTP报文中约定位置获取证书信息 从之前建立的数字证书与应用系统帐号的对应关系表中找到对应的系统帐号C S应用由客户端对应用服务器发出挑战随机数进行数字签名 服务端签名验证通过后获取签名证书的信息 从之前建立的数字证书与应用系统帐号的对应关系表中找到对应的系统帐号 2020 3 25 Copyright1998 2009Infosec 应用对接 应用改造数据加密基于通道 将HTTP协议改为HTTPS协议 通过应用安全网关实现基于SSL加密通道的数据加密方式基于内容 应用直接调用签名服务器提供的加密 解密接口对数据进行加密或解密操作数字签名调用签名服务器提供的签名 验签名接口对数据进行签名和签名验证操作 2020 3 25 Copyright1998 2009Infosec 省级系统配置列表 2020 3 25 Copyright1998 2009Infosec 地市级系统配置列表 2020 3 25 Copyright1998 2009Infosec 谢谢 问题与讨论 2020 3 25 Copyright1998 2009Infosec
展开阅读全文
相关资源
相关搜索

当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!