教育数字证书应用支撑平台建设方案.docx

教育数字证书 应用支撑平台建设方案 华翔腾数码科技有限公司 2016年2月 60 / 63 目 录 第 1 章 概述 1 1.1 前言 1 1.2 总体需求 1 1.2.1 政策标准要求 1 1.2.2 业务实际诉求 2 1.3 应对思路 3 1.3.1 以PKI体系为基础 3 1.3.2 以等保为合规依据 3 1.3.3 以解决业务诉求为目标 4 1.3.4 以集中管理为核心 5 1.3.5 以统一标准化为手段 6 1.4 建设方针 7 第 2 章 体系框架 8 2.1 基础设施层 8 2.2 应用支撑层 9 2.3 业务应用层 10 第 3 章 平台整体设计 11 3.1 方案概述 11 3.2 总体框架 11 3.3 平台实现 12 第 4 章 平台详细设计 13 4.1 教育数字证书应用系统设计 13 4.2 终端安全登录设计 13 4.2.1 安全分析 13 4.2.2 选型设计 14 4.2.3 设计思路 14 4.2.4 功能设计 15 4.2.5 产品部署 15 4.3 移动安全接入设计 18 4.3.1 需求分析 18 4.3.2 设计目标 20 4.3.3 总体设计 21 4.3.4 平台功能 24 4.3.5 系统指标 25 4.3.6 产品特色 26 4.4 应用安全认证设计 27 4.4.1 需求分析 28 4.4.2 设计思路 30 4.4.3 系统简介 30 4.4.4 系统组成 31 4.4.5 产品特点 33 4.4.6 产品功能 35 4.4.7 安全设计 38 4.4.8 性能指标 39 4.4.9 系统部署 40 4.5 签名验证系统设计 41 4.5.1 产品功能 42 4.5.2 产品特性 43 4.5.3 签名过程设计 43 4.5.4 签名验证过程 46 4.5.5 通用业务流程 47 4.5.6 签名算法及格式 49 4.6 电子签章服务器 50 4.6.1 系统组成 51 4.6.2 产品功能 53 4.7 时间戳服务器 55 4.7.1 产品功能 55 4.7.2 产品特性 56 4.7.3 部署示意 57 第 5 章 平台建设效果 58 第 6 章 平台部署设计 59 第 7 章 规划建设清单 60 第 1 章 概述 1.1 前言 随着教育信息系统建设的逐步深入，将逐步形成覆盖全国各级各类教育信息资产等方面的海量信息，系统整体呈现数据信息规模庞大、数据海量、用户众多、分布范围广、传输数据路径复杂等特点，各级教育管理机构和各级各类的教育管理业务对管理信息系统的依赖程度也将会越来越高。同时，教育信息系统面临着众多来自内部和外部网络的非授权访问、敏感数据泄露、恶意代码攻击、数据丢失等安全风险，对教育信息系统的信息安全保障提出了更高的要求。 从教育数字认证应用安全支撑系统的建设需求分析，其最终目的是基于数字认证的教育系统，为教育系统内各业务应用系统提供安全保障服务。 基于教育信息业务系统的实际情况，结合实际操作过程中的项目及案例经验，我们认为现阶段安全支撑系统的建设存在不同层面的重点，首先按照ITIF的“木桶”理论，安全建设核心是完整性，但结合目前我国信息系统发展的现状，更偏向系统业务性，而站在国家层面对信息安全又有明确的要求；从领导的视角，更注重整体的管理性；从安全体系本体出发，自身的持续性是制约信息安全常态化的关键所在，所以此次建设的安全体系从大方向来看，几个大的需求点： 1.2 总体需求 1.2.1 政策标准要求 为切实推进信息安全等级保护工作，公安部、国家保密局、国家密码管理局和原国务院信息办联合会签并印发了《信息安全等级保护管理办法》（公通字[2007]43号），发布了《信息系统安全等级保护基本要求》（以下简称《基本要求》），在《基本要求》中，各级信息系统安全保护的基本技术要求分别从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复五个层面提出，并在每一层面给出了相应的安全控制点和安全要求项。 依照国家的相关精神，根据教育服务与监管体系信息化建设的顶层设计，教育信息系统的各业务管理与应用系统均按照等级保护三级系统要求进行设计、开发与建设。根据国家信息安全等级保护相关政策、标准与规范的要求，须建立基于国产密码技术的教育数字认证安全保障体系，为教育信息系统的安全、稳妥运行提供保障。 1.2.2 业务实际诉求 一、认证方式 传统的业务应用系统中采用传统的用户名/密码方式来实现身份认证。但这种方式早已被证明是不安全的。基于口令的认证方式是最常用的一种技术，也是现在普遍使用的认证方式。基于口令的认证方式存在严重的安全问题，是攻击者最容易攻击的攻击目标。它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充。更严重的是用户往往选择简单容易被猜测的口令，或者记录在明显位置，此类情况存在严重的系统安全隐患。 二、明文传输 目前无论从系统层面，客户端与服务端之间传输处于明文状态，还是从网络层面，没有进行加密处理，这样造成容易被非法人员截取和篡改，同时也不利于开展远程移动办公。 三、访问控制 目前各系统中，缺乏一个统一的访问控制入口，每个系统独立对外开放地址和端口以提供访问，随着系统的增多，无疑会增加非法人员进入系统的途径。并且各个系统独立授权，用户权限分散，访问控制规则不一，给单位实施统一的安全策略造成了极大的障碍。 四、责任认定 目前用户在业务系统中进行的关键数据交换和关键操作，非常可能被恶意用户进行窃听或非法篡改，无法保证数据的安全性、完整性和不可否认性，存在安全隐患。 1.3 应对思路 如何应对对于上文所述的诉求，综合目前业界先进的解决思路和成熟的技术手段，我们提出了应用安全支撑体系的概念，该体系的提出并不是泛泛而谈，而是根据实际诉求出发。 1.3.1 以PKI体系为基础 应用安全支撑体系是为教育的核心业务系统提供基于数字证书应用的安全支撑服务，从应对角度，目前本项目明确提出建设安全基础设施，其目的是通过PKI体系作为保障全网的信任基础，提供基于基于统一身份的集中认证、数字签名、通信保密、责任认定等符合实际业务诉求的安全防护，所以此次设计的应用安全支撑体系应按照项目的要求以PKI为基础设施。 1.3.2 以等保为合规依据 应用安全支撑体系以等保为参照，从主机安全、网络安全、应用安全、数据安全等按照事前监控、事中控制、事后审计的安全闭环思路，采取事前防范、事件发生时监控以及在事件发生后审计等方面层层把关构造一个完整的闭环安全体系。 从上图可以看出，应用安全支撑体系从PKI角度出发，从合规要求入手，应对合规功能点，诸如应用与主机层的身份鉴别、网络通讯安全、边界接入安全，数据保全等，与等级保护体系完全贴合，解决等级保护要求中对于主机、应用、数据、网络等四方面的一系列合规安全加固。 1.3.3 以解决业务诉求为目标 应用安全支撑体系最终是为各业务系统提供安全保障，该体系的建设初衷即是服务应用、服务用户，所以该体系是综合分析了教育系统目前业务中所遇到的共性化需求，针对这些需求提供了安全保障手段，所以在业务贴合方面，安全支撑体系可以完全解决现存在的一些安全隐患，具体体现在： 一、提供身份认证的可信性、真实性 各业务系统，例如教系统、中小学学籍系统、校舍系统等业务系统，都有自己的认证规则，认证标准不一致、安全强度有高低。规划的应用安全支撑体系，跟据安全需求，采用数字证书、密钥等的安全认证方式，可提高访问控制安全强度。 另一方面，应用安全支撑体系需要解决身份认证的可靠性问题，必须能够对登录系统的各类用户以及关键的业务操作的真实性进行有效鉴别。 二、数据保全及责任认定服务 研究设计的应用安全支撑体系对业务系统涉及的重要数据提供数字签名、责任认定功能，使得任何非法的数据修改过程能够被及时发现，保证数据从生成、流转、共享到存储整个生命周期内的完整性和一致性； 三、密码通用服务 明确以密码体系为基础，所以应以密码技术为手段，对现有系统中出现的适用密码技术解决的问题，提供通用的密码服务平台，提供加解密、签名及签名验证、数字信封服务、产生随机数和对数据进行数字摘要等多种密码服务 1.3.4 以集中管理为核心 从管理的维度，我们提出“三观”理论，“三观论”是指对整个问题从宏观（Macro-view）、中观（Middle-view）、微观（Micro-view）三个层面来分析。“三观论”是一个大思路、大观点。从范围大小来看，宏观、中观和微观分别对应着全局、局部及单点。微观是实现层，体现为安全部件，即安全模块和规范化的安全服务；中观是管理层，体现为对于安全功能的集成管理和各种安全任务的流程管理，宏观是决策层，包括策略目标，决策支持、以及顶尖上的“使命”。从微观到中观是一个协调管理的过程。从中观到宏观是一个总体监控的过程。从宏观到中观是一个全局指导的过程，从中观到微观是一个控制和配置的过程。为此我们将三观体系各层面的核心思想充分融合应用安全支撑体系的各环节中。 应用安全支撑体系的设计按照“三观”理论，对上不仅满足国家的政策层面的要求，对下满足业务实际诉求，更重要的从管理视角，对全网中出现的用户资源、授权资源、行为轨迹等进行汇总、整理、管理、审计，具体可以体现在： 一、统一用户管理 研究设计的应用安全支撑体系可以实现信息系统账户与实体的唯一绑定，每一个用户在所有系统中以统一的身份进行各种业务操作，无须记忆大量的账户名和口令。同时，基于门户平台展示多个业务系统，实现单点登录功能，使得用户的业务操作更加便捷、高效。 二、集中认证与授权管理 研究设计的应用安全支撑体系能够对业务系统进行统一授权管理，系统可以实行粗粒度的授权管理即准入控制，为不同的部门和用户定义各自所能访问的业务系统访问控制列表，真正实现“各职其责，杜绝越权”。系统管理员把所有业务系统的访问权限统一划分，分成不同的资源域，管理人员再定义一系列不同的访问规则，然后系统根据用户登录的信息，提供在用户权限之内的访问资源，有效的避免权限滥用，即要做到既不影响用户对合法业务系统的访问，又能防止用户越权访问其它重要系统资源，防止用户危害整个系统安全。 三、安全审计 在当今的信息管理中，更强调对参与人操作行为进行分析和控制，即：谁何时进入了哪些系统？访问了哪些资源？做了哪些操作？产生了哪些后果？通过建立用户信息的集中统一管理、用户身份的统一认证、统一的用户访问控制以及集中的用户行为审计，使用户行为与实体身份形成关联，便于实现用户行为的有效责任认定，为系统应用安全打下良好的基础。 1.3.5 以统一标准化为手段 标准化是制定标准并使其在社会一定范围内得以推广应用的一系列活动，这些活动主要包括制定、发布、实施及修改标准等过程。信息化建设相关的标准化工作是推动信息化建设的重要基础性工作。在信息化建设过程中，标准是规范技术开发、产品生产、工程管理等行为的技术法规。统一标准是信息系统互通、互连、互操作的前提。只有通过统一技术要求、业务要求和管理要求等标准化手段，才可以保障信息化建设的相关工程及相关环节的建设在全国范围内有章可循，有法可依，形成一个有机的整体，避免盲目和重复，降低成本，提高效益，从而规范和促进国家信息化建设有序、高效、快速和健康地发展，所以此次应用安全支撑体系不仅从技术层面进行安全加固的诠释，同时为了保证体系的可持续发展，会从行政层面、技术层面、日常运维层面进行标准的定义。 1.4 建设方针 此次教育的应用安全支撑体系遵照着上述的应对思路，以“统一规划建设、全面综合防御、技术管理并重、保障运营安全”为建设总旨。 统一规划建设，突出了进行统筹规划的重要性，提供了的安全建设所需的统一技术标准、管理规范，以及实施步骤的安排，也保证了人员和资金的投入。 全面综合防御，是指在技术层面上，综合使用了多种安全机制，将不同安全机制的保护效果有机地结合起来，构成完整的立体防护体系。 技术管理并重，突出了安全管理在信息安全体系中的重要性，仅仅凭借安全技术体系，无法解决所有的安全问题，安全管理体系与技术防护体系相互配合，增强技术防护体系的效率和效果，同时也弥补当前技术无法完全解决的安全缺陷，实现了最佳的保护效果。 保障运营安全，突出了安全保障的重要性，利用多种安全保障机制，保障了网络和信息系统的运行安全，也保障了业务的持续性和业务数据的安全性。 第 2 章 体系框架 根据《教育信息安全密码应用技术体系框架》确立的层次化的教育信息安全密码应用技术体系，确定了教育信息系统的教育数字认证安全保障体系的应用技术架构：依托教育CA，建立基于国产密码技术的教育数字认证应用支撑平台，有效解决教育信息系统所面临的“系统安全、数据安全、存储安全、审计安全”等安全问题。 教育数字认证应用安全保障体系，采用层次化结构，由基础设施层、安全支撑层、业务应用层三个层次组成。教育数字认证应用安全保障体系的应用体系架构如下图所示。 图略 教育数字认证应用安全保障体系架构 2.1 基础设施层 “教育数字证书认证系统”，为各级各类教育信息系统及相关用户提供教育数字证书的签发、冻结、解冻、更新、注销、查询、验证等基础的安全服务。 教育数字认证系统是教育数字认证应用安全保障体系的基础设施，是国家电子政务电子认证服务体系的组成部分。根据国家电子政务电子认证服务总体布局的要求，教育数字认证系统的体系架构如图3-2所示。 图略 教育数字认证系统采用了国家密码主管部门批准的“二级签发、三级服务”的新型电子认证服务体系，由教育部教育CA系统、各教育CA省级服务系统组成。 1、教育部教育CA系统 教育部教育CA系统接到国家电子政务电子认证源点，接受国家电子政务电子认证源点的管理。 教育部教育CA系统是教育数字认证服务体系的核心基础设施，包括证书管理系统、教育部教育CA二级服务系统两大部分。 证书管理系统实现对教育数字证书与证书撤销列表的管理与服务，主要包括证书的生成、更新、冻结、解冻、撤销，以及证书的发布、查询、验证等，以及证书撤销列表的签发、发布等。 教育部教育CA二级服务系统与其他教育CA省级服务系统相同，主要是面向教育信息系统提供教育数字证书的在线申请与服务。同时，面向尚未建立本地化的教育CA省级服务系统的地区，提供教育数字证书的在线申请与服务。 2、教育CA省级服务系统 教育CA省级服务系统通过互联网，统一安全接入到教育部教育CA系统，接受教育部教育CA系统的认证与密钥管理，面向本地区或本单位的用户提供教育数字证书的在线申请与服务。 为提高教育数字证书服务的质量与效率，各行业性业务主管机构、各市、县教育管理部门，亦可申请建设本业务应用（或本地区、本单位）的教育CA二级服务系统，面向本地区或本单位的用户提供教育数字证书的在线申请与服务。 2.2 应用支撑层 教育数字认证应用支撑层（亦称为“教育数字认证应用支撑平台”）是根据教育信息系统的安全保障需求，依托基础设施层的基础教育数字认证服务，采用国产密码技术，提供涵盖“系统访问安全、数据传输安全、数据存储安全、操作审计安全”等风险的安全服务支撑系统，是教育信息系统公共中间件平台的重要组成部分。 教育数字认证应用支撑平台是一个可动态扩展的安全服务系统。根据目前国家教育管理信息安全保障的实际需要，教育数字认证应用支撑平台主要包括：教育数字证书应用服务器、身份认证网关、签名验证服务器、数据库加密服务系统、电子签章系统、时间戳服务系统等安全组件系统。后续根据国家教育管理信息化的应用需求，可不断增加其他的安全服务组件，例如，安全电子邮件系统、桌面数据安全管理系统等。 2.3 业务应用层 业务应用层是各级各类教育信息系统。各应用系统根据自身业务运行与管理的安全需要，集成教育数字认证应用支撑平台的相关安全组件系统，实现本应用系统的安全保障。 第 3 章 平台整体设计 3.1 方案概述 基于政策标准，以解决教育信息系统安全为目标，以信息安全管理体系为核心的专业应用安全管理平台——应用安全支撑平台。提供基于数字证书应用的安全支撑服务、统一的管理服务；可以有效管理用户身份，保障信息系统及网络环境安全，合理控制用户访问资源；确保用户具有快速、可靠、安全访问信息资源和应用的能力。 3.2 总体框架 应用安全支撑平台以一个教育数字认证基础设施平台为支撑，以两个中心为支持，以三个规范为标准，以四个支撑为手段，为信息系统提供五项服务。 一个平台 即教育数字认证基础设施平台，利用公钥技术提供一套符合标准的安全基础平台。包括教育数字认证系统及级服务系统。 二个中心 安全管理中心，为平台提供认证、授权、监控、审计、实施访问控制策略等服务。 服务供应中心，以公钥基础设施为基础，以数字证书为基本认证要素，为信息系统提供目录存储与发布服务、在线查询服务以及责任认定服务。 三个规范 建立健全客户端统一规范，应用接入规范，产品接入规范。 四个支撑 网络安全支撑，基于PKI/CA “可信体系架构”下，基于统一安全策略构建网络接入全程可信、可控的立体防御体系。 主机安全支撑，基于国家保密终端安全管理理念的基础上，实现操作系统层面的全方位安全控制。 应用安全支撑，建立面向业务应用和数据的统一目录、统一身份、统一认证、统一授权的信任体系。 数据安全支撑，基于密码体制，结合数字证书、身份认证、授权访问等安全技术对敏感文件实现高度安全的保障。 3.3 平台实现 华翔腾依托自身的技术实力及项目积累，吸收先进的信息安全理念，采用成熟的应用安全技术，将应用安全支撑平台的理念与实际产品相融合，使其真实可用，具备可实施性。 第 4 章 平台详细设计 4.1 教育数字证书应用系统设计 教育数字证书应用系统为国家教育管理信息化业务应用系统提供教育数字证书的在线申请、下载、同步、验证、查询等安全服务，实现教育CA与业务系统的集成与融合。 1、教育数字证书的在线申请 国家教育管理信息化的业务应用系统，通过集成该接口，可实现本业务系统的用户管理与教育数字证书管理的集成，例如，在增加用户时，同步申请教育数字证书；在撤销用户时，同步撤销用户的教育数字证书。 2、教育数字证书的在线验证 为国家教育管理信息化工程的业务应用系统提供教育数字证书的在线验证（CRL验证、OCSP验证等），简化业务应用系统为教育数字证书的验证流程，降低系统的开发复杂度。 3、教育数字证书的同步 为国家教育管理信息化工程的业务应用系统提供教育数字证书的同步服务。用户证书发生变化时，教育数字证书应用服务器从教育CA下载最新的用户数字证书，简化业务应用系统对数字证书管理，提高数字证书的易用性。 4.2 终端安全登录设计 4.2.1 安全分析 系统登录认证采用微软传统的WINDOWS登录认证方式，即PAP（Password Authenticate Protocol）方式，一旦PAP验证通过后，登录用户信息存放在本机或者域服务器的SAM数据库（Security Accounts Management）中。而SAM数据库内信息容易被窃取，另外根据保密安全规则用户密码必须满足复杂性要求（口令:字符+数字+字母10位或者10位以上，密码需7天进行更改一次），同时基于用户账号和口令的身份认证机制有以下的弊端 不能非常明确地确认用户的身份，因为任何人都可以通过偷窃、猜测或利用用户的疏忽来发现口令，在这个问题上，无法用口令来确定用户的唯一性（即真实身份）； l 很容易被猜出来，许多人的习惯是用“password”、生日日期、孩子名称等用作口令； l 用字典攻击手段和物理盗窃（从客户机器上复制）手段也很容易获得用户的账号和口令； l 因为用户习惯将复杂的口令记在笔记本和身边可接触到的地方，所以他的账号和口令容易被窃； l 用户不习惯定期更换口令。 我们可以看到原有的基于用户账号和口令身份认证是不安全的，因此在网络网中的网络登录控制要使用基于数字证书的USB KEY或智能卡来实现。 4.2.2 选型设计 在本方案中推荐使用终端安全登录与文件保护系统（简称“网盾PC保护”）来实现PC操作系统安全保护。 4.2.3 设计思路 操作系统层身份认证作为信息安全的第一道屏障，是后续安全手段的基础，必须要重点解决，因此需加强操作系统层的安全登录控制显得尤为重要，操作系统安全认证在基于PKI技术基础之上，针对本项目域登录应用，整合开发安全域登录系统，此系统基于硬件双因子增强验证技术来实现对Windows登录模块的加固，采用硬件（USBKEY）、数字证书以及微软UPN（主题备用名）等多种因素结合技术，真正实现了对包括安全模式在内的整个操作系统登录的加固与增强。为Windows域登录提供有效的、安全的登录认证机制，保证信息系统域登录的安全。 华翔腾数字认证中心（CA）能够签发符合微软“智能卡登录”的证书，使用“智能卡登录”证书不仅可以在线的方式（即由域控制器验证证书，实现域登录）登录系统并访问域中的共享资源，还可以离线的方式（即在不能够访问AD服务器的情况下由本机验证证书，实现本地登录）登录系统。 4.2.4 功能设计 网盾系统通过与数字认证中心（CA）签发微软“智能卡登录”的数字证书的结合，使用“智能卡登录”证书不仅可以在线的方式（即由域控制器验证证书，实现域登录）登录系统并访问域中的共享资源，还可以离线的方式（即在不能够访问AD服务器的情况下由本机验证证书，实现本地登录）登录系统。 使用智能密码钥匙（USBKEY）、数字证书登录计算机系统，没有USBKEY、合法数字证书无法登录计算机。利用USBKEY锁定计算机，拔出USBKEY，计算机自动锁定键盘、鼠标、屏幕等外部设备，防止非法用户恶意操作计算机，对重要数据进行偷看、篡改或删除。利用USBKEY锁定计算机，拔出USBKEY，计算机自动进入屏幕保护状态，用户使用计算机时，需要再次插入USBKEY确认身份。 Windows操作系统包括Windows XP、2000、2003及Win7操作系统可以采用华翔腾的安全桌面套件中的PC保护功能模块进行防护，主要功能有 l 本地用户认证以及域用户认证； l 有限用户通过硬件加密设备登录计算机； l 拔出硬件加密设备锁定计算机； l 限制计算机登录用户； l 插入硬件加密设备解除锁定。 应用USB KEY的PC保护后，可以大大提高系统的易用性，用户无需再记忆原来系统登录的口令(可靠的口令字一般都在8位以上，有些用户为了增加安全性，口令长达20位以上)，而只需要牢记USB KEY卡的PIN码，并保管好USB KEY即可。 4.2.5 产品部署 在所有终端计算机上安装。华翔腾网盾系统支持两种模式的登录方式。其网盾系统登录流程如下： 模式一（基于数字证书封装域账户、口令登录方式） 首先在本地计算机上安装华翔腾PC安全登录系统，将数字证书与用户账号以及口令进行绑定，取得唯一关系，主要是利用数字信封对用户名、口令进行封装，当用户插入USBKEY登录操作系统时，首先验证用户数字证书信息是否为合法，其次验证USBUSBKEY中的数字证书是否为合法证书，通过证书与本地用户账号的关联项，验证用户账号的权限。此种方式一般在工作组模式下使用，本项目当前采用域管理环境，不建议采用此种登录认证模式。 模式二（基于微软智能卡登录方式） l USB KEY登录AD域 USB KEY登录网络部署图如下图所示： AD系统登录验证 Ø 域控制器配置 在本项目中部署完成CA中心后，通过CA将证书和证书吊销列表（CRL）发布到目录服务器上。在域控制器中正确的配置证书的信任链和域控制器的机构证书。 Ø 客户端配置 在客户端安装USBKEY驱动和PC保护客户端，可以手动安装也可以通过域策略进行MSI包下发安装。 Ø 验证流程 PC保护的USB KEY证书域登录完全遵循微软的智能卡登录流程，完全符合域控制器的kerberos扩展协议中的认证流程，具体流程如下： 1. 首先需要用户计算机加入到windows域； 2. 用户启动计算机之后，系统提示用户将USB KEY插入客户端计算机的USB接口； 3. 一旦系统读取USB KEY，屏幕就会显示一个请求输入卡 PIN 码的对话框。用户输入 PIN 后按ENTER 键。如果用户输入正确，系统将解除KEY的锁定并允许继续进行远程访问登录过程的剩余部分； 4. 安装在客户端计算机上的本地安全机构 (LSA) 使用用户 PIN 来访问USB KEY并提取用户证书； 5. 客户端计算机将用户证书及用户签名从用户的USB KEY发送至 Microsoft 密钥发行中心 (KDC), 该中心对客户进行身份验证。 6. KDC 将证书中的 UPN（用户主要名称）与 Active Directory 中的 UPN 进行比较。KDC 还验证证书上的签名以确保其是由 Active Directory 林中的受信任的 CA 发出。 7. KDC 首先验证用户的证书。如果证书有效，那么 KDC 会验证预授权数据字段中的签名数据（该数据由用户在用户证书中使用公钥的初始请求中发送的）。然后 KDC 使用随机产生的对称密钥加密授权票证 (TGT)，之后再用证书的公钥将其作为来自 KDC 响应预授权字段的一部分进行加密。这就确保了仅具备正确私钥的客户才可解密登录会话密钥。系统将密钥传输至客户端计算机。客户端计算机通过收到的密钥来对远程访问服务器进行身份验证。双方因此而进行了相互的身份验证。 8. 用户退出登录时只需将KEY拔出，系统即可进入锁定状态，从而限制了他人对计算机的物理访问。 l USB KEY登录工作组 除了可以结合微软的kerberos协议进行智能卡登录以外，还可以完全利用数字信封技术进行工作组方式的登录，实现的主要过程如下： 1. 管理员使用USB KEY对系统的用户进行绑定，实质上是使用了数字信封技术对原有系统的用户名和密码进行了加密处理； 2. 用户使用USB KEY进行登录，输入PIN码，进行证书解密释放用户名和密码，由华翔腾的PC保护产品进行代填用户名和密码； 3. 用户直接登录操作系统，无需输入原用户名和密码。 4.3 移动安全接入设计 随着社会的发展进步，党政机构的职能和业务模式不断发生变化，社会对党政系统的工作方式和工作效率都提出了很高的要求。党的十七大提出，要进一步转变政府职能，改进管理方式，推行电子政务，提高行政效率，降低行政成本，形成行为规范、运转协调、公正透明、廉洁高效的行政管理体制。因此，一套高效的电子政务解决方案的实施，对于推进政府职能转变，加强机关自身建设，降低行政成本，提高工作效率，提升服务水平都具有十分重要的意义。 随着移动通信网络和移动智能终端的迅速发展，由于移动终端缺乏相应的安全机制保障，终端的安全以及在使用过程中无法判断用户的合法性，存在非法用户、非法外设的接入等问题；同时敏感信息在传输过程中存在被泄露或被篡改等风险。为便于开展移动办公，支撑实战工作，必须通过有效安全机制在实现业务接入的同时，保障信息通信网的安全。 本方案立足于政务发展实际需求，综合当前移动政务发展的先进成熟技术，在保障信息安全的前提下，实现智能手机/PDA、E人E本、笔记本电脑等移动终端通过移动通信网络访问办公系统平台，实现安全的移动政务。 4.3.1 需求分析 4.3.1.1 业务需求 根据目前电子政务建设的实际需求，在业务方面主要基于现有办公系统平台，依托移动通信网络，通过配备移动终端设备（智能手机、E人E本、笔记本等）实现移动政务等主要功能。 具体业务需求主要包括三个方面：移动办公、数据交换、授权访问。 4.3.1.1.1 移动办公 “移动办公”也可称为“3A办公”，即办公人员可在任何时间（Anytime）、任何地点（Anywhere）处理与业务相关的任何事情（Anything）。这种全新的办公模式，可以让办公人员摆脱时间和空间的束缚。移动办公主要体现为出差或外出办公人员，进行远程无线办公业务，该类业务具有以下特点： ² 可直接访问内部业务网，但需要进行严格的访问控制； ² 终端对象作为可信凭证，需防止或规避合法入侵行为； ² 用户访问数据量大； ² 业务实时性要求高。 终端应用要能够支持E人E本、智能手机、笔记本等多种移动终端，支持Android、iOS、Windows等主流操作平台。 服务应用以支持C/S和B/S两种移动办公应用模式：E人E本主要采用C/S应用模式，笔记本终端将采用B/S应用模式。 4.3.1.1.2 数据交换 移动政务安全接入平台是可扩展的3G移动办公平台，用户可通过移动智能终端无线接入完善公文成文、审批、分发、传阅、办理等功能，满足各部门的电子公文交换、公文处理、业务管理、知识管理、信息交流、信息发布、在线交流、协同办公等数据交换需求，充分整合业务管理流程和政务信息资源。 数据交换主要实现如下功能： 1、数据采用双向交换； 2、文件及数据的直接传递； 3、文件及数据的交换传递。 4.3.1.1.3 授权访问 授权访问功能主要是指对于外部授权访问类终端（智能手机、PDA）及内部数据交换类系统通过安全接入链路访问资源时，对于不同的接入终端可实现基于资源、数字证书、IP地址等多种类型访问权限的控制，保证资源不被越权访问，进而保护内部业务网的安全。 4.3.1.2 安全需求 4.3.1.2.1 高强度身份认证 与传统的信息交换不同，利用网络进行认证的双方没有真正见面，任何一方都有被冒充的可能，所以关键的应用系统必须采用某种机制，使彼此能够确认对方的身份才能进入真正的业务系统，而且需要了解的是该机制也必须是得到政府相关机构认可的。 4.3.1.2.2 数据传输安全 移动政务处理的业务信息及数据涉及国计民生的重要信息，国家相关信息安全主管部门对国家电子政务安全保密工作提出更高的要求。因此，在传统网络环境中，没有经过任何安全措施保障的情况下，网络监听技术的扩散使得数据在传输过程中被他人非法窃听变得十分容易。因此，对网络上传输的信息进行加密，确保数据在传输过程中不会由于遭到网络监听而造成重要信息的泄密，也是相当必要的安全需求。 4.3.1.3 政策需求 为贯彻、落实《中共中央办公厅、国务院办公厅关于转发〈国家信息化领导小组关于我国电子政务建设指导意见〉的通知》（中办发［2002］17号）、《国家信息化领导小组关于推进国家电子政务网络建设的意见》（中办发[2006]18号）等文件精神，按照国家电子政务外网统一规划，建立网络安全防护体系和统一的网络信任体系，实现相关政务业务纳入国家统一的信任源。 湖北省国土资源厅移动政务安全接入平台是一套涉及国计民生的重要信息系统，信息系统的安全建设不能忽视国家相关政策要求，在安全保障体系建设上参照《信息系统安全等级保护基本要求》进行建设。 综上所述，目前用户移动政务接入平台建设要能够针对终端接入、接入用户、链路通信、应用系统的各类安全风险，基于国家商用密码算法和PKI数字证书身份认证体系，提供严格、规范的安全保障措施，确保公办系统平台的安全。 4.3.2 设计目标 本次移动政务安全接入平台的建设目标是：在用户现有办公平台的基础上，通过建设一个移动安全接入平台，基于当前运营商成熟的移动通信网络，在保证业务应用安全的前提下，实现智能手机、E人E本、笔记本等移动终端设备的随时随地的安全接入，进而提升用户移动政务的信息安全水平。 本次安全接入平台建设成果，将为后期用户在本行业全国移动办公业务的扩展提供建设经验。 4.3.3 总体设计 4.3.3.1 安全体系 移动安全接入平台的安全体系总体架构图如下： 平台安全体系架构 平台安全体系架构包括五个环节：终端加固、信道加密、认证接入、访问控制、安全管理。 l 终端加固 基于硬件密码对终端进行安全加固，保证终端计算环境、资源和网络访问的安全和控制。 l 信道加密 基于我国密码管理局批准公安机关专用的密码算法，实现移动终端到移动接入区端到端的通信加密，保证政务信息在传输过程中的机密性和完整性。 l 认证接入 基于目前用户已有CA数字证书实现移动终端和接入区设备之间的双向身份认证，保证持有合法身份证书的移动终端才能接入移动接入区，防止非法移动终端接入网络。 l 访问控制 根据需要，建立基于用户、角色、办公系统资源三者之间对应关系，对用户访问应用系统资源建立严格的访问控制策略，保证相关用户只能访问已经为其开放访问权限的相关信息资源，对不具有访问权限的用户的访问进行阻断，防止内网信息资源被越级、越权使用。 l 安全管理 对用户系统的安全策略进行统一管理，保证系统安全策略的安全性和一致性。 4.3.3.2 设计业务流程 移动安全接入平台业务流程 移动政务安全接入平台业务访问的流程如上图所示。 1、首先，配置了数字证书和安装了安全客户端的各类移动终端通过移动通信网络发送连接请求； 2、无线安全网关在收到终端的连接请求后，在安全认证管理系统的配合下与移动终端进行双向身份认证； 3、双向身份认证通过后，无线安全网关与移动终端协商会话密钥； 4、密钥协商完成后，移动终端到无线安全网关之间建立安全加密通道； 5、通道建立后，可实现移动终端从公网到内网，根据相应的权限策略进行办公应用系统的访问。 移动终端（E人E本、智能手机/PDA、笔记本电脑等）访问办公业务系统的整个过程可分为两个阶段：加密通道建立阶段，在线访问阶段。 4.3.3.2.1 加密通道建立阶段 智能手机、E人E本和笔记本电脑等移动终端使用CA数字证书，通过LDAP协议将移动政务公钥文件及CRL发布到目录服务系统，配合无线安全网关客户端软件（智能手机版、E人E本版、PC版等）建立和无线安全网关之间的安全通道。数字证书由已有CA中心颁发制发软数字证书，或IT卡硬件形式。 加密通道建立需要基于以下前提：智能手机、E人E本和笔记本电脑等移动终端，已以无线VPDN方式接入运营商基于公共移动通信网络的无线专网，到接入平台前端设备的链路畅通。 4.3.3.2.2 在线访问阶段 智能手机、E人E本和笔记本电脑等移动终端利用安装在本地的移动客户端软件访问位于移动接入区内的无线安全网关，通过无线安全网关认证后，即可为E人E本提供移动办公系统访问服务。 无线安全网关基于用户身份信息，对用户访问的办公系统进行访问控制，对违规行为进行报警和阻断，并对访问过程进行记录。访问控制采用基于角色的配置策略，遵循业务相关和属地化的白名单策略。无线安全网关对于B/S应用基于URL过滤形式进行访问控制，对于B/S和C/S相结合的应用，基于URL和IP/端口相结合的形式进行访问控制。 无线安全网关为合法的移动终端用户提供WEB应用代理服务，并对访问过程进行记录。 4.3.4 平台功能 移动安全接入平台将构成一个全方位、多层次的安全服务体系，实现终端安全、通信安全等安全功能。 4.3.4.1 终端安全 4.3.4.1.1 智能手机 智能手机/PAD面临的安全风险主要有非法终端接入、非法人员接入、通信链路不安全、遗失后导致的违规接入等。针对这些安全风险，智能手机采取的安全措施包括终端设备准入、身份认证、加密传输、终端无信息存储等。 4.3.4.1.1.1 身份认证 采用在智能手机上直接安装操作系统对应的客户端软件，通过CA中心发放的数字证书，与无线安全认证网关建立安全通道。目前支持 android、ios、symbian、Win Mobile等主流智能手机系统。 移动终端上使用的数字证书，首先由现有CA系统进行证书制作，并导入移动终端，再使用移动客户端调用该证书。证书调用