第 1 章 绪 论
1.1 课题背景
随着局域网、互联网技术的飞速发展,越来越多的业务系统如雨后春笋般地出现在互联网、局域网中。网络办公系统可以人们身处异地的员工协调工作;网上购物平台,让人们在家中可以购买到需要的商品;网上视频等应用可以让人们方便的欣赏到喜爱的节目。基于网络的应用正在逐步改变人们传统的工作生活方式。
人们在享用网络便利的同时,也面临日益严峻的网络安全考验,如虚拟身份识别、网络诈骗、信息窃取攻击等,本文课题研究的主要内容就是解决网络安全,从身份识别入手,进一步探讨访问控制的技术实现。证书在线更新系统通过提供一种网络在线自主操作的方式,实现了用户证书的在线
更新。配合 key 驱动升级系统,可以自动识别用户证书是否到期或是否需要更新。对于证书即将延期的用户,证书在线更新子系统与证书驱动升级子系统联动并自动实施更新操作。对于证书内属性发生变更的用户,其变化的用户证书属性信息经过管理员审核通过后,可通过证书在线更新子系统自动完成用户证书下载。
1.1.2 访问控制安全插件
访问控制插件被部署在应用服务器端,负责对用户提交的数字证书进行解析、有效性校验,然后通过数字证书进行权限获取,向审计系统发送审计信息。安全插件内部需要实现对 X509 标准证书进行解析,从中提取证书中用于标识警员身份的有效信息,如姓名、机构编码、警种、职级等信息;获取到警员标识信息后,需要解析 PMI 目录数据,并根据警员信息进行群体匹配以及个人权限查询,最终合并为该警员的所有权限,并传递给应用系统进行访问控制;最后,访问结束前,向审计系统接口发送访问应用的审计日志,接口需要支持 socket 和 syslog 两种方式。
.....................
1.2 研究的目标和意义
本文研究的目标就是,通过回顾采用身份识别、访问控制技术在满足公安行业需求的过程,总结出系统设计、实现以及实施过程的经验,供其他行业或相关研究人员参考。
意义在于分享公安行业安全基础实施的建设经验,向读者展示,建立公安行业安全基础体系需要解决哪些具体问题,需要面对怎样的挑战等等。在建设过程中,针对公安系统的应用复杂、数量多的特性,研究建设一套行之有效,能够适合公安应用复杂特性的身份认证与访问控制模型。
1.2.1 国内外研究现状
国内基于 PKI 的认证体系目前已经建立比较完备,全国各省、直辖市 85%以上已经建立了升级CA中心;公安、金融财政等行业,也已经纷纷建立起自己的专用CA系统。
国外PKI技术发展起步早,从90年代初期以来,美国、加拿大等国相继开展了PKI/CA 体系的研究和建设工作,并率先对公众提供 PKI 数字证书申请服务,其中著名的公司是加拿大的 ENTRUST,这些公司或机构在建立PKI提现过程中,建立了PKI提现相关的国际规范,国内PKI建立过程中,是参考这些规范进行的。终端用户要操作自助证书属性更新的业务,需要 RA 业务管理员提交申请并审核通过后才可以进行,需要证书在线更新系统访问RA系统来获取“自助更新允许权限”,认证通过后才能够进行操作。
证书在线更新系统为开发的Web应用服务提供系统,即处于公安内部网络的任何终端用户都可以进行访问,将RA系统的证书更新表,通过数据库系统的表映射功能,映射到证书在线更新系统端,证书在线更新系统端通过访问本地的证书更新表来判断该用户是否允许进行自助更新。
..................................
第 2 章 身份认证、访问控制技术基础介绍
身份识别的核心技术,就在于如何建立一套可靠的机制,来确保现实世界中人的真实身份被准确无误的映射到计算机世界中,也就是说保证应用操作者的物理身份与数字身份的准确可靠匹配,身份认证就是为了解决这个两个身份的匹配问题。
访问控制访问控制,简单的讲,就是控制数字身份在计算机世界中的读取范围、更新范围,即对用户在计算机世界中访问行为进行有效的控制。
CA 系统整体结构主要有 KM 系统、CA 系统、RA 系统、UserSelf 系统四个部分组成。
UserSelf 系统即证书自助服务系统,实质是一个独立的 Web 服务提供系统,通过连接 RA 系统,使得终端用户可以通过浏览器在公安内网访问该系统提供的自助证书更新等 Web 应用服务。这种部署设计方案,考虑到与新版 CA 系统(506X 系列)兼容,方便将来的系统升级。根据具体的售卖策略,既可以与 RA 系统“同机部署”,也可以与 RA 系统“分机部署”。
RA 系统在 RA 业务审核操作员对终端用户提交的“自助证书更新申请”审核通过后,即通知 KEY 驱动服务器记录该用户的属性变更通知,允许该用户进行“自助证书属性更新”操作;连接 Email 服务器,发送 Email 通知来提醒终端用户进行“自助证书属性更新”操作。Email 服务器由 GA 部统一部署,为终端用户进行注册,RA 系统通过访问该服务器,向终端用户发送自助证书更新通知。
KEY 驱动服务器由 GA 部统一部署,为终端用户提供 USBKEY 驱动更新、访问策略下载等服务。
.........................
2 .1公安应用需求
由于公安的身份认证和访问控制以 PKI/PMI 为基础,其身份认证和访问控制均围绕“数字证书”展开,因此针对数字证书的时效性也有一定要求。
2.2 及时、便捷的证书更新方式
公安数字证书中记录了组织机构、职级等信息,这些信息一旦发生变化,将直接影响到用户在应用系统的最终权限大小,因此需要及时的进行证书更新。目前公安 PKI体系建设分为两级,一般各省的制证终端都在省厅,部分少数地市建设了制证终端。分布在全国各地的警员在进行证书更新时,均需要经过“申请更新 -> 上交 USB KEY ->管理员更新-> USB KEY 发回”等固定流程,时间周期长,对民警的日常办公产生较大影响。
2.3终端层身份认证与访问控制需求
由于公安体系分布全国各地,特别是部分社区民警,其终端设备必须位于公安外部办公场所,其环境复杂,终端安全性难以保证,存在非法人员通过终端设备访问公安网内部资源或信息的安全风险,因此需要在终端层面考虑其身份认证与访问控制的需求。
2.4 网络层身份认证与访问控制的需求
随着公安部门对特种行业监管力度的加强,公安部门所需的许多社会信息都要向相关单位采集,如二手机动车信息、旅馆住宿人员信息等。为了确保内网和信息的安全,需要解决公安网络接入的身份鉴别和授权问题。其中包括移动用户接入的身份鉴别,以保证用户能够随时随地安全可靠地接入公安网。
.................................
第 3 章 公安网应用现状与需求.......................................................................5
3.1 公安应用现状............................................................................................ 5
3.2 公安应用需求............................................................................................ 5
3.2.1 及时、便捷的证书更新方式................................................................ 6
3.2.2 终端层身份认证与访问控制需求....................................................... 6
3.2.3 网络层身份认证与访问控制的需求................................................... 6
3.2.4 多种模式的应用层身份认证与访问控制的需求............................... 6
第 4 章 总体设计...............................................................................................8
4.1 总体设计思路............................................................................................ 8
4.1.1 针对访问控制时效性的证书在线更新模型....................................... 8
4.1.2 在应用中嵌入安全插件来实现访问控制........................................... 8
4.2 总体结构.................................................................................................... 9
4.2.1 证书在线更新总体结构....................................................................... 9
4.2.2 安全插件总体结构............................................................................. 11
4.3 软件系统实现.......................................................................................... 11
4.3.1 证书在线更新系统............................................................................. 12
4.3.2 访问控制安全插件............................................................................. 12
.................................
第 6 章 系统实施
6.1 在线更新系统安装
启动证书在线更新子系统的安装程序,出现安装初始界面:
1.软件系统实现
自动判断终端用户证书是否进行过属性变更(根据 RA 系统的属性变更通知判断),如进行过属性变更,则自动将终端用户连接至证书自助服务系统的“自助证书属性更新”页面,终端用户通过 IE 终端即可完成操作。
公安的身份认证及访问控制系统主要通过证书在线更新系统和安全插件来实现。其中,证书在线更新系统主要实现针对访问控制时效性的证书在线更新模型;安全插件主要实现多模式兼容的应用访问控制模型。
关于公安的身份认证及访问控制系统的基础——PKI 和 PMI 基础设施,并非本文的研究重点,本文不再细述其内容。
1) 客户端模块
Browser 端即用户浏览器终端,包括 IE 浏览器以及支持客户端访问 USBKEY 的OCX 控件,终端用户在第一次访问 WebServer 时,自动将该控件下载到 Browser 端。
2) 证书自助服务模块
WebServer 即证书在线更新系统,其下部署的 SSLCert(站点证书)将其配置成单项 SSL 安全通讯的服务器,保证了 Browser 端与 WebServer 的安全通讯。
UserSelfServer 系统用于处理证书自助服务各项业务,通过其下部署的SPKMCert(服务器证书)保证与 RAServer 系统的安全通讯(SPKM)。
CGI 程序将终端用户的自助服务请求信息提交给 UserSelfServer 系统,该系统再通过 RASDK 模块访问 RAServer 系统来支持终端用户服务请求。
3) 数据同步模块
终端用户要操作自助证书属性更新的业务,需要 RA 业务管理员提交申请并审核通过后才可以进行,需要证书在线更新系统访问 RA 系统来获取“自助更新允许权限”,认证通过后才能够进行操作。
................................
结论
证书在线更新系统为开发的 Web 应用服务提供系统,即处于公安内部网络的任何终端用户都可以进行访问,将 RA 系统的证书更新表,通过数据库系统的表映射功能,映射到证书在线更新系统端,证书在线更新系统端通过访问本地的证书更新表来判断该用户是否允许进行自助更新。
设计考虑因素:
1) 录入自助更新申请
由 RA 业务录入员操作,向 RA 系统 RA_UPDATE 表插入一条 UPDFLAG=7 的记录。
1. RA 业务录入员从更新申请查询回的记录中选择需要自助更新的证书记录,进入“自助更新申请录入界面”;2. 警员个人或由相关人事部门,向 RA 业务录入员提交“证书更新申请”,此信息包括:警员的组织机构、警种等更新申请信息,以及该警员的 Email 地址;3. RA 业务录入员根据提交的证书更新申请信息,在“自助更新申请录入界面”录入自助更新申请信息;4. RA 业务录入员点击“申请提交”按钮,提交自助更新申请;5. RABT 检查录入的自助更新申请信息有效性:Email 项不可空;6. RABT 请求 RAServer 的“自助更新申请服务”,将自助更新申请信息(包括通知该警员的 Email)提交给 RAServer;7. RAServer 接收并解析 RABT 请求,验证业务员操作权限;8. RAServer 创建“自助更新申请服务”,并将“自助更新申请请求”转发给该服务;9. RAServer 解析“自助更新申请请求”,获取 DN 信息、密钥信息、扩展域信息等;
10. RAServer 通过“管理员受理点获取服务”来取得发送该请求的操作员所属受理点编号;
11. RAServer 根据受理点编号,为本请求计算唯一用户 ID(RAUID);12. RAServer 打开“证书更新表”(RA_UPDATE);13. RAServer 根据请求信息证书模板 ID,获取审核状态; 如果该模板为手动审核,RAServer 将自助更新申请信息状态。......
参考文献(略)