河南省水利厅身份认证及应用安全技术方案研究

□杨 栓□任建勋□宋 博□张亚萍□杜 磊

（1河南省水利信息中心；2商丘市梁园区水利局）

河南省水利厅身份认证及应用安全技术方案研究

□杨 栓1□任建勋1□宋 博1□张亚萍2□杜 磊2

（1河南省水利信息中心；2商丘市梁园区水利局）

随着水利信息化的深入发展，信息网络有效实现了资源共享和互联互通，但也带来了安全性的问题。通过数字证书技术来实现用户可信身份的标识，通过对用户数字证书的验证，实现对用户身份的高强度认证，保证河南省水利厅业务系统的运行安全。

身份认证；应用安全；方案研究

1 概述

河南省水利厅身份认证体系建设，依托于水利部外网已建设的身份认证系统PKI/CA系统，以水利部外网身份认证体系为信任源头，在河南省水利厅沿用水资源的证书注册系统RA，为河南省水利厅本地用户提供全面的、贴切的证书服务，通过数字证书的技术手段实现用户身份的可信描述以及单点登录。河南省水利厅应用安全支撑体系属于身份认证体系和应用系统之间的中间环节，通过该中间环节起到的承上启下作用，可以保证应用系统方便、快速的实现和数字证书之间的整合，享受到身份认证体系提供的各类安全服务。

2 框架设计

2.1 身份认证体系

身份认证体系为河南省水利厅外网身份信任体系建设的核心内容，采用数字证书的手段来实现用户身份的描述，通过建设身份认证体系，来实现河南省水利厅外网的用户、设备的权威、统一身份表达、描述。河南省水利厅身份认证体系接入到水利部身份认证体系中，实现身份认证体系的统一信任。河南省水利厅身份认证体系主要包括证书注册系统RA（沿用水资源RA系统），证书注册系统RA属于水利部外网运营CA提供证书服务的窗口，为河南省水利厅本地人员提供证书申请、下载、注销、更新等各项业务的服务。

2.2 应用安全支撑体系

应用安全支撑体系是通过对身份认证体系所签发的数字证书的应用，基于组件化服务的方式，向业务系统提供统一的、体系化的安全支撑服务。为业务系统提供集中统一的身份认证和统一用户管理功能，业务系统通过调用应用安全支撑提供的服务，经过简单的配置或少量的代码更改就可以实现安全功能的嵌入和实现用户账户的同步，实现业务和数字证书的结合、用户源的统一管理。河南省水利厅应用安全支撑体系主要包括身份认证网关和统一用户管理系统，为业务系统提供统一的身份认证和用户管理功能。

2.3 目录服务体系

目录服务体系主要负责用户数字证书、证书注销黑名单、用户属性数据的统一发布，是身份认证系统和应用之间的桥梁；方案设计沿用水资源CA从目录，复制水利部河南证书相关数据为本地提供服务。

2.4 故障恢复与灾难备份体系

故障恢复与灾难备份体系主要是通过综合应用备份与恢复技术，提升身份认证系统的可靠性。在实际的工程实施中，可以采用磁带机或者是利用用户现在的备份体系或软件自带的备份功能进行相关数据的备份。

2.5 安全防御体系

安全防御体系主要是通过部署防火墙等产品，保障身份认证系统网络层面的安全性。

2.6 标准规范体系

标准规范体系涵盖系统建设、系统命名、数字证书格式、证书注册系统建设、身份认证网关建设、应用接口等标准；河南省水利厅身份认证体系建设将照水利部外网身份认证体系统一标准执行。

3 水利部CA体系逻辑结构

河南省水利厅需要部署RA系统（沿用水资源RA）、目录服务系统（沿用水资源LDAP）、身份认证网关、统一用户管理系统。按照水利部外网的要求，接入到水利部外网身份认证系统；通过建设RA系统，实现证书的本地化服务，为本地的人员发放证书；通过建设身份认证网关，实现认证的本地化服务，为水利厅业务系统提供基于证书的身份认证。

身份认证体系（指证书发放体系）集中部署于省级（沿用原有水资源RA和LDAP），制作省级证书业务管理员证书key，为省级用户以及地市用户集中发放数字证书（USB-KEY）。

4 水利厅应用整合及单点登录设计

4.1 整合需求

河南省水利厅业务系统的安全主要是要求基于数字证书来实现用户身份高强度认证，代替传统的“用户名＋口令”身份认证模式。采用统一用户管理技术实现用户的统一管理。

4.2 整合思路

利用河南省水利厅证书注册系统RA为用户颁发的数字证书，基于身份认证网关来实现用户基于数字证书的高强度身份认证，以代替业务传统的“用户名＋口令”身份认证模式，通过建立数字证书主用户规范各个应用系统的用户标识，达到用户的统一管理和同步。

4.3 整合方案

RA系统，主要负责为用户和设备颁发数字证书，解决身份标识问题。目录服务系统，该系统主要负责发布数字证书和黑名单信息，为用户身份的验证提供基础。身份认证网关，该系统主要为业务系统提供身份认证服务，只有经过身份认证网关认证通过的用户才可以访问的应用系统。统一用户管理系统（简称UMS），该系统主要为业务系统提供统一用户管理服务，进行用户属性信息同步。

4.4 访问流程设计

用户访问应用系统必须通过身份认证网关验证，它可以接收用户的数字证书，通过验证证书链、查询CRL（证书黑名单）等来判断用户的身份是否合法。通过调用和查询统一用户管理系统（UMS）中该证书的属性信息（身份证号或其他标识）传递给应用系统，应用系统从而获知用户身份，展现相应的页面，并将用户的访问过程记录成日志存储在身份认证网关中（也可以以syslog发送给审计系统）。

5 省级移动办公扩展

为了解决移动办公应用数据机密性、身份认证强度两方面安全风险，同时结合移动办公场景的特点，相应的安全解决方案主要涉及证书发布体系建设、中间件服务器改造及移动信息终端APP整合三部分内容。

5.1 业务应用流程

在建设好PKI/RA系统及移动证书门户后，移动终端用户进行数字证书申请发放的流程如下：证书管理员首先将用户信息预先录入至RA系统，生成证书申请凭证码；证书管理员通过邮件，将证书申请凭证码发送给移动终端用户；移动终端用户在移动终端通过整合后的移动办公APP访问安全接入网关，并经过安全接入网关连接移动证书门户，提交证书申请凭证码，进行证书申请；移动证书门户连接PKI/RA系统，签发移动证书；移动终端用户通过安全接入网关，从移动证书门户将证书下载至本地，安装在移动办公APP中，证书申请结束。

5.2 移动应用访问流程

将客户端APP进行改造后，集成VPN连接客户端接口，同时针对移动中间件平台进行必要改造，将认证方式从用户名/口令方式改变为数字证书认证方式。改造完成后，移动办公用户的应用访问流程如下：移动办公用户通过点击客户端APP，APP集成的VPN客户端接口向VPN网关发起访问请求；VPN系统要求移动办公用户提交数字证书，进行身份有效性认证。认证通过后，VPN通道建立。

6 地市身份认证体系扩展

6.1 整体逻辑架构扩展设计

省级身份认证系统负责为省厅发放数字证书、制定证书策略、管理下级地市LRA接入，并将证书的CRL发布到目录，供全省地市的目录复制。省厅自身目录供省厅本地业务系统使用。地市身份认证系统为地市提供数字证书服务，并通过LDAP从省厅复制获取证书CRL相关信息。

6.2 证书发放设计

省厅用户通过省级证书业务管理员KEY登录RA系统为省级用户颁发数字证书（USBKEY）；地市LRA制证系统通过省厅行政授权和系统授权连入省厅RA系统。

6.3 应用支撑

由于省、市都有应用系统，因此应用安全支撑平台采取分布式部署方式，省级身份认证网关支撑省级应用，各地市身份认证网关支撑地市应用。用户在进行访问时，根据应用系统所属地，选择所属地对应的身份认证网关进行身份的认证。

6.4 防汛抗旱应用系统接入

通过集中身份认证网关建立用户和防汛抗旱应用平台直接连接的桥梁，用户在防汛抗旱应用平台点击登陆时首先访问到身份认证网关，并按要求提交数字证书。身份认证网关联合水资源RA目录校验证书有效性，并查询UMS中该证书的属性信息。由身份认证网关将数字证书信息和属性信息发送给防汛抗旱应用平台，防汛抗旱应用平台根据此信息实现证书登录，再由防汛抗旱应用平台整理并抽取相关信息发送给应用系统实现单点登录。用户的证书信息和属性信息由UMS向防汛抗旱应用平台实现同步。防汛抗旱应用平台通过内部机制实现自身与各个应用系统的用户同步。

6.5 电子签名服务器与签章的结合

电子签名与签章的整合需要证书体系整合，将水利部的证书体系替换电子签章的证书体系；介质整合，使用水利部统一的USBKEY（飞天epass3003），并将签章灌制到飞天epass3003中。

7 结语

通过建设河南省水利厅身份认证体系和应用安全支撑体系，可以保证应用系统方便、快速的实现和数字证书之间的整合，享受到身份认证体系提供的各类安全服务，来完成对应用数据的保护和终端设备的保护，实现安全需求的快速拓展。

（责任编辑：邢博辉）

F830.49

B

1673-8853（2016）11-0049-02

2016-07-16