PKI/CA安全平台系统在汕头供电局的应用.pdf

PKIV/CA安全平台系统在汕头供电局的应用

陈少锐

（汕头供电局广东汕头515041)

了信息系统应用安全.汕买供电为按要求设置了LIDAP（轻量目录访问协议）从目录服务器，在应用系统中引入公钥密码基础设施，为应用系统提供 摘要：广东电网公司建设了PKI/CA（公钥基础设施/认证中心）中心，实现了基于IC卡证书的计算机城管理、办公自动化系统单点登录等，保证身份认证、加密、签名等服务.本文简要介绍汕头供电为PKI/CA部署和应用的概况，包括AD（活动目录）城基于PKI改造、EAI/EIP（企业应用集成/ 企业信息门户)系统的PKI身份认证 OA(办公自动化)系统结合PKI系统的智能卡登录等.

关键词：PKI/CAAD城智能卡受录部署

文章编号：1007-9416(2013)02-0167-01

中图分类号：TM769

文献标识码：A

页面.

PKI(Public Key Infrastructure)是指公钥基础设施，CA(CertificateAuthority）是指认证中心 PKI从技术上解决了网络通 信安全的种种障碍，CA则从运营、管理、规范、法律、人员等多个角度来解决了网络信任间题.因此，人们统称为*PKL/CA”，从总体构架来看，PKI/CA主要由最终用户、认证中心和注册机构来组成.

4OA系统与PKI/CA系统结合套件

汕头供电局需要基于PKI/CA系统的IC卡，实现OAK系统（Domino/Notes平台安全登录.同时，将OA系统的登录纳人到整体 的EAI/EIP系统的单点登录体系中.

1应用安全体系结构

4.1用户单点登录体系与OA系统现状

根据应用系统现状，关于OA系统身份认证模块，主要有以下设计思路：1）基于广东电网PKI/CA系统的IC卡，通过提供相关的IC卡接口，实现Notes的IC卡登录，（2）为了和EIP/EAI系统结合，在 EIP/EAI系统已使用IC卡登录后，通过EIP界面中启动Notes程序，通过安全插件，自动完成Notes的安全登录认证过程，（3）将ID文件存放在IC卡上，当用户插入IC卡时，通过IC卡的注册程序，将ID文件写 人Notes系统相关目录下，从面实现用户在各个终端计算机上都能以本人身份安全使用OA系统.

汕头供电局应用安全系统的总体结构中，应用系统以省公司的PKI/CA系统为基础，实现应用系统在身份认证、数据完整性、数据和客户端组件：服务器端组件又包括证书黑名单管理组件、AD域用 保密性等方面的安全管理.其中，应用安全组件包括服务器端组件户同步组件、加密签名组件、基于证书的身份认证组件.汕头供电局的应用系统可分为B/S模式与C/S模式两种类型，B/S模式应用系 统可采用双向HTTPS协议实现基于证书的身份认证，同时解析证书，将用户信息通过HTTPHEAD传递给应用，而C/S模式应用则 可和EAI/EIP系统结合，实现安全的身份认证过程.

4.2基于IC卡的OA系统安全认证功能模块及使用流程

根据OA系统现状及要求，基于证书的认证模块主要由四部分Notes自动登录插件模块，Noles系统ID文件的IC卡存储，其中第四部 组成，OA系统客户端（Notes）启动页面，Notes系统与IC卡的接口、

2AD域与PKI/CA系统结合

汕头供电局已经采用Active Directory技术实现城登录功能，对桌面PC机进行了集中的安全管理，达到了很好的安全效果.分需要根据用户需求进行定制，

AD域与PKI/CA系统结合后，整个系统架构在AD域控制器上需导人省公司CA系统根证书及域控制器证书，安装证书黑名单管理组件，自动下载管理证书黑名单，在客户端计算机上安装读卡器序，Notes自动登录插件模块自动完成Notes的登录过程（注：（1）如果 驱动，并通过AD域自动分派应用安全客户端组件.用户即可通过IC月卡进行登录.

或者登录EAL/EIP系统，点击OAK系统的链接，启动Notes客户端程 用户使用流程：在部署完成后，用户插人IC卡登录AD域系统，用户未使用IC卡登录AD域或EAI/EIP系统，则需再次输人IC卡口令.（2）必须使用IC卡才能使用该OAK安全认证模块）.

4.3存在的问题及解决办法

3EAI/EIP系统的PKI身份认证套件设计

（1)用户现有ID文件与新的ID文件的关系：用户使用现有ID文件也可正常登录OAK系统，在未携带IC卡时，可使用原有的ID文件登录.新的D文件只能与相应的IC卡绑定，如果无相应的IC卡，则无 法使用新的ID文件登录OAK系统.

3.1EAI/EIP系统现状

汕头供电局通过实施EAI/EIP系统，实现应用系统的统一访间及信息集中展示，应用系统的身份认证方式为口令认证方式，

3.2PKI/CA系统身份认证套伴的功能及逻辑结构

如下：生成ID文件，使用Notes系统，将ID文件与IC卡绑定，如果ID文 （2)IC卡与OAK系统的绑定：一般由OAK管理员完成，主要步骤件存放在IC卡中，则只需发放IC卡即可，否则需将新的ID文件与IC卡同时下发给用户.

根据应用系统现状及要求，基于证书的认证模块主要由三部分组成：（1）身份认证页面，完成与用户的双向证书认证过程.同时，在 证书认证过程完成后，校验用户证书的有效性，通过后建立登录状态Session，同时forward至应用系统人口页面.（2)CRL列表数据自动下载组件，主要完成从CALDAP服务器上定时下载CRL列表数 据和CA系统根证书，验证CRL列表的签名，验证通过后，将CRL列表数据存放于内存中，供身份认证页面检验证书时使用.（3）登录状态检查组件.通过Session中的登录状态检查，判断用户是否登录，如 已登录完成，则不做处理，如未完成登录，则自动重定向至身份认证

5结语

以数字证书为核心的PKI/CA技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，从而提高了系统的安全性和可靠性.汕头供电局PKI/CA的部署，将为企业的信息化保驾护 航，为企业信息化的健康开展扫清障码.