教育数字证书应用支撑平台建设方案

第 4 章 平台详细设计

4.1 教育数字证书应用系统设计

教育数字证书应用系统为国家教育管理信息化业务应用系统提供教育数字证书的在线申请、下载、同步、验证、查询等安全服务，实现教育CA与业务系统的集成与融合。

1、教育数字证书的在线申请

国家教育管理信息化的业务应用系统，通过集成该接口，可实现本业务系统的用户管理与教育数字证书管理的集成，例如，在增加用户时，同步申请教育数字证书；在撤销用户时，同步撤销用户的教育数字证书。

2、教育数字证书的在线验证

为国家教育管理信息化工程的业务应用系统提供教育数字证书的在线验证（CRL验证、OCSP验证等），简化业务应用系统为教育数字证书的验证流程，降低系统的开发复杂度。

3、教育数字证书的同步

为国家教育管理信息化工程的业务应用系统提供教育数字证书的同步服务。用户证书发生变化时，教育数字证书应用服务器从教育CA下载最新的用户数字证书，简化业务应用系统对数字证书管理，提高数字证书的易用性。

4.2 终端安全登录设计

4.2.1 安全分析

系统登录认证采用微软传统的WINDOWS登录认证方式，即PAP（Password Authenticate Protocol）方式，一旦PAP验证通过后，登录用户信息存放在本机或者域服务器的SAM数据库（Security Accounts Management）中。而SAM数据库内信息容易被窃取，另外根据保密安全规则用户密码必须满足复杂性要求

第14页

（口令:字符+数字+字母10位或者10位以上，密码需7天进行更改一次），同时基于用户账号和口令的身份认证机制有以下的弊端

不能非常明确地确认用户的身份，因为任何人都可以通过偷窃、猜测或利用用户的疏忽来发现口令，在这个问题上，无法用口令来确定用户的唯一性（即真实身份）；

? 很容易被猜出来，许多人的习惯是用“password”、生日日期、孩子名称等用作口

令；

? 用字典攻击手段和物理盗窃（从客户机器上复制）手段也很容易获得用户的账号

和口令；

? 因为用户习惯将复杂的口令记在笔记本和身边可接触到的地方，所以他的账号和

口令容易被窃；

? 用户不习惯定期更换口令。

我们可以看到原有的基于用户账号和口令身份认证是不安全的，因此在网络网中的网络登录控制要使用基于数字证书的USB KEY或智能卡来实现。 4.2.2 选型设计

在本方案中推荐使用终端安全登录与文件保护系统（简称“网盾PC保护”）来实现PC操作系统安全保护。 4.2.3 设计思路

操作系统层身份认证作为信息安全的第一道屏障，是后续安全手段的基础，必须要重点解决，因此需加强操作系统层的安全登录控制显得尤为重要，操作系统安全认证在基于PKI技术基础之上，针对本项目域登录应用，整合开发安全域登录系统，此系统基于硬件双因子增强验证技术来实现对Windows登录模块的加固，采用硬件（USBKEY）、数字证书以及微软UPN（主题备用名）等多种因素结合技术，真正实现了对包括安全模式在内的整个操作系统登录的加固与增强。为Windows域登录提供有效的、安全的登录认证机制，保证信息系统域登录的安全。

第15页

华翔腾数字认证中心（CA）能够签发符合微软“智能卡登录”的证书，使用“智能卡登录”证书不仅可以在线的方式（即由域控制器验证证书，实现域登录）登录系统并访问域中的共享资源，还可以离线的方式（即在不能够访问AD服务器的情况下由本机验证证书，实现本地登录）登录系统。 4.2.4 功能设计

网盾系统通过与数字认证中心（CA）签发微软“智能卡登录”的数字证书的结合，使用“智能卡登录”证书不仅可以在线的方式（即由域控制器验证证书，实现域登录）登录系统并访问域中的共享资源，还可以离线的方式（即在不能够访问AD服务器的情况下由本机验证证书，实现本地登录）登录系统。

使用智能密码钥匙（USBKEY）、数字证书登录计算机系统，没有USBKEY、合法数字证书无法登录计算机。利用USBKEY锁定计算机，拔出USBKEY，计算机自动锁定键盘、鼠标、屏幕等外部设备，防止非法用户恶意操作计算机，对重要数据进行偷看、篡改或删除。利用USBKEY锁定计算机，拔出USBKEY，计算机自动进入屏幕保护状态，用户使用计算机时，需要再次插入USBKEY确认身份。

Windows操作系统包括Windows XP、2000、2003及Win7操作系统可以采用华翔腾的安全桌面套件中的PC保护功能模块进行防护，主要功能有

? 本地用户认证以及域用户认证；

? 有限用户通过硬件加密设备登录计算机； ? 拔出硬件加密设备锁定计算机； ? 限制计算机登录用户； ? 插入硬件加密设备解除锁定。

应用USB KEY的PC保护后，可以大大提高系统的易用性，用户无需再记忆原来系统登录的口令(可靠的口令字一般都在8位以上，有些用户为了增加安全性，口令长达20位以上)，而只需要牢记USB KEY卡的PIN码，并保管好USB KEY即可。 4.2.5 产品部署

第16页

在所有终端计算机上安装。华翔腾网盾系统支持两种模式的登录方式。其网盾系统登录流程如下：

模式一（基于数字证书封装域账户、口令登录方式）

首先在本地计算机上安装华翔腾PC安全登录系统，将数字证书与用户账号以及口令进行绑定，取得唯一关系，主要是利用数字信封对用户名、口令进行封装，当用户插入USBKEY登录操作系统时，首先验证用户数字证书信息是否为合法，其次验证USBUSBKEY中的数字证书是否为合法证书，通过证书与本地用户账号的关联项，验证用户账号的权限。此种方式一般在工作组模式下使用，本项目当前采用域管理环境，不建议采用此种登录认证模式。

模式二（基于微软智能卡登录方式） ? USB KEY登录AD域

USB KEY登录网络部署图如下图所示：

AD服务器RA服务器WEB服务器文件服务器USBKey及证书USBKey及证书域用户AD系统登录验证

域用户? 域控制器配置

在本项目中部署完成CA中心后，通过CA将证书和证书吊销列表（CRL）发布到目录服务器上。在域控制器中正确的配置证书的信任链和域控制器的机构证书。

? 客户端配置

在客户端安装USBKEY驱动和PC保护客户端，可以手动安装也可以通过域策略进行MSI包下发安装。

第17页