数字证书认证在播出系统中的应用
马坤
中央电视台
摘要:在广电行业推行等级保护的大背景下,本文针对播出系统的实际情况,对在应用软件登陆及操作系统登陆方面结合数字证书的改造过程进行了详细的阐述与分析,最终给出了一个完整的安全认证方案并在具体系统中进行了实现。 关键词:等级保护 数字证书 双因素认证 播出系统 中央电视台新址播出系统做为广电行业内第一个按照四级等保标准建设的系统,在建设过程中,遵循统一规划、统一标准、统一管理、适度保护、重点保护、强化管理的原则,按照等级保护“一个中心,三重防护“的设计思路,在网络安全、主机安全、应用安全、数据安全等各方面都采用了多种措施来保证系统的安全性。 在播出系统中引入CA数字证书身份认证技术主要用于满足等保中的主机安全和应用安全要求,通过数字证书技术结合安全应用支撑产品综合满足了身份认证、访问控制、通信过程和数据存储的保密性、完整性、抗抵赖性。新址播出系统的数字证书以全台CA系统统一颁发的USB-key做为载体,对应用软件的认证模块进行了相应改造,同时创新性的将数字证书与操作系统登陆相结合,实现了一把key同时进行主机和应用两个层面的双因素认证,既达到了安全性的要求,又方便了日常使用,最大限度的减小了对业务的影响。 1. 数字证书认证概述 身份认证作为企业信息化过程中信息资源访问控制的第一步也是关键一步,在应用上正得到军队、政府、企业等各方面越来越多的关注,在技术上正朝着更加安全、易用、多种技术相结合的方向发展。随着PKI技术体系的日趋成熟,拥有强有力的理论基础和众多国际标准的CA数字证书身份认证技术,在法律上也得到了国家的大力支持。《电子签名法》的颁布实施以及数字加密和数字签名技术所具有的保密性、完整性、真实性、不可否认性等特点,使得CA数字证书身份认证正在被广泛采用。 数字证书是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在网络上解决"我是谁"的问题。数字证书由公正的第三方机构即CA中心签发,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。认证中心颁发的数字证书均遵循X.509 V3标准。相对基于“用户名+密码”这一脆弱的身份验证方式,数字证书技术是将高强度的密码技术与物理身份绑定,要想破译几乎不可能。 根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管和注意保密。 数字证书则是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机 构的公章)后形成的一个数字文件。CA完成签发证书后,会将证书发布在CA的证书库(目录服务器)中,任何人都可以查询和下载,因此数字证书和公钥一样是公开的。 可以这样说,数字证书就是经过CA认证过的公钥,而私钥一般情况都是由证书持有者在自己本地生成的,由证书持有者自己负责保管。具体使用时,签名操作是发 送方用私钥进行签名,接受方用发送方证书来验证签名;加密操作则是用接受方的证书进行加密,接受方用自己的私钥进行解密。 2. 基于应用软件的数字证书认证改造 2.1 业务现状 中央电视台新址播出系统承载着24个常规频道的节目单编排、媒体文件传输及信号播出的业务,最大可扩充至40个频道,日常运行时主要的人机交互应用包括:节目单编排软件、广告管理软件、节目复检软件、整备管理软件,这些软件在设计上均采用C/D方式的架构,即客户端软件直接对数据库进行读取、写入等操作,在引入数字证书认证之前,软件登陆均是以用户名和密码的方式进行认证,认证完成后即进行相应的业务处理操作,对于播出系统这样关键的业务来说,在安全性上存在着较大的漏洞和隐患,容易造成责任不清、权限管理混乱等问题。 在系统建设中,我们在播出应用软件部分引入了基于数字证书的双因素认证措施,这就需要对所有软件的登陆模块进行改造,最终实现在登陆软件及进行发送节目单、节目迁移的管理、节目复检确认通过等重要操作时,均需使用USB KEY进行认证,取得对应的权限后才能进行后续操作。 2.2 改造措施 由于播出系统中只包含C/D模式的应用,因此以下仅针对此种模式的认证进行分析,其它如C/S、B/S等类型的应用在此不再赘述。 集中认证服务以基于X.509证书的身份认证机制取代应用系统中原有的基于用户名/口令的传统身份认证机制。集中认证服务实际上包含两个服务:认证原文产生服务和认证服务,认证也分为两个过程:请求认证原文和请求身份认证。 第一个过程是为了拿到网关提供的认证原文,当用户使用应用系统的客户端程序访问数据库时,首先由应用系统的客户端发起,应用客户端先向身份认证网关请求认证原文(该认证原文用来生成后面认证服务要用到的认证请求包),网关收到请求后会产生认证原文并将原文返回给应用客户端,应用客户端拿认证原文第一个过程结束。 第二个过程是进行身份认证,应用客户端拿到原文后会弹出一个对话框让用户选择要用来进行身份认证的证书,用户指定证书后应用客户端使用认证原文和用户证书产生认证请求包发给身份认证网关,网关收到请求后根据认证请求包中的内容对用户身份进行认证,认证成功后网关会将认证结果和用户的属性信息返回给应用客户端,客户端根据这些信息可以对用户的登录请求做出回应。如果网关对用户进行身份认证时失败,则会向应用客户端返回错误信息,客户端可以对这些错误信息加以处理,例如:在客户端显示相应的信息,提示用户重新登录等。 应用系统在进行集中认证接入改造时需要将其原有的认证流程改造成网关集中认证业务流程,改造过程通常需要5个步骤。改造流程示意图如下: 客户端请求认证原文:应用客户端需要改造原先的认证、登录逻辑,应用系统需要将自己的应用标识(应用标识是应用系统在网关注册的唯一标识)封装在认证原文产生服务的请求报文中,然后将请求提交给网关请求认证原文。该原文是用来产生认证请求包的,由网关产生并提供。 网关返回认证原文:网关收到应用服务端的请求后产生一份认证原文,然后将其返回给应用客户端。 客户端认证:应用系统的客户端收到服务端返回的认证原文后,需要改造原先与用户交互的逻辑,改为使用网关提供的认证请求包产生接口让用户选择证书,然后使用该证书和认证原文产生认证请求包,请求包产生后客户端需要再次向身份认证网关发起请求,将认证请求包发给网关。 网关返回认证响应:网关完成认证后向应用客户端返回认证响应,认证响应包含认证结果和用户属性等信息。客户端收到网关返回的认证响应后需要解析认证响应报文得到认证结果和用户属性等信息。 服务端处理:应用客户端根据认证响应中的认证结果、用户属性等内容进行业务处理。 应急处理 由于认证网关直接关系到软件能否成功登陆及后续的各种业务操作,因此在设计时需要考虑到相应的应急方案,防止由于故障导致播出关键业务的中断,播出系统内部署了两台身份认证网关设备,采用主备方式部署,对外显示为一个虚拟IP地址,主机故障后,该地址自动指向备机;另外在软件配置上,留有一个“是否开启数字证书认证”的选项,当主备身份认证网关均故障,或到网关的网络出现故障时,开启该选项,应用软件即退回到用户名+密码的认证方式,为了保证日常的登陆安全,该选项的开启需要两个有权限的管理人员同时在场进行操作。 2.3 基于操作系统层的数字证书认证改造 除了在应用软件上需要实现基于数字证书的双因素认证外,操作系统的登陆同时也需要进行改造以达到认证的要求,为了最大限度的减小了对业务的影响,在系统建设中,我们将操作系统层和应用层的数字证书进行了结合,实现了一把USB-key同时进行主机和应用两个层面的数字证书认证。 播出系统在功能实现上引入了终端安全软件来实现操作系统层的安全登陆功能,终端安全系统由服务端,安全代理和身份认证设备三个部分组成: (1)服务器端:终端安全系统管理入口,管理和维护总控中心服务器的运行状态;负责总控中心的策略配置、审计信息浏览;负责安全代理的运行策略设置。 (2)安全代理:以服务的形式运行于终端计算机,负责功能模块管理、策略管理、审计事件报告等基本功能。安全登录、文件处理以及部分网管功能均以模块的方式由安全代理加载、维护和管理,安全代理的设计充分考虑了稳定性、安全性和兼容性要求。 (3)身份认证设备:用于存储受控计算机终端用户以及管理员登录认证的数字证书。其中管理员证书用于终端安全系统后台管理页面的登录认证,用户证书用于操作系统或者域环境的证书登录认证。终端安全软件通过替换操作系统现有口令登录模式,采用双因子登录方法实现增强的OS登录安全。在操作系统登录认证过程中完全基于PKI数字证书的验证机制,而不是采用认证介质绑定帐户信息的简单做法。使用安全登录,用户必须将usbkey插入计算机并输入正确的PIN码,方可获得计算机的使用权。当usbkey拔下时,计算机自动进入锁定状态,必须再次插入usbkey并输入口令方可继续使用。 另外,基于数字证书,终端安全软件也实现了使用白名单的方式对受控系统的进程进行管理,该模式的进程管理依据为用户身份而不是计算机地址或环境,不同用户使用证书登录计算机后所能使用的应用进程是不同的。进程管理模块可以依据用户身份进行白名单定制,即使在多人使用一台计算机的环境下仍然能做到有效的进程管理控制。 3. 整体部署方案 如图中所示,在播出系统中部署了认证网关来实现基于数字证书的应用软件安全登陆,部署了终端安全服务器来实现操作系统的安全登陆,经过改造之后,在播出系统中具有人机交互的操作系统及应用软件上均采用了基于数字证书的认证方式。 播出应用操作人员使用全台CA系统统一颁发的USB-key做为身份标识,每一个人员都有自己专有的证书,以工作证号作为唯一识别,该证书信息会同步导入到播出系统的身份认证网关中,同时在每台工作站上对数字证书与操作系统登陆账号进行绑定,绑定后即直接使用USB-key和对应的PIN码登陆操作系统,终端安全服务器负责各工作站上的系统策略下发、进程管理、操作审计等。当值班人员登录应用软件时,会先到网关验证证书里的身份是否合法,验证通过后返回人员的工作证号,然后软件会再依据此工作证号根据权限控制系统里已确定的权限信息给予对应的权限。 4. 总结 本文详细介绍了在播出系统中引入数字证书认证的改造过程,基于由全台CA系统统一颁发的数字证书,通过在操作系统登陆模块及应用软件登陆模块与数字证书的结合,创新性的实现了在主机层和应用层同时基于数字证书进行用户认证,在不影响日常业务的前提下,极大的提升了播出系统的安全性,同时也满足了四级等级保护中对于主机安全和应用安全登陆方面的相关要求。 参考文献 1. 屈卫清,数字证书的发展与应用,《宁波教育学院学报》,2003.6 2. 周立兵 周大伟,基于数字证书的访问控制研究,《计算机与数字工程》,2011.1 3. 万明明 王糯兴等,数字证书技术在图书馆网站身份认证中的应用,《农业图书情报学刊》,2011.2 4.徐茹枝 郭健 李衍辉,智能电网中电力调度数字证书系统,《中国电力》,2011.1
评论 点击评论