2023年6月27日发(作者:)
2019年第5期
信息通信
INFORMATION
&
COMMUNICATIONS
基于数字证书认证的电子政务外网
安全接入平台的研究与实现
2019(Sum.
No
197)(总第
197
期)
周晓琦,周洲,袁洪亮,赵蘇杰,黄瑞锋(云■南省电子政务网给管理中心,■&南昆明650228)摘要:随着国家电子政务外网覆盖范围的不断扩大,政务外网的安全接入平台已经形成了一套较成熟的规范与标准体
系。而SSLVPN做为其中一种安全接入方式,政务外网用户接入统一使用国家电子政务外网颁发的数字证书进行认证
登陆。SSLVPN设备自动同步LDAP的证书公钥信息可便捷有效的实现对证书用户的管理授权,充分保障用户接入的
安全性。关键词:SSL VPN;数字证书;电子政务外网;LDAP
中图分类号:TP309
文献标识码:A
文章编号:1673-1131(
2019)05-0141-03Research
and
Implementation
of
E-government
Extranet
Secure
Access
Platform
based
on
Electronic
Certificate
AuthorityZhouXiaoqi,
ZhouZhou,Yiian
Hongliang
»Zhao
Yanjie,
Huang
Ruifeng(Yunnan
Provincial
e-Goverment
Netwrok
Management
Centre)Abstract: Along
with
the
national
e-govemment
network
expanding
the
scope
ofcoverage,
secure
access
to
E-govemment
has
already
farmed
a
relatively
mature
system
of
norms
and
standards.
And
as
one
of the
security
access
method,
the
national e-gov-
emment
network
access
unified
digital
certificate
issued
by
the
state's
e-govemment
authenticatioii
login
SSL
VPN.
With
the
increase
in
the
amount
ofusers,
the
work
of
manually
import
the
certificate on
the
gateway
and
to
authorize
is
taking up
a
lot
of
human
resources
and
time.
SSL
VPN
device
automatically
synchronizes
the
certificate
information ofLDAI
enabling
the
management
and
authorization
of
certificate
users
conveniently
and
efiectively,amd
it
can
improve
the
efficiency
of
operation
and
Words:
SSL
VPN;Nati E-Gov NetwarkjLDAP国家电子政务外网是服务于各级党委、人大、政府、政协、 法院和检察院等政务部门,满足其经济调节、市场监管、社会 管理和公共服务等方面需要的政务公用网络。政务外网支持 跨地区、跨部门的业务应用、信息共享和业务协同。国家电子 政务外网按照管理层次划分,可分为中央级、省级、地市级、县 级政务外网。政务外网的接入可通过SSLVPN平台实现,出于安全考 虑,在采用SSLVPN接入时同时使用政务外网数字证书实 现一个强认证的过程,本文将对这一过程进行深入的研究与 设计。整个VPN会话进行过程中,用户和SSLVPN安全网关之间的 通信受到SSL加密协议的保护;(3)最后用户执行退出操作,VPN会话结束。用户退出 VPN会话时,SSLVPN安全客户端会对VPN会话过程中在客 户端计算机上留下的数据进行清除,杜绝安全隐患。wteMHTTPs« 求认込流程请求啟卞证书JS字it书川户0应用IR^S1基于数字证书的SSLVPN原理概述SSLVPN使用SSL协议通过公钥加密技术为用户提供安 Portul主页而务伸访问操作SSL VPNRS全的SSL加密的链路传输,并实现客户机/服务器和共享的文 件资源的安全访问,确保只有通过安全策略认证的用户可以 访问指定的资源。基于数字证书的SSL VPN会话包含了三个阶段:(1) 用户通过USBKEY中的数字证书登录SSL VPN, SSL VPN依据所配置的认证策略,对用户证书进行认证,其 中包抬对用户证书进行解码,通过验证CRL、证书有效期、 根证书判断证书是否是有效合法证书,然后对证书名及序列 号等信息在本地数据库中进行比对,认证通过后VPN会话 开始;(2) SSL VPN根据用户的ACL对访问操作进行过滤,用 户可以访问被授予的权限资源进行各类应用系统的操作,在 访月翳堺应用应川舉整图1基于证书认证的VPN会话过程2利用SSLVPN技术设计政务外网的安全接入平台基于SSLVPN技术的电子政务外网安全接入平台架构设 计如图2所示。安全接入模块主要实现身份认证、权限控制、传输加密功 能;身份认证实现设备的接入认证和用户的接入认证功能;权 限控制实现接入用户、接入设备的接入授权管理功能;传输加 密实现接入用户传输信息的机密性保护。141信息通信周晓琦等:基于数字证书认证的电子政务外网安全接入平台的研究与实现审计与监测模块提供安全接入平台的运行情况监测、用 户行为审计和安全接入平台设备的集中管理功能。统一认证模块为安全接入平台提供证书认证等认证服务; 防火墙、入侵检测和防病毒等安全防护设施为安全接入平台 提供安全运行保障。|曲』■竺J■畑 || |ftVMK1■入肿图2电子政务外网安全接入平台架构3 SSLVPN同步用户数字证书公钥信息的设计为了实现SSLVPN设备对用户提交的证书信息进行认 证,必须实现SSL VPN能够与证书认证系统的目录服务系统 (LDAP系统)进行通信,同步用户的证书公钥信息。设计的部 署模式如图3所示,SSL VPN与LDAP服务器通过防火墙策 略控制可以实现通信与数据传输,即SSLVPN通过访问LDAP 的数据端口,可以从目录服务器上同步相应的数字证书公钥 信息到本地设备上。图3 SSL VPN与LDAP服务器网络结构图⑴政务外网目录服务系统(LDAP系统)设计数字证书的格式是遵循X.509的国际标准,而X.509作为 目录服务标准X.500的一部分,定义了 X.500的认证框架。从 数据结构来说,LDAP目录非常适合用来存储X.509证书。公 开密钥体制决定了公钥信息属于公开信息,PKI系统必须把公 钥和证书撤销列表CRL作为用户或应用程序的属性保存在存 储库中,所有的用户和系统都可以访问这个库,LDAP目录服 务器可以很方便地为整个认证系统提供发布和查询证书的接 口,以及CRL和其它公用信息的出口。政务外网CA系统同 样是利用LDAP系统作为证书发布的载体。政务外网CA的 全部证书数据均由主目录服务器产生,通过目录服务的复制 142功能,将本省的证书数据复制到从目录服务器中,实现本省的 证书数据本地化的存储管理。基于政务外网CA设定的数字证书的命名规范,LDAP目图4 CA中心目录树结构通过从目录服务的建设模式,可以实现证书数据的本地 化管理,提高系统的稳定性,同时能够提高本地用户的访问效 率。而正是基于这种从目录服务的管理方式,可以实现SSL VPN从LDAP同步用户公钥到本地网关设备上,进行用户证 书的身份认证和授权管理。(2)SSL VPN从LDAP同步用户证书的设计SSLVPN网关直接访问LDAP服务器同步用户证书的操 作模式,较原来传统的授权管理方式在业务流程上有了很大 的改进,详见图5。图5 SSLVPN证书同步流程首先,用户申请接入电子政务外网,数字证书制作人员根 据用户信息制作数字证书,制作好的数字证书可以直接存放 在USBKEY中并交给用户;其次,SSLVPN管理员根据用户证书的C项、0项以及各 级0U项,在网关设备上可以查询到从LDAP服务器返回的 证书信息,并在树形结构的引导下批量勾选所要给予授权的 用户证书。在设计SSLVPN网关系统软件时,不但要能读取 到LDAP的树形目录,还要提供查询等功能,可以方便管理员 快速查询到相应的信息,并且该查询功能还要按照证书的信 息结构,有针对性的进行分类查询,如按组织部门(0项)、一级 组织部门(0U项)查询、证书名(CN项)查询等。为了管理方便,LDAP服务目录应该为一个清晰地、按一 定规则定义的树形结构,这样数字证书的命名规范就显得非 常重要,这就要求数字证书制作人员在制作数字证书的时候, 在定义数字证书的C项、O项以及各级OU项一定要按照实 际的业务情况,制定相应的定义规则,如按组织机构定义各级 OU项,或者按照业务系统定义各级OU项,下面是以业务部 门组织结构为命名规范的证书信息示例:机构数字证书DN:C=中国o=xx 省信息通信周晓琦等:基于数字证书认证的电子政务外网安全接入平台的研究与实现OU=YY 局OU=ZZ 处OU=XX 市 YY 局OU=XX 县 YY 局己=电子邮件CN =用户名称4电子政妙卜网安全接入平台的网络部署与应用场景SSLVPN是安全接入平台采用的主要技术手段,SSLVPN 网关设备部署于政务外网与互联网之间,承担着非常重要的 作用。为了提高用户使用的安全性,在登陆SSLVPN时,统一 使用政务外网数字证书来进行身份认证登陆。省级和地市级 用户可以分别通过访问本级的安全接入平台来访问本级的业 务系统,其网络部署拓扑如图6所示:飞赊电彌务并网务緘抽冊肿SSLVPNK、一图6电子政务外网安全接入平台的网络部暑拓扑电子政务外网用户在登陆SSLVPN平台统一使用硬证书 (USBKEY或者TF卡作为存储介质)实现数字证书认证,SSL VPN通过角色映射的机制将认证通过的用户映射到已定义好 的组(角色)上去,从而与该组的授权规则关联起来,进行授权 控制。安全接入平台的应用场景如图7所示,以某部门的一 个业务系统为例进行具体说明:YY厅的0A系统部署在政务 外网上用户需要从互联网通过SSL VPN接入政务外网安全 接入平台后访问该0A系统,用户的数字证书生成后公钥将同 步存放在LDAP服务器中,在SSL VPN上需要对应设置0A 系统的资源、角色以及用户组,按权限对用户组进行资源的授 权和角色的绑定,并且从LDAP服务器上下载该用户的证书 公钥,生成用户信息并存放在该用户组中。经过以上步骤即 可完成用户的授权和认证,用户可通过证书正常登陆系统,SSL VPN会自动同步LDAP服务器上相应的证书,即使是到期更 新后的数字证书,只要其OU项不变,更新后也不需要任何手 动操作即可完成网关上证书用户的重新生成和更新,用户可 以继续访问安全接入平台,这极大地简化了管理员的日常运 维工作,大幅度提高运维效率。1L联弭岀口文检帆 辄呼伯黄 咸养外代4图7电子政务外网安全接入平台应用场景5结语基于SSLVPN和数字证书技术的电子政务外网安全接入 平台由于用户端配置简单,使用方便,安全性较高,在用户远 程接入电子政务外网方面应用广泛,例如政府部门部署在政 务外网上的协同办公系统、电子邮件系统等,当用户外出只能 连接互联网而又需要访问其部署在政务外网上的业务系统 时,安全接入平台可以提供给用户一个方便、快捷、安全的接 入政务外网的渠道。但当证书用户数量很多的时候(例如上 万级),证书用户的授权管理工作对于统一的安全接入平台来 说就具有管理复杂的难点。因此设计按需自动同步证书用户 的LDAP公钥功能就为日常复杂的运维管理工作提供了一种 提升的途径:(1) 提高工作效率,大大节约了管理员的维护时间,将管 理员从机械繁杂的人工维护操作中脱离出来,数字证书制作 人员不需要逐个导出用户公钥,SSLVPN管理员也不需要逐 个导入用户公钥,通过査询目录服务树就可轻松实现按需同 步用户公钥,由于一个证书公钥文件较小,因此同步公钥的 速度非常快,极大地提高工作效率。作者做了一个实测比较, 一名数字证书制作人员分别釆用手动方式和通过LDAP同 步的方式下载1000张政务外网数字证书公钥至SSLVPN网 关上进行授权绑定。采用手动方式,这名SSL VPN管理员 用了 5个工作日的时间才完成,且操作出错率较高。而在 SSL VPN网关上采用精准査询的方式选择性的从LDAP目 录服务器上同样同步这1000张证书公钥至VPN网关并授 权,只用了数分钟而已,准确率为100%,工作效率提高非常 明显。(2) 随着证书数量的不断增加,LDAP目录服务的条目数 会不断增长,这样会影响到SSL VPN读取目录服务树的性能, 査询的效率也会有所下降,因此在后续的使用过程中,针对政 务外网安全接入平台的整体性能如何提升还需要进_步的研 究和改进。参考文献:[1] 关振胜.公钥基础设施PKI与认证机构CA[M].电子工业 出版社,2002.[2] 谢冬青,冷健.PKI原理与技术[M]•北京:清华大学出版社, 2004.⑶寻大勇-SSLVPN网络安全技术的应用研究[J]•通信技术, 2009.[4] 梁钧.基于SSL协议的VPN关键技术的分析与设计[D]. 昆明:云南大学,2010.[5] 李立•统一身份认证系统的设计与实现[D].成都:电子科技 大学,2012.[6] 黄勇.SSLVPN系统中身份鉴别的安全研究[D]•大连:大连 海事大学,2007.作者简介:周晓琦(1984-),女,2006年毕业于西安邮电学院计 算机科学与技术系,现为云南省电子政务网络管理中心工程 师,研究方向:信息技术与电子政务、信息安全;周洲(1978-), 男,2000年毕业于浙江大学应用电子技术专业,学士学位,现 为云南省电子政务网络骨理中心高级工程师,研究方向:信息 技术与电子政务、信息安全。143
发布者:admin,转转请注明出处:http://www.yc00.com/news/1687805254a46559.html
评论列表(0条)