1、自建CA認證系統(tǒng)實用方案一、CA認證系統(tǒng)建設的背景1.1 網(wǎng)絡身份認證風險如何認證互聯(lián)網(wǎng)業(yè)務中對方的身份，是制約信息產(chǎn)業(yè)發(fā)展的瓶頸，身份認證問題亟待解決：（圖一) 身份認證是第一道防線縱使是固若金湯的保險庫，非法分子一旦掌握了打開大門的鑰匙，保險重地將會變成了竊賊的后院。業(yè)務系統(tǒng)即使被防火墻、入侵監(jiān)測、防病毒等邊界系統(tǒng)保護，一旦入侵者冒充合法身份進入，系統(tǒng)安全蕩然無存?；谟脩裘?口令的認證方式是最常用的一種技術，也是現(xiàn)在財務系統(tǒng)使用的認證方式，無論是數(shù)據(jù)網(wǎng)中的系統(tǒng)管理、業(yè)務管理、辦公自動化系統(tǒng)還是遠程登錄，都是基于用戶名和口令的方式認證。 基于用戶名/口令的認證方式存在嚴重的安全問題，是攻擊

2、者最容易攻擊的目標： 1) 單因素的認證，安全性僅依賴于口令，口令一旦泄露，用戶即可被冒充。2) 為記憶方便，是用戶往往選擇簡單、容易被猜測的口令，如：與用戶名相同的口令、生日、單詞等。這往往成為安全系統(tǒng)最薄弱的突破口。 3) 口令一般是經(jīng)過加密后存放在口令文件中，如果口令文件被竊取，那么就可以進行離線的字典式攻擊。這也是黑客最常用的手段之一。 最近屢屢爆出的口令泄密事件，如CSDN、天涯、新浪微博、廣東省進出境管理都是身份認證方式選擇不當引起的。而弱認證帶來的經(jīng)濟損失更是觸目驚心，江蘇郝金龍利用計算機入侵揚州某銀行計算機網(wǎng)絡，修改賬戶信息，大肆竊取現(xiàn)金。黑客利用釣魚網(wǎng)站獲取網(wǎng)銀用戶賬號密碼以

3、及動態(tài)密碼， 浙江樂清市陳女士網(wǎng)銀被竊200萬元 。1.2 信息泄露風險傳輸在客戶端與Web服務器之間的敏感、機密信息和交易數(shù)據(jù)，如資金調(diào)撥、資金往來、個人賬戶信息等，這些數(shù)據(jù)都是保密的數(shù)據(jù)，一旦被競爭對手或者非法分子獲得，將會給企業(yè)財務系統(tǒng)帶來致命威脅?；ヂ?lián)網(wǎng)的開放特性使得任何跨機房傳輸?shù)男畔⒖赡鼙唤厝?，被非法用戶加以利用，給用戶和企業(yè)造成損失。目前使用最多的一些互聯(lián)網(wǎng)抓包工具如sniffer，具備初級計算機應用水平就能操作自如。萊鋼的泄密事件給企業(yè)、國家?guī)淼牧司薮髶p失，在全國范圍內(nèi)掀起了一場保密風暴。通過數(shù)據(jù)加密進行信息隱藏是行之有效的解決方法，非法分子即使能夠竊聽網(wǎng)上交易數(shù)據(jù)，但沒有破

4、解的密碼鑰匙，機密信息無法讀懂。信息泄露，尤其是用戶名+口令的認證信息泄露，將會給業(yè)務系統(tǒng)帶來致命風險：（圖二) 信息泄露示例1.3 法律和責任風險財務管理系統(tǒng)中重要單據(jù)如合同、標書、轉(zhuǎn)賬、結算、報表等傳輸中的完整性至關重要，通過開放的互聯(lián)網(wǎng)，敏感數(shù)據(jù)在傳輸過程中很可能被惡意篡改、重發(fā)，使得接收方不能得到完整的信息，網(wǎng)上交易時經(jīng)常會由于對發(fā)送的信息進行抵賴而引起不必要的糾紛和問題，給交易的雙方帶來巨大的影響和損失，網(wǎng)上交互（交易）行為一旦被進行交易的一方所否認，另一方?jīng)]有已簽名的記錄來作為仲裁的依據(jù)（無論是司法取證還是內(nèi)部管理追溯或者審計），法律和責任風險無法控制。電子簽名法明確定義了數(shù)字簽名

5、具有和手寫簽名同等的法律效力，因此在財務管理系統(tǒng)中對關鍵表單進行數(shù)字簽名是保護企業(yè)合法權利的有效辦法。下圖為互聯(lián)網(wǎng)交易中，消息篡改示例：（圖三) 信息篡改示例二、CA認證系統(tǒng)建設的必要性2.1國家法規(guī)政策要求必須加強身份認證管理商用密碼管理條例中第十四條規(guī)定：任何單位或者個人只能使用經(jīng)國家密碼管理機構認可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室聯(lián)合發(fā)布了信息安全等級保護管理辦法，以及一系列針對計算機信息系統(tǒng)進行安全等級保護的要求，對于身份認證和通訊加密提出了明確要求。電子簽名法第4，5，6，13條對于合法簽名的定義，要求

6、必須使用基于PKI/CA的強身份認證管理。（圖四) 符合電子簽名法2.2企業(yè)內(nèi)控必須加強身份認證管理隨著薩班斯法案的推廣和實施，目前海內(nèi)外公司都在進行一場IT內(nèi)控的變革，而無論是COSO還是Cobit，以及安全指南的ISO17799都無一例外地將身份識別定位為首要解決的關鍵問題。有效的身份識別方式才能夠為追溯行為和責任體系，審計證據(jù)鏈提供最有效和最有力的支撐。 2.3整體安全需要加強身份認證管理 根據(jù)安全的木桶理論，身份認證作為業(yè)務系統(tǒng)安全的基石，采用強身份認證是保證整體安全的前提。采用密碼理論構建的證書認證體系，其安全性等同于破解“大整數(shù)分解”、“離散對數(shù)”等數(shù)學難題，是可證安全的，并被廣泛

7、采用。三、CA認證系統(tǒng)集成方案 CA安全認證平臺基于 PKI/CA 技術能夠解決身份假冒問題、數(shù)據(jù)泄露問題、 信息篡改問題、安全審計問題。平臺中的 CA 認證系統(tǒng)采用自建模式，符合國家密碼管 理局制定的證書認證系統(tǒng)密碼及其相關安全技術規(guī)范，企業(yè)自我維護和管理、發(fā)放數(shù)字證書，通過電子簽名中間件與 用戶財務系統(tǒng)集成實現(xiàn)基于 U 盾（密碼令牌）的強身份認證、防止公網(wǎng)竊聽、保障信息不被非法修改、實現(xiàn)業(yè)務審計，通過數(shù)字證書這種安全技術來打造全新的誠信體系，全方位保證企業(yè)的信息安全。3.1 CA認證系統(tǒng)介紹CA 認證系統(tǒng)是平臺的核心部件，用于向平臺應用提供數(shù)字證書管理支持，是網(wǎng)上信任管理的權威機關，CA安

8、全認證系統(tǒng)采用瀏覽器/服務器（B/S）模式，系統(tǒng)管理員通過瀏覽器可以遠程進行用戶證書的申請、更新、注銷、下載等操作，部署靈活，操作簡單。（圖五) CA系統(tǒng)結構圖3.2 功能說明CA系統(tǒng)具有高強度的自身安全管理功能，提供用戶數(shù)字證書、密鑰的 安全管理，通過U盾存放用戶數(shù)字證書，具體功能包括：(1)證書和證書黑名單管理：提供基于U盾的用戶數(shù)字證書申請、審核、下載、更新、注銷、恢復等管理，定時簽發(fā)或者手工簽發(fā)證書黑名單，并進行發(fā)布，證書黑名單中的數(shù)字證書將不再受信任。(2)用戶密鑰管理：用戶數(shù)字證書中的密鑰由密鑰管理模塊生成，該模塊提供非對 稱密鑰對的預生成、用戶密鑰對分發(fā)、密鑰對恢復、用戶密鑰取證

9、恢復等管理功能。(3)證書狀態(tài)在線查詢功能：提供用戶證書狀態(tài)的在線實時查詢功能，已經(jīng)注銷的 數(shù)字證書將不能在應用系統(tǒng)中使用。(4)密碼服務：提供業(yè)務操作的密碼運算功能，包括數(shù)據(jù)加密/解密、消息簽名/驗 證，從業(yè)務層面保護機密信息的安全性。(5)靈活的證書服務：產(chǎn)品功能豐富，支持用戶身份的集中管理、分布式管理，所有證書狀態(tài)改變，都通過電子郵件進行通知。(6)遠程設備證書管理：支持國內(nèi)外主流網(wǎng)絡設備的SCEP遠程證書申請，包括路由器、網(wǎng)關、VPN、防火墻等。(7)移動應用支持：采用硬件綁定的軟證書，充分保障移動應用的安全性，支持安卓操作系統(tǒng)、iOS系統(tǒng)，支持多瀏覽器如IE系統(tǒng)、Firefox、So

10、fari、Chrome等。(8)安全審計：提供關鍵業(yè)務操作的審計功能，對業(yè)務操作進行簽名，并采用日志完整性保護技術，確保審計數(shù)據(jù)庫中的操作信息一經(jīng)刪除，能夠及時提醒，并追溯到具體的責任人。3.3 系統(tǒng)特性 強認證：用戶通過硬件U 盾（或USB key）認證登錄，基于證書的雙因子認證徹底解決登錄的安全問題。 強密碼：基于密碼硬件提供高強度的密碼算法進行數(shù)據(jù)加密傳輸，防止信息泄露。 強審計：自建 CA 系統(tǒng)具有電子簽名法的法律效力，保障數(shù)據(jù)不被非法篡改，信息和 操作可溯源，責任落實到操作人。 強自保：安全認證系統(tǒng)自身采用多級管理體系，使用密碼硬件進行密鑰管理，充分保障系統(tǒng)自身的安全性。 強擴展：提

11、供關于集團企業(yè)信息化安全的整體解決方案，使用同一個U 盾 可以擴展到多種應用系統(tǒng)。 高效率：提供局域網(wǎng)內(nèi)的在線證書實時驗證服務，系統(tǒng)運行效率高并且穩(wěn)定可靠。自建CA認證系統(tǒng)模式，通過在財務系統(tǒng)服務器上部署CA認證系統(tǒng)的集成接口，配置 財務系統(tǒng) 驗證模式，可以實現(xiàn)CA認證系統(tǒng)與財務系統(tǒng)系統(tǒng)的應用集成。與財務系統(tǒng)系統(tǒng)同步升級，用戶自我維護和管理數(shù)字證書；支持多種證書應用，實現(xiàn)一Key多用，系統(tǒng)部署簡單、配置靈活；系統(tǒng)應用廣泛，運行穩(wěn)定、性能優(yōu)越，為客戶安全使用財務系統(tǒng)系統(tǒng)保駕護航。3.4 CA集成部署CA 系統(tǒng)部署：在財務系統(tǒng)服務器的同一個機房部署一套功能完善的安全認證系統(tǒng)，用戶可以自行發(fā)放、管理

12、數(shù)字證書，實現(xiàn)業(yè)務系統(tǒng)的用戶身份認證、業(yè)務數(shù)據(jù)防篡改、信息加密傳輸、數(shù)據(jù)庫敏感數(shù)據(jù)加密等安全功能。 CA認證系統(tǒng)：與財務系統(tǒng)服務器部署在同一個機房，硬件可選用普通PC服務器，支持mySql等免費數(shù)據(jù)庫，使用PCI-E密碼卡提供CA密鑰保護和高速密碼運算。 簽名中間件：以Java包形式部署在財務系統(tǒng)服務器，客戶端中間件自動下載。 用戶存儲介質(zhì)：以Usb Key的形式為用戶提供證書管理支持。 SSL VPN網(wǎng)關：以獨立工控機硬件的形式部署在內(nèi)外網(wǎng)的接入口，為外網(wǎng)用戶使用財務系統(tǒng)系統(tǒng)提供安全接入，提供SSL加密通道。（圖六) CA部署方式3.5 財務系統(tǒng)集成流程CA系統(tǒng)頒發(fā)的數(shù)字證書通過U盾發(fā)給財務

13、系統(tǒng)用戶，實現(xiàn)基于數(shù)字證書的登錄管理和業(yè)務簽名/驗簽、業(yè)務審計等功能。（圖七) CA與財務系統(tǒng)結合的處理流程（圖八) 財務系統(tǒng)集成CA證書應用總體流程四、CA項目實施方案4.1項目管理為了保證CA項目順利實施，成立分工明確又能協(xié)調(diào)配合的項目組，采用項目經(jīng)理負責制，委派項目經(jīng)理負責項目中雙方工作的協(xié)調(diào)、安排、監(jiān)察等各種項目管理工作，確保項目質(zhì)量并達到預期目標。 4.2方案制定項目經(jīng)理協(xié)同財務系統(tǒng)工程師與客戶進行交流，根據(jù)項目合同要求，按照實施計劃和實施方案：(1) 制定實施計劃。(2) 制定實施方案。(3) 進行風險管理。(4) 定期溝通項目進展情況.4.3環(huán)境準備 （1）硬件準備序號硬件名稱簡

14、介配置情況備注1CA系統(tǒng)服務器提供用戶數(shù)字證書申請、審核、下載、更新、注銷等管理功能，是網(wǎng)上身份管理的權威機構。PC服務器，1G內(nèi)存、CPU 1.2G Hz以上、320G硬盤以上、至少一個PCI-E插槽。1臺2加密卡為安全認證系統(tǒng)提供密鑰管理、密碼運算功能。 安裝在CA系統(tǒng)服務器，提供RSA、SM2、SM1、SM3算法支持。1塊3U盾提供用戶證書存儲功能，登錄系統(tǒng)時需要提供U盾，并驗證口令。提供RSA、SM2、SM1、SM3算法支持，支持USB 2.0接口根據(jù)用戶數(shù)確定（表一) 系統(tǒng)硬件配置 （2）軟件準備序號軟件名稱簡介配置情況備注1CA安全認證系統(tǒng)提供用戶數(shù)字證書申請、審核、下載、更新、注

15、銷等管理功能，是網(wǎng)上身份管理的權威機構。安裝在CA系統(tǒng)服務器上，windows 2003或者Linux環(huán)境，連接Mysql數(shù)據(jù)庫2電子簽名中間件接口開發(fā)包，與財務管理系統(tǒng)集成完成身份認證、數(shù)據(jù)加密、數(shù)字簽名等功能部署在業(yè)務服務器、OA服務器、物流系統(tǒng)、電子商務上面。（表二) 軟件配置4.4安裝調(diào)試(1) 環(huán)境準備支持，協(xié)助客戶準備系統(tǒng)實施的軟件和硬件環(huán)境。(2) 安裝操作系統(tǒng)、安裝數(shù)據(jù)庫。(3) CA系統(tǒng)安裝，并初始化。(4) 建立管理體系，設立管理員、操作員、審計員。(5) 安裝接口和服務器證書。(6) 配置CA Server。(7) 簽發(fā)測試證書，完成登錄、簽名/驗簽業(yè)務的測試。(8) 完

16、成證書應用的集成部署。4.5管理崗位設置CA認證系統(tǒng)基于RBAC權限模型，進一步提高了系統(tǒng)的安全性。分成證書操作員角色，證書審核員角色，密鑰管理員角色，系統(tǒng)管理員角色四個角色。企業(yè)可以根據(jù)自己的實際情況，和對安全的要求等級，選擇一個人擔任一個角色或者一個人擔任多個角色?？茖W嚴密的權限管理方案，如下圖：崗位名稱崗位職責設置流程超級管理員 按照公司的組織架構，密碼安全管理策略對系統(tǒng)進行初始化。 管理業(yè)務管理員、錄入操作員、審核操作員。CA初始化時生成審計管理員 日志管理。 業(yè)務審計、歸檔。 業(yè)務統(tǒng)計。CA初始化時生成業(yè)務管理員 系統(tǒng)配置管理。 管理CRL，子CA建立。 證書模板管理。超級管理員制作

17、業(yè)務管理員證書錄入操作員 負責對證書的申請、下載、廢除等操作；并維護證書與財務系統(tǒng)用戶標識PK的綁定關系。 收到財務系統(tǒng)管理員的新增證書請求后，在CA系統(tǒng)中填寫申請單，提交給審核員。 簽發(fā)證書至證書介質(zhì)（USB Key）中。 在證書與用戶綁定系統(tǒng)中將證書（USB Key）與財務系統(tǒng)用戶綁定起來。 將證書（USB Key）交付給財務系統(tǒng)用戶，并在交付時雙方需填寫證書移交單。超級管理員制作錄入操作員證書審核操作員 對操作員提交的證書申請進行審核，檢查核實信息的真實性。超級管理員制作審核操作員證書財務系統(tǒng)用戶 負責管理自己的證書（USB Key）； 從系統(tǒng)管理員處接收證書（USB Key），并填寫證

18、書移交單； 修改證書（USB Key）初始密碼，并通知財務系統(tǒng)管理員開通自己的財務系統(tǒng)用戶權限。錄入操作員完成信息錄入，審核員審核通過后，自己下載證書。（表三) 崗位設置4.6證書管理流程 用戶申請：用戶或操作員登陸證書管理系統(tǒng)，填寫用戶信息，提交申請CA證書的申請單。 部門領導審核：部門領導登陸系統(tǒng)，審核用戶的申請單。 審核員審核：審核員認真核對證書申請單的信息，確認無誤后，審批通過。反之不通過。 操作員制作證書：操作員根據(jù)審核員審批通過的證書申請單，將證書信息下載到一個新的USB-KEY中，一張新的證書就制作好了。 操作員移交證書：證書管理員將證書（USB Key）及證書有效期移交給給最終用戶，并告知證書使用注意事項（證書需隨身攜帶，密碼需修改且建議不與財務系統(tǒng)密碼一致），雙方填寫證書移交表。 用戶使用證書：最終用戶修改證書（USB Key）密碼。 證書更新：操作員發(fā)現(xiàn)管轄范圍內(nèi)的證書即將到期，操作員向用戶發(fā)起延期申請，對證書進行延期處理。 證書廢除：最終用戶發(fā)現(xiàn)證書丟失后，需立即向證書操作員報失，以便立即對證書做廢除處理；并通知財務系統(tǒng)管理員關閉該財務系統(tǒng)用戶權限。證書分類如下：證書分類證書名稱生成流程備注系統(tǒng)證書 CA根證書初始化時生成。根密鑰備份。管理員證書 CA超級管理員證書。 審計管理員證書。 業(yè)務管理員證書。 錄入操作員證書。 審核操作員證書。見