用友NC-天威诚信CA技术方案
2010-06-22 12:55
127 查看
用友NC-天威诚信CA技术方案
目录
1 前言... 1
1.1 天威诚信携手用友NC,开辟安全可靠的ERP之路... 1
1.2 天威诚信公司... 1
2 数字身份认证体系... 3
2.1 第一道防线... 3
2.2 身份认证方式... 3
2.2.1 认证方式选择... 4
2.2.2 数字证书... 5
2.2.3 PKI/CA.. 6
3 ERP安全概述... 7
4 ERP安全整合解决方案... 9
4.1 可信体系框架... 9
4.2 整合身份认证技术... 9
4.2.1 集成安全架构... 9
4.2.2 登录认证... 11
4.2.3 电子签名... 13
4.2.4 身份认证中间件... 14
4.3 整合ERP应用... 16
4.3.1 NC集团资金管理安全解决方案... 16
4.3.2 NC资金登录以及签名演示... 18
5 CA建设... 20
5.1 建设模式... 20
5.2 认证体系设计... 22
5.3 iTrusCA系统... 24
5.3.1 自建电子认证服务CA特点... 24
5.3.2 托管电子认证服务CA特点... 25
5.3.3 一体化扩展方案... 26
5.4 证书存储介质... 27
5.5 证书工作流程设计... 27
5.6 策略要求... 28
1 前言 1.1 天威诚信携手用友NC,开辟安全可靠的ERP之路 用友软件是是中国最大的管理软件、ERP软件、财务软件、集团管理软件供应商。用友NC是用友公司面向集团型企业和高成长型企业推出的高端ERP产品,涵盖从集中财务管理、供应链管理、等全面应用,全面支持企业各项经营,是集团企业协同电子商务的有效手段。
用友NC与天威数字PKI/CA产品和服务的整合方案,是一次强强联合。用友NC核心管理理念是“协同商务、集中管理”,其中“协同商务”是致力于集团企业各组织间以及企业员工之间、上下游供应商、伙伴、客户等在信息共享的基础上的协同工作。而天威诚信作为专业的电子认证服务运营商和CA产品提供商,实现了用友NC用户多方安全协同工作,保障信息传递的机密性、保障电子化信息交互的层面上双方(多方)行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力,得到《中华人民共和国电子签名法》法律的保障。
目前,用友NC系统已经成功支持天威诚信CA产品和服务,NC系统只需简单的部署和配置,就可以实现基于数字证书的各种安全功能,保障系统高效、成功地实施。迄今为止,天威诚信PKI/CA安全解决方案已在众多大型集团企业的资金管理系统中成功应用。天威诚信不但以高可靠性的产品及优质的技术支持能力成为用友集团CA认证合作伙伴,近期,用友集团在众多产品提供商内选择了天威诚信CA产品构建了用友集团内部CA认证系统,为用友50多家分子公司,上千名员工提供身份认证、财务数据申报、审批等安全应用,为亚洲本土最大的软件提供商-用友集团内网系统的安全保驾护航。
1.2 天威诚信公司 天威诚信数字认证中心是由北京天威诚信电子商务服务有限公司运营管理的全国性CA认证中心,是信息产业部批准的商业PKI/CA试点企业,也是《中华人民共和国电子签名法》颁布后,首批获得国家信产部颁发的电子认证服务许可证(ECP11010805003)机构。
位于北京的天威诚信数据处理中心作为数字证书的签发管理总中心、客户服务和响应中心,严格遵循ISO/IEC17799-2000信息安全管理体系的规定,配备了专业可靠的运营管理团队,对外提供中国信任体系(CTN,China Trust Network)、客户私有信任体系等多种信任服务,同时还为跨国机构或大型公司提供国际认可的全球信任体系服务,使用户轻松拥有全球认可的数字虚拟身份。
天威诚信拥有多年的行业实践经验、完整的产品解决方案、专业可靠的运营管理团队,能够为客户提供完善的规划咨询,帮助客户构建完整的电子认证体系,通过电子签名、加密技术实现客户信息系统间的协作和集成,有效提升了系统的安全等级,保障了数据的不可抵赖。
2 数字身份认证体系 2.1 第一道防线 当前信息安全技术的应用就是满足合法用户的需求以及需求保护信息资产之间取得平衡。为此,应用系统必须区分用户和非用户,并向不同的用户提供合适的服务。身份和访问管理就是用来满足这些需要的。
身份和访问管理是在组织机构内保护信息访问的第一道防线。而诸如防火墙和其他营造安全周边机制是防范组织机构以外的威胁的第一道防线。
身份和访问管理由两部分组成。身份管理保证人员或系统进程是拥有权力的人员在使用,访问控制机制确认人员或者系统进程已经可靠识别如何利用资源。
随着萨班斯法案的推广和实施,目前海内外公司都在进行一场IT内控的变革,而无论是COSO还是Cobit,以及安全指南的ISO17799都无一例外地将身份识别定位为首要解决的关键问题。有效的身份识别方式才能够为追溯行为和责任体系,审计证据链提供最有效和最有力的支撑。
这种过程的价值在于它能够:
1) 允许有正当理由需要访问的人员访问;
2) 通过限制信息资产外露来降低风险;
3) 建立监控机制,针对事件追溯具体用户;
4) 高效地管理类似的用户群;
5) 实现内控符合风险管理的要求。
因而建立更符合法律要求和审计的身份标识方法是每一个优秀企业完善内控,提高企业核心竞争力的必要前提。
2.2 身份认证方式 身份认证是实现网络安全的重要机制之一,是安全系统中的第一道关卡,是赋予用户访问权限的依据。
用户在访问受保护的系统之前,首先经过身份认证系统识别身份,然后访问控制器根据用户的身份和授权,决定用户是否能够访问某个资源。在开始访问后,审计系统根据审计设置记录用户的请求和行为,同时***检测系统实时或非实时地检测是否有***行为。访问控制和审计系统都要依赖于身份认证系统的提供的信息――用户的身份。可见身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
大致上来讲,身份认证可分为用户与主机间的认证、主机与主机之间的认证。本章主要涉及用户与主机间的身份认证,主机与主机之间的认证在某种程度上可以转换成用户与主机间的身份认证。
用户与主机之间的认证可以基于如下一个或几个因素:
? 用户所知道的东西,如口令;
? 用户所拥有的东西,如智能卡、动态口令发生器等;
? 用户所具有的生物特征,如指纹、声纹、视网膜等。
在此基础上,衍生出了众多身份认证方式。在企业统一的身份认证框架中,集中身份认证系统需要对目前已有的身份认证方式,及未来可能会有的身份认证方式均提供支持,方便管理员根据需要进行选择。
2.2.1 认证方式选择 在选择身份认证方式时,需要考虑如下原则:
? 足够安全。即认证方式不容易被模仿(包括认证凭证的复制、认证过程的重放)或***(包括DOS***)。
? 成本适当。安全和成本常常成反比,但是对于企业来说,既不能为了降低成本而采用不安全的认证方式,也不能为了片面追求安全而不顾成本,而是要针对不同价值的系统以及其中账号权限的不同选择不同的认证手段。
? 使用方便。所有东西都是给人用的,如果因为使用不便而招致反感,则所有的安全措施都形同虚设。
? 提供开放的API接口,便于将认证方式集成到当前以及未来的应用框架中。
根据这些原则,我们认为“数字证书”的认证方式PKI/CA能够满足当前以及未来的需求。
2.2.2 数字证书 数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据:
? 身份验证机构的数字签名可以确保证书信息的真实性;
? 用户公钥信息可以保证数字信息传输的完整性;
? 用户的数字签名可以保证数字信息的不可否认性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
? 保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
? 保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
目前在网上传输信息时,普遍使用X.509 V3格式的数字证书。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME等。随着《电子签名法》的颁布实施,基于PKI数字证书的数字签名也将发挥越来越重要的作用。
数字证书可以存放在计算机的硬盘、随身软盘、IC卡或CUP卡中。
2.2.3 PKI/CA PKI(Public Key Infrastructure,公钥基础设施)技术,它使用成熟的公开密钥机制,综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务,通过建设CA(Certification Authority,证书认证中心)认证中心为用户签发数字证书,用户在业务系统中使用证书,完成用户的身份认证、访问控制以及信息传输的机密性、完整性和抗抵赖性。
为什么说PKI是一种“基础设施”?原因很简单,因为它具备了基础设施的主要特征。让我们将PKI在网络信息空间的地位与供电基础设施在人们生活中的地位进行类比:供电系统通过伸到用户端的标准插座为用户提供能源;PKI通过延伸到用户本地的接口为各种应用提供安全服务,包括身份认证、识别、数字签名、加密等。一方面,作为基础设施,PKI的主要目标是对应用提供支撑,它与使用PKI的应用系统是分离的,它所支撑的对象既包括 “旧”的应用也包括“新”的应用,因此具有“公用”的特性;另一方面。离开PKI应用系统,PKI本身没有任何用处。类似地,供电系统基础设施离开电器设备就不能发挥作用,公路基础设施离开了汽车也毫无用处。正是这种基础设施的特征使得PKI系统设计和开发的效率大大提高,因为PKI系统的设计、开发、生产及管理都可以独立地进行,不需要考虑应用的特殊性。
PKI技术已经被广泛应用于电子世界,被证明是基于互联网的电子商务、政务等应用的最佳安全解决方案。
体系框架
PKI/CA负责生成、管理、存储、分发和吊销公钥证书,完整的PKI/CA体系不仅仅指软硬件系统,还应该是软件、硬件、人员、策略、流程和法律协议等的总和,完整的PKI/CA体系如下图所示:
PKI体系框架图
3 ERP安全概述 用友ERP涉及的系统和设备决定了身份标识会成为IT系统安全运维和治理的重点关注对象。
? 基于用户名/口令的认证方式
基于用户名/口令的认证方式是最常用的一种技术,也是现在用友ERP普遍使用的认证方式,无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录,都是基于用户名和口令的方式认证。
基于用户名/口令的认证方式存在严重的安全问题,是***者最容易***的目标:
1) 它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。
2) 为记忆方便,是用户往往选择简单、容易被猜测的口令,如:与用户名相同的口令、生日、单词等。这往往成为安全系统最薄弱的突破口。
3) 口令一般是经过加密后存放在口令文件中,如果口令文件被窃取,那么就可以进行离线的字典式***。这也是***最常用的手段之一。
关于网站安全的调查结果表明:超过80%的安全***是由于用户选用了拙劣的口令而导致的。由此可以推断,大部分的***可以通过选择好的口令来阻止。
? 应用系统对关键操作的控制
关键操作即对数据交互的安全操作,比如在ERP系统中关键文档的提交和发布,报帐系统中重要信息的传输,财务系统中涉及资金的审批,电子保单中的保单确认等等。主要涉及了三方面的安全风险:
1) 信息的机密性:传输在客户端与Web服务器之间的敏感、机密信息和交易数据,如客户的私隐信息等,这些数据都是保密的数据。而通过开放的互联网,有可能在传输过程中被截取,被非法用户加以利用,给用户和企业造成损失。
2) 信息的完整性:在保证信息机密性的同时,还需要保证敏感数据的完整传输。通过开放的互联网,敏感数据在传输过程中很可能被恶意篡改,使得接收方不能得到完整的信息。
3) 信息的不可抵赖性:是指发送信息的一方不能对自己的发送的信息进行抵赖,不能否认自己发送信息的行为。由于信息的传输是通过开放的互联网,经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题,给交易的双方带来巨大的影响和损失。网上交互(交易)行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据(无论是司法取证还是内部管理追溯或者审计)。
? 身份及资产的管理
无论内部员工还是外部用户,最大的风险就是信息环境中人与用户的关联性。当前信息安全的发展不仅要求虚拟身份的标识符合应用系统要求,而且强调标识方式符合真实的社会实体要求,即虚拟身份与真实身份唯一对应。对设备等实物资产同样,无法将真实身份按角色的分配给用户会导致整个管理的混乱,信息孤岛会导致IT的目标与企业战略和股东利益的不一致。
天威诚信为用友ERP提供的解决方案,能够完全解决财务、资金、供应链、客户关系管理、决策支撑、人力资源等丰富系统中的用户认证、数据加密、信息不可否认性等方面存在的安全问题。
4 ERP安全整合解决方案 4.1 可信体系框架 在用友ERP的应用平台中,天威诚信CA中心负责用户身份系统的权威数字证书管理,作为系统的基础支撑模块来完成整个可信平台的建设。
用友ERP系统中身份认证系统的位置
4.2 整合身份认证技术 4.2.1 集成安全架构 在ERP中涉及身份认证以及数字证书应用的结构模块主要有:
认证结构
? 个人信任代理(PTA)
个人信任代理(PTA)是一个可以应用于客户端和服务器端的软件包,完成对Windows平台证书操作的ActiveX控件,包括证书处理接口、加密/解密处理接口和数字签名处理接口。利用PTA提供的接口:
使用证书处理接口,可以设置系统证书列表的过滤条件,显示证书的各种属性;
使用加密/解密接口可以产生随机的对称密钥对文件进行加密,以及使用输入的密钥对文件进行解密;
在进行数字签名处理时,对于客户端应用,ActiveX控件由用户访问相关网页时下载到客户端浏览器中,实现使用本地的证书(私钥)对文件进行数字签名,以及对签名进行验证。对于服务器端应用,ActiveX控件可以安装在服务器上,实现对数字签名的验证,以及利用服务器上配置的证书,进行数字签名计算。
? 证书解析模块(CPM)
证书解析模块是一系列平台下的动态链接库,用于解析DER或PEM编码的X.509数字证书,将证书中的信息,包括用户名、证书有效期和公钥等信息分解为字符串。
? 证书验证模块(CVM)
证书验证模块以插件、动态库或ActiveX控件方式提供,实现对证书的验证,证书验证可选择使用CRL或OCSP验证有效性。通过证书验证,可以保证证书的真实性,保证使用该证书进行的操作的有效性和不可抵赖性。
? 数据加/解密模块(EDM)
数据加/解密模块是一系列平台下的动态链接库或控件,可以应用于客户端和服务器端,实现对传输数据的加密,对加密数据的解密。
? 数据签名/验证模块(SVM)
数据签名及验证模块是一系列平台下的动态链接库或控件,可以应用于客户端和服务器端,实现对传输数据的数字签名,和对数字签名及其证书进行验证。证书的验证可使用CRL或OCSP来进行有效性验证。
? 应用服务器/Web服务器
运行应用服务本身的服务器和面向用户的服务器,这里即用友ERP系统。
? 数据库服务器
应用系统本身采用的各种类型数据结构服务器。比如Oracle数据库。
? 身份认证中间件(CA middleware)
负责证书生命周期的管理,包括证书库的查询,验证信息,向应用系统返回验证确认信息等。
4.2.2 登录认证 用友ERP的解决方案涵盖了广泛的业务应用,而一体化的概念能够贯穿实现,首先就必须解决多个应用系统多个用户多个权限的整合,技术上我们可以通过单点登录等技术来实现,由于用户名和密码本身的脆弱性(不便于管理且加密程度不高),因此我们发现最根本的安全问题在于:
如何将用户与登录,合法安全地结合起来?
多因素认证是目前最严密的方式,而证书最符合法律法规对身份标识的要求,因此传统的用户名密码结合证书是身份认证的最佳实践——知道密码、拥有证书。
基于数字证书的登录流程(SSL通道)
整个ERP系统将集成基于数字证书的安全功能,用户安全访问系统的流程为:
1) 用户将保存有数字证书的USB Key插入计算机或是使用在本地保存的数字证书,启动客户端程序(基于B/S的IE或者基于C/S的客户端),要求用户选择提交用户证书;
2) 用户选择保存在USB Key中的证书或是使用在本地保存的数字证书进行提交,并输入PIN码;
3) 需要先通过SSL ***完成双向身份认证;认证通过后,用户浏览器和SSL ***之间建立SSL连接,用户浏览器和服务器之间的数据传输通过SSL通道加密传输;
4) ERP系统验证用户提交的证书,验证用户的真实身份(事前定义验证解析的信息,建议采用唯一标识的证书序列号,也可以用其他信息),并查询系统用户数据库(提前录入),判断用户是否拥有系统的权限;
5) 如果验证和查询成功,让用户输入用户名和口令,进行普通用户名口令方式相同的登录;如果验证和查询失败,用户将无法进行登录。
在用户使用数字证书的方式登录后,在连接超时时,如用户登录后在一段时间内没有进行任何活动时,用户必须再次使用数字证书进行登录,而不能直接通过普通的用户名口令登录方式进行登录。
采用数字证书作为补充登录方式的优势:
? 机密性
采用数字证书替代传统的用户名、密码登录方式,数字证书的机密性远远高于普通密码(1024位),不需要频繁更换,而由管理中心统一发布、吊销、更新证书。
? 可用性
通过存储在移动介质(USB Key)私钥来生成数字证书,用户只需要输入PIN码(USB Key密码)即可登录系统(最佳实践结合SSO),简单灵活。
? 合法性
最重要的是数字证书符合《电子签名法》中对电子证据的定义和要求,对结合数字证书的用户,其身份和权利都通过证书体现。由于数字证书的惟一性,系统管理中心可以准确地监督和追溯各种合法以及非法用户的行为。
因此在技术上由证书本身支持的国际标准和格式来保障;同时可以由国家法律以及行业的政策支持;并且符合目前企业对内控、治理的基本要求;因而通过数字证书能够解决在登录应用中出现的安全风险。
4.2.3 电子签名 电子签名是法律赋予可以追溯的行为证据,是取证、审计的重要依据。
用户使用数字证书,登录到ERP系统后,可以向ERP系统提交电子订单(各种单据、文件等),进行电子订单交互,如下图所示,包括下列步骤:
电子订单安全交互流程图
用户登录ERP系统后,完成交互请求,之后向服务器提交订单确认请求:
1) 用户和ERP平台(Web服务器或者应用服务器)之间完成双向身份认证,完成对用户的访问控制流程。
2) 用户在线的填写电子订单,向ERP系统进行提交,点击提交后,系统调用PTA(个人信任代理)模块,使用用户的个人身份证书,对提交的电子订单进行数字签名,签名时是使用个人的私钥,需要用户输入USB Key的保护口令。
3) 用户输入USB Key的保护口令,系统调用PTA模块,使用企业证书私钥对电子订单进行数字签名,并将电子订单及其签名经过SSL安全通道,传输给电子订单系统Web服务器。在进行安全传输时,是使用SSL会话产生的128位的会话密钥对电子订单及其数字签名进行加密。
4) ERP系统得到用户的电子订单及其数字签名后,调用SVM(数字签名/验证模块),对电子订单的数字签名进行验证,以证实电子订单的确是交易用户提交的,并确定用户的真实身份,不能对提交的电子订单进行抵赖。并且,验证电子订单在传输的过程中是没有被别人更改过的,是完整的和有效的。
5) 数字签名验证通过后,ERP将用户提交的电子订单及其数字签名保存到应用系统数据库中或者天威诚信的CA中间件中,作为将来安全审计的依据;
6) 然后,将电子订单传给应用服务器,进行与业务相关的处理,并将处理结果保存到数据库中。
7) 应用服务器处理完成后,会产生一个确认回执,通过ERP服务器返回给各用户。在返回之前,需要根据用户信息返回确认回执。此时,ERP服务器会调用SVM(数据签名/验证模块)对确认回执进行数字签名。
8) ERP服务器使用对应的证书的私钥对确认回执进行数字签名后,将确认回执及其数字签名返回给用户客户端(浏览器)。
9) 用户可以对返回的确认回执的数字签名进行验证,调用PTA(个人信任代理)模块,验证确认回执的数字签名的真实性、有效性和完整性,来验证确认回执的确是由ERP系统返回的,系统不能对确认回执进行抵赖,并且是没有被别人窜改过的,是完整的。
10) 用户对确认回执验证通过后,电子订单的提交和确认完成,整个电子订单的安全交互流程结束。
4.2.4 身份认证中间件 天威诚信身份认证应用系统解决方案总的来说是一个配置的系统,功能的实现主要是通过配置来实现的,对用户的业务系统的改动极少,实现了与业务系统的松散耦合,将对用户业务系统的影响降到了最低。原理图如图一所示:
身份认证应用系统(电子签名)解决方案原理图
当客户端进行正常业务需要PKI服务时,客户端脚本会首先访问PKI应用服务器的WEB应用,将业务的PKI请求提交给PKI应用服务器,然后将PKI服务的执行结果返回给客户端,并继续正常的业务流程将数据提交给业务系统。
业务系统的服务器接收到客户端提交的交易数据后,部署在业务系统服务器上的服务器插件会截获提交的数据,将与客户端的PKI服务对应的PKI服务请求提交给PKI应用服务器,PKI应用服务器将PKI服务的执行结果返回给业务系统,如果执行成功则业务流程将继续,否则将中断当前的业务流程。
PKI应用服务器在执行完PKI服务后将交易证据信息保存到证据数据库,方便今后取证。证据系统管理员可以通过证据管理与配置站点管理交易证据信息和相关的配置信息。
这样的网络结构可以根据实际情况灵活的部署各个功能模块,实现了与业务系统的松散耦合,将对业务系统的影响降到了最低。
特点
天威诚信身份认证应用服务(中间件)的特点:
? 缩短应用开发周期
天威诚信中间件完成大部分与数字证书相关的操作,对于与ERP集成的工作侧重于开放相应的数据接口,减少了项目执行的开发周期。
? 减少项目开发风险
身份认证中间件负责数字证书的应用和管理,对ERP应用系统开发主要是签名验证功能的实现,开发周期短,风险小。
? 应用系统质量及可维护性
相对独立运行的中间件可以独立的进行质量管理和控制,并与ERP的安全等级相符。
? 透明地同其他应用程序交互
与ERP应用服务进行数字证书相关操作对于客户端是透明的。
? 与运行平台提供的网络通信服务无关
无论是.net还是Java的平台,都能够实现对天威诚信中间件的数据调用,通讯内容和方式也由中间件和应用服务器协商制定,低耦合高内聚。
? 具有良好的可靠性、可用性和可扩展性
综上,天威诚信的身份认证中间件经过技术架构、市场应用的检验,能够无缝扩展并且配合ERP构建安全的数字证书应用服务。
4.3 整合ERP应用 4.3.1 NC集团资金管理安全解决方案 根据NC集团资金管理的关键目标和解决的关键问题,我们天威诚信总结出以下二点主要的安全问题:
1) NC要求解决:如何建立集团企业的资金监控系统,掌握所有成员单位资金的流量、流向和存量;
iTrus数字认证能够解决:追溯到所有资金和人员的关联及操作。
2) NC要求解决:如何加强资金结算管理,挖掘集团沉淀资金,降低资金使用成本;
iTrus数字认证能够解决:完全实现无纸化电子文档的安全传输和保存,实现成本效益最优化。
在三算合一的应用模式下(即“资金预算平衡资金需求、资金结算处理日常业务、财务核算反映业务结果”),通过把资金计划、资金结算、资金调拨、财务核算的有效结合,实现了资金全面监控。通过把结算单位的日常业务处理和集团总部资金业务处理有效结合,实现了全集团资金管理业务流程的一体化。
数字证书作为“三算合一”的核心,在整个业务流程中实现了应用数据的安全:
数字证书在资金流程中的应用
即:
? 登录使用证书,标识资金结算和核算部门员工的身份,并追溯其行为;
? 数字证书和私钥对审批申请进行签名,中心服务器进行验证并保存在NC数据库中(或独立数据库),实现数据的可控性。
最终,NC集团资金系统和天威诚信数字证书身份认证解决方案能够共同实现:
1) 实时掌控全集团及下属企业的实际现金流和现金存量,为集团的资金实时监控提供手段;
2) 通过银企互联,建立集团与下属公司共享、快速、安全的资金通道,提高资金调拨速度;
3) 为集团总部的资金平衡和调度提供技术手段;
4) 通过资金归集挖掘沉淀资金,提高集团内部资金融通能力,降低资金使用成本;
5) 实时查询分析各项资金信息,为各级管理者的经营决策提供依据。
4.3.2 NC资金登录以及签名演示 登录时要求用户输入“PIN”码,即USB Key的密码。
正确输入“PIN”码之后,系统服务器验证通过了用户USB Key中个人身份证书。
登录系统之后,填写委托付款书,并点击“保存”,同时系统要求用户再次输入“PIN”码,确认关键行为的数字签名,并发送给服务器进行验证和存储。
如果签名结果被修改,因此服务器验证会提示验证失败。
5 CA建设 天威诚信系统是参照国际领先的PKI/CA系统的设计思想,继承了国际领先的PKI/CA系统的成熟性、先进性、安全可靠及可扩展性,自主开发的、享有完全自主知识产权的数字证书管理系统。
系统设计的证书容量为百万级,根据需要可以进行扩展;系统支持软件加密和硬件加密两种方式;根据需要并进行配置后,可以适合各种类型的证书应用;系统具有完善的功能;能够满足自主建立PKI/CA平台的需求。
目前主要有两种不同的PKI/CA建设模式:第三方托管型和自建型。
5.1 建设模式 ? 自建CA
自建型是指客户购买单独的PKI/CA软件,建设一个独立的PKI/CA系统,除了购买系统软件之外,还包括系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统和灾难恢复等方面的建设。对于自建型的PKI/CA系统,客户需要考虑系统的后期运营和维护,建立完整的运营管理体系,并负责系统的日常维护和升级等。客户可以利用第三方认证中心的运营管理经验和提供的运营管理咨询服务,来建设自己的运营管理体系。可以借助PKI/CA软件提供商提供的维护和升级服务,对系统进行日常维护和升级。
自建CA中心网络结构以及实现功能
适用范围:
企业用户量大的内部应用
内部分支机构间安全保护
? 托管CA
托管与自建在CA应用实现上没有任何区别,唯一区别是根CA的符合性和安全保护的级别不同。因此托管CA的根CA是由天威诚信符合ISO17799以及《电子认证管理办法》的运营中心负责运行和维护的。
第三方托管型也称服务型,是指客户配置一个集成的PKI/CA平台,依靠第三方PKI服务提供商提供的PKI/CA服务,在客户本地建设面向最终用户的系统前台——证书注册中心(RA中心)和对PKI进行远程管理的CA管理端,直接利用第三方PKI服务提供商的PKI/CA服务,作为系统的核心后台——证书认证中心(CA中心),共同为最终用户提供安全认证服务。采用第三方托管模式,对于PKI/CA核心后台的建设(包括安全性、可靠性和稳定性等方面的建设)、运营管理和系统维护由第三方PKI/CA服务提供商负责,客户只需要购买第三方PKI服务提供商的PKI/CA服务,并完成本地部分系统的建设、运营管理和维护。
托管CA中心结构
适用范围:
电子商务环境
证书量不大的中小企业内部应用
最终用户承担风险的应用环境
5.2 认证体系设计 PKI体系最通常的体系是层次结构(Hierarchy),也就是在一个信任域(例如一个组织或一个团体内部)中建立自顶向下的信任关系。最上级的根CA是整个信任域无条件地信任的核心,通过上级CA为下级CA签发数字证书,建立起一个自上到下的多级信任体系,每个CA为其下属的用户签发数字证书,每个用户都信任(和保存)其证书链(信任链),证书链包括用户自己的证书,以及上溯到根CA的所有CA证书。当证书用户之间互相验证证书的时候,只要能上溯到自己的信任链中,就可以信任该证书。如下图所示:
信任体系
iTrusCA 系统支持上述的多级CA体系。iTrusCA 系统为CA系统自身证书和子CA设定了单独的组和证书模版。根CA管理员(SA)负责维护根CA的证书,上级CA的策略管理员(PA)负责签发下级CA的证书。在系统初试化的时候,CA中心系统可以由系统管理员(SA)设定为根CA或者是下级CA。如果设定为根CA,CA 中心系统将通过CA中心系统(带加密卡或加密机或软件加密模块)产生密钥对并自签根证书;如果设定为子CA,将在CA中心系统(带加密卡或加密机或软件加密模块)CA服务器上产生密钥对和PKCS#10的证书请求,由上级CA签发证书后,导入子CA中心系统中。
天威诚信和用友合作的产品以及服务提供以下信任体系:
? 公共信任体系,天威诚信根证书(面向个人和企业);
? 企业信任体系,企业根证书。
5.3 iTrusCA系统 5.3.1 自建电子认证服务CA特点 天威诚信iTrusCA系统是参照国际领先的CA系统的设计思想,继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性,自主开发的、享有完全自主知识产权的数字证书服务系统。系统具有完善的功能,能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求。
iTrusCA2.0系统是天威诚信自主开发的、享有完全自主知识产权的数字证书管理系统,系统拥有如下特点:
1) 符合国密办规定,支持双证书、双中心,即加密证书/签名证书和CA认证中心/密钥管理中心;
2) 证书类型多样性及灵活配置:系统能够提供各种证书的签发功能,根据客户需要可以进行灵活配置,包括:邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和***证书等。
3) 灵活的认证体系配置:系统支持树状的客户私有的认证体系,支持多级CA,支持交叉认证,支持虚拟(托管)CA。
4) 注册机关(RA)建设方式多样化:系统支持管理不同类型证书的RA,单个RA也可管理多种类型的证书: 系统支持单级RA,也支持多级RA;RA界面风格可定制。
5) 高安全性和可靠性:使用高强度密码保护密钥,支持加密机、智能卡、USB Key等硬件设备,用户关键信息散列保存,以防遗失。
6) 高扩展性:根据客户需要,对系统进行配置和扩展,能够发放各种类型的证书;系统支持多级CA,支持交叉CA;系统支持多级RA。
7) 多语言支持:后台业务数据处理使用UTF-8格式,支持多语言数据。因此,系统能过通过配置实现对不同语言证书的签发,包括支持中英文证书。
8) 易于部署与使用:系统所有用户、管理员界面都是B/S模式,CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行,并具有详细的操作说明。
9) 高兼容性
跨平台设计,支持Linux/Unix/Windows主流操作系统;
支持多种加密设备:软加密库、山大加密机和天融信加密机等;
支持多种数据库:Oracle和SQL server等;
支持多种证书存储介质:硬盘、USB Key和智能卡等。
10) 系统冗余设计,可靠性高、稳定性好符合国际和行业标准:系统在设计中遵循了相应的国际和工业标准,包括X.509标准、PKCS系列标准、IETF的PKIX工作组制定的PKI相关RFC标准,以及HTTP、SSL、LDAP等互联网通讯协议等。严格遵循这些标准,使得系统具有很好的开放性,能够与各种应用结合,成为真正的安全基础设施。
5.3.2 托管电子认证服务CA特点 1) 支持国内外认证体系(即CTN和GTN):既能签发出符合《电子签名法》并具有法律保护的CTN国内证书,又能签发满足全球认证需求的GTN全球信任证书;
2) 支持共有和私有信任体系:企业可以根据自身需求,选择在天威诚信CTN信任体系下面建设企业子CA认证体系,也可以建立完全属于企业品牌的根CA体系;
3) 自持多种托管模式:企业可以根据自身需求,可以选择不在本地建设任何CA模块,或者选择在本地建设RA注册模块,或者在本地建设RA注册模块的基础上加选自动管理来实现灵活的证书注册、颁发和管理;
4) 支持灵活的审批模式:企业可以根据自身需求,可以选择或者组合选择手动审批、自动审批、通行码审批和集中制证模式来简化证书审批流程,同时使得最终用户申请流程更加贴近企业行政或业务管理流程;
5) 支持灵活的定制功能:企业可以根据注册模板,灵活的定制RA的细节技术特征,可以定制的特征有:包括证书签发模式、更新方式、证书内容、邮件模板等。
6) 支持灵活的证书更新模式:企业用户在证书更新时可以采用多种方式进行更新,包括手工批准、立即批准、通行码验证、自动验证;
7) 与自建CA拥有相同的业务控制功能:虽然企业不需要在本地建立全套的CA认证模块,但是企业管理员可以通过CA/RA帐户登录到天威诚信后台CA系统提供的全套的管理、统计、分析、审计功能;
8) 更低的运营风险:企业在建设运营之初,只需花费很低的初建费然后根据实际用户数购买相应的证书则可以快速实现证书应用带来的安全功能,日后,随着业务的实际情况来增加购买或减少证书的成本投入,因此,企业不存在花费大量的资金、人力和时间来运营一套完整的CA认证平台的风险;
9) 最低的运营责任:由于企业在本地不建设庞大而复杂的CA认证体系,从而将繁琐的客户服务、系统维护、系统升级扩容等责任由天威诚信来承担,如果采用全托管模式,企业还可以将外部用户(如分销商、供应商)的身份鉴证工作交给天威诚信来承担,因此,所有与认证相关环节的责任已经全部委托到第三方,从而极大降低了企业自身的责任。
10) 更短的建设周期:建立一套电子认证服务CA所需要的时间最短可以在一周内完成,通常最长也不会超过两周时间,这给企业快速推广业务带来极大的优势;
11) 证书的合法性:由于天威诚信是国内唯一一家信产部批复的全国性商业PKI/CA企业,获得了齐全的资质证明,获得了信产部颁发的《电子认证机构许可证》,因此,企业从第三方获得的电子认证服务CA是完全具有法律效应的。
5.3.3 一体化扩展方案 托管型+自建一体化解决方案是指根据企业的具体情况,在企业内部建设两套信任体系,一套是针对内部用户使用的自建CA系统,为内部用户发放数字提供相应的安全功能;另一套是采用电子认证服务CA,即采用完全符合《电子签名法》并取得电子认证服务CA许可证的天威诚信CA认证中心来发放第三方数字证书,为企业外部用户发放数字证书,这些颁发的第三方数字证书是法律认可的,可广泛应用于外部电子商务环境中。其层次结构如下图:
一体化扩展方案的体系结构
5.4 证书存储介质 天威诚信PKI/CA系统支持多种设备存储用户证书和私钥,包括支持PKCS#11以及CSP的证书接口的所有设备,例如支持软盘、硬盘、USB Token、IC卡和智能卡等多种存储介质。
推荐使用USB Key来保存用户的证书及私钥。USB Key是以USB为接口的存储设备,它便于携带和使用,可以实现在所有的机器(具有USB接口)上的漫游,可以满足企业移动办公的需求。USB Key可以设置用户口令保护,增强了证书及私钥的安全性。USB Key存储数字证书时,只能将证书导入,不能复制,不能导出,最大保证证书安全。
通过安装控制软件(中间件),USB KEY通常具备以下功能:
? 登录控制中心;
? 存储证书以及私钥;
? 修改用户密码;
? 初始化KEY;
? 解锁(遗忘用户密码后造成锁定)。
5.5 证书工作流程设计 无论自建还是托管,基于客户信息的私密性,客户会选择合适的鉴证用户、控制证书发放的流程。
说明:如果采用第三方服务,建议使用第三方的鉴证方式,符合法律精神,可以转移企业身份控制风险。
证书的工作流程直接关系到企业的IT管理规范和企业内控要求,因此我们必须在深入企业的管理体系之后才能够设计出最适合企业的证书生命管理周期。
天威诚信CA支持多种审批模式,企业完全可以根据自身实际需求来进行选择一种或组合选择其中多种来满足企业自身的发证需求:
5.6 策略要求 无论采用自建还是托管,身份和访问控制影响深远而且与几乎所有的部门职能都有联系,所以处于组织机构的运营工作的核心位置。显然,分阶段地实现身份和访问控制计划至关重要。
有效地管理进程,组织机构必须计划:
1) 选择适于受保护资产的识别方法;
2) 委托行政管理职责;
3) 监控对安全数据库的变更;
4) 制订允许用户访问具体应用系统的规程;
5) 及时取消用户访问;
6) 通过帮助平台和其他技术支持活动支持日常使用;
7) 保证符合相关规定;对整个过程进行审计。
天威诚信最为作为电子认证行业的代表,天威诚信参与了国家相关部门对电子认证服务业体系规划,同时在国家质量技术监督局的领导下,参与了《CA中心建设和运营管理规范》等制定工作。在《中华人民共和国电子签名法》的起草过程中,天威诚信作为业界最为规范的认证中心,积极配合相关单位的立法工作,并作为专家参与了《电子认证服务管理办法》的起草工作。
天威诚信在实践中积累了大量的CA建设管理咨询经验,作为CA行业中唯一通过ISO17799认证的厂商能够协助企业完成PKI/CA的体系建设。
实现身份和访问管理还必须以组织机构以用友ERP的咨询要求和企业公司内部安全管理制订的相关策略和规定为依据。
1 前言... 1
1.1 天威诚信携手用友NC,开辟安全可靠的ERP之路... 1
1.2 天威诚信公司... 1
2 数字身份认证体系... 3
2.1 第一道防线... 3
2.2 身份认证方式... 3
2.2.1 认证方式选择... 4
2.2.2 数字证书... 5
2.2.3 PKI/CA.. 6
3 ERP安全概述... 7
4 ERP安全整合解决方案... 9
4.1 可信体系框架... 9
4.2 整合身份认证技术... 9
4.2.1 集成安全架构... 9
4.2.2 登录认证... 11
4.2.3 电子签名... 13
4.2.4 身份认证中间件... 14
4.3 整合ERP应用... 16
4.3.1 NC集团资金管理安全解决方案... 16
4.3.2 NC资金登录以及签名演示... 18
5 CA建设... 20
5.1 建设模式... 20
5.2 认证体系设计... 22
5.3 iTrusCA系统... 24
5.3.1 自建电子认证服务CA特点... 24
5.3.2 托管电子认证服务CA特点... 25
5.3.3 一体化扩展方案... 26
5.4 证书存储介质... 27
5.5 证书工作流程设计... 27
5.6 策略要求... 28
1 前言 1.1 天威诚信携手用友NC,开辟安全可靠的ERP之路 用友软件是是中国最大的管理软件、ERP软件、财务软件、集团管理软件供应商。用友NC是用友公司面向集团型企业和高成长型企业推出的高端ERP产品,涵盖从集中财务管理、供应链管理、等全面应用,全面支持企业各项经营,是集团企业协同电子商务的有效手段。
用友NC与天威数字PKI/CA产品和服务的整合方案,是一次强强联合。用友NC核心管理理念是“协同商务、集中管理”,其中“协同商务”是致力于集团企业各组织间以及企业员工之间、上下游供应商、伙伴、客户等在信息共享的基础上的协同工作。而天威诚信作为专业的电子认证服务运营商和CA产品提供商,实现了用友NC用户多方安全协同工作,保障信息传递的机密性、保障电子化信息交互的层面上双方(多方)行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力,得到《中华人民共和国电子签名法》法律的保障。
目前,用友NC系统已经成功支持天威诚信CA产品和服务,NC系统只需简单的部署和配置,就可以实现基于数字证书的各种安全功能,保障系统高效、成功地实施。迄今为止,天威诚信PKI/CA安全解决方案已在众多大型集团企业的资金管理系统中成功应用。天威诚信不但以高可靠性的产品及优质的技术支持能力成为用友集团CA认证合作伙伴,近期,用友集团在众多产品提供商内选择了天威诚信CA产品构建了用友集团内部CA认证系统,为用友50多家分子公司,上千名员工提供身份认证、财务数据申报、审批等安全应用,为亚洲本土最大的软件提供商-用友集团内网系统的安全保驾护航。
1.2 天威诚信公司 天威诚信数字认证中心是由北京天威诚信电子商务服务有限公司运营管理的全国性CA认证中心,是信息产业部批准的商业PKI/CA试点企业,也是《中华人民共和国电子签名法》颁布后,首批获得国家信产部颁发的电子认证服务许可证(ECP11010805003)机构。
位于北京的天威诚信数据处理中心作为数字证书的签发管理总中心、客户服务和响应中心,严格遵循ISO/IEC17799-2000信息安全管理体系的规定,配备了专业可靠的运营管理团队,对外提供中国信任体系(CTN,China Trust Network)、客户私有信任体系等多种信任服务,同时还为跨国机构或大型公司提供国际认可的全球信任体系服务,使用户轻松拥有全球认可的数字虚拟身份。
天威诚信拥有多年的行业实践经验、完整的产品解决方案、专业可靠的运营管理团队,能够为客户提供完善的规划咨询,帮助客户构建完整的电子认证体系,通过电子签名、加密技术实现客户信息系统间的协作和集成,有效提升了系统的安全等级,保障了数据的不可抵赖。
2 数字身份认证体系 2.1 第一道防线 当前信息安全技术的应用就是满足合法用户的需求以及需求保护信息资产之间取得平衡。为此,应用系统必须区分用户和非用户,并向不同的用户提供合适的服务。身份和访问管理就是用来满足这些需要的。
身份和访问管理是在组织机构内保护信息访问的第一道防线。而诸如防火墙和其他营造安全周边机制是防范组织机构以外的威胁的第一道防线。
身份和访问管理由两部分组成。身份管理保证人员或系统进程是拥有权力的人员在使用,访问控制机制确认人员或者系统进程已经可靠识别如何利用资源。
随着萨班斯法案的推广和实施,目前海内外公司都在进行一场IT内控的变革,而无论是COSO还是Cobit,以及安全指南的ISO17799都无一例外地将身份识别定位为首要解决的关键问题。有效的身份识别方式才能够为追溯行为和责任体系,审计证据链提供最有效和最有力的支撑。
这种过程的价值在于它能够:
1) 允许有正当理由需要访问的人员访问;
2) 通过限制信息资产外露来降低风险;
3) 建立监控机制,针对事件追溯具体用户;
4) 高效地管理类似的用户群;
5) 实现内控符合风险管理的要求。
因而建立更符合法律要求和审计的身份标识方法是每一个优秀企业完善内控,提高企业核心竞争力的必要前提。
2.2 身份认证方式 身份认证是实现网络安全的重要机制之一,是安全系统中的第一道关卡,是赋予用户访问权限的依据。
用户在访问受保护的系统之前,首先经过身份认证系统识别身份,然后访问控制器根据用户的身份和授权,决定用户是否能够访问某个资源。在开始访问后,审计系统根据审计设置记录用户的请求和行为,同时***检测系统实时或非实时地检测是否有***行为。访问控制和审计系统都要依赖于身份认证系统的提供的信息――用户的身份。可见身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
大致上来讲,身份认证可分为用户与主机间的认证、主机与主机之间的认证。本章主要涉及用户与主机间的身份认证,主机与主机之间的认证在某种程度上可以转换成用户与主机间的身份认证。
用户与主机之间的认证可以基于如下一个或几个因素:
? 用户所知道的东西,如口令;
? 用户所拥有的东西,如智能卡、动态口令发生器等;
? 用户所具有的生物特征,如指纹、声纹、视网膜等。
在此基础上,衍生出了众多身份认证方式。在企业统一的身份认证框架中,集中身份认证系统需要对目前已有的身份认证方式,及未来可能会有的身份认证方式均提供支持,方便管理员根据需要进行选择。
2.2.1 认证方式选择 在选择身份认证方式时,需要考虑如下原则:
? 足够安全。即认证方式不容易被模仿(包括认证凭证的复制、认证过程的重放)或***(包括DOS***)。
? 成本适当。安全和成本常常成反比,但是对于企业来说,既不能为了降低成本而采用不安全的认证方式,也不能为了片面追求安全而不顾成本,而是要针对不同价值的系统以及其中账号权限的不同选择不同的认证手段。
? 使用方便。所有东西都是给人用的,如果因为使用不便而招致反感,则所有的安全措施都形同虚设。
? 提供开放的API接口,便于将认证方式集成到当前以及未来的应用框架中。
根据这些原则,我们认为“数字证书”的认证方式PKI/CA能够满足当前以及未来的需求。
2.2.2 数字证书 数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据:
? 身份验证机构的数字签名可以确保证书信息的真实性;
? 用户公钥信息可以保证数字信息传输的完整性;
? 用户的数字签名可以保证数字信息的不可否认性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
? 保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
? 保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
目前在网上传输信息时,普遍使用X.509 V3格式的数字证书。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME等。随着《电子签名法》的颁布实施,基于PKI数字证书的数字签名也将发挥越来越重要的作用。
数字证书可以存放在计算机的硬盘、随身软盘、IC卡或CUP卡中。
2.2.3 PKI/CA PKI(Public Key Infrastructure,公钥基础设施)技术,它使用成熟的公开密钥机制,综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务,通过建设CA(Certification Authority,证书认证中心)认证中心为用户签发数字证书,用户在业务系统中使用证书,完成用户的身份认证、访问控制以及信息传输的机密性、完整性和抗抵赖性。
为什么说PKI是一种“基础设施”?原因很简单,因为它具备了基础设施的主要特征。让我们将PKI在网络信息空间的地位与供电基础设施在人们生活中的地位进行类比:供电系统通过伸到用户端的标准插座为用户提供能源;PKI通过延伸到用户本地的接口为各种应用提供安全服务,包括身份认证、识别、数字签名、加密等。一方面,作为基础设施,PKI的主要目标是对应用提供支撑,它与使用PKI的应用系统是分离的,它所支撑的对象既包括 “旧”的应用也包括“新”的应用,因此具有“公用”的特性;另一方面。离开PKI应用系统,PKI本身没有任何用处。类似地,供电系统基础设施离开电器设备就不能发挥作用,公路基础设施离开了汽车也毫无用处。正是这种基础设施的特征使得PKI系统设计和开发的效率大大提高,因为PKI系统的设计、开发、生产及管理都可以独立地进行,不需要考虑应用的特殊性。
PKI技术已经被广泛应用于电子世界,被证明是基于互联网的电子商务、政务等应用的最佳安全解决方案。
体系框架
PKI/CA负责生成、管理、存储、分发和吊销公钥证书,完整的PKI/CA体系不仅仅指软硬件系统,还应该是软件、硬件、人员、策略、流程和法律协议等的总和,完整的PKI/CA体系如下图所示:
PKI体系框架图
3 ERP安全概述 用友ERP涉及的系统和设备决定了身份标识会成为IT系统安全运维和治理的重点关注对象。
? 基于用户名/口令的认证方式
基于用户名/口令的认证方式是最常用的一种技术,也是现在用友ERP普遍使用的认证方式,无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录,都是基于用户名和口令的方式认证。
基于用户名/口令的认证方式存在严重的安全问题,是***者最容易***的目标:
1) 它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。
2) 为记忆方便,是用户往往选择简单、容易被猜测的口令,如:与用户名相同的口令、生日、单词等。这往往成为安全系统最薄弱的突破口。
3) 口令一般是经过加密后存放在口令文件中,如果口令文件被窃取,那么就可以进行离线的字典式***。这也是***最常用的手段之一。
关于网站安全的调查结果表明:超过80%的安全***是由于用户选用了拙劣的口令而导致的。由此可以推断,大部分的***可以通过选择好的口令来阻止。
? 应用系统对关键操作的控制
关键操作即对数据交互的安全操作,比如在ERP系统中关键文档的提交和发布,报帐系统中重要信息的传输,财务系统中涉及资金的审批,电子保单中的保单确认等等。主要涉及了三方面的安全风险:
1) 信息的机密性:传输在客户端与Web服务器之间的敏感、机密信息和交易数据,如客户的私隐信息等,这些数据都是保密的数据。而通过开放的互联网,有可能在传输过程中被截取,被非法用户加以利用,给用户和企业造成损失。
2) 信息的完整性:在保证信息机密性的同时,还需要保证敏感数据的完整传输。通过开放的互联网,敏感数据在传输过程中很可能被恶意篡改,使得接收方不能得到完整的信息。
3) 信息的不可抵赖性:是指发送信息的一方不能对自己的发送的信息进行抵赖,不能否认自己发送信息的行为。由于信息的传输是通过开放的互联网,经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题,给交易的双方带来巨大的影响和损失。网上交互(交易)行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据(无论是司法取证还是内部管理追溯或者审计)。
? 身份及资产的管理
无论内部员工还是外部用户,最大的风险就是信息环境中人与用户的关联性。当前信息安全的发展不仅要求虚拟身份的标识符合应用系统要求,而且强调标识方式符合真实的社会实体要求,即虚拟身份与真实身份唯一对应。对设备等实物资产同样,无法将真实身份按角色的分配给用户会导致整个管理的混乱,信息孤岛会导致IT的目标与企业战略和股东利益的不一致。
天威诚信为用友ERP提供的解决方案,能够完全解决财务、资金、供应链、客户关系管理、决策支撑、人力资源等丰富系统中的用户认证、数据加密、信息不可否认性等方面存在的安全问题。
4 ERP安全整合解决方案 4.1 可信体系框架 在用友ERP的应用平台中,天威诚信CA中心负责用户身份系统的权威数字证书管理,作为系统的基础支撑模块来完成整个可信平台的建设。
用友ERP系统中身份认证系统的位置
4.2 整合身份认证技术 4.2.1 集成安全架构 在ERP中涉及身份认证以及数字证书应用的结构模块主要有:
认证结构
? 个人信任代理(PTA)
个人信任代理(PTA)是一个可以应用于客户端和服务器端的软件包,完成对Windows平台证书操作的ActiveX控件,包括证书处理接口、加密/解密处理接口和数字签名处理接口。利用PTA提供的接口:
使用证书处理接口,可以设置系统证书列表的过滤条件,显示证书的各种属性;
使用加密/解密接口可以产生随机的对称密钥对文件进行加密,以及使用输入的密钥对文件进行解密;
在进行数字签名处理时,对于客户端应用,ActiveX控件由用户访问相关网页时下载到客户端浏览器中,实现使用本地的证书(私钥)对文件进行数字签名,以及对签名进行验证。对于服务器端应用,ActiveX控件可以安装在服务器上,实现对数字签名的验证,以及利用服务器上配置的证书,进行数字签名计算。
? 证书解析模块(CPM)
证书解析模块是一系列平台下的动态链接库,用于解析DER或PEM编码的X.509数字证书,将证书中的信息,包括用户名、证书有效期和公钥等信息分解为字符串。
? 证书验证模块(CVM)
证书验证模块以插件、动态库或ActiveX控件方式提供,实现对证书的验证,证书验证可选择使用CRL或OCSP验证有效性。通过证书验证,可以保证证书的真实性,保证使用该证书进行的操作的有效性和不可抵赖性。
? 数据加/解密模块(EDM)
数据加/解密模块是一系列平台下的动态链接库或控件,可以应用于客户端和服务器端,实现对传输数据的加密,对加密数据的解密。
? 数据签名/验证模块(SVM)
数据签名及验证模块是一系列平台下的动态链接库或控件,可以应用于客户端和服务器端,实现对传输数据的数字签名,和对数字签名及其证书进行验证。证书的验证可使用CRL或OCSP来进行有效性验证。
? 应用服务器/Web服务器
运行应用服务本身的服务器和面向用户的服务器,这里即用友ERP系统。
? 数据库服务器
应用系统本身采用的各种类型数据结构服务器。比如Oracle数据库。
? 身份认证中间件(CA middleware)
负责证书生命周期的管理,包括证书库的查询,验证信息,向应用系统返回验证确认信息等。
4.2.2 登录认证 用友ERP的解决方案涵盖了广泛的业务应用,而一体化的概念能够贯穿实现,首先就必须解决多个应用系统多个用户多个权限的整合,技术上我们可以通过单点登录等技术来实现,由于用户名和密码本身的脆弱性(不便于管理且加密程度不高),因此我们发现最根本的安全问题在于:
如何将用户与登录,合法安全地结合起来?
多因素认证是目前最严密的方式,而证书最符合法律法规对身份标识的要求,因此传统的用户名密码结合证书是身份认证的最佳实践——知道密码、拥有证书。
基于数字证书的登录流程(SSL通道)
整个ERP系统将集成基于数字证书的安全功能,用户安全访问系统的流程为:
1) 用户将保存有数字证书的USB Key插入计算机或是使用在本地保存的数字证书,启动客户端程序(基于B/S的IE或者基于C/S的客户端),要求用户选择提交用户证书;
2) 用户选择保存在USB Key中的证书或是使用在本地保存的数字证书进行提交,并输入PIN码;
3) 需要先通过SSL ***完成双向身份认证;认证通过后,用户浏览器和SSL ***之间建立SSL连接,用户浏览器和服务器之间的数据传输通过SSL通道加密传输;
4) ERP系统验证用户提交的证书,验证用户的真实身份(事前定义验证解析的信息,建议采用唯一标识的证书序列号,也可以用其他信息),并查询系统用户数据库(提前录入),判断用户是否拥有系统的权限;
5) 如果验证和查询成功,让用户输入用户名和口令,进行普通用户名口令方式相同的登录;如果验证和查询失败,用户将无法进行登录。
在用户使用数字证书的方式登录后,在连接超时时,如用户登录后在一段时间内没有进行任何活动时,用户必须再次使用数字证书进行登录,而不能直接通过普通的用户名口令登录方式进行登录。
采用数字证书作为补充登录方式的优势:
? 机密性
采用数字证书替代传统的用户名、密码登录方式,数字证书的机密性远远高于普通密码(1024位),不需要频繁更换,而由管理中心统一发布、吊销、更新证书。
? 可用性
通过存储在移动介质(USB Key)私钥来生成数字证书,用户只需要输入PIN码(USB Key密码)即可登录系统(最佳实践结合SSO),简单灵活。
? 合法性
最重要的是数字证书符合《电子签名法》中对电子证据的定义和要求,对结合数字证书的用户,其身份和权利都通过证书体现。由于数字证书的惟一性,系统管理中心可以准确地监督和追溯各种合法以及非法用户的行为。
因此在技术上由证书本身支持的国际标准和格式来保障;同时可以由国家法律以及行业的政策支持;并且符合目前企业对内控、治理的基本要求;因而通过数字证书能够解决在登录应用中出现的安全风险。
4.2.3 电子签名 电子签名是法律赋予可以追溯的行为证据,是取证、审计的重要依据。
用户使用数字证书,登录到ERP系统后,可以向ERP系统提交电子订单(各种单据、文件等),进行电子订单交互,如下图所示,包括下列步骤:
电子订单安全交互流程图
用户登录ERP系统后,完成交互请求,之后向服务器提交订单确认请求:
1) 用户和ERP平台(Web服务器或者应用服务器)之间完成双向身份认证,完成对用户的访问控制流程。
2) 用户在线的填写电子订单,向ERP系统进行提交,点击提交后,系统调用PTA(个人信任代理)模块,使用用户的个人身份证书,对提交的电子订单进行数字签名,签名时是使用个人的私钥,需要用户输入USB Key的保护口令。
3) 用户输入USB Key的保护口令,系统调用PTA模块,使用企业证书私钥对电子订单进行数字签名,并将电子订单及其签名经过SSL安全通道,传输给电子订单系统Web服务器。在进行安全传输时,是使用SSL会话产生的128位的会话密钥对电子订单及其数字签名进行加密。
4) ERP系统得到用户的电子订单及其数字签名后,调用SVM(数字签名/验证模块),对电子订单的数字签名进行验证,以证实电子订单的确是交易用户提交的,并确定用户的真实身份,不能对提交的电子订单进行抵赖。并且,验证电子订单在传输的过程中是没有被别人更改过的,是完整的和有效的。
5) 数字签名验证通过后,ERP将用户提交的电子订单及其数字签名保存到应用系统数据库中或者天威诚信的CA中间件中,作为将来安全审计的依据;
6) 然后,将电子订单传给应用服务器,进行与业务相关的处理,并将处理结果保存到数据库中。
7) 应用服务器处理完成后,会产生一个确认回执,通过ERP服务器返回给各用户。在返回之前,需要根据用户信息返回确认回执。此时,ERP服务器会调用SVM(数据签名/验证模块)对确认回执进行数字签名。
8) ERP服务器使用对应的证书的私钥对确认回执进行数字签名后,将确认回执及其数字签名返回给用户客户端(浏览器)。
9) 用户可以对返回的确认回执的数字签名进行验证,调用PTA(个人信任代理)模块,验证确认回执的数字签名的真实性、有效性和完整性,来验证确认回执的确是由ERP系统返回的,系统不能对确认回执进行抵赖,并且是没有被别人窜改过的,是完整的。
10) 用户对确认回执验证通过后,电子订单的提交和确认完成,整个电子订单的安全交互流程结束。
4.2.4 身份认证中间件 天威诚信身份认证应用系统解决方案总的来说是一个配置的系统,功能的实现主要是通过配置来实现的,对用户的业务系统的改动极少,实现了与业务系统的松散耦合,将对用户业务系统的影响降到了最低。原理图如图一所示:
身份认证应用系统(电子签名)解决方案原理图
当客户端进行正常业务需要PKI服务时,客户端脚本会首先访问PKI应用服务器的WEB应用,将业务的PKI请求提交给PKI应用服务器,然后将PKI服务的执行结果返回给客户端,并继续正常的业务流程将数据提交给业务系统。
业务系统的服务器接收到客户端提交的交易数据后,部署在业务系统服务器上的服务器插件会截获提交的数据,将与客户端的PKI服务对应的PKI服务请求提交给PKI应用服务器,PKI应用服务器将PKI服务的执行结果返回给业务系统,如果执行成功则业务流程将继续,否则将中断当前的业务流程。
PKI应用服务器在执行完PKI服务后将交易证据信息保存到证据数据库,方便今后取证。证据系统管理员可以通过证据管理与配置站点管理交易证据信息和相关的配置信息。
这样的网络结构可以根据实际情况灵活的部署各个功能模块,实现了与业务系统的松散耦合,将对业务系统的影响降到了最低。
特点
天威诚信身份认证应用服务(中间件)的特点:
? 缩短应用开发周期
天威诚信中间件完成大部分与数字证书相关的操作,对于与ERP集成的工作侧重于开放相应的数据接口,减少了项目执行的开发周期。
? 减少项目开发风险
身份认证中间件负责数字证书的应用和管理,对ERP应用系统开发主要是签名验证功能的实现,开发周期短,风险小。
? 应用系统质量及可维护性
相对独立运行的中间件可以独立的进行质量管理和控制,并与ERP的安全等级相符。
? 透明地同其他应用程序交互
与ERP应用服务进行数字证书相关操作对于客户端是透明的。
? 与运行平台提供的网络通信服务无关
无论是.net还是Java的平台,都能够实现对天威诚信中间件的数据调用,通讯内容和方式也由中间件和应用服务器协商制定,低耦合高内聚。
? 具有良好的可靠性、可用性和可扩展性
综上,天威诚信的身份认证中间件经过技术架构、市场应用的检验,能够无缝扩展并且配合ERP构建安全的数字证书应用服务。
4.3 整合ERP应用 4.3.1 NC集团资金管理安全解决方案 根据NC集团资金管理的关键目标和解决的关键问题,我们天威诚信总结出以下二点主要的安全问题:
1) NC要求解决:如何建立集团企业的资金监控系统,掌握所有成员单位资金的流量、流向和存量;
iTrus数字认证能够解决:追溯到所有资金和人员的关联及操作。
2) NC要求解决:如何加强资金结算管理,挖掘集团沉淀资金,降低资金使用成本;
iTrus数字认证能够解决:完全实现无纸化电子文档的安全传输和保存,实现成本效益最优化。
在三算合一的应用模式下(即“资金预算平衡资金需求、资金结算处理日常业务、财务核算反映业务结果”),通过把资金计划、资金结算、资金调拨、财务核算的有效结合,实现了资金全面监控。通过把结算单位的日常业务处理和集团总部资金业务处理有效结合,实现了全集团资金管理业务流程的一体化。
数字证书作为“三算合一”的核心,在整个业务流程中实现了应用数据的安全:
数字证书在资金流程中的应用
即:
? 登录使用证书,标识资金结算和核算部门员工的身份,并追溯其行为;
? 数字证书和私钥对审批申请进行签名,中心服务器进行验证并保存在NC数据库中(或独立数据库),实现数据的可控性。
最终,NC集团资金系统和天威诚信数字证书身份认证解决方案能够共同实现:
1) 实时掌控全集团及下属企业的实际现金流和现金存量,为集团的资金实时监控提供手段;
2) 通过银企互联,建立集团与下属公司共享、快速、安全的资金通道,提高资金调拨速度;
3) 为集团总部的资金平衡和调度提供技术手段;
4) 通过资金归集挖掘沉淀资金,提高集团内部资金融通能力,降低资金使用成本;
5) 实时查询分析各项资金信息,为各级管理者的经营决策提供依据。
4.3.2 NC资金登录以及签名演示 登录时要求用户输入“PIN”码,即USB Key的密码。
正确输入“PIN”码之后,系统服务器验证通过了用户USB Key中个人身份证书。
登录系统之后,填写委托付款书,并点击“保存”,同时系统要求用户再次输入“PIN”码,确认关键行为的数字签名,并发送给服务器进行验证和存储。
如果签名结果被修改,因此服务器验证会提示验证失败。
5 CA建设 天威诚信系统是参照国际领先的PKI/CA系统的设计思想,继承了国际领先的PKI/CA系统的成熟性、先进性、安全可靠及可扩展性,自主开发的、享有完全自主知识产权的数字证书管理系统。
系统设计的证书容量为百万级,根据需要可以进行扩展;系统支持软件加密和硬件加密两种方式;根据需要并进行配置后,可以适合各种类型的证书应用;系统具有完善的功能;能够满足自主建立PKI/CA平台的需求。
目前主要有两种不同的PKI/CA建设模式:第三方托管型和自建型。
5.1 建设模式 ? 自建CA
自建型是指客户购买单独的PKI/CA软件,建设一个独立的PKI/CA系统,除了购买系统软件之外,还包括系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统和灾难恢复等方面的建设。对于自建型的PKI/CA系统,客户需要考虑系统的后期运营和维护,建立完整的运营管理体系,并负责系统的日常维护和升级等。客户可以利用第三方认证中心的运营管理经验和提供的运营管理咨询服务,来建设自己的运营管理体系。可以借助PKI/CA软件提供商提供的维护和升级服务,对系统进行日常维护和升级。
自建CA中心网络结构以及实现功能
适用范围:
企业用户量大的内部应用
内部分支机构间安全保护
? 托管CA
托管与自建在CA应用实现上没有任何区别,唯一区别是根CA的符合性和安全保护的级别不同。因此托管CA的根CA是由天威诚信符合ISO17799以及《电子认证管理办法》的运营中心负责运行和维护的。
第三方托管型也称服务型,是指客户配置一个集成的PKI/CA平台,依靠第三方PKI服务提供商提供的PKI/CA服务,在客户本地建设面向最终用户的系统前台——证书注册中心(RA中心)和对PKI进行远程管理的CA管理端,直接利用第三方PKI服务提供商的PKI/CA服务,作为系统的核心后台——证书认证中心(CA中心),共同为最终用户提供安全认证服务。采用第三方托管模式,对于PKI/CA核心后台的建设(包括安全性、可靠性和稳定性等方面的建设)、运营管理和系统维护由第三方PKI/CA服务提供商负责,客户只需要购买第三方PKI服务提供商的PKI/CA服务,并完成本地部分系统的建设、运营管理和维护。
托管CA中心结构
适用范围:
电子商务环境
证书量不大的中小企业内部应用
最终用户承担风险的应用环境
5.2 认证体系设计 PKI体系最通常的体系是层次结构(Hierarchy),也就是在一个信任域(例如一个组织或一个团体内部)中建立自顶向下的信任关系。最上级的根CA是整个信任域无条件地信任的核心,通过上级CA为下级CA签发数字证书,建立起一个自上到下的多级信任体系,每个CA为其下属的用户签发数字证书,每个用户都信任(和保存)其证书链(信任链),证书链包括用户自己的证书,以及上溯到根CA的所有CA证书。当证书用户之间互相验证证书的时候,只要能上溯到自己的信任链中,就可以信任该证书。如下图所示:
信任体系
iTrusCA 系统支持上述的多级CA体系。iTrusCA 系统为CA系统自身证书和子CA设定了单独的组和证书模版。根CA管理员(SA)负责维护根CA的证书,上级CA的策略管理员(PA)负责签发下级CA的证书。在系统初试化的时候,CA中心系统可以由系统管理员(SA)设定为根CA或者是下级CA。如果设定为根CA,CA 中心系统将通过CA中心系统(带加密卡或加密机或软件加密模块)产生密钥对并自签根证书;如果设定为子CA,将在CA中心系统(带加密卡或加密机或软件加密模块)CA服务器上产生密钥对和PKCS#10的证书请求,由上级CA签发证书后,导入子CA中心系统中。
天威诚信和用友合作的产品以及服务提供以下信任体系:
? 公共信任体系,天威诚信根证书(面向个人和企业);
? 企业信任体系,企业根证书。
5.3 iTrusCA系统 5.3.1 自建电子认证服务CA特点 天威诚信iTrusCA系统是参照国际领先的CA系统的设计思想,继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性,自主开发的、享有完全自主知识产权的数字证书服务系统。系统具有完善的功能,能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求。
iTrusCA2.0系统是天威诚信自主开发的、享有完全自主知识产权的数字证书管理系统,系统拥有如下特点:
1) 符合国密办规定,支持双证书、双中心,即加密证书/签名证书和CA认证中心/密钥管理中心;
2) 证书类型多样性及灵活配置:系统能够提供各种证书的签发功能,根据客户需要可以进行灵活配置,包括:邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和***证书等。
3) 灵活的认证体系配置:系统支持树状的客户私有的认证体系,支持多级CA,支持交叉认证,支持虚拟(托管)CA。
4) 注册机关(RA)建设方式多样化:系统支持管理不同类型证书的RA,单个RA也可管理多种类型的证书: 系统支持单级RA,也支持多级RA;RA界面风格可定制。
5) 高安全性和可靠性:使用高强度密码保护密钥,支持加密机、智能卡、USB Key等硬件设备,用户关键信息散列保存,以防遗失。
6) 高扩展性:根据客户需要,对系统进行配置和扩展,能够发放各种类型的证书;系统支持多级CA,支持交叉CA;系统支持多级RA。
7) 多语言支持:后台业务数据处理使用UTF-8格式,支持多语言数据。因此,系统能过通过配置实现对不同语言证书的签发,包括支持中英文证书。
8) 易于部署与使用:系统所有用户、管理员界面都是B/S模式,CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行,并具有详细的操作说明。
9) 高兼容性
跨平台设计,支持Linux/Unix/Windows主流操作系统;
支持多种加密设备:软加密库、山大加密机和天融信加密机等;
支持多种数据库:Oracle和SQL server等;
支持多种证书存储介质:硬盘、USB Key和智能卡等。
10) 系统冗余设计,可靠性高、稳定性好符合国际和行业标准:系统在设计中遵循了相应的国际和工业标准,包括X.509标准、PKCS系列标准、IETF的PKIX工作组制定的PKI相关RFC标准,以及HTTP、SSL、LDAP等互联网通讯协议等。严格遵循这些标准,使得系统具有很好的开放性,能够与各种应用结合,成为真正的安全基础设施。
5.3.2 托管电子认证服务CA特点 1) 支持国内外认证体系(即CTN和GTN):既能签发出符合《电子签名法》并具有法律保护的CTN国内证书,又能签发满足全球认证需求的GTN全球信任证书;
2) 支持共有和私有信任体系:企业可以根据自身需求,选择在天威诚信CTN信任体系下面建设企业子CA认证体系,也可以建立完全属于企业品牌的根CA体系;
3) 自持多种托管模式:企业可以根据自身需求,可以选择不在本地建设任何CA模块,或者选择在本地建设RA注册模块,或者在本地建设RA注册模块的基础上加选自动管理来实现灵活的证书注册、颁发和管理;
4) 支持灵活的审批模式:企业可以根据自身需求,可以选择或者组合选择手动审批、自动审批、通行码审批和集中制证模式来简化证书审批流程,同时使得最终用户申请流程更加贴近企业行政或业务管理流程;
5) 支持灵活的定制功能:企业可以根据注册模板,灵活的定制RA的细节技术特征,可以定制的特征有:包括证书签发模式、更新方式、证书内容、邮件模板等。
6) 支持灵活的证书更新模式:企业用户在证书更新时可以采用多种方式进行更新,包括手工批准、立即批准、通行码验证、自动验证;
7) 与自建CA拥有相同的业务控制功能:虽然企业不需要在本地建立全套的CA认证模块,但是企业管理员可以通过CA/RA帐户登录到天威诚信后台CA系统提供的全套的管理、统计、分析、审计功能;
8) 更低的运营风险:企业在建设运营之初,只需花费很低的初建费然后根据实际用户数购买相应的证书则可以快速实现证书应用带来的安全功能,日后,随着业务的实际情况来增加购买或减少证书的成本投入,因此,企业不存在花费大量的资金、人力和时间来运营一套完整的CA认证平台的风险;
9) 最低的运营责任:由于企业在本地不建设庞大而复杂的CA认证体系,从而将繁琐的客户服务、系统维护、系统升级扩容等责任由天威诚信来承担,如果采用全托管模式,企业还可以将外部用户(如分销商、供应商)的身份鉴证工作交给天威诚信来承担,因此,所有与认证相关环节的责任已经全部委托到第三方,从而极大降低了企业自身的责任。
10) 更短的建设周期:建立一套电子认证服务CA所需要的时间最短可以在一周内完成,通常最长也不会超过两周时间,这给企业快速推广业务带来极大的优势;
11) 证书的合法性:由于天威诚信是国内唯一一家信产部批复的全国性商业PKI/CA企业,获得了齐全的资质证明,获得了信产部颁发的《电子认证机构许可证》,因此,企业从第三方获得的电子认证服务CA是完全具有法律效应的。
5.3.3 一体化扩展方案 托管型+自建一体化解决方案是指根据企业的具体情况,在企业内部建设两套信任体系,一套是针对内部用户使用的自建CA系统,为内部用户发放数字提供相应的安全功能;另一套是采用电子认证服务CA,即采用完全符合《电子签名法》并取得电子认证服务CA许可证的天威诚信CA认证中心来发放第三方数字证书,为企业外部用户发放数字证书,这些颁发的第三方数字证书是法律认可的,可广泛应用于外部电子商务环境中。其层次结构如下图:
一体化扩展方案的体系结构
5.4 证书存储介质 天威诚信PKI/CA系统支持多种设备存储用户证书和私钥,包括支持PKCS#11以及CSP的证书接口的所有设备,例如支持软盘、硬盘、USB Token、IC卡和智能卡等多种存储介质。
推荐使用USB Key来保存用户的证书及私钥。USB Key是以USB为接口的存储设备,它便于携带和使用,可以实现在所有的机器(具有USB接口)上的漫游,可以满足企业移动办公的需求。USB Key可以设置用户口令保护,增强了证书及私钥的安全性。USB Key存储数字证书时,只能将证书导入,不能复制,不能导出,最大保证证书安全。
通过安装控制软件(中间件),USB KEY通常具备以下功能:
? 登录控制中心;
? 存储证书以及私钥;
? 修改用户密码;
? 初始化KEY;
? 解锁(遗忘用户密码后造成锁定)。
5.5 证书工作流程设计 无论自建还是托管,基于客户信息的私密性,客户会选择合适的鉴证用户、控制证书发放的流程。
说明:如果采用第三方服务,建议使用第三方的鉴证方式,符合法律精神,可以转移企业身份控制风险。
证书的工作流程直接关系到企业的IT管理规范和企业内控要求,因此我们必须在深入企业的管理体系之后才能够设计出最适合企业的证书生命管理周期。
天威诚信CA支持多种审批模式,企业完全可以根据自身实际需求来进行选择一种或组合选择其中多种来满足企业自身的发证需求:
| 审批模式种类 | |||
| 审批模式 | 模式说明 | 适合场景 | 备注 |
| 手动审批 | 标准证书申请模式 | 标准运营场合 | |
| 自动审批 | 与数据库/LDAP/文件集成来完成用户身份,从而实现自动审批 | 为企业内部用户颁发证书,更适合大用户量场合 | |
| 通行码 审批 | 管理员预生成通行码,用户使用通行码来下载证书 | 为企业内部用户颁发证书,通行码容易安全分发给用户 | |
| 集中模式 | 管理员集中生成用户申请,批量制证,然后分发给用户 | 为企业内部用户颁发证书,但用户量不大 | 往往与自动审批组合使用 |
有效地管理进程,组织机构必须计划:
1) 选择适于受保护资产的识别方法;
2) 委托行政管理职责;
3) 监控对安全数据库的变更;
4) 制订允许用户访问具体应用系统的规程;
5) 及时取消用户访问;
6) 通过帮助平台和其他技术支持活动支持日常使用;
7) 保证符合相关规定;对整个过程进行审计。
天威诚信最为作为电子认证行业的代表,天威诚信参与了国家相关部门对电子认证服务业体系规划,同时在国家质量技术监督局的领导下,参与了《CA中心建设和运营管理规范》等制定工作。在《中华人民共和国电子签名法》的起草过程中,天威诚信作为业界最为规范的认证中心,积极配合相关单位的立法工作,并作为专家参与了《电子认证服务管理办法》的起草工作。
天威诚信在实践中积累了大量的CA建设管理咨询经验,作为CA行业中唯一通过ISO17799认证的厂商能够协助企业完成PKI/CA的体系建设。
实现身份和访问管理还必须以组织机构以用友ERP的咨询要求和企业公司内部安全管理制订的相关策略和规定为依据。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 可独立部署的CA系统技术方案
- Android APK加壳技术方案【1】
- 校园数字化建设--注册中心投标文件研究(4)--设计方案总体技术框架技术细节
- 全面分析IDC双线路实现技术方案
- CA系统的同密及多密技术
- 数据存储全方案--详解持久化技术
- [知识竞赛策划方案][百木知识竞赛现场管理系统-PPT双屏版]隆重推出,PowerPoint技术深度应用,国内唯一。只要会制作PPT,就可打造一幅专业的知识竞赛现场。
- C#技术分享【PDF转换成图片——11种方案】(转)
- 分布式锁1 Java常用技术方案(转)
- 办公系统中MS Word文件转换为PDF技术方案
- 高并发的核心技术-幂等的实现方案
- 所谓提供[垂直搜索技术]方案的公司,不是骗子就是下三烂
- 秋色园QBlog技术原理解析:性能优化篇:access的并发极限及超级分库分散并发方案(十六)
- 让大数据学会赚钱——《大数据架构商业之路:从业务需求到技术方案》
- 产品与技术优势发威 用友U9截击SAP ORACLE
- iOS端实现「节日换肤」通用技术方案(无需更新程序)
- 基于Java技术的大型网站架构方案
- 关于大型网站技术演进的思考(十)--网站静态化处理—动静整合方案(2)
- img robertcpp Android热补丁技术方案整理 发表于2016/6/29 12:06:54 7881人阅读 分类: android 概述 项目快速迭代过程中,
- web服务器技术方案文档文档