CA技术方案Word文档下载推荐.docx
《CA技术方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《CA技术方案Word文档下载推荐.docx(25页珍藏版)》请在冰点文库上搜索。
5.1建设模式...20
5.2认证体系设计...22
5.3iTrusCA系统...24
5.3.1自建电子认证服务CA特点...24
5.3.2托管电子认证服务CA特点...25
5.3.3一体化扩展方案...26
5.4证书存储介质...27
5.5证书工作流程设计...27
5.6策略要求...28
1前言1.1天威诚信携手用友NC,开辟安全可靠的ERP之路
用友软件是是中国最大的管理软件、ERP软件、财务软件、集团管理软件供应商。
用友NC是用友公司面向集团型企业和高成长型企业推出的高端ERP产品,涵盖从集中财务管理、供应链管理、等全面应用,全面支持企业各项经营,是集团企业协同电子商务的有效手段。
用友NC与天威数字PKI/CA产品和服务的整合方案,是一次强强联合。
用友NC核心管理理念是“协同商务、集中管理”,其中“协同商务”是致力于集团企业各组织间以及企业员工之间、上下游供应商、伙伴、客户等在信息共享的基础上的协同工作。
而天威诚信作为专业的电子认证服务运营商和CA产品提供商,实现了用友NC用户多方安全协同工作,保障信息传递的机密性、保障电子化信息交互的层面上双方(多方)行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力,得到《中华人民共和国电子签名法》法律的保障。
目前,用友NC系统已经成功支持天威诚信CA产品和服务,NC系统只需简单的部署和配置,就可以实现基于数字证书的各种安全功能,保障系统高效、成功地实施。
迄今为止,天威诚信PKI/CA安全解决方案已在众多大型集团企业的资金管理系统中成功应用。
天威诚信不但以高可靠性的产品及优质的技术支持能力成为用友集团CA认证合作伙伴,近期,用友集团在众多产品提供商内选择了天威诚信CA产品构建了用友集团内部CA认证系统,为用友50多家分子公司,上千名员工提供身份认证、财务数据申报、审批等安全应用,为亚洲本土最大的软件提供商-用友集团内网系统的安全保驾护航。
1.2天威诚信公司
天威诚信数字认证中心是由北京天威诚信电子商务服务有限公司运营管理的全国性CA认证中心,是信息产业部批准的商业PKI/CA试点企业,也是《中华人民共和国电子签名法》颁布后,首批获得国家信产部颁发的电子认证服务许可证(ECP11010805003)机构。
位于北京的天威诚信数据处理中心作为数字证书的签发管理总中心、客户服务和响应中心,严格遵循ISO/IEC17799-2000信息安全管理体系的规定,配备了专业可靠的运营管理团队,对外提供中国信任体系(CTN,ChinaTrustNetwork)、客户私有信任体系等多种信任服务,同时还为跨国机构或大型公司提供国际认可的全球信任体系服务,使用户轻松拥有全球认可的数字虚拟身份。
天威诚信拥有多年的行业实践经验、完整的产品解决方案、专业可靠的运营管理团队,能够为客户提供完善的规划咨询,帮助客户构建完整的电子认证体系,通过电子签名、加密技术实现客户信息系统间的协作和集成,有效提升了系统的安全等级,保障了数据的不可抵赖。
2数字身份认证体系2.1第一道防线
当前信息安全技术的应用就是满足合法用户的需求以及需求保护信息资产之间取得平衡。
为此,应用系统必须区分用户和非用户,并向不同的用户提供合适的服务。
身份和访问管理就是用来满足这些需要的。
身份和访问管理是在组织机构内保护信息访问的第一道防线。
而诸如防火墙和其他营造安全周边机制是防范组织机构以外的威胁的第一道防线。
身份和访问管理由两部分组成。
身份管理保证人员或系统进程是拥有权力的人员在使用,访问控制机制确认人员或者系统进程已经可靠识别如何利用资源。
随着萨班斯法案的推广和实施,目前海内外公司都在进行一场IT内控的变革,而无论是COSO还是Cobit,以及安全指南的ISO17799都无一例外地将身份识别定位为首要解决的关键问题。
有效的身份识别方式才能够为追溯行为和责任体系,审计证据链提供最有效和最有力的支撑。
这种过程的价值在于它能够:
1)允许有正当理由需要访问的人员访问;
2)通过限制信息资产外露来降低风险;
3)建立监控机制,针对事件追溯具体用户;
4)高效地管理类似的用户群;
5)实现内控符合风险管理的要求。
因而建立更符合法律要求和审计的身份标识方法是每一个优秀企业完善内控,提高企业核心竞争力的必要前提。
2.2身份认证方式
身份认证是实现网络安全的重要机制之一,是安全系统中的第一道关卡,是赋予用户访问权限的依据。
用户在访问受保护的系统之前,首先经过身份认证系统识别身份,然后访问控制器根据用户的身份和授权,决定用户是否能够访问某个资源。
在开始访问后,审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地检测是否有入侵行为。
访问控制和审计系统都要依赖于身份认证系统的提供的信息――用户的身份。
可见身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。
一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
大致上来讲,身份认证可分为用户与主机间的认证、主机与主机之间的认证。
本章主要涉及用户与主机间的身份认证,主机与主机之间的认证在某种程度上可以转换成用户与主机间的身份认证。
用户与主机之间的认证可以基于如下一个或几个因素:
?
用户所知道的东西,如口令;
用户所拥有的东西,如智能卡、动态口令发生器等;
用户所具有的生物特征,如指纹、声纹、视网膜等。
在此基础上,衍生出了众多身份认证方式。
在企业统一的身份认证框架中,集中身份认证系统需要对目前已有的身份认证方式,及未来可能会有的身份认证方式均提供支持,方便管理员根据需要进行选择。
2.2.1认证方式选择
在选择身份认证方式时,需要考虑如下原则:
足够安全。
即认证方式不容易被模仿(包括认证凭证的复制、认证过程的重放)或攻击(包括DOS攻击)。
成本适当。
安全和成本常常成反比,但是对于企业来说,既不能为了降低成本而采用不安全的认证方式,也不能为了片面追求安全而不顾成本,而是要针对不同价值的系统以及其中账号权限的不同选择不同的认证手段。
使用方便。
所有东西都是给人用的,如果因为使用不便而招致反感,则所有的安全措施都形同虚设。
提供开放的API接口,便于将认证方式集成到当前以及未来的应用框架中。
根据这些原则,我们认为“数字证书”的认证方式PKI/CA能够满足当前以及未来的需求。
2.2.2数字证书
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"
我是谁"
的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据:
身份验证机构的数字签名可以确保证书信息的真实性;
用户公钥信息可以保证数字信息传输的完整性;
用户的数字签名可以保证数字信息的不可否认性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。
每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;
同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。
当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。
通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。
采用数字签名,能够确认以下两点:
保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
目前在网上传输信息时,普遍使用X.509V3格式的数字证书。
X.509标准在编排公共密钥密码格式方面已被广为接受。
X.509证书已应用于许多网络安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME等。
随着《电子签名法》的颁布实施,基于PKI数字证书的数字签名也将发挥越来越重要的作用。
数字证书可以存放在计算机的硬盘、随身软盘、IC卡或CUP卡中。
2.2.3PKI/CA
PKI(PublicKeyInfrastructure,公钥基础设施)技术,它使用成熟的公开密钥机制,综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务,通过建设CA(CertificationAuthority,证书认证中心)认证中心为用户签发数字证书,用户在业务系统中使用证书,完成用户的身份认证、访问控制以及信息传输的机密性、完整性和抗抵赖性。
为什么说PKI是一种“基础设施”?
原因很简单,因为它具备了基础设施的主要特征。
让我们将PKI在网络信息空间的地位与供电基础设施在人们生活中的地位进行类比:
供电系统通过伸到用户端的标准插座为用户提供能源;
PKI通过延伸到用户本地的接口为各种应用提供安全服务,包括身份认证、识别、数字签名、加密等。
一方面,作为基础设施,PKI的主要目标是对应用提供支撑,它与使用PKI的应用系统是分离的,它所支撑的对象既包括“旧”的应用也包括“新”的应用,因此具有“公用”的特性;
另一方面。
离开PKI应用系统,PKI本身没有任何用处。
类似地,供电系统基础设施离开电器设备就不能发挥作用,公路基础设施离开了汽车也毫无用处。
正是这种基础设施的特征使得PKI系统设计和开发的效率大大提高,因为PKI系统的设计、开发、生产及管理都可以独立地进行,不需要考虑应用的特殊性。
PKI技术已经被广泛应用于电子世界,被证明是基于互联网的电子商务、政务等应用的最佳安全解决方案。
体系框架
PKI/CA负责生成、管理、存储、分发和吊销公钥证书,完整的PKI/CA体系不仅仅指软硬件系统,还应该是软件、硬件、人员、策略、流程和法律协议等的总和,完整的PKI/CA体系如下图所示:
PKI体系框架图
3ERP安全概述
用友ERP涉及的系统和设备决定了身份标识会成为IT系统安全运维和治理的重点关注对象。
基于用户名/口令的认证方式
基于用户名/口令的认证方式是最常用的一种技术,也是现在用友ERP普遍使用的认证方式,无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录,都是基于用户名和口令的方式认证。
基于用户名/口令的认证方式存在严重的安全问题,是攻击者最容易攻击的目标:
1)它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。
2)为记忆方便,是用户往往选择简单、容易被猜测的口令,如:
与用户名相同的口令、生日、单词等。
这往往成为安全系统最薄弱的突破口。
3)口令一般是经过加密后存放在口令文件中,如果口令文件被窃取,那么就可以进行离线的字典式攻击。
这也是黑客最常用的手段之一。
关于网站安全的调查结果表明:
超过80%的安全入侵是由于用户选用了拙劣的口令而导致的。
由此可以推断,大部分的入侵可以通过选择好的口令来阻止。
应用系统对关键操作的控制
关键操作即对数据交互的安全操作,比如在ERP系统中关键文档的提交和发布,报帐系统中重要信息的传输,财务系统中涉及资金的审批,电子保单中的保单确认等等。
主要涉及了三方面的安全风险:
1)信息的机密性:
传输在客户端与Web服务器之间的敏感、机密信息和交易数据,如客户的私隐信息等,这些数据都是保密的数据。
而通过开放的互联网,有可能在传输过程中被截取,被非法用户加以利用,给用户和企业造成损失。
2)信息的完整性:
在保证信息机密性的同时,还需要保证敏感数据的完整传输。
通过开放的互联网,敏感数据在传输过程中很可能被恶意篡改,使得接收方不能得到完整的信息。
3)信息的不可抵赖性:
是指发送信息的一方不能对自己的发送的信息进行抵赖,不能否认自己发送信息的行为。
由于信息的传输是通过开放的互联网,经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题,给交易的双方带来巨大的影响和损失。
网上交互(交易)行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据(无论是司法取证还是内部管理追溯或者审计)。
身份及资产的管理
无论内部员工还是外部用户,最大的风险就是信息环境中人与用户的关联性。
当前信息安全的发展不仅要求虚拟身份的标识符合应用系统要求,而且强调标识方式符合真实的社会实体要求,即虚拟身份与真实身份唯一对应。
对设备等实物资产同样,无法将真实身份按角色的分配给用户会导致整个管理的混乱,信息孤岛会导致IT的目标与企业战略和股东利益的不一致。
天威诚信为用友ERP提供的解决方案,能够完全解决财务、资金、供应链、客户关系管理、决策支撑、人力资源等丰富系统中的用户认证、数据加密、信息不可否认性等方面存在的安全问题。
4ERP安全整合解决方案4.1可信体系框架
在用友ERP的应用平台中,天威诚信CA中心负责用户身份系统的权威数字证书管理,作为系统的基础支撑模块来完成整个可信平台的建设。
用友ERP系统中身份认证系统的位置
4.2整合身份认证技术4.2.1集成安全架构
在ERP中涉及身份认证以及数字证书应用的结构模块主要有:
认证结构
个人信任代理(PTA)
个人信任代理(PTA)是一个可以应用于客户端和服务器端的软件包,完成对Windows平台证书操作的ActiveX控件,包括证书处理接口、加密/解密处理接口和数字签名处理接口。
利用PTA提供的接口:
使用证书处理接口,可以设置系统证书列表的过滤条件,显示证书的各种属性;
使用加密/解密接口可以产生随机的对称密钥对文件进行加密,以及使用输入的密钥对文件进行解密;
在进行数字签名处理时,对于客户端应用,ActiveX控件由用户访问相关网页时下载到客户端浏览器中,实现使用本地的证书(私钥)对文件进行数字签名,以及对签名进行验证。
对于服务器端应用,ActiveX控件可以安装在服务器上,实现对数字签名的验证,以及利用服务器上配置的证书,进行数字签名计算。
证书解析模块(CPM)
证书解析模块是一系列平台下的动态链接库,用于解析DER或PEM编码的X.509数字证书,将证书中的信息,包括用户名、证书有效期和公钥等信息分解为字符串。
证书验证模块(CVM)
证书验证模块以插件、动态库或ActiveX控件方式提供,实现对证书的验证,证书验证可选择使用CRL或OCSP验证有效性。
通过证书验证,可以保证证书的真实性,保证使用该证书进行的操作的有效性和不可抵赖性。
数据加/解密模块(EDM)
数据加/解密模块是一系列平台下的动态链接库或控件,可以应用于客户端和服务器端,实现对传输数据的加密,对加密数据的解密。
数据签名/验证模块(SVM)
数据签名及验证模块是一系列平台下的动态链接库或控件,可以应用于客户端和服务器端,实现对传输数据的数字签名,和对数字签名及其证书进行验证。
证书的验证可使用CRL或OCSP来进行有效性验证。
应用服务器/Web服务器
运行应用服务本身的服务器和面向用户的服务器,这里即用友ERP系统。
数据库服务器
应用系统本身采用的各种类型数据结构服务器。
比如Oracle数据库。
身份认证中间件(CAmiddleware)
负责证书生命周期的管理,包括证书库的查询,验证信息,向应用系统返回验证确认信息等。
4.2.2登录认证
用友ERP的解决方案涵盖了广泛的业务应用,而一体化的概念能够贯穿实现,首先就必须解决多个应用系统多个用户多个权限的整合,技术上我们可以通过单点登录等技术来实现,由于用户名和密码本身的脆弱性(不便于管理且加密程度不高),因此我们发现最根本的安全问题在于:
如何将用户与登录,合法安全地结合起来?
多因素认证是目前最严密的方式,而证书最符合法律法规对身份标识的要求,因此传统的用户名密码结合证书是身份认证的最佳实践——知道密码、拥有证书。
基于数字证书的登录流程(SSL通道)
整个ERP系统将集成基于数字证书的安全功能,用户安全访问系统的流程为:
1)用户将保存有数字证书的USBKey插入计算机或是使用在本地保存的数字证书,启动客户端程序(基于B/S的IE或者基于C/S的客户端),要求用户选择提交用户证书;
2)用户选择保存在USBKey中的证书或是使用在本地保存的数字证书进行提交,并输入PIN码;
3)需要先通过SSLVPN完成双向身份认证;
认证通过后,用户浏览器和SSLVPN之间建立SSL连接,用户浏览器和服务器之间的数据传输通过SSL通道加密传输;
4)ERP系统验证用户提交的证书,验证用户的真实身份(事前定义验证解析的信息,建议采用唯一标识的证书序列号,也可以用其他信息),并查询系统用户数据库(提前录入),判断用户是否拥有系统的权限;
5)如果验证和查询成功,让用户输入用户名和口令,进行普通用户名口令方式相同的登录;
如果验证和查询失败,用户将无法进行登录。
在用户使用数字证书的方式登录后,在连接超时时,如用户登录后在一段时间内没有进行任何活动时,用户必须再次使用数字证书进行登录,而不能直接通过普通的用户名口令登录方式进行登录。
采用数字证书作为补充登录方式的优势:
机密性
采用数字证书替代传统的用户名、密码登录方式,数字证书的机密性远远高于普通密码(1024位),不需要频繁更换,而由管理中心统一发布、吊销、更新证书。
可用性
通过存储在移动介质(USBKey)私钥来生成数字证书,用户只需要输入PIN码(USBKey密码)即可登录系统(最佳实践结合SSO),简单灵活。
合法性
最重要的是数字证书符合《电子签名法》中对电子证据的定义和要求,对结合数字证书的用户,其身份和权利都通过证书体现。
由于数字证书的惟一性,系统管理中心可以准确地监督和追溯各种合法以及非法用户的行为。
因此在技术上由证书本身支持的国际标准和格式来保障;
同时可以由国家法律以及行业的政策支持;
并且符合目前企业对内控、治理的基本要求;
因而通过数字证书能够解决在登录应用中出现的安全风险。
4.2.3电子签名
电子签名是法律赋予可以追溯的行为证据,是取证、审计的重要依据。
用户使用数字证书,登录到ERP系统后,可以向ERP系统提交电子订单(各种单据、文件等),进行电子订单交互,如下图所示,包括下列步骤:
电子订单安全交互流程图
用户登录ERP系统后,完成交互请求,之后向服务器提交订单确认请求:
1)用户和ERP平台(Web服务器或者应用服务器)之间完成双向身份认证,完成对用户的访问控制流程。
2)用户在线的填写电子订单,向ERP系统进行提交,点击提交后,系统调用PTA(个人信任代理)模块,使用用户的个人身份证书,对提交的电子订单进行数字签名,签名时是使用个人的私钥,需要用户输入USBKey的保护口令。
3)用户输入USBKey的保护口令,系统调用PTA模块,使用企业证书私钥对电子订单进行数字签名,并将电子订单及其签名经过SSL安全通道,传输给电子订单系统Web服务器。
在进行安全传输时,是使用SSL会话产生的128位的会话密钥对电子订单及其数字签名进行加密。
4)ERP系统得到用户的电子订单及其数字签名后,调用SVM(数字签名/验证模块),对电子订单的数字签名进行验证,以证实电子订单的确是交易用户提交的,并确定用户的真实身份,不能对提交的电子订单进行抵赖。
并且,验证电子订单在传输的过程中是没有被别人更改过的,是完整的和有效的。
5)数字签名验证通过后,ERP将用户提交的电子订单及其数字签名保存到应用系统数据库中或者天威诚信的CA中间件中,作为将来安全审计的依据;
6)然后,将电子订单传给应用服务器,进行与业务相关的处理,并将处理结果保存到数据库中。
7)应用服务器处理完成后,会产生一个确认回执,通过ERP服务器返回给各用户。
在返回之前,需要根据用户信息返回确认回执。
此时,ERP服务器会调用SVM(数据签名/验证模块)对确认回执进行数字签名。
8)ERP服务器使用对应的证书的私钥对确认回执进行数字签名后,将确认回执及其数字签名返回给用户客户端(浏览器)。
9)用户可以对返回的确认回执的数字签名进行验证,调用PTA(个人信任代理)模块,验证确认回执的数字签名的真实性、有效性和完整性,来验证确认回执的确是由ERP系统返回的,系统不能对确认回执进行抵赖,并且是没有被别人窜改过的,是完整的。
10)用户对确认回执验证通过后,电子订单的提交和确认完成,整个电子订单的安全交互流程结束。
4.2.4身份认证中间件
天威诚信身份认证应用系统解决方案总的来说是一个配置的系统,功能的实现主要是通过配置来实现的,对用户的业务系统的改动极少,实现了与业务系统的松散耦合,将对用户业务系统的影响降到了最低。
原理图如图一所示:
身份认证应用系统(电子签名)解决方案原理图
当客户端进行正常业务需要PKI服务时,客户端脚本会首先访问PKI应用服务器的WEB应用,将业务的PKI请求提交给PKI应用服务器,然后将PKI服务的执行结果返回给客户端,并继续正常的业务流程将数据提交给业务系统。
业务系统的服务器接收到客户端提交的交易数据后,部署在业务系统服务器上的服务器插件会截获提交的数据,将与客户端的PKI服务对应的PKI服务请求提交给PKI应用服务器,PKI应用服务器将PKI服务的执行结果返回给业务系统,如果执行成功则业务流程将继续,否则将中断当前的业务流程。
PKI应用服务器在执行完PKI服务后将交易证据信息保存到证据数据库,方便今后取证。
证据系统管理员可以通过证据管理与配置站点管理交易证据信息和相关的配置信息。
这样的网络结构可以根据实际情况灵活的部署各个功能模块,实现了与业务系统的松散耦合,将对业务系统的影响降到了最低。
特点
天威诚信身份认证应用服务(中间件)的特点:
缩短应用开发周期
天威诚信中间件完成大部分与数字证书相关的操作,对于与ERP集成的工作侧重于开放相应的数据接口,减少了项目执行的开发周期。
减少项目开发风险
身份认证中间件负责数字证书的应用和管理,对ERP应用系统
升级会员 