CA技术方案

用友NC-天威诚信CA技术方案目录1前言...11.1天威诚信携手用友NC，开辟安全可靠的ERP之路...11.2天威诚信公司...12数字身份认证体系...32.1第一道防线...32.2身份认证方式...32.2.1认证方式选择...42.2.2数字证书...52.2.3PKI/CA..63ERP安全概述...74ERP安全整合解决方案...94.1可信体系框架...94.2整合身份认证技术...94.2.1集成安全架构...94.2.2登录认证...114.2.3电子签名...134.2.4身份认证中间件...144.3整合ERP应用...164.3.1NC集团资金管理安全解决方案...164.3.2NC资金登录以及签名演示...185CA建设...205.1建设模式...205.2认证体系设计...225.3iTrusCA系统...245.3.1自建电子认证服务CA特点...245.3.2托管电子认证服务CA特点...255.3.3一体化扩展方案...265.4证书存储介质...275.5证书工作流程设计...275.6策略要求...281前言1.1天威诚信携手用友NC，开辟安全可靠的ERP之路用友软件是是中国最大的管理软件、ERP软件、财务软件、集团管理软件供应商。用友NC是用友公司面向集团型企业和高成长型企业推出的高端ERP产品，涵盖从集中财务管理、供应链管理、等全面应用，全面支持企业各项经营，是集团企业协同电子商务的有效手段。用友NC与天威数字PKI/CA产品和服务的整合方案，是一次强强联合。用友NC核心管理理念是“协同商务、集中管理”，其中“协同商务”是致力于集团企业各组织间以及企业员工之间、上下游供应商、伙伴、客户等在信息共享的基础上的协同工作。而天威诚信作为专业的电子认证服务运营商和CA产品提供商，实现了用友NC用户多方安全协同工作，保障信息传递的机密性、保障电子化信息交互的层面上双方（多方）行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力，得到《中华人民共和国电子签名法》法律的保障。目前，用友NC系统已经成功支持天威诚信CA产品和服务，NC系统只需简单的部署和配置，就可以实现基于数字证书的各种安全功能，保障系统高效、成功地实施。迄今为止，天威诚信PKI/CA安全解决方案已在众多大型集团企业的资金管理系统中成功应用。天威诚信不但以高可靠性的产品及优质的技术支持能力成为用友集团CA认证合作伙伴，近期，用友集团在众多产品提供商内选择了天威诚信CA产品构建了用友集团内部CA认证系统，为用友50多家分子公司，上千名员工提供身份认证、财务数据申报、审批等安全应用，为亚洲本土最大的软件提供商-用友集团内网系统的安全保驾护航。1.2天威诚信公司天威诚信数字认证中心是由北京天威诚信电子商务服务有限公司运营管理的全国性CA认证中心，是信息产业部批准的商业PKI/CA试点企业，也是《中华人民共和国电子签名法》颁布后，首批获得国家信产部颁发的电子认证服务许可证（ECP11010805003）机构。位于北京的天威诚信数据处理中心作为数字证书的签发管理总中心、客户服务和响应中心，严格遵循ISO/IEC17799-2000信息安全管理体系的规定，配备了专业可靠的运营管理团队，对外提供中国信任体系（CTN，ChinaTrustNetwork）、客户私有信任体系等多种信任服务，同时还为跨国机构或大型公司提供国际认可的全球信任体系服务，使用户轻松拥有全球认可的数字虚拟身份。天威诚信拥有多年的行业实践经验、完整的产品解决方案、专业可靠的运营管理团队，能够为客户提供完善的规划咨询，帮助客户构建完整的电子认证体系，通过电子签名、加密技术实现客户信息系统间的协作和集成，有效提升了系统的安全等级，保障了数据的不可抵赖。2数字身份认证体系2.1第一道防线当前信息安全技术的应用就是满足合法用户的需求以及需求保护信息资产之间取得平衡。为此，应用系统必须区分用户和非用户，并向不同的用户提供合适的服务。身份和访问管理就是用来满足这些需要的。身份和访问管理是在组织机构内保护信息访问的第一道防线。而诸如防火墙和其他营造安全周边机制是防范组织机构以外的威胁的第一道防线。身份和访问管理由两部分组成。身份管理保证人员或系统进程是拥有权力的人员在使用，访问控制机制确认人员或者系统进程已经可靠识别如何利用资源。随着萨班斯法案的推广和实施，目前海内外公司都在进行一场IT内控的变革，而无论是COSO还是Cobit，以及安全指南的ISO17799都无一例外地将身份识别定位为首要解决的关键问题。有效的身份识别方式才能够为追溯行为和责任体系，审计证据链提供最有效和最有力的支撑。这种过程的价值在于它能够：1)允许有正当理由需要访问的人员访问；2)通过限制信息资产外露来降低风险；3)建立监控机制，针对事件追溯具体用户；4)高效地管理类似的用户群；5)实现内控符合风险管理的要求。因而建立更符合法律要求和审计的身份标识方法是每一个优秀企业完善内控，提高企业核心竞争力的必要前提。2.2身份认证方式身份认证是实现网络安全的重要机制之一，是安全系统中的第一道关卡，是赋予用户访问权限的依据。用户在访问受保护的系统之前，首先经过身份认证系统识别身份，然后访问控制器根据用户的身份和授权，决定用户是否能够访问某个资源。在开始访问后，审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统的提供的信息――用户的身份。可见身份认证在安全系统中的地位极其重要，是最基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。大致上来讲，身份认证可分为用户与主机间的认证、主机与主机之间的认证。本章主要涉及用户与主机间的身份认证，主机与主机之间的认证在某种程度上可以转换成用户与主机间的身份认证。用户与主机之间的认证可以基于如下一个或几个因素：?用户所知道的东西，如口令；?用户所拥有的东西，如智能卡、动态口令发生器等；?用户所具有的生物特征，如指纹、声纹、视网膜等。在此基础上，衍生出了众多身份认证方式。在企业统一的身份认证框架中，集中身份认证系统需要对目前已有的身份认证方式，及未来可能会有的身份认证方式均提供支持，方便管理员根据需要进行选择。2.2.1认证方式选择在选择身份认证方式时，需要考虑如下原则：?足够安全。即认证方式不容易被模仿（包括认证凭证的复制、认证过程的重放）或攻击（包括DOS攻击）。?成本适当。安全和成本常常成反比，但是对于企业来说，既不能为了降低成本而采用不安全的认证方式，也不能为了片面追求安全而不顾成本，而是要针对不同价值的系统以及其中账号权限的不同选择不同的认证手段。?使用方便。所有东西都是给人用的，如果因为使用不便而招致反感，则所有的安全措施都形同虚设。?提供开放的API接口，便于将认证方式集成到当前以及未来的应用框架中。根据这些原则，我们认为“数字证书”的认证方式PKI/CA能够满足当前以及未来的需求。2.2.2数字证书数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决我是谁的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。数字证书一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据：?身份验证机构的数字签名可以确保证书信息的真实性；?用户公钥信息可以保证数字信息传输的完整性；?用户的数字签名可以保证数字信息的不可否认性。数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：?保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；?保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。目前在网上传输信息时，普遍使用X.509V3格式的数字证书。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全，其中包括IPSec（IP安全）、SSL、SET、S/MIME等。随着《电子签名法》的颁布实施，基于PKI数字证书的数字签名也将发挥越来越重要的作用。数字证书可以存放在计算机的硬盘、随身软盘、IC卡或CUP卡中。2.2.3PKI/CAPKI（PublicKeyInfrastructure，公钥基础设施）技术，它使用成熟的公开密钥机制，综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务，通过建设CA（CertificationAuthority，证书认证中心）认证中心为用户签发数字证书，用户在业务系统中使用证书，完成用户的身份认证、访问控制以及信息传输的机密性、完整性和抗抵赖性。为什么说PKI是一种“基础设施”？原因很简单，因为它具备了基础设施的主要特征。让我们将PKI在网络信息空间的地位与供电基础设施在人们生活中的地位进行类比：供电系统通过伸到用户端的标准插座为用户提供能源；PKI通过延伸到用户本地的接口为各种应用提供安全服务，包括身份认证、识别、数字签名、加密等。一方面，作为基础设施，PKI的主要目标是对应用提供支撑，它与使用PKI的应用系统是分离的，它所支撑的对象既包括“旧”的应用也包括“新”的应用，因此具有“公用”的特性；另一方面。离开PKI应用系统，PKI本身没有任何用处。类似地，供电系统基础设施离开电器设备就不能发挥作用，公路基础设施离开了汽车也毫无用处。正是这种基础设施的特征使得PKI系统设计和开发的效率大大提高，因为PKI系统的设计、开发、生产及管理都可以独立地进行，不需要考虑应用的特殊性。PKI技术已经被广泛应用于电子世界，被证明是基于互联网的电子商务、政务等应用的最佳安全解决方案。体系框架PKI/CA负责生成、管理、存储、分发和吊销公钥证书，完整的PKI/CA体系不仅仅指软硬件系统，还应该是软件、硬件、人员、策略、流程和法律协议等的总和，完整的PKI/CA体系如下图所示：PKI体系框架图3ERP安全概述用友ERP涉及的系统和设备决定了身份标识会成为IT系统安全运维和治理的重点关注对象。?基于用户名/口令的认证方式基于用户名/口令的认证方式是最常用的一种技术，也是现在用友ERP普遍使用的认证方式，无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录，都是基于用户名和口令的方式认证。基于用户名/口令的认证方式存在严重的安全问题，是攻击者最容易攻击的目标：1)它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充。2)为记忆方便，是用户往往选择简单、容易被猜测的口令，如：与用户名相同的口令、生日、单词等。这往往成为安全系统最薄弱的突破口。3)口令一般是经过加密后存放在口令文件中，如果口令文件被窃取，那么就可以进行离线的字典式攻击。这也是黑客最常用的手段之一。关于网站安全的调查结果表明：超过80％的安全入侵是由于用户选用了拙劣的口令而导致的。由此可以推断，大部分的入侵可以通过选择好的口令来阻止。?应用系统对关