自建CA認(rèn)證系統(tǒng)實(shí)用方案

. . . .. . . ........自建CA認(rèn)證系統(tǒng)有用方案一、CA網(wǎng)絡(luò)身份認(rèn)證風(fēng)險(xiǎn)問(wèn)題亟待解決：〔圖一)身份認(rèn)證是第一道防線保護(hù)，一旦入侵者冒充合法身份進(jìn)入，系統(tǒng)安全蕩然無(wú)存。基于用戶名/口令的認(rèn)證方式是最常用的一種技術(shù)，也是現(xiàn)在財(cái)務(wù)系統(tǒng)使用登錄，都是基于用戶名和口令的方式認(rèn)證。基于用戶名/口令的認(rèn)證方式存在嚴(yán)峻的安全問(wèn)題，是攻擊者最簡(jiǎn)潔攻擊的目標(biāo)：一樣的口令、生日、單詞等。這往往成為安全系統(tǒng)最薄弱的突破口。就可以進(jìn)展離線的字典式攻擊。這也是黑客最常用的手段之一。最近屢屢爆出的口令泄密大事，如CSDN、天際、浪微博、省進(jìn)出境治理200信息泄露風(fēng)險(xiǎn)Web獲得，將會(huì)給企業(yè)財(cái)務(wù)系統(tǒng)帶來(lái)致命威逼。sniffer，無(wú)法讀懂。信息泄露，尤其是用戶名+口令的認(rèn)證信息泄露，將會(huì)給業(yè)務(wù)系統(tǒng)帶來(lái)致命風(fēng)險(xiǎn)：法律和責(zé)任風(fēng)險(xiǎn)

〔圖二) 信息泄露例如仲裁的依據(jù)〔無(wú)論是司法取證還是部治理追溯或者審計(jì)，法律和責(zé)任風(fēng)險(xiǎn)無(wú)法掌握。以下圖為互聯(lián)網(wǎng)交易中，消息篡改例如：〔圖三) 信息篡改例如二、CA國(guó)家法規(guī)政策要求必需加強(qiáng)身份認(rèn)證治理品。的要求，對(duì)于身份認(rèn)證和通訊加密提出了明確要求。PKI/CA〔圖四) 符合電子簽名法企業(yè)控必需加強(qiáng)身份認(rèn)證治理隨著薩班斯法案的推廣和實(shí)施，目前海外公司都在進(jìn)展一場(chǎng)IT控的變革，審計(jì)證據(jù)鏈供給最有效和最有力的支撐。整體安全需要加強(qiáng)身份認(rèn)證治理三、CACAPKI/CACAU〕的強(qiáng)身份認(rèn)證、防止公網(wǎng)竊聽(tīng)、保障信息不被非法修改、實(shí)現(xiàn)業(yè)信息安全。CACA認(rèn)證系統(tǒng)是平臺(tái)的核心部件，用于向平臺(tái)應(yīng)用供給數(shù)字證書治理支下載等操作，部署敏捷，操作簡(jiǎn)潔。個(gè)人PC終端個(gè)人PC終端Web效勞器 OCSP效勞器SCEP效勞器 時(shí)間戳效勞器簽發(fā)效勞器密碼卡個(gè)人PC終端防火墻防火墻數(shù)據(jù)庫(kù)PADCA治理名目效勞器手機(jī)證書驗(yàn)證效勞網(wǎng)上交易系統(tǒng)數(shù)據(jù)庫(kù)用戶功能說(shuō)明

〔圖五) CA系統(tǒng)構(gòu)造圖CA系統(tǒng)具有高強(qiáng)度的自身安全治理功能，供給用戶數(shù)字證書、密鑰的安全治理，通過(guò)U盾存放用戶數(shù)字證書，具體功能包括：證書和證書黑治理：供給基于U盾的用戶數(shù)字證書申請(qǐng)、審核、下載、更、注銷、恢復(fù)等治理，定時(shí)簽發(fā)或者手工簽發(fā)證書黑，并進(jìn)展公布，證書黑中的數(shù)字證書將不再受信任。用戶密鑰治理：用戶數(shù)字證書中的密鑰由密鑰治理模塊生成，該模塊供給非對(duì)稱密鑰對(duì)的預(yù)生成、用戶密鑰對(duì)分發(fā)、密鑰對(duì)恢復(fù)、用戶密鑰取證恢復(fù)等治理功能。簽名/治理，全部證書狀態(tài)轉(zhuǎn)變，都通過(guò)電子進(jìn)展通知。遠(yuǎn)程設(shè)備證書治理：支持國(guó)外主流網(wǎng)絡(luò)設(shè)備的SCEP遠(yuǎn)程證書申請(qǐng)，包括路由器、網(wǎng)關(guān)、VPN、防火墻等。iOSIEFirefoxSofariChrome等。安全審計(jì)：供給關(guān)鍵業(yè)務(wù)操作的審計(jì)功能，對(duì)業(yè)務(wù)操作進(jìn)展簽名，并提示，并追溯到具體的責(zé)任人。系統(tǒng)特性 證徹底解決登錄的安全問(wèn)題。 強(qiáng)密碼：基于密碼硬件供給高強(qiáng)度的密碼算法進(jìn)展數(shù)據(jù)加密傳輸，防止信息泄露。 CA改，信息和操作可溯源，責(zé)任落實(shí)到操作人。 強(qiáng)自保：安全認(rèn)證系統(tǒng)自身承受多級(jí)治理體系，使用密碼硬件進(jìn)展密鑰管理，充分保障系統(tǒng)自身的安全性。 強(qiáng)擴(kuò)展：供給關(guān)于集團(tuán)企業(yè)信息化安全的整體解決方案，使用同一個(gè)U可以擴(kuò)展到多種應(yīng)用系統(tǒng)。 高效率：供給局域網(wǎng)的在線證書實(shí)時(shí)驗(yàn)證效勞，系統(tǒng)運(yùn)行效率高并且穩(wěn)定牢靠。CA認(rèn)證系統(tǒng)的集成接口，CA現(xiàn)一Key為客戶安全使用財(cái)務(wù)系統(tǒng)系統(tǒng)保駕護(hù)航。CACA系統(tǒng)部署：在財(cái)務(wù)系統(tǒng)效勞器的同一個(gè)機(jī)房部署一套功能完善的安全業(yè)務(wù)數(shù)據(jù)防篡改、信息加密傳輸、數(shù)據(jù)庫(kù)敏感數(shù)據(jù)加密等安全功能。PCPCI-ECA和高速密碼運(yùn)算。Java下載。 UsbKey SSLVPNSSL驗(yàn)證資金系統(tǒng)密碼運(yùn)算財(cái)務(wù)系統(tǒng)CA認(rèn)證系統(tǒng)業(yè)務(wù)審計(jì)電子商務(wù)InternetSSL安全網(wǎng)關(guān)KEY證書效勞證書頒發(fā)KEKE財(cái)務(wù)用戶財(cái)務(wù)用戶財(cái)務(wù)系統(tǒng)集成流程

〔圖六) CA部署方式登錄治理和業(yè)務(wù)簽名/驗(yàn)簽、業(yè)務(wù)審計(jì)等功能。系統(tǒng)治理員(1)系統(tǒng)治理員(1)證書申請(qǐng)、更〔3〕在線驗(yàn)證用戶身份數(shù)字證書〔4〕驗(yàn)證簽名、業(yè)務(wù)審計(jì)KE〔2〕系統(tǒng)登錄、簽名S通道加密單點(diǎn)登錄掌握SSLVPN網(wǎng)關(guān)系統(tǒng)用戶〔圖七) 統(tǒng)結(jié)合的處理流程

財(cái)務(wù)系統(tǒng)效勞器〔圖八) 財(cái)務(wù)系統(tǒng)集成CA證書應(yīng)用總體流程四、CA工程治理治理工作，確保工程質(zhì)量并到達(dá)預(yù)期目標(biāo)。方案制定實(shí)施打算和實(shí)施方案：進(jìn)展風(fēng)險(xiǎn)治理。定期溝通工程進(jìn)展?fàn)顩r.環(huán)境預(yù)備硬件預(yù)備序號(hào)序號(hào)硬件名稱簡(jiǎn)介配置狀況備注供給用戶數(shù)字證書申請(qǐng)、審核、PC1GCPU1.2G1下載、更、注銷等治理功能，Hz320G硬盤以上、至1是網(wǎng)上身份治理的權(quán)威機(jī)構(gòu)。少一個(gè)PCI-E安裝在CA系統(tǒng)效勞器，供給為安全認(rèn)證系統(tǒng)供給密鑰治理、2加密卡RSA、SM2、SM1、SM3算法支1密碼運(yùn)算功能。持。供給用戶證書存儲(chǔ)功能，登錄系供給RSA、SM2、SM1、SM33統(tǒng)時(shí)需要供給UUSB2.0依據(jù)用戶數(shù)確定軟件預(yù)備

系統(tǒng)硬件配置序號(hào)序號(hào)軟件名稱簡(jiǎn)介配置狀況備注1供給用戶數(shù)字證書申請(qǐng)、審核、安裝在CA序號(hào)軟件名稱簡(jiǎn)介配置狀況 備注下載、更、注銷等治理功能，windows2023Linux是網(wǎng)上身份治理的權(quán)威機(jī)構(gòu)。環(huán)境，連接Mysql接口開發(fā)包，與財(cái)務(wù)治理系統(tǒng)集部署在業(yè)務(wù)效勞器、OA2電子簽名中間件成完成身份認(rèn)證、數(shù)據(jù)加密、數(shù)字簽名等功能〔表二) 軟件配置上面。安裝調(diào)試環(huán)境預(yù)備支持，幫助客戶預(yù)備系統(tǒng)實(shí)施的軟件和硬件環(huán)境。安裝操作系統(tǒng)、安裝數(shù)據(jù)庫(kù)。CA建立治理體系，設(shè)立治理員、操作員、審計(jì)員。安裝接口和效勞器證書。CAServer。簽發(fā)測(cè)試證書，完成登錄、簽名/驗(yàn)簽業(yè)務(wù)的測(cè)試。完成證書應(yīng)用的集成部署。治理崗位設(shè)置崗位名稱崗位職責(zé)設(shè)置流程超級(jí)治理員依據(jù)公司的組織架構(gòu)，密碼安全治理策略對(duì)系統(tǒng)進(jìn)展初CA崗位名稱崗位職責(zé)設(shè)置流程超級(jí)治理員依據(jù)公司的組織架構(gòu)，密碼安全治理策略對(duì)系統(tǒng)進(jìn)展初CA始化。治理業(yè)務(wù)治理員、錄入操作員、審核操作員。審計(jì)治理員日志治理。CA業(yè)務(wù)審計(jì)、歸檔。業(yè)務(wù)統(tǒng)計(jì)。業(yè)務(wù)治理員業(yè)務(wù)治理員系統(tǒng)配置治理。超級(jí)治理員制作業(yè)務(wù)CRL，子CA治理員證書證書模板治理。錄入操作員負(fù)責(zé)對(duì)證書的申請(qǐng)、下載、廢除等操作；并維護(hù)證書與超級(jí)治理員制作錄入財(cái)務(wù)系統(tǒng)用戶標(biāo)識(shí)PK的綁定關(guān)系。操作員證書收到財(cái)務(wù)系統(tǒng)治理員的增證書懇求后，在CA系統(tǒng)中填寫申請(qǐng)單，提交給審核員。簽發(fā)證書至證書介質(zhì)〔USBKey〕中。在證書與用戶綁定系統(tǒng)中將證書〔USBKey〕與財(cái)務(wù)系統(tǒng)用戶綁定起來(lái)。將證書〔USBKey〕交付給財(cái)務(wù)系統(tǒng)用戶，并在交付時(shí)雙方需填寫證書移交單。審核操作員對(duì)操作員提交的證書申請(qǐng)進(jìn)展審核，檢查核實(shí)信息的真超級(jí)治理員制作審核實(shí)性。操作員證書財(cái)務(wù)系統(tǒng)用戶負(fù)責(zé)治理自己的證書USBKe；錄入操作員完成信息從系統(tǒng)治理員處接收證書USBKe，并填寫證書移交單；后，自己下載證書。修改證書〔USBKey〕初始密碼，并通知財(cái)務(wù)系統(tǒng)治理員開通自己的財(cái)務(wù)系統(tǒng)用戶權(quán)限?！脖砣? 崗位設(shè)置證書治理流程用戶申請(qǐng)：用戶或操作員登陸證書治理系統(tǒng)，填寫用戶信息，提交申請(qǐng)CA證書的申請(qǐng)單。部門領(lǐng)導(dǎo)部門領(lǐng)導(dǎo)登陸系統(tǒng)，審核用戶的申請(qǐng)單。反之不通過(guò)。操作員制作證書：操作員依據(jù)審核員審批通過(guò)的證書申請(qǐng)單，將證書信息下載到一個(gè)的USB-KEY中，一的證書就制作好了。操作員移交證書：證書治理員將證書〔USBKey〕及證書有效期移交給給最〔證書需隨身攜帶，密碼需修改且建議不與財(cái)務(wù)系統(tǒng)密碼全都，雙方填寫證書移交表。用戶使用證書：最終用戶修改證書〔USBKey〕密碼。對(duì)證書進(jìn)展延期處理。證書廢除：最終用戶覺(jué)察證書喪失后，需馬上向證書操作員報(bào)失，以便馬上對(duì)證書做廢除處理；并通知財(cái)務(wù)系統(tǒng)治理員關(guān)閉該財(cái)務(wù)系統(tǒng)用戶權(quán)限。證書分類如下：證書分類證書分類證書名稱生成流程備注系統(tǒng)證書初始化時(shí)生成。根密鑰備份。治理員證書見(jiàn)治理崗位設(shè)置流程審計(jì)治理員證書。業(yè)務(wù)治理員證書。錄入操作員證書。審核操作員證書。效勞器證書財(cái)務(wù)系統(tǒng)效勞器證書。由操作員生成，以支持SCEP網(wǎng)銀適配器證書。Pkcs#12用戶證書財(cái)務(wù)人員證書。由操作員生成，發(fā)放用戶安裝