u8安全解決方案天威誠(chéng)信_(tái)W

1、 天威誠(chéng)信為用友 U8 客戶信息安全保駕護(hù)航（V 1.0）北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司2008 年 6 月 用友 U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案目錄目錄 、 概述1二、 U8 系統(tǒng)需求分析2三、 U8 數(shù)字認(rèn)證方案的優(yōu)勢(shì)3四、 針對(duì) U8 的 CA 部署模式54.1 第三方托管 CA 服務(wù)54.1.14.1.2概述5第三方托管 CA 模式64.2 企業(yè)自建 CA 系統(tǒng)74.2.14.2.24.2.3概述7系統(tǒng)構(gòu)成8系統(tǒng)功能9五、 CA 認(rèn)證運(yùn)行環(huán)境建議116.1 完全托管模式116.2 本地 RA 模式116.3 自建型 CA 認(rèn)證系統(tǒng)12六、 天威誠(chéng)信介紹及案例137.1 天威誠(chéng)信介紹

2、137.2 與用友的成功案例17北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案第 1 頁(yè) 共 18 頁(yè)一、概述天威誠(chéng)信數(shù)字認(rèn)證中心是由北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司運(yùn)營(yíng)管理的全 天威誠(chéng)信擁有多年的行業(yè)實(shí)踐經(jīng)驗(yàn)、完整的產(chǎn)品解決方案、專業(yè)可靠的運(yùn)營(yíng)管理團(tuán)隊(duì)，能夠?yàn)榭蛻籼峁┩晟频囊?guī)劃咨詢，幫助客戶構(gòu)建完整的電子認(rèn)證體系，通過電子簽名、加密技術(shù)實(shí)現(xiàn)客戶信息系統(tǒng)間的協(xié)作和集成，有效提升了系統(tǒng)的安全等級(jí)，保障了數(shù)據(jù)的不可抵賴。作為電子認(rèn)證行業(yè)的代表，天威誠(chéng)信參與了國(guó)家相關(guān)部門對(duì)電子認(rèn)證服務(wù)業(yè)體系規(guī)劃，同時(shí)在國(guó)家質(zhì)量技術(shù)監(jiān)督

3、局的領(lǐng)導(dǎo)下，參與了CA 中心建設(shè)和運(yùn)營(yíng)管理規(guī)范 等制定工作。在人民電子簽名法的起草過程中，天威誠(chéng)信作為業(yè)界最 為規(guī)范的認(rèn)證中心，積極配合相關(guān)單位的立法工作，并作為專家參與了電子認(rèn)證服務(wù)管理辦法的起草工作。天威誠(chéng)信數(shù)字認(rèn)證中心作為國(guó)內(nèi)知名的電子認(rèn)證服務(wù)提供商，致力于為公眾提供全面的電子認(rèn)證服務(wù)，可以保障客戶 ERP、CRM、資金管理、OA、網(wǎng)上支付、網(wǎng)上交易、Web 站點(diǎn)、Email 等等企業(yè)內(nèi)部應(yīng)用、電子商務(wù)和電子政務(wù)應(yīng)用安全。 用友軟件產(chǎn)品致力于企業(yè)各組織間以及企業(yè)與供應(yīng)商、客戶、合作伙伴在信息共享的基礎(chǔ)上的協(xié)同工作。用友 ERP-U8 是一套企業(yè)級(jí)的解決方案，滿足不同的競(jìng)爭(zhēng)環(huán)境 下，不同的

4、制造、商務(wù)模式下，以及不同的運(yùn)營(yíng)模式下的企業(yè)經(jīng)營(yíng)，實(shí)現(xiàn)從企業(yè)日常運(yùn)營(yíng)、人力資源管理到辦公事務(wù)處理等全方位的產(chǎn)品解決方案。用友 ERPU8 是以集成的信息管理為基礎(chǔ)，以規(guī)范企業(yè)運(yùn)營(yíng)，改善經(jīng)營(yíng)成果為目標(biāo)，幫助企業(yè)“優(yōu)化資源， 提升管理”，實(shí)現(xiàn)面向市場(chǎng)的贏利性增長(zhǎng)。 作為用友軟件 2007 年杰出產(chǎn)品合作伙伴，天威誠(chéng)信將為用戶 ERP-U8 系統(tǒng)提供安全領(lǐng)先的信息安全解決方案。在以下的章節(jié)，我們將集中討論在用友 ERP-U8 系統(tǒng)中存在的信息安全風(fēng)險(xiǎn)，并提出天威誠(chéng)信的安全解決方案。北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠(chéng)信數(shù)字證書

5、結(jié)合方案第 2 頁(yè) 共 18 頁(yè)二、U8 系統(tǒng)需求分析用友 ERP-U8 是一個(gè)企業(yè)綜合運(yùn)營(yíng)平臺(tái)，用以解決不同滿足各級(jí)管理者對(duì)信息化的 不同要求：為高層經(jīng)營(yíng)管理者提供大量收益與風(fēng)險(xiǎn)的決策信息，輔助企業(yè)制定長(zhǎng)遠(yuǎn)發(fā)展戰(zhàn)略；為中層管理人員提供企業(yè)各個(gè)運(yùn)作層面的運(yùn)作狀況，幫助做到各種的監(jiān)控、發(fā)現(xiàn)、分析、解決、反饋等處理流程，幫助做到投入產(chǎn)出最優(yōu)配比；為基層管理人員提供便利的作業(yè)環(huán)境，易用的操作方式實(shí)現(xiàn)工作崗位、工作職能的有效履行。可以說擁有 U8 以后，企業(yè)所有的信息化數(shù)據(jù)都在 U8 系統(tǒng)中保存和流轉(zhuǎn)，這就對(duì) U8 系統(tǒng)的安全提出了更高的要求，眾多的用戶在 U8 的日常使用中，歸結(jié)起來，安全需求主要有

6、以下幾個(gè)方面：身份認(rèn)證和訪問控制：U8 系統(tǒng)必須嚴(yán)格控制并識(shí)別用戶的身份，登錄到 U8 系統(tǒng)的必須是相關(guān)業(yè)務(wù)人員，系統(tǒng)必須對(duì)登錄人的身份需求做嚴(yán)格的身份認(rèn)證控 制，在目前 U8 系統(tǒng)普遍采用的“用戶名、認(rèn)證要求； ”無法達(dá)到高強(qiáng)度的系統(tǒng)身份信息性和完整性：U8 系統(tǒng)是開放的業(yè)務(wù)平臺(tái)，業(yè)務(wù)數(shù)據(jù)一般在網(wǎng)絡(luò)上（有 的 U8 用戶的業(yè)務(wù)數(shù)據(jù)甚至在互聯(lián)網(wǎng)傳遞）傳輸，業(yè)務(wù)平臺(tái)數(shù)據(jù)的重要性要求乏強(qiáng)有力的信息數(shù)據(jù)性和完整性保障機(jī)制； 我們分析的以上信息安全需求，都可以通過在 U8 系統(tǒng)部署 PKI/CA 數(shù)字認(rèn)證產(chǎn)品解決。下面我們介紹 PKI/CA 方案的優(yōu)勢(shì)和 CA 系統(tǒng)的部署模式，客戶根據(jù)自身的情況選擇合

7、適的 CA 服務(wù)形式，部署一個(gè)既符合 U8 系統(tǒng)安全要求，又滿足法律法規(guī) 要求的 PKI/CA 系統(tǒng)。 北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案第 3 頁(yè) 共 18 頁(yè)三、U8 數(shù)字認(rèn)證方案的優(yōu)勢(shì)通過上面的分析，在 U8 業(yè)務(wù)平臺(tái)中存在的信息安全風(fēng)險(xiǎn)，就是天威誠(chéng)信 U8 數(shù)字認(rèn)證安全解決方案的主要關(guān)注點(diǎn)，即通過基于 PKI 的數(shù)字認(rèn)證技術(shù)，為 U8 客戶提供用戶安全身份認(rèn)證、信息加密和信息完整性保護(hù)及信息數(shù)字簽名抗抵賴保護(hù)等安全功能。用友 ERP-U8 系統(tǒng)已經(jīng)成功集成了天威誠(chéng)信的數(shù)字證書接口，因此，基于

8、U8 系 統(tǒng)構(gòu)建的企業(yè)財(cái)務(wù)管理、集團(tuán)應(yīng)用、客戶關(guān)系管理、供應(yīng)鏈管理、生產(chǎn)制造、分銷管 理、零售管理、決策支持、人力資源以及 OA 等應(yīng)用中，可以直接使用天威誠(chéng)信提供的數(shù)字證書功能，系統(tǒng)不必作任何改動(dòng)，只需要部署天威誠(chéng)信的數(shù)字證書功能實(shí)現(xiàn)代碼就可以完成對(duì) U8 系統(tǒng)的證書應(yīng)用改造。改造完成后，能夠?yàn)?U8 系統(tǒng)提供基于數(shù)字證書的以下安全保護(hù)： n 基于數(shù)字證書的 U8 安全登錄登錄 U8 系統(tǒng)時(shí)，將用數(shù)字證書替換掉原有安全級(jí)別較低的“用戶名/口令”登錄方式，用戶需要在計(jì)算機(jī)插入 USB KEY，使用 USB KEY 登錄 U8 系統(tǒng)；防止非授權(quán)用戶的惡意攻擊及“用戶名/口令”被盜等，提高 U8

9、系統(tǒng)的登錄認(rèn)證強(qiáng)度。 技術(shù)和法律層面的雙重保障抗抵賴性基于 U8 系統(tǒng)構(gòu)建的企業(yè)財(cái)務(wù)管理、集團(tuán)應(yīng)用、客戶關(guān)系管理、供應(yīng)鏈管理、生產(chǎn)制造、分銷管理、零售管理、決策支持、人力資源以及 OA 等應(yīng)用中，企業(yè)的各個(gè)業(yè)務(wù)處理環(huán)節(jié)都在網(wǎng)絡(luò)上實(shí)現(xiàn)，可以說 U8 系統(tǒng)已經(jīng)已經(jīng)成為企業(yè)業(yè)務(wù)流程的中樞神經(jīng)。每一筆業(yè)務(wù)流程處理的安全，不僅關(guān)系到某個(gè)項(xiàng)目的順利開展，而且關(guān) 系到企業(yè)內(nèi)部業(yè)務(wù)管理流程的安全和企業(yè)經(jīng)營(yíng)活動(dòng)的正常開展，所以必須通過一種 技術(shù)手段來保證業(yè)務(wù)處理過程的安全，規(guī)范業(yè)務(wù)處理中相關(guān)人員的責(zé)任，保證每一 筆業(yè)務(wù)在處理過后都是真實(shí)的、是有證據(jù)可以追溯，即某個(gè)業(yè)務(wù)流程在處理過后如 果出現(xiàn)問題，相關(guān)當(dāng)事人都是

10、無法抵賴的。天威誠(chéng)信在U8 系統(tǒng)中通過數(shù)字證書實(shí)現(xiàn)的數(shù)字簽名就可以實(shí)現(xiàn)電子數(shù)據(jù)的抗抵賴。在現(xiàn)時(shí)生活中，要判定某一交易或者數(shù)據(jù)文件等的真實(shí)性，的仲裁是具備權(quán)威性的。2005 年人民電子簽名法頒布，電子數(shù)據(jù)的法律效力也有了相關(guān)的法律依據(jù)。法律上規(guī)定：只有得到信息頒發(fā)的電子認(rèn)證服務(wù) 北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案第 4 頁(yè) 共 18 頁(yè)許可證的數(shù)字認(rèn)證機(jī)構(gòu)，其所頒發(fā)的數(shù)字證書在電子商務(wù)中的數(shù)字簽名才能夠得 獲得該資質(zhì)。因此，用友 ERP-U8到法律的認(rèn)可和保護(hù)，天威誠(chéng)信率先從信息客戶使用天威誠(chéng)信提供的數(shù)

11、字證書服務(wù)實(shí)現(xiàn)的電子簽名是符合電子簽名法要求的抗抵賴證據(jù)，從而使 U8 系統(tǒng)的電子化簽名和手寫簽名具有同等的法律效力，可以作為法律上有效的證據(jù)，在抗抵賴行為發(fā)生時(shí)，可以作為法律證據(jù)申請(qǐng)的仲裁。 因此，通過應(yīng)用天威誠(chéng)信的數(shù)字認(rèn)證服務(wù)，U8 客戶能夠?qū)崿F(xiàn)技術(shù)和法律層面的雙 重保障。天威誠(chéng)信作為用友 2007 年產(chǎn)品伙伴，為用友 U8 系統(tǒng)提供優(yōu)質(zhì)的第三方數(shù)字證書服務(wù)及具有國(guó)家權(quán)威資質(zhì)的 CA 系統(tǒng)等相關(guān)安全產(chǎn)品。 北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案第 5 頁(yè) 共 18 頁(yè)四、針對(duì) U8 的 CA 部署模式

12、目前業(yè)界主要有兩種不同的 PKI/CA 建設(shè)模式：第三方托管 CA 服務(wù)和自建型 CA 系統(tǒng)。兩種模式適用的范圍和建設(shè)方式是不同的，下面將作簡(jiǎn)要介紹。 第三方托管型 CA 服務(wù)就是提供數(shù)字認(rèn)證服務(wù)的廠商必須獲得國(guó)家相關(guān)資質(zhì)：隨著人民電子簽名法的頒布，明確了由經(jīng)過信息認(rèn)證，獲得電 子認(rèn)證服務(wù)許可證資質(zhì)的認(rèn)證機(jī)構(gòu)頒發(fā)出來的數(shù)字證書在電子商務(wù)應(yīng)用中是受到 人民電子簽名法保護(hù)的，而天威誠(chéng)信就是首批獲得此資質(zhì)的第三方 機(jī)構(gòu)。第三方托管型也稱服務(wù)型，是指客戶通過天威誠(chéng)信認(rèn)證中心的現(xiàn)有的 CA 認(rèn)證系統(tǒng)直接獲取數(shù)字證書，用戶在本地只要建設(shè)少量的 CA 模塊，就可以實(shí)現(xiàn) CA認(rèn)證的功能。采用第三方托管模式，對(duì)

13、于用戶 CA 核心的建設(shè)（包括安全性、可靠性和穩(wěn)定性等方面的建設(shè)）、運(yùn)營(yíng)管理和系統(tǒng)維護(hù)都由天威誠(chéng)信負(fù)責(zé)，用戶需要 建設(shè)的內(nèi)容非常少，系統(tǒng)的建設(shè)速度也非?？?。 自建型 CA 系統(tǒng)是指客戶購(gòu)獨(dú)的 PKI/CA 軟件，建設(shè)一個(gè)獨(dú)立的 PKI/CA 系統(tǒng)，除了購(gòu)買系統(tǒng)軟件之外，還包括系統(tǒng)、通信、數(shù)據(jù)庫(kù)以及物理安全、網(wǎng)絡(luò)安全 配置、高可靠性的冗余系統(tǒng)和恢復(fù)等方面的建設(shè)。建設(shè)的內(nèi)容相對(duì)托管模式來 說比較多，建設(shè)周期相對(duì)較長(zhǎng)，在建設(shè)完成后需要有一套規(guī)范的流程來運(yùn)營(yíng)。天威誠(chéng)信為用友ERP-U8 系統(tǒng)用戶提供第三方托管型CA 服務(wù)和自建型CA 系統(tǒng) CA 系統(tǒng)部署方式。 4.1 第三方托管 CA 服務(wù)4.1.1

14、 概 述第三方托管 CA 模式的解決方案的適用的范圍是：傳遞的信息敏感，在技術(shù)層面上要實(shí)現(xiàn)敏感信息傳遞要防篡改、抗抵賴；信息傳遞雙方（多方）的行為需要有公正的第三方的證實(shí)，在法律層面上要能夠做到抗抵賴性。例如，資金管理系統(tǒng)中的 分支機(jī)構(gòu)和企業(yè)總部之間、電子交易平臺(tái)中企業(yè)和經(jīng)銷商之間等。采用“第三方托管 CA”模式企業(yè)可以節(jié)省，企業(yè)就可以專心做自己的業(yè)務(wù)，而不用購(gòu)買和維護(hù)復(fù)雜的、昂貴的 PKI 系統(tǒng)。更重要的是：客戶希望他們使用的數(shù)字證書得到電子簽名法北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案第 6 頁(yè) 共 1

15、8 頁(yè)的保護(hù)，對(duì)于這樣的用戶我們建議他們采用第三方托管型CA 托管的模式：在天威誠(chéng)信認(rèn)證中心內(nèi)部，為客戶建立一套托管 CA 系統(tǒng)，企業(yè)在申請(qǐng)數(shù)字證書的時(shí)候只需要直接通過互聯(lián)網(wǎng)到天威誠(chéng)信數(shù)字認(rèn)證中心在線申請(qǐng)代表集團(tuán)企業(yè)員工、企業(yè)供 應(yīng)商、客戶、合作伙伴等身份的數(shù)字證書（或者通過建設(shè)在客戶本地的 RA 管理端連接到天威誠(chéng)信申請(qǐng)證書）。 由于用友 ERP-U8 系統(tǒng)已經(jīng)集成了天威誠(chéng)信數(shù)字證書技術(shù)接口，因此在用友 ERP-U8 系統(tǒng)中，企業(yè)內(nèi)部用戶、供應(yīng)商、客戶、合作伙伴可以直接使用天威誠(chéng)信頒發(fā)的數(shù)字證書。在這種模式下簽發(fā)的數(shù)字證書除了在技術(shù)上保障防篡改、抗抵賴 “電子簽名法”的認(rèn)可，使電子簽名和紙質(zhì)

16、簽名具 性以外，還能夠得到人民有同等的法律意義。用戶使用這樣的數(shù)字證書在保證企業(yè)信息性、完整性、不 可抵賴性之外，發(fā)生交易的雙方（多方）還能夠得到法律上的保護(hù)。4.1.2 第三方托管 CA 模式4.1.2.1 完全托管模式如上圖所示： 完全托管 CA 服務(wù)在企業(yè)本地不建設(shè)任何 CA 模塊，其提供的服務(wù)通過企業(yè)委派的 CA 管理員使用數(shù)字證書（以 USB KEY 為證書介質(zhì)）登錄到天威誠(chéng)信認(rèn)證中心為企業(yè)提供的 RA 控制中心來實(shí)現(xiàn)證書審批和管理功能。 北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案第 7 頁(yè) 共 1

17、8 頁(yè) 企業(yè)用戶通過登錄到用戶注冊(cè)服務(wù)器來完成用戶證書申請(qǐng)以及其他證書生命周期管理功能。 4.1.2.2本地 RA 模式如上圖所示：企業(yè)在本地建設(shè)本地 RA 服務(wù)器（WEB 方式）來接收本地用戶的證書申請(qǐng)以及其他證書生命周期管理請(qǐng)求。本地 RA 服務(wù)器是通過部署在天威誠(chéng)信的 PORTAL服務(wù)器來完成用戶請(qǐng)求信息與 RA 服務(wù)器的通信； 通過企業(yè)委派的 CA 管理員使用數(shù)字證書（以 USB KEY 為證書介質(zhì)）登錄到天威誠(chéng)信為企業(yè)提供的 RA 控制中心來實(shí)現(xiàn)證書審批和管理功能； 4.2 企業(yè)自建 CA 系統(tǒng)4.2.1 概 述這種模式下，企業(yè)需要建設(shè)一個(gè)完整的 CA 認(rèn)證系統(tǒng)為 U8 提供數(shù)字證書

18、。企業(yè)需要為建設(shè) CA 系統(tǒng)提供軟件、硬件、場(chǎng)地、網(wǎng)絡(luò)、人員等各種條件。天威誠(chéng)信為開發(fā)的功能強(qiáng)大的CA 系統(tǒng)天威誠(chéng)信iTrus CA 2.0 可以滿足用戶自建CA 系統(tǒng)的要求。此 CA 系統(tǒng)在建成后，不僅可以為 U8 系統(tǒng)提供數(shù)字認(rèn)證服務(wù)，也可以為 北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案第 8 頁(yè) 共 18 頁(yè)客戶的其他應(yīng)用系統(tǒng)提供數(shù)字認(rèn)證服務(wù)。如圖所示，iTrusCA 系統(tǒng)由最終用戶、RA 管理員、CA 管理員、注冊(cè)管理系統(tǒng)（RA）、 認(rèn)證中心（CA）等構(gòu)成。 4.2.2 系統(tǒng)構(gòu)成最終用戶最終用戶是 C

19、A 系統(tǒng)的最終服務(wù)對(duì)象。通過 CA 系統(tǒng)，最終用戶申請(qǐng)獲得數(shù)字證書，并進(jìn)行各種各樣的證書管理工作。 RA 管理員RA 管理員主要處理 RA 系統(tǒng)的管理以及 RA 端的用戶請(qǐng)求，包括批準(zhǔn)證書、廢止 證書、拒絕請(qǐng)求、用戶下載和管理員維護(hù)等處理。 CA 管理員CA 管理員負(fù)責(zé)對(duì) CA 系統(tǒng)、RA 帳戶及 RA 管理員進(jìn)行管理。注冊(cè)中心（RA）注冊(cè)中心（RA）是 PKI/CA 平臺(tái)的前臺(tái)，為最終用戶提供用戶證書服務(wù)功能，為 RA 管理員提供 RA 管理服務(wù)功能。認(rèn)證中心（CA）認(rèn)證中心（CA）是 PKI/CA 平臺(tái)的核心，提供證書服務(wù)和管理的主要功能。認(rèn)證服務(wù)（CRL）、證書狀態(tài)查詢服務(wù)（OCSP）和

20、時(shí)戳服務(wù)等；的服務(wù)包括：證書管 北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案第 9 頁(yè) 共 18 頁(yè)理服務(wù)、系統(tǒng)管理服務(wù)、證書數(shù)據(jù)庫(kù)、簽名服務(wù)器和設(shè)備等。如圖所示，認(rèn)證中心的基本組成模塊包括：LDAP 服務(wù)模塊、CRL 服務(wù)模塊、CA管理服務(wù)中心、CA 處理中心、KMC 服務(wù)模塊、CA 數(shù)據(jù)庫(kù)和模塊等構(gòu)成： LDAP 服務(wù)模塊 LDAP 服務(wù)模塊提供證書公開發(fā)布的目錄，認(rèn)證中心根據(jù) RA和 CA 的策略將簽發(fā)的證書發(fā)布到 LDAP 目錄中，向外提供 LDAP 查詢服務(wù)， 用戶可以使用 LDAP 協(xié)議查詢 CA

21、頒發(fā)的所有證書。 CRL 服務(wù)模塊 CRL 服務(wù)模塊提供證書吊銷列表查詢和下載等服務(wù)功能，認(rèn) 證中心根據(jù)各 RA 的策略定時(shí)發(fā)布證書吊銷列表。 CA 管理服務(wù)中心 CA 對(duì) RA、CA 管理員提供管理服務(wù)，包括：申請(qǐng)和管理CA 管理員證書；配置 CA 策略；申請(qǐng)配置 RA 帳號(hào)；申請(qǐng)和管理 RA 管理員證書等。CA 管理服務(wù)中心包括 RA 帳戶注冊(cè)模塊和 CA 管理模塊。 CA 處理中心 CA 處理中心是整個(gè)認(rèn)證中心的核心部分，也是整個(gè) PKI/CA 平臺(tái)的樞紐部分，提供核心的業(yè)務(wù)計(jì)算。CA 處理中心負(fù)責(zé)證書的簽發(fā)、吊銷和更新，負(fù)責(zé)處理來自前臺(tái)的業(yè)務(wù)請(qǐng)求，同時(shí)也負(fù)責(zé)管理 CA 數(shù)據(jù)庫(kù)。CA 端

22、大部分系統(tǒng)功能都是由 CA 處理中心在提供的服務(wù)實(shí)現(xiàn)的。CA 處理中心包括業(yè)務(wù)通訊模塊、郵件證書處理模塊、個(gè)人書處理模塊、企業(yè)證書處理 模塊、服務(wù)器證書處理模塊、代碼簽名證書處理模塊、VPN 證書處理模塊、 OCSP 服務(wù)模塊和時(shí)間戳服務(wù)模塊等。 模塊 支持軟件、硬件方式提供 CA 密鑰管理，包括根 CA 和子 CA 密鑰等，證書和 CRL 簽發(fā)等 功能。標(biāo)準(zhǔn)型 iTrusCA 系統(tǒng)采用軟件加密方式， 根據(jù)需要可以擴(kuò)展成硬件加密方式。 KMC 服務(wù)模塊 KMC 服務(wù)模塊提供密鑰管理服務(wù)，在申請(qǐng)用戶證書時(shí)，可以通過 KMC 服務(wù)來產(chǎn)生證書密鑰對(duì)，并將私鑰備份到 KMC 服務(wù)器上，在用戶證書私鑰丟

23、失時(shí)，可以通過 KMC 服務(wù)，恢復(fù)用戶的證書和私鑰。 CA 數(shù)據(jù)庫(kù) 保存用戶注冊(cè)信息、頒發(fā)證書信息、RA 帳戶信息以及 CA 管理日志等 CA 相關(guān)數(shù)據(jù)。 4.2.3 系統(tǒng)功能北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月功能描述證書生命周期 進(jìn)行證書申請(qǐng)、批準(zhǔn)、更新、查詢、下載、吊銷管理操作 用友U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案 第 10頁(yè)共 18 頁(yè)北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月管理 CRL 查詢 配置指定 RA 的 CRL 下載地點(diǎn)及 CRL 發(fā)布時(shí)間 LDAP 查詢 進(jìn)行目錄方式查詢，支

24、持電子郵件、用戶名和組織名的任意組合查詢及 模糊查詢 CA 管理 對(duì) CA 管理員和 RA 管理員的管理 對(duì) RA 帳號(hào)的管理 配置 CA 所簽發(fā)證書的有效期、證書主題、證書擴(kuò)展、證書版本、密鑰長(zhǎng)度、證書類型等方面；包括 CA 策略管理和 RA 策略管理 統(tǒng)計(jì)與日志 統(tǒng)計(jì)各 CA、RA 賬號(hào)證書頒況；記錄所有 RA 與 CA 的操作日志 密鑰管理 對(duì)密鑰的產(chǎn)生、存儲(chǔ)、歸檔和備份的管理 用友 U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案第 11頁(yè)共 18 頁(yè)五、CA 認(rèn)證運(yùn)行環(huán)境建議6.1完全托管模式對(duì)于完全托管模式的 CA 認(rèn)證系統(tǒng)的網(wǎng)絡(luò)拓?fù)淙缦聢D所示：對(duì)于完全托管模式，CA 系統(tǒng)的主要功能模塊已經(jīng)建設(shè)在

25、了天威誠(chéng)信數(shù)字認(rèn)證中心，客戶本地只需要準(zhǔn)備一臺(tái) CA 系統(tǒng)管理端即可，這臺(tái)管理端也可以是管理員自己的計(jì)算機(jī)。建議管理端的配置如下： 6.2本地 RA 模式對(duì)于本地 RA 模式的 CA 認(rèn)證系統(tǒng)的網(wǎng)絡(luò)拓?fù)淙缦聢D所示：北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月托管 RA 模式系統(tǒng)運(yùn)行環(huán)境建議模塊數(shù)量平臺(tái)硬件配置備注CA 系統(tǒng)管理端 1PC 機(jī) 硬 件 ： P4 1.5GHz, 512M RAM, HD 80G,USB 接口 軟件：Windows XP Professional，Internet Explorer 6.0 用友U8 與天威誠(chéng)信數(shù)字證書結(jié)合

26、方案 第 12頁(yè)共 18 頁(yè)對(duì)于本地 RA 模式，需要在客戶本地建設(shè)系統(tǒng)的 RA 模塊和 CA 系統(tǒng)管理端，系統(tǒng)建議配置如下： 6.3自建型 CA 認(rèn)證系統(tǒng)對(duì)于自建型的 CA 認(rèn)證系統(tǒng)，由于各個(gè)客戶的用戶規(guī)模、對(duì)系統(tǒng)的性能要求、系統(tǒng)安全性要求等都各不相同，CA 系統(tǒng)的配置也會(huì)有很大的差別。對(duì)于自建型 CA 認(rèn)證系統(tǒng)，我們將根據(jù)客戶的具體情況，提供相應(yīng)的系統(tǒng)建議配置。 北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月本地 RA 模式系統(tǒng)運(yùn)行環(huán)境建議模塊數(shù)量平臺(tái)硬件配置備注RA 服務(wù)器 1PC Server硬 件 ：P4 2.4GHz, 2G RAM, HD

27、 80G軟件：Windows 2003 Server Oracle Server 9i安裝本地 RA 模塊 RA 加密機(jī)/加密卡 1 標(biāo)準(zhǔn)硬件產(chǎn)品 此硬件模塊可選 CA 系統(tǒng)管理端 1PC 機(jī) 硬件：P4 1.5GHz, 512M RAM, HD 80G,USB 接口 軟 件 ：Windows XP Professional， Internet Explorer 6.0 用友U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案 第 13 頁(yè) 共 18 頁(yè)六、天威誠(chéng)信介紹及案例7.1天威誠(chéng)信介紹（1）公司簡(jiǎn)介北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司（iTruschina）是經(jīng)信息批準(zhǔn)的全國(guó)性 PKI/CA 企業(yè)，是專門從事

28、數(shù)字信任服務(wù)、PKI/CA 建設(shè)服務(wù)、PKI/CA 應(yīng)用服務(wù)、PKI/CA 運(yùn)營(yíng)管理咨詢服務(wù)和 PKI/CA 體系整體規(guī)劃服務(wù)的專業(yè)化信息安全技術(shù)與服務(wù)公司。公 司成立于 2000 年 9 月，注冊(cè)資金 5135 萬元，公司總部位于北京，在上海和廣州等地 設(shè)有辦事機(jī)構(gòu)。天威誠(chéng)信（iTruschina）致力于向企業(yè)、政府和大眾客戶提供全面的數(shù)字信任服務(wù)，矢志成為國(guó)內(nèi)提供數(shù)字信任服務(wù)的領(lǐng)先者。依照我國(guó)國(guó)情和管理政策，借鑒國(guó)外先進(jìn)技術(shù)及管理方法，建立中國(guó)自有品牌的信任服務(wù)體系，并研制了具有自主知識(shí)產(chǎn)權(quán)的 PKI 產(chǎn)品及應(yīng)用。公司在開展自身業(yè)務(wù)的同時(shí)，參與了國(guó)家有關(guān) PKI/CA 體系 規(guī)劃、建設(shè)和運(yùn)

29、營(yíng)管理等方面的工作，并積極參與中國(guó)電子簽名法立法。天威誠(chéng)信正以其領(lǐng)先的技術(shù)、先進(jìn)的管理方法和全面而精湛的產(chǎn)品與服務(wù)，為中國(guó)的信息安全服務(wù)。作為政府認(rèn)可的、權(quán)威、可信、公正的第三方認(rèn)證中心，天威誠(chéng)信在北京建有 1000 平米的國(guó)際一流水準(zhǔn)的、安全的數(shù)據(jù)中心，配備了專業(yè)可靠的運(yùn)營(yíng)管理團(tuán)隊(duì)，采用 ISO17799 信息安全管理體系進(jìn)行管理，制定了標(biāo)準(zhǔn)的認(rèn)證業(yè)務(wù)聲明（CPS），對(duì)外提供 全球信任體系（VTN，Verisign Trust Network）、中國(guó)自有信任體系（CTN，China Trust Network）和客戶私有信任體系等多種信任服務(wù)。天威誠(chéng)信通過提供數(shù)字證書服務(wù)、PKI/CA 建設(shè)

30、、PKI 應(yīng)用產(chǎn)品和 PKI 應(yīng)用規(guī)劃等多種方式，為網(wǎng)上業(yè)務(wù)系統(tǒng)的安全以及參與網(wǎng)上業(yè)務(wù)的各方的相互信任提供安全機(jī)制， 為網(wǎng)上業(yè)務(wù)過程中身份認(rèn)證和訪問控制、信息保密性、信息完整性和業(yè)務(wù)操作的抗抵賴等安全需求提供了可靠的保證。公司的業(yè)務(wù)范圍涉及電子政務(wù)、電子商務(wù)和企業(yè)信息化建設(shè)等各個(gè)領(lǐng)域，目前，包括政府、稅務(wù)、工商、教育、郵政、銀行、證券、期貨、基金、保險(xiǎn)、電信、移動(dòng)、游戲、能源、煙草、鋼鐵、物流、制造業(yè)、IDC 和 ISP/ICP 等行業(yè)領(lǐng)域以及需求數(shù)字信任服務(wù)的個(gè)人。北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案

31、第 14 頁(yè) 共 18 頁(yè)（2）公司優(yōu)勢(shì)（1） 國(guó)內(nèi)領(lǐng)先的 PKI/CA 產(chǎn)品提供商和服務(wù)運(yùn)營(yíng)商：天威誠(chéng)信作為國(guó)內(nèi)唯一的既提供 PKI/CA 系統(tǒng)的產(chǎn)品提供商，又通過了信產(chǎn)部認(rèn)證的電子認(rèn)證服務(wù)運(yùn)營(yíng)商，在為客戶構(gòu)建 CA 系統(tǒng)的同時(shí)，也結(jié)合自身的經(jīng)驗(yàn)和客戶的業(yè)務(wù)特點(diǎn)，為客戶規(guī)劃安全管理制度的建設(shè)、運(yùn)營(yíng)規(guī)范性的建設(shè)、物理安全/網(wǎng)絡(luò)安全/系統(tǒng)安全/應(yīng)用安全的建設(shè)、證書策略（CP/CPS）的建設(shè)、密鑰管理制度的建設(shè)、人員責(zé)權(quán)分離制度的建設(shè)，以及應(yīng)急響應(yīng)制度的建設(shè)，使 CA 系統(tǒng)的建設(shè)能夠順利實(shí)施、安全運(yùn)營(yíng)。 （2） 靈活的 CA 產(chǎn)品架構(gòu)：天威誠(chéng)信在自身運(yùn)營(yíng)電子認(rèn)證服務(wù)的過程中，不斷根 據(jù)客戶的需要，

32、對(duì) CA 系統(tǒng)體系架構(gòu)、功能模塊進(jìn)行擴(kuò)展和豐富，支持多信任體系架構(gòu)，支持包括集中制證、手工審批、自動(dòng)審批、通行碼和嵌入式等豐富的證書管理方式，并且產(chǎn)品部署靈活，適應(yīng)能力強(qiáng)； （3）豐富的證書應(yīng)用經(jīng)驗(yàn)：天威誠(chéng)信不同于傳統(tǒng)的 CA 產(chǎn)品提供商，在提供電子認(rèn)證服務(wù)過程中，天威誠(chéng)信始終把如何安全、便利的用好證書當(dāng)作同 CA 系統(tǒng)建設(shè)一樣重要的環(huán)節(jié)，在證書應(yīng)用領(lǐng)域積累了豐富的經(jīng)驗(yàn)，開發(fā)了多種證書應(yīng)用產(chǎn)品。 資質(zhì)優(yōu)勢(shì)天威誠(chéng)信取得了國(guó)家有關(guān)管理部門的所有資質(zhì)（詳細(xì)見附件二描述），天威誠(chéng)信認(rèn)證中心是國(guó)家管理部門認(rèn)可的認(rèn)證中心。技術(shù)優(yōu)勢(shì)天威誠(chéng)信從國(guó)外引進(jìn)技術(shù)，技術(shù)體系符合國(guó)際規(guī)范，更容易與國(guó)際接軌，有利于在全球

33、統(tǒng)一的 CA 認(rèn)證體系中占有一席之地。通過實(shí)踐證明，天威誠(chéng)信采用的國(guó)際先進(jìn) 技術(shù)建設(shè)的平臺(tái)具有高可靠性、先進(jìn)性和高擴(kuò)展性等優(yōu)勢(shì)。同時(shí)，天威誠(chéng)信培養(yǎng)了專業(yè)化的技術(shù)開發(fā)和應(yīng)用開發(fā)團(tuán)隊(duì)，對(duì) PKI 技術(shù)進(jìn)行了深入的研究，掌握了有關(guān) PKI 核心技術(shù)，并自主開發(fā)了 PKI/CA 產(chǎn)品及 PKI/CA 應(yīng)用產(chǎn)品。 品牌優(yōu)勢(shì)天威誠(chéng)信依據(jù)國(guó)情，引進(jìn)先進(jìn)技術(shù)，自主建立的安全、可靠的 PKI/CA 系統(tǒng)是一個(gè) 具有國(guó)際領(lǐng)先水平，是擁有自主加密核心技術(shù)的公鑰基礎(chǔ)設(shè)施平臺(tái)。天威誠(chéng)信提供 CTN 體系服務(wù)，建立了中國(guó)的信任網(wǎng)絡(luò)，具有自主的品牌和享有自主知識(shí)產(chǎn)權(quán)。同時(shí)，天威誠(chéng)信開發(fā)了具有自主知識(shí)產(chǎn)權(quán)的 PKI/CA 產(chǎn)

34、品和 PKI/CA 應(yīng)用產(chǎn)品，能北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年 6 月 用友U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案 第 15 頁(yè) 共 18 頁(yè)夠提供全面的 PKI/CA 產(chǎn)品與服務(wù)。政策優(yōu)勢(shì)天威誠(chéng)信是經(jīng)信息批準(zhǔn)的第一家全國(guó)性 PKI/CA 企業(yè)，公司產(chǎn)品和服務(wù)是通 過國(guó)家有關(guān)部門認(rèn)證，獲得了安全行業(yè)相關(guān)資質(zhì)的。其次，天威誠(chéng)信在開展自身業(yè)務(wù)的同時(shí)，也積極向國(guó)家提出了有關(guān) PKI/CA 建設(shè)方面的意見和建議，并幫助國(guó)家有關(guān)部 門建立了 PKI/CA 行業(yè)標(biāo)準(zhǔn)和運(yùn)營(yíng)管理規(guī)范。另外，天威誠(chéng)信還作為唯一一家從事全國(guó) 性 PKI/CA 服務(wù)的企業(yè)代表，被法制辦邀

35、請(qǐng)，參加我國(guó)電子簽名法的研討工 作，并為我國(guó)電子簽名法提出了很多寶貴的建議和意見。管理優(yōu)勢(shì)天威誠(chéng)信借鑒國(guó)外的先進(jìn)管理經(jīng)驗(yàn)，制定了完善的安全管理策略，對(duì)天威誠(chéng)信認(rèn)證中心進(jìn)行安全管理，安全管理策略包括物理安全策略、信息安全策略、系統(tǒng)安全策略、通信安全策略、密鑰管理策略和人員管理策略等，對(duì)認(rèn)證中心的安全管理方面完全滿足 ISO17799 的標(biāo)準(zhǔn)，并通過了 ISO17799 認(rèn)證。（3）天威誠(chéng)信相關(guān)資質(zhì)相關(guān)規(guī)定和許可證目前，國(guó)家相關(guān)部門已經(jīng)發(fā)布了一些行業(yè)規(guī)范，對(duì)于在我國(guó)建設(shè)面向社會(huì)提供服務(wù)的 PKI/CA 中心，必須獲得下列有關(guān)部門的審批資質(zhì)： 信息信息作為信息產(chǎn)業(yè)的主管部門，負(fù)責(zé)商業(yè)性 PKI/CA

36、 中心運(yùn)營(yíng)資質(zhì)的審 批。負(fù)責(zé)審查商業(yè)性 PKI/CA 中心場(chǎng)地建設(shè)、運(yùn)營(yíng)管理流程、安全保障等等是否符 合信息CA 中心建設(shè)、運(yùn)營(yíng)和管理規(guī)范指南標(biāo)準(zhǔn)的要求。在即將出臺(tái)的 電子簽章法案實(shí)施條例中明確要求從事對(duì)外公眾服務(wù)的 PKI/CA 認(rèn)證中心必須 得到信息 CA 管理部門的許可。天威誠(chéng)信作為信產(chǎn)部批準(zhǔn)的第一家全國(guó)性 PKI/CA 企業(yè)，參與了信息CA 中心建設(shè)、運(yùn)營(yíng)和管理規(guī)范指南的撰寫。目前，天威誠(chéng)信正在參與原國(guó)家 計(jì)委國(guó)家信息中心組織制定的CA 行業(yè)運(yùn)營(yíng)規(guī)范國(guó)家標(biāo)準(zhǔn)的撰寫，并且負(fù)責(zé)主 持、召集、組織專家評(píng)定等工作。北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司iTrusChina Co.,Ltd2008 年

37、 6 月 用友U8 與天威誠(chéng)信數(shù)字證書結(jié)合方案 第 16 頁(yè) 共 18 頁(yè) 國(guó)家管理委員會(huì)（簡(jiǎn)稱國(guó)密辦）凡是涉及商用的 CA 軟件產(chǎn)品和 PKI/CA 中心必須經(jīng)過國(guó)密辦的立項(xiàng)、安 全性審查及鑒定，其中安全性審查時(shí)必須的。安全性審查通過之后，國(guó)密辦正式頒發(fā)安全性審查通過的文件，PKI/CA 系統(tǒng)被視為符合國(guó)家政策的系統(tǒng)。 在此前提下，PKI/CA 運(yùn)營(yíng)商準(zhǔn)備好相應(yīng)的文件，在適當(dāng)?shù)臅r(shí)間向國(guó)密辦提出鑒定 申請(qǐng)。鑒定是對(duì)產(chǎn)品、系統(tǒng)技術(shù)水平的一個(gè)認(rèn)可過程（如國(guó)內(nèi)領(lǐng)先、國(guó)際先進(jìn)等）， 鑒定過程并不影響 CA 廠商合法的市場(chǎng)和銷售行為。 天威誠(chéng)信對(duì)外提供公眾服務(wù)的 PKI/CA 平臺(tái)和為企業(yè)獨(dú)立建設(shè)保障內(nèi)

38、部信息安全的 PKI/CA 產(chǎn)品均通過了國(guó)密辦的安全性審查。 公安部公安部負(fù)責(zé)簽發(fā)“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證”，PKI/CA 產(chǎn)品 只有經(jīng)過公安部的測(cè)評(píng)，獲得公安部頒發(fā)的安全產(chǎn)品銷售許可證之后，才能在中國(guó)市場(chǎng)上合法的銷售。天威誠(chéng)信的服務(wù)系統(tǒng)和產(chǎn)品均獲得了公安部的銷售許可。 中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心（簡(jiǎn)稱測(cè)評(píng)中心）測(cè)評(píng)中心是國(guó)家對(duì)信息安全產(chǎn)品與系統(tǒng)進(jìn)行測(cè)評(píng)認(rèn)證的權(quán)威機(jī)構(gòu)。經(jīng)過測(cè)評(píng)中心測(cè)試及檢驗(yàn)合格的 PKI/CA 運(yùn)營(yíng)中心是符合國(guó)家頒布的 GB/T 18336-2001信 息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 和 ISO/IEC 17799-2000信息技術(shù) 信息安全管理實(shí)施細(xì)則標(biāo)準(zhǔn)的要求，同時(shí)也滿足最嚴(yán)格的 ISO 國(guó)際規(guī)范，可 以獲得國(guó)家信息安全