自建CA认证系统实用方案.docx

资源描述

自建CA认证系统实用方案 18 2020年4月19日文档仅供参考，不当之处，请联系改正。自建CA认证系统实用方案一、CA认证系统建设的背景 1.1 网络身份认证风险如何认证互联网业务中对方的身份，是制约信息产业发展的瓶颈，身份认证问题亟待解决：（图一) 身份认证是第一道防线纵使是固若金汤的保险库，非法分子一旦掌握了打开大门的钥匙，保险重地将会变成了窃贼的后院。业务系统即使被防火墙、入侵监测、防病毒等边界系统保护，一旦入侵者冒充合法身份进入，系统安全荡然无存。基于用户名/口令的认证方式是最常见的一种技术，也是现在财务系统使用的认证方式，无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录，都是基于用户名和口令的方式认证。基于用户名/口令的认证方式存在严重的安全问题，是攻击者最容易攻击的目标： 1) 单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充。 2) 为记忆方便，是用户往往选择简单、容易被猜测的口令，如：与用户名相同的口令、生日、单词等。这往往成为安全系统最薄弱的突破口。 3) 口令一般是经过加密后存放在口令文件中，如果口令文件被窃取，那么就能够进行离线的字典式攻击。这也是黑客最常见的手段之一。最近屡屡爆出的口令泄密事件，如CSDN、天涯、新浪微博、广东省进出境管理都是身份认证方式选择不当引起的。而弱认证带来的经济损失更是触目惊心，江苏郝金龙利用计算机入侵扬州某银行计算机网络，修改账户信息，大肆窃取现金。黑客利用钓鱼网站获取网银用户账号密码以及动态密码，浙江乐清市陈女士网银被窃200万元。 1.2 信息泄露风险传输在客户端与Web服务器之间的敏感、机密信息和交易数据，如资金调拨、资金往来、个人账户信息等，这些数据都是保密的数据，一旦被竞争对手或者非法分子获得，将会给企业财务系统带来致命威胁。互联网的开放特性使得任何跨机房传输的信息可能被截取，被非法用户加以利用，给用户和企业造成损失。当前使用最多的一些互联网抓包工具如sniffer，具备初级计算机应用水平就能操作自如。莱钢的泄密事件给企业、国家带来的了巨大损失，在全国范围内掀起了一场保密风暴。经过数据加密进行信息隐藏是行之有效的解决方法，非法分子即使能够窃听网上交易数据，但没有破解的密码钥匙，机密信息无法读懂。信息泄露，特别是用户名+口令的认证信息泄露，将会给业务系统带来致命风险：（图二) 信息泄露示例 1.3 法律和责任风险财务管理系统中重要单据如合同、标书、转账、结算、报表等传输中的完整性至关重要，经过开放的互联网，敏感数据在传输过程中很可能被恶意篡改、重发，使得接收方不能得到完整的信息，网上交易时经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题，给交易的双方带来巨大的影响和损失，网上交互（交易）行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据（无论是司法取证还是内部管理追溯或者审计），法律和责任风险无法控制。《电子签名法》明确定义了数字签名具有和手写签名同等的法律效力，因此在财务管理系统中对关键表单进行数字签名是保护企业合法权利的有效办法。下图为互联网交易中，消息篡改示例：（图三) 信息篡改示例二、CA认证系统建设的必要性 2.1国家法规政策要求必须加强身份认证管理《商用密码管理条例》中第十四条规定：任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合发布了《信息安全等级保护管理办法》，以及一系列针对计算机信息系统进行安全等级保护的要求，对于身份认证和通讯加密提出了明确要求。《电子签名法》第4，5，6，13条对于合法签名的定义，要求必须使用基于PKI/CA的强身份认证管理。（图四) 符合电子签名法 2.2企业内控必须加强身份认证管理随着萨班斯法案的推广和实施，当前海内外公司都在进行一场IT内控的变革，而无论是COSO还是Cobit，以及安全指南的ISO17799都无一例外地将身份识别定位为首要解决的关键问题。有效的身份识别方式才能够为追溯行为和责任体系，审计证据链提供最有效和最有力的支撑。 2.3整体安全需要加强身份认证管理根据安全的木桶理论，身份认证作为业务系统安全的基石，采用强身份认证是保证整体安全的前提。采用密码理论构建的证书认证体系，其安全性等同于破解“大整数分解”、“离散对数”等数学难题，是可证安全的，并被广泛采用。三、CA认证系统集成方案 CA安全认证平台基于 PKI/CA 技术能够解决身份假冒问题、数据泄露问题、信息篡改问题、安全审计问题。平台中的 CA 认证系统采用自建模式，符合国家密码管理局制定的《证书认证系统密码及其相关安全技术规范》，企业自我维护和管理、发放数字证书，经过电子签名中间件与用户财务系统集成实现基于 U 盾（密码令牌）的强身份认证、防止公网窃听、保障信息不被非法修改、实现业务审计，经过数字证书这种安全技术来打造全新的诚信体系，全方位保证企业的信息安全。 3.1 CA认证系统介绍 CA 认证系统是平台的核心部件，用于向平台应用提供数字证书管理支持，是网上信任管理的权威机关，CA安全认证系统采用浏览器/服务器（B/S）模式，系统管理员经过浏览器能够远程进行用户证书的申请、更新、注销、下载等操作，部署灵活，操作简单。（图五) CA系统结构图 3.2 功能说明 CA系统具有高强度的自身安全管理功能，提供用户数字证书、密钥的安全管理，经过U盾存放用户数字证书，具体功能包括： (1)证书和证书黑名单管理：提供基于U盾的用户数字证书申请、审核、下载、更新、注销、恢复等管理，定时签发或者手工签发证书黑名单，并进行发布，证书黑名单中的数字证书将不再受信任。 (2)用户密钥管理：用户数字证书中的密钥由密钥管理模块生成，该模块提供非对称密钥正确预生成、用户密钥对分发、密钥对恢复、用户密钥取证恢复等管理功能。 (3)证书状态在线查询功能：提供用户证书状态的在线实时查询功能，已经注销的数字证书将不能在应用系统中使用。 (4)密码服务：提供业务操作的密码运算功能，包括数据加密/解密、消息签名/验证，从业务层面保护机密信息的安全性。 (5)灵活的证书服务：产品功能丰富，支持用户身份的集中管理、分布式管理，所有证书状态改变，都经过电子邮件进行通知。 (6)远程设备证书管理：支持国内外主流网络设备的SCEP远程证书申请，包括路由器、网关、VPN、防火墙等。 (7)移动应用支持：采用硬件绑定的软证书，充分保障移动应用的安全性，支持安卓操作系统、iOS系统，支持多浏览器如IE系统、Firefox、Sofari、Chrome等。 (8)安全审计：提供关键业务操作的审计功能，对业务操作进行签名，并采用日志完整性保护技术，确保审计数据库中的操作信息一经删除，能够及时提醒，并追溯到具体的责任人。 3.3 系统特性 è 强认证：用户经过硬件U 盾（或USB key）认证登录，基于证书的双因子认证彻底解决登录的安全问题。 è 强密码：基于密码硬件提供高强度的密码算法进行数据加密传输，防止信息泄露。 è 强审计：自建 CA 系统具有电子签名法的法律效力，保障数据不被非法篡改，信息和操作可溯源，责任落实到操作人。 è 强自保：安全认证系统自身采用多级管理体系，使用密码硬件进行密钥管理，充分保障系统自身的安全性。 è 强扩展：提供关于集团企业信息化安全的整体解决方案，使用同一个U 盾能够扩展到多种应用系统。 è 高效率：提供局域网内的在线证书实时验证服务，系统运行效率高而且稳定可靠。自建CA认证系统模式，经过在财务系统服务器上部署CA认证系统的集成接口，配置财务系统验证模式，能够实现CA认证系统与财务系统系统的应用集成。与财务系统系统同步升级，用户自我维护和管理数字证书；支持多种证书应用，实现一Key多用，系统部署简单、配置灵活；系统应用广泛，运行稳定、性能优越，为客户安全使用财务系统系统保驾护航。 3.4 CA集成部署 CA 系统部署：在财务系统服务器的同一个机房部署一套功能完善的安全认证系统，用户能够自行发放、管理数字证书，实现业务系统的用户身份认证、业务数据防篡改、信息加密传输、数据库敏感数据加密等安全功能。 è CA认证系统：与财务系统服务器部署在同一个机房，硬件可选用普通PC服务器，支持mySql等免费数据库，使用PCI-E密码卡提供CA密钥保护和高速密码运算。 è 签名中间件：以Java包形式部署在财务系统服务器，客户端中间件自动下载。 è 用户存储介质：以Usb Key的形式为用户提供证书管理支持。 è SSL VPN网关：以独立工控机硬件的形式部署在内外网的接入口，为外网用户使用财务系统系统提供安全接入，提供SSL加密通道。（图六) CA部署方式 3.5 财务系统集成流程 CA系统颁发的数字证书经过U盾发给财务系统用户，实现基于数字证书的登录管理和业务签名/验签、业务审计等功能。（图七) CA与财务系统结合的处理流程（图八) 财务系统集成CA证书应用总体流程四、CA项目实施方案 4.1项目管理为了保证CA项目顺利实施，成立分工明确又能协调配合的项目组，采用项目经理负责制，委派项目经理负责项目中双方工作的协调、安排、监察等各种项目管理工作，确保项目质量并达到预期目标。 4.2方案制定项目经理协同财务系统工程师与客户进行交流，根据项目合同要求，按照实施计划和实施方案： (1) 制定《实施计划》。 (2) 制定《实施方案》。 (3) 进行风险管理。 (4) 定期沟通项目进展情况. 4.3环境准备（1）硬件准备序号硬件名称简介配置情况备注 1 CA系统服务器提供用户数字证书申请、审核、下载、更新、注销等管理功能，是网上身份管理的权威机构。 PC服务器，1G内存、CPU 1.2G Hz以上、320G硬盘以上、至少一个PCI-E插槽。 1台 2 加密卡为安全认证系统提供密钥管理、密码运算功能。安装在CA系统服务器，提供RSA、SM2、SM1、SM3算法支持。 1块 3 U盾提供用户证书存储功能，登录系统时需要提供U盾，并验证口令。提供RSA、SM2、SM1、SM3算法支持，支持USB 2.0接口根据用户数确定（表一) 系统硬件配置（2）软件准备序号软件名称简介配置情况备注 1 CA安全认证系统提供用户数字证书申请、审核、下载、更新、注销等管理功能，是网上身份管理的权威机构。安装在CA系统服务器上，windows 或者Linux环境，连接Mysql数据库 2 电子签名中间件接口开发包，与财务管理系统集成完成身份认证、数据加密、数字签名等功能部署在业务服务器、OA服务器、物流系统、电子商务上面。（表二) 软件配置 4.4安装调试 (1) 环境准备支持，协助客户准备系统实施的软件和硬件环境。 (2) 安装操作系统、安装数据库。 (3) CA系统安装，并初始化。 (4) 建立管理体系，设立管理员、操作员、审计员。 (5) 安装接口和服务器证书。 (6) 配置CA Server。 (7) 签发测试证书，完成登录、签名/验签业务的测试。 (8) 完成证书应用的集成部署。 4.5管理岗位设置 CA认证系统基于RBAC权限模型，进一步提高了系统的安全性。分成证书操作员角色，证书审核员角色，密钥管理员角色，系统管理员角色四个角色。企业能够根据自己的实际情况，和对安全的要求等级，选择一个人担任一个角色或者一个人担任多个角色。科学严密的权限管理方案，如下图：岗位名称岗位职责设置流程超级管理员 ü 按照公司的组织架构，密码安全管理策略对系统进行初始化。 ü 管理业务管理员、录入操作员、审核操作员。 CA初始化时生成审计管理员 ü 日志管理。 ü 业务审计、归档。 ü 业务统计。 CA初始化时生成业务管理员 ü 系统配置管理。 ü 管理CRL，子CA建立。 ü 证书模板管理。超级管理员制作业务管理员证书录入操作员 ü 负责对证书的申请、下载、废除等操作；并维护证书与财务系统用户标识PK的绑定关系。 ü 收到财务系统管理员的新增证书请求后，在CA系统中填写申请单，提交给审核员。 ü 签发证书至证书介质（USB Key）中。 ü 在证书与用户绑定系统中将证书（USB Key）与财务系统用户绑定起来。 ü 将证书（USB Key）交付给财务系统用户，并在交付时双方需填写证书移交单。超级管理员制作录入操作员证书审核操作员 ü 对操作员提交的证书申请进行审核，检查核实信息的真实性。超级管理员制作审核操作员证书财务系统用户 ü 负责管理自己的证书（USB Key）； ü 从系统管理员处接收证书（USB Key），并填写证书移交单； ü 修改证书（USB Key）初始密码，并通知财务系统管理员开通自己的财务系统用户权限。录入操作员完成信息录入，审核员审核经过后，自己下载证书。（表三) 岗位设置 4.6证书管理流程 Ø 用户申请：用户或操作员登陆证书管理系统，填写用户信息，提交申请CA证书的申请单。 Ø 部门领导审核：部门领导登陆系统，审核用户的申请单。 Ø 审核员审核：审核员认真核对证书申请单的信息，确认无误后，审批经过。反之不经过。 Ø 操作员制作证书：操作员根据审核员审批经过的证书申请单，将证书信息下载到一个新的USB-KEY中，一张新的证书就制作好了。 Ø 操作员移交证书：证书管理员将证书（USB Key）及证书有效期移交给给最终用户，并告知证书使用注意事项（证书需随身携带，密码需修改且建议不与财务系统密码一致），双方填写证书移交表。 Ø 用户使用证书：最终用户修改证书（USB Key）密码。 Ø 证书更新：操作员发现管辖范围内的证书即将到期，操作员向用户发起延期申请，对证书进行延期处理。 Ø 证书废除：最终用户发现证书丢失后，需立即向证书操作员报失，以便立即对证书做废除处理；并通知财务系统管理员关闭该财务系统用户权限。证书分类如下：证书分类证书名称生成流程备注系统证书 ü CA根证书初始化时生成。根密钥备份。管理员证书 ü CA超级管理员证书。 ü 审计管理员证书。 ü 业务管理员证书。 ü 录入操作员证书。 ü 审核操作员证书。见管理岗位设置流程服务器证书 ü 财务系统服务器证书。 ü 网银适配器证书。由操作员生成，以Pkcs#12格式下载。支持SCEP协议。用户证书 ü 财务人员证书。 ü 财务主管证书。 ü 出纳证书。由操作员生成，发放证书存储介质U盾。用户安装Key客户端，并修改Key的保护口令。（表四) 证书分类 4.7证书介质管理 ü 证书介质为USB Key； ü 证书介质作为证书的存储工具，应该妥善保管，随身携带； ü 用户应保存好自己介质的口令，口令遗忘遗失请与相关管理人员联系； ü 证书介质的密码应不与财务系统的用户密码一致； ü 用户介质丢失应及时向系统管理员报失。本方案由刘泰成先生制作，如有疑问，请咨询，共同探讨。

展开阅读全文