【正文】 子數(shù)據(jù)共享和傳輸?shù)目沟仲嚕?財務部 可以否認自己共享和傳輸過的電子數(shù)據(jù)。一旦出現(xiàn) 問題，將沒有任何有效的證據(jù)，對肇事者進行追究。另外，對于通過應用 系統(tǒng)進行網(wǎng)上申報與審批時，如果沒有抗抵賴性，申報者將可以否認自己的申報數(shù)據(jù)和行為，審批者也可以否認自己的審批意見和行為，甚至出現(xiàn)假冒他人進行申報或?qū)徟男袨?。這樣，將導致整個 應用 系統(tǒng)不能正常工作，將給企業(yè)造成巨大的損失。 為此， 根據(jù) 用戶 的信息系統(tǒng)安全現(xiàn)狀 ，采用 PKI（ Public Key Infrastructure，公鑰基礎設施）技術， 為 用戶 設計 了 基于數(shù)字證書的應用安全解決方案。 3 方案 總體設計思想 根據(jù) 用戶 的 系統(tǒng) 安全需求，基于自身在 PKI/CA 領域的技術優(yōu)勢，采用自主開發(fā)的PKI 產(chǎn)品 —— iTrusCA 系統(tǒng)，為 用戶 提供了完善的安全解決方案，解決方案總體框架包含如下幾個基本思想： 一、 采用 iTrusCA 系統(tǒng)，為 用戶 建設 一套功能完善的 CA 認證系統(tǒng)，為 用戶 各個應用 系統(tǒng) 的 用戶頒發(fā)數(shù)字證書，提供安全認證服務。 CA系統(tǒng)應用安全解決 方案 第 3頁 共 29頁 二、 用戶 應用 系統(tǒng) 集成數(shù)字證書的應用， 用戶 登錄 系統(tǒng) 時，必須提交 CA 認證系統(tǒng)頒發(fā)的用戶證書，系 統(tǒng)通過用戶證書來實現(xiàn)身份認證和訪問控制，同時通過加密技術和數(shù)字簽名技術，實現(xiàn)信息傳輸?shù)臋C密性和抗抵賴性 等安全需求 。 三、 用戶證書保存在 USB KEY 中， USB KEY 是一種安全的證書存儲介質(zhì)，可以設置口令，保證證書和私鑰的安全 ， 使用 USB KEY 也 可以 實現(xiàn) 對 移動辦公的 安全 需求。 以下， 將分別對方案總體框架描述中 CA 認證系統(tǒng) 、 應用 系統(tǒng) 安全集成方案 等幾部分 分別 進行描述。 4 CA 認證系統(tǒng)設計 CA 認證系統(tǒng)負責為 用戶 提供安全認證服務，本方案采用 iTrusCA 產(chǎn)品進行設計和建設。 iTrusCA 系統(tǒng) 簡介 iTrusCA 系統(tǒng) 是參照國際領先的 CA 系統(tǒng)的設計思想，繼承了國際領先 CA 系統(tǒng)的成熟性、先進性、安全可靠及可擴展性，自主開發(fā)的、享有完全自主知識產(chǎn)權的數(shù)字證書服務系統(tǒng)。系統(tǒng)具有完善的功能，能夠完成從企業(yè)自主建立標準 CA 到政府、行業(yè)建立大型服務型 CA 等全面的需求。 iTrusCA 系統(tǒng)采用模塊化結(jié)構設計 ，由最終用戶、 RA 管理員、 CA 管理員、注冊中心（ RA）、認證中心（ CA）等構成，其中注冊中心（ RA）和認證中心（ CA）又包含相應的模塊，系統(tǒng)架構如下圖： CA系統(tǒng)應用安全解決 方案 第 4頁 共 29頁 圖 1 iTrusCA 系統(tǒng)模塊架構圖 iTrusCA 系統(tǒng)能提供完善的功能， 包括：證書簽發(fā)、證書生命周期管理、證書吊銷列表（ CRL） 查詢服務 、目錄查詢服務、 CA 管理、密鑰管理和日志審計等全面的功能。 iTrusCA 系統(tǒng)按照用戶數(shù)量的不同分為小型 iTrusCA、標準型 iTrusCA、企業(yè)型iTrusCA 和大型 iTrusCA，不同類型系統(tǒng)的網(wǎng)絡建設架構是不同的。 iTrusCA 系統(tǒng)具有下列特點 ： A. 符合國際和行標準； B. 證書類型多樣性及靈活配置。能夠發(fā)放包括郵件證書、個人身份證書、企業(yè)證書、服務器證書、代碼簽名證書和 VPN 證書等各種類型的證書； C. 靈活的認證體系配置。系統(tǒng)支持樹狀的客戶私有的 認證體系，支持多級 CA，支持交叉認證； D. 高安全性和可靠性。使用高強度密碼保護密鑰，支持加密機、智能卡、 USB KEY 等硬件設備以及相應的網(wǎng)絡產(chǎn)品（證書漫游產(chǎn)品）來保存用戶的證書； E. 高擴展性。根據(jù)客戶需要，對系統(tǒng)進行配置和擴展，能夠發(fā)放各種類型的證書；系統(tǒng)支持多級 CA，支持交叉 CA；系統(tǒng)支持多級 RA。 F. 易于部署與使用。系統(tǒng)所有用戶、管理員界面都是 B/S 模式， CA/RA 策略配置和定制以及用戶證書管理等都是通過瀏覽器進行，并具有詳細的操作說明。 G. 高兼容性。支持各種加密機、多種數(shù)據(jù)庫和支持多種證書存儲介質(zhì)。 CA系統(tǒng)應用安全解決 方案 第 5頁 共 29頁 認證體 系設計 認證體系是指證書認證的邏輯層次結(jié)構，也叫證書認證體系。證書的信任關系是一個樹狀結(jié)構，由自簽名的根 CA 為起始，由它簽發(fā)二級子 CA，二級子 CA 又簽發(fā)它的下級 CA，以此遞推，最后某一級子 CA 簽發(fā)最終用戶的證書。 認證體系理論上可以無限延伸，但從技術實現(xiàn)與系統(tǒng)管理上，認證層次并非越多越好。層次越多，技術實現(xiàn)越復雜，管理的難度也增大。證書認證的速度也會變慢。一般的，國際上最大型的認證體系層次都不超過 4 層，并且瀏覽器等軟件也不支持超過 4 層的認證體系。 本方案設計的 用戶 的 CA 認證系統(tǒng)采用如下圖所示的認證體系： 圖 2 用戶 CA 認證體系圖 如圖所示，認證體系采用 3 層結(jié)構： ? 第一層是自簽名的 用戶 根 CA，是處于離線狀態(tài)的，具有 用戶 的權威性和品牌特性。 ? 第二層是由 用戶 根 CA 簽發(fā)的 用戶 子 CA，處于在線狀態(tài)，它是簽發(fā)系統(tǒng)用戶證書的子 CA。 ? 第三層為用戶證書，由 用戶 子 CA 簽發(fā)，從用戶證書的證書信任鏈中可以看出整個 用戶 的 CA 認證體系結(jié)構，用戶證書在 用戶 的應用范圍內(nèi)受到信任。 采用這種認證體系 具有下列特點： （ 1） 體現(xiàn) 用戶 的權威性 從認證體系上看， 用戶 CA 具有自己的統(tǒng)一的根 CA，由 用戶 進行統(tǒng)一管理，負責整個 用戶 的認證體系、 CA 策略和證 書策略的定制與管理，這樣充分體現(xiàn)了 用戶 的權威性。 CA系統(tǒng)應用安全解決 方案 第 6頁 共 29頁 （ 2） 具有很好的可擴展性 如圖所示體系具有很好的可擴展性，采用三層結(jié)構為體系的擴展預留了空間（因為大多數(shù)應用都只支持四層以下），根據(jù) 用戶 實際應用需求，將來可以在子CA 下，簽發(fā)下級子 CA；或者針對別的應用再簽發(fā)子 CA 這樣，使得 用戶 CA 認證體系具有很好的可擴展性。 （ 3） 具有很好的可操作性 采用三層體系結(jié)構，相對比較簡單，在 CA 的創(chuàng)建和管理上也相當比較容易。雖然從技術上認證體系支持無限擴展，但是層次越多，技術實現(xiàn)越復雜，管理的難度也增大。而采用三層結(jié)構是目前業(yè)界比較通用的、 標準的做法。這樣，使得用戶 CA 認證體系具有很好的可操作性。 系統(tǒng)網(wǎng)絡架構 采用 iTrusCA 系統(tǒng)將為 用戶 建設一個 CA 中心和一個 RA 中心， iTrusCA 系統(tǒng)的所有模塊可以安裝在同一臺服務器上，也可以采用多臺服務器分別安裝各模塊。系統(tǒng)網(wǎng)絡架構如下圖所示： 圖 3 CA 系統(tǒng)網(wǎng)絡架構 示意 圖 如圖所示，將 iTrusCA 系統(tǒng)的 CA 認證中心和 RA 注冊中心各模塊安裝在 CA 服務器上，為了保證系統(tǒng)的安全， CA 服務器必須位于安全的區(qū)域，即采用防火墻與外界進行隔離。最終用戶使用瀏覽器，訪問 CA 服務器，進行證書申請和管理。管理員 （包括CA 管理員和 RA 管理員 ，可以是同一個管理員擔任 ）使用瀏覽器，訪問 CA 服務器，進行證書管理和 CA 管理。 CA系統(tǒng)應用安全解決 方案 第 7頁 共 29頁 證書存儲介質(zhì) 本方案推薦使用 USB KEY 來保存用戶的證書及私鑰。 USB KEY 是以 USB 為接口的存儲設備，它便于攜帶和使用，可以實現(xiàn)在所有的機器（具有 USB 接口）上的漫游，可以滿足 用戶 移動辦公的需求。 USB KEY 可以設置用戶口令保護，增強了證書及私鑰的安全性。 為了在發(fā)生 USB KEY 丟失等情況時 ，私鑰 可以 恢復或者還可以 用私鑰 解密以前的加密郵件，在申請證書時，密鑰對可以在系統(tǒng)中產(chǎn)生 而不是在 USB KEY 中產(chǎn)生 ， 當證書 申請成功后，再將私鑰 和證書 導入到 USB KEY 中；同時系統(tǒng)可以以文件的形式保留私鑰 和證書的備份，這就提供了在 USB KEY 丟失時對用戶私鑰和證書的保護措施。 CA 系統(tǒng) 功能 iTrusCA 系統(tǒng)具有完善的功能，采用 iTrusCA 系統(tǒng)設計的 用戶 CA 認證系統(tǒng) 也具有完善的功能，包括： （ 1）證書簽發(fā) 通過 CA 認證系統(tǒng)，能夠申請、產(chǎn)生和分發(fā)數(shù)字證書，具有證書簽發(fā)功能。用戶訪問 CA 認證系統(tǒng)，提交證書申請請求，申請數(shù)字證書； RA 管理員訪問管理員站點，審查和批準用戶的證書申請請求； CA 認證中心根據(jù) RA 管理 員的批準，簽發(fā)用戶證書，并將數(shù)字證書發(fā)布到目錄服務器中。用戶 CA 認證系統(tǒng)，獲取簽發(fā)的證書。 （ 2）證書生命周期管理 通過 CA 認證系統(tǒng)，可以實現(xiàn)證書的生命周期管理，包括： ? 證書申請 最終用戶使用瀏覽器，訪問 CA 認證系統(tǒng)，可以進行證書申請，在線提交證書申請請求； ? 證書批準 管理員登錄管理員站點，完成證書批準功能可以查看和審最終用戶的證書申請請求； ? 證書查詢 最終用戶可以通過 CA 認證系統(tǒng)，查詢自己或別人的數(shù)字證書； ? 證書下載 通過 CA 認證系統(tǒng)，可以下載簽發(fā)的數(shù)字證書； ? 證書吊銷 最終用戶在使用證書期間，有可能 會出現(xiàn)一些問題，如：證書丟失、忘記密碼等，最終用戶就需要將原證書吊銷。用戶吊銷證書時，可CA系統(tǒng)應用安全解決 方案 第 8頁 共 29頁 以直接訪問 CA 認證系統(tǒng)，在線的向 CA 提交證書吊銷請求， CA 認證系統(tǒng)根據(jù)用戶的選擇，自動吊銷用戶的證書，并將吊銷的證書添加到證書吊銷列表（ CRL）中，按照證書吊銷列表的發(fā)布周期進行發(fā)布； ? 證書更新 在用戶證書到期前，用戶需要更新證書，用戶訪問 CA 認證系統(tǒng)，查詢用戶的證書狀態(tài)，對即將過期的用戶證書進行更新。 （ 3） CRL 服務功能 CA 認證系統(tǒng)支持證書黑名單列表（ CRL）功能，能夠配置指定 RA 的 CRL 下載地點及 CRL發(fā)布時間。 CA 認證系統(tǒng)定時產(chǎn)生 CRL 列表，并將產(chǎn)生的 CRL 發(fā)布至 Web 層 CRL服務模塊，可以通過手工下載該 CRL。 （ 4）目錄服務功能 CA 認證系統(tǒng)支持目錄服務，支持 LDAP V3 規(guī)范， CA 認證系統(tǒng)在簽發(fā)用戶證書時或者對證書進行吊銷處理時，會及時更新目錄內(nèi)容。證書服務的功能提供給用戶進行證書查詢的功能，用戶可以通過電子郵件（ Email）、用戶名稱（ Common Name）、單位名稱（ Organization）和部門名稱（ OU）等字段查找 CA認證系統(tǒng)簽發(fā)的用戶證書。 （ 5） CA 管理功能 CA 認證系統(tǒng)具有完善的 CA 管 理功能，包括： ? 管理員管理 ? RA 管理員管理，包括初始化 RA 管理員申請、增加 RA 管理員、刪除 RA 管理員； ? CA 管理員管理，包括初始化 CA 管理員申請、后續(xù) CA 管理員證書申請、吊銷 CA 管理員證書。 ? 賬號管理 ? 個人賬號管理，包括注冊信息，證書信息等管理； ? RA 賬號管理，包括 RA 賬號申請、批準、吊銷、額外管理員證書申請等。 ? 策略管理 ? 證書策略配置管理，高度靈活和可擴展的配置 CA 所簽發(fā)證書的有效期、主題、擴展、版本、密鑰長度、類型等方面； CA系統(tǒng)應用安全解決 方案 第 9頁 共 29頁 ? RA 策略配置管理，包括語言、聯(lián)系方法、證書類型、是否發(fā)布到LDAP 等； ? CA 策 略配置管理，包括證書 DN 重用性檢查、 CA 別名設置等。 （ 6）日志與審計功能 系統(tǒng)具有完善的日志與審