CA安全认证系统自安全性的研究与实现.docx

CA安全认证系统自安全性的研究与实现汤建忠1，顾华江2，沈瑾1(1.嘉兴市烟草专卖局，浙江嘉兴314031；2.绍兴市烟草专卖局，浙江绍兴312000)摘要：为提高CA(certificationauthority)安全认证系统的自身安全性，提出了从物理安全和环境安全、CA系统核心组件安全、证书管理安全和系统安全审计等方面入手，从而构建一个行业级的CA安全认证系统。通过CA自身安全的加强，避免由于自身系统的脆弱性而产生的风险，有效地提高了整个CA系统的安全性、完整性和有效性，从而保证构建在CA系统上各个业务系统的正常运行。该方案在烟草某省实施后，实际运行结果表明该方案切实可行。关键词：CA系统;自安全性;安全认证;证书管理;安全审计中图法分类号：TP309文献标识码：A文章编号：1000-7024(2009)18-4231-04ResearchandimplementationofCAsecurityauthenticationsystem’ssecurityTANGJian-zhong1,GUHua-jiang2,SHENJin1(1.JiaxingTobaccoMonopolyBureau,Jiaxing314031,China;2.SaoxingTobaccoMonopolyBureau,Saoxing312000,China)Abstract：AsolutiontoconstructtheCA(certificationauthority)securityauthenticationsystemforthetobaccomonopolyenterprisesisproposed.Thissolutionaddressesthephysicalandenvironmentsecurities,thesecurityofcorecomponentsofCAsystem,securityofcertificationmanagement,andsystemauditionsecurity,enhancestheoverallsecuritiesofCAsecurityauthenticationsystemitself.BystrengtheningthesecurityofCAitself,theriskscausedbythevulnerabilityofCAarereduced,andthesecurity,integrityandef-fectivenessofCAsystemareimproved.Thissolutionisusedinrealtobaccomonopolyenterprise,andisprovedtobeusefulandtangible.Keywords：certificationauthority(CA)system;selfsecurity;securityauthentication;certificatemanage;safetyaudit(4)系统具有防止黑客或未授权用户对数据进行篡改和删除的功能，遭到破坏后有恢复功能；(5)系统中的审计业务和其它业务实现严格的分权管理；(6)证书被非法复制使用后，系统能提示用户。1.2CA安全认证系统的总体结构CA安全认证系统的总体结构如图1所示。0引言随着通讯基础设施和互联网的快速发展，各行业都建立了基于区域数据集中和互联网平台的应用，但随之而来的安全问题困扰了各行业，基于CA安全认证的安全解决方案是一种行之有效的方法。CA安全认证体系是行业应用信息安全的重要组成部分，是信息安全的基础架构，因此在CA安全认证体系建设中，首先应考虑的是CA系统的自身安全性，必须对威胁安全的各因素综合考虑，制定切实可行安全策略和防范手段。2CA安全认证系统的自安全性实现CA安全认证系统的自安全性，包括物理安全和环境安全、CA系统核心组件安全设计、证书管理安全设计和系统安全审计设计等4个方面。2.1物理安全和环境安全设计CA系统的物理安全和环境安全是整个系统安全的基础，要把CA系统的危险减至最低限度，要充分考虑雷击、水灾、地震、电磁干扰与辐射、犯罪活动以及工业事故等的威胁，各服务器需做好时间同步，重要数据必须采用磁盘阵列和备份系统及时备份数据。1CA安全认证系统的结构和安全目标1.1CA安全认证系统的安全目标(1)提供7×24小时不间断服务，保证运行稳定；(2)能抵抗来自系统内、外部的攻击；(3)系统进行安全和合理的网络划分，各部分有不同的保障措施；收稿日期：2008-10-07；修订日期：2008-12-01。基金项目：浙江省烟草公司嘉兴市公司和嘉兴市烟草专卖局信息化重点建设基金项目(2008XX03)。作者简介：汤建忠(1972－)，男，浙江嘉兴人，高级工程师，