自建CA认证系统实用方案.docx

自建CA认证系统实用方案

一、CA认证系统建设的背景

1.1网络身份认证风险

如何认证互联网业务中对方的身份，是制约信息产业开展的瓶颈，身份认证问题亟待解决：

身份认证是第一道防线

纵使是固假设金汤的保险库，非法分子一旦掌握了翻开大门的钥匙，保险重地将会变成了窃贼的后院。业务系统即使被防火墙、入侵监测、防病毒等边界系统保护，一旦入侵者冒充合法身份进入，系统平安荡然无存。

基于用户名/口令的认证方式是最常用的一种技术，也是现在财务系统使用的认证方式，无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录，都是基于用户名和口令的方式认证。

基于用户名/口令的认证方式存在严重的平安问题，是攻击者最容易攻击的目标：

1)单因素的认证，平安性仅依赖于口令，口令一旦泄露，用户即可被冒充。

2)为记忆方便，是用户往往选择简单、容易被猜想的口令，如：与用户名相同的口令、生日、单词等。这往往成为平安系统最薄弱的突破口。

3)口令一般是经过加密后存放在口令文件中，如果口令文件被窃取，那么就可以进行离线的字典式攻击。这也是黑客最常用的手段之一。

最近屡屡爆出的口令泄密事件，如CSDN、天涯、新浪微博、广东省进出境管理都是身份认证方式选择不当引起的。而弱认证带来的经济损失更是触目惊心，江苏郝金龙利用计算机入侵扬州某银行计算机网络，修改账户信息，大肆窃取现金。黑客利用钓鱼网站获取网银用户账号密码以及动态密码，浙江乐清市陈女士网银被窃200万元。

1.2信息泄露风险

传输在客户端与Web效劳器之间的敏感、机密信息和交易数据，如资金调拨、资金往来、个人账户信息等，这些数据都是保密的数据，一旦被竞争对手或者非法分子获得，将会给企业财务系统带来致命威胁。

互联网的开放特性使得任何跨机房传输的信息可能被截取，被非法用户加以利用，给用户和企业造成损失。目前使用最多的一些互联网抓包工具如sniffer，具备初级计算机应用水平就能操作自如。莱钢的泄密事件给企业、国家带来的了巨大损失，在全国范围内掀起了一场保密风暴。通过数据加密进行信息隐藏是行之有效的解决方法，非法分子即使能够窃听网上交易数据，但没有破解的密码钥匙，机密信息无法读懂。

信息泄露，尤其是用户名+口令的认证信息泄露，将会给业务系统带来致命风险：

信息泄露例如

1.3法律和责任风险

财务管理系统中重要单据如合同、标书、转账、结算、报表等传输中的完整性至关重要，通过开放的互联网，敏感数据在传输过程中很可能被恶意篡改、重发，使得接收方不能得到完整的信息，网上交易时经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题，给交易的双方带来巨大的影响和损失，网上交互〔交易〕行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据〔无论是司法取证还是内部管理追溯或者审计〕，法律和责任风险无法控制。

《电子签名法》明确定义了数字签名具有和手写签名同等的法律效力，因此在财务管理系统中对关键表单进行数字签名是保护企业合法权利的有效方法。

下列图为互联网交易中，消息篡改例如：

信息篡改例如

二、CA认证系统建设的必要性

2.1国家法规政策要求必须加强身份认证管理

《商用密码管理条例》中第十四条规定：任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。

公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合发布了《信息平安等级保护管理方法》，以及一系列针对计算机信息系统进行平安等级保护的要求，对于身份认证和通讯加密提出了明确要求。

《电子签名法》第4，5，6，13条对于合法签名的定义，要求必须使用基于PKI/CA的强身份认证管理。

符合电子签名法

2.2企业内控必须加强身份认证管理

随着萨班斯法案的推广和实施，目前海内外公司都在进行一场IT内控的变革，而无论是COSO还是Cobit，以及平安指南的ISO17799都无一例外地将身份识别定位为首要解决的关键问题。有效的身份识别方式才能够为追溯行为和责任体系，审计证据链提供最有效和最有力的支撑。

2.3整体平安需要加强身份认证管理

根据平安的木桶理论，身份认证作为业务系统平安的基石，采用强身份认证是保证整体平安的前提。采用密码理论构建的证书认证体系，其平安性等同于破解“大整数分解”、“离散对数”等数学难题，是可证平安的，并被广泛采用。

三、CA认证系统集成方案

CA平安认证平台基于PKI/CA技术能够解决身份假冒问题、数据泄露问题、信息篡改问题、平安审计问题。平台中的CA认证系统采用自建模式，符合国家密码管理局制定的《证书认证系统密码及其相关平安技术标准》，企业自我维

护和管理、发放数字证书，通过电子签名中间件与用户财务系统集成实现基于U盾