企业CA解决方案
前言:
以Internet为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,从典型的如金融业务系统、网上证券交易业务系统,逐渐扩展到企业内部系统应用,大幅度地改进了工作方式,提高了工作效率。然而如何确保在网络中传输的身份认证、机密性、完整性、合法性等问题已成为进一步发展和推动企业信息化应用的关键。目前最好的应用安全解决方案是采用PKI(Public Key Infrastructure,公钥基础设施)技术建立数字证书认证中心(CA),为企业用户颁发证书来确定身份,保证企业敏感信息的机密性、完整性以及抗抵赖性。
需求分析:
·身份认证:目前,很多应用系统采用“用户名+密码”的方式来验证访问用户的身份,用户输入的用户名和密码通过明文方式传输,用户口令易被窃取而导致损失。因此,需要采用安全的手段,解决应用系统身份认证需求。
·机密性、完整性:大量企业敏感信息在网上传输,非法用户很容易监听网络传输的数据甚至篡改相关数据,或者入侵到应用系统,窃取有关资料。因此,需要采用有效的方式保证应用系统传输数据的机密性和完整性。
·抗抵赖性:信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖,不能否认自己发送信息的行为。因此,需要提供一种有效的机制,来保证业务系统中传递信息的抗抵赖性。
·其他安全需求:安全是不能仅仅靠技术来保证,必须要有相应的组织管理体制配合、支撑,才能确保信息系统安全、稳定运行。
| 方案设计: |
 |
| 如上图所示,BJCA企业CA主要由、系统初始化模块、证书签发模块、CRL签发模块、签发任务管理模块、CRL、证书发布模块、密码服务模块、管理员功能模块、操作员功能模块模块组成。 |
| 企业CA主要功能包括: |
| 数字证书离线申请 | 数字证书在线申请 | 数字证书离线更新 | | 数字证书在线更新 | 证书吊销 | 证书发布、CRL发布 | | 系统安全审计和报表生成下载 | 系统业务统计和报表生成下载 | 系统运行策略管理 |
|
|
| 方案特点: |
·
| 易于实施:BJCA企业CA与普通CA复杂的建设过程不同,安装从申请到批准流程简捷高效、易于部署。 |
| |
| · | 易于管理:采用PKI认证体系,具有成熟规范的证书管理模式,降低安全风险,同时对于终端发放点而言,其管理和操作上非常简单,易于使用,能很方便为各类用户提供证书办理服务。 |
| |
| · | 应用广泛:系统设计中完全采用工业标准和开放的结构,作为证书应用基础平台,系统可定制,易于与具体业务系统相结合。 |
| |
|
| 应用领域: |
| 适用于中小型企业内部信息化,包括 |
| ·企业OA办公自动化 |
| ·企业财务系统 |
| ·企业物流管理 |
| ·企业ERP系统 |
