用友NC安全解决方案报告书

《用友NC安全解决方案报告书》由会员分享，可在线阅读，更多相关《用友NC安全解决方案报告书（52页珍藏版）》请在装配图网上搜索。

1、 用友NC平安解决方案中讯数字证书认证49 / 52目 录1前言12应用平安需求概述12.1用友NC实现功能22.2CA应用需求22.3VPN平安应用需求42.4法律需求电子签名法52.4.1相关概念52.4.2相关规定62.4.3法律效益73CA平安解决方案73.1总体架构73.2托管效劳模式93.2.1网络架构103.2.2CA系统工作流程设计113.2.3CA系统实施部署流程143.2.4托管模式意义143.3CA技术与VPN相结合153.3.1VPN总体架构153.3.2VPN平安登录实现原理163.3.3VPN证书应用173.4硬件RA- 中讯RA-M183.4.1概述183.4.2

2、产品特点183.4.3产品功能193.5证书存储介质194人员平安解决方案204.1信息部职责204.2各部门、分公司的职责204.3员工的权利与义务204.4证书申请流程和规214.4.1数字证书发放模式214.4.2数字证书申请流程224.5鉴证审批管理规234.5.1鉴证审批的根本原那么234.5.2证书更新鉴证244.5.3证书撤消鉴证244.6网络管理员平安控制254.6.1网络管理员职责254.6.2NC系统人员平安管控265NC系统层次平安架构介绍315.1客户端接入315.2传输层加密335.3效劳器平安335.4数据库平安346证书审批模式设计356.1手动审批366.2自动

3、审批376.3通行码审批396.4集中制证模式407CA平安认证系统工作原理427.1系统平安原理427.2系统环境要求468证书存储方式468.1USB KEY介绍468.2USB KEY优点478.3USB KEY密码489用友NC系统证书应用4810技术支持与培训52附件一关于中讯53附件二中讯相关资质571 前言用友软件是中国最大的管理软件、ERP软件、财务软件、集团管理软件供给商之一。用友NC是用友公司面向集团型企业和高成长型企业推出的高端ERP产品，涵盖从集中财务管理、供给链管理、集团资金管理等全面应用，全面支持企业各项经营，是集团企业协同电子商务的有效手段。用友NC与中讯数字PK

4、I/CA产品和效劳的整合方案，是一次强强联合。用友NC核心管理理念是“集中管理 战略协同，其中“战略协同是致力于集团企业各组织间以及企业员工之间、上下游供给商、伙伴、客户等在信息共享的根底上的协同工作。而中讯作为专业的电子认证效劳运营商和CA产品提供商，实现了用友NC用户多方平安协同工作，保障信息传递的性、保障电子化信息交互的层面上双方多方行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力，得到?中华人民国电子签名法?法律的保障。目前，用友NC系统已经成功支持中讯CA产品和效劳，NC系统只需简单的部署和配置，就可以实现基于数字证书的各种平安功能，保障系统高效、成功地

5、实施。迄今为止，中讯PKI/CA平安解决方案已在众多大型集团企业的资金管理系统中成功应用。中讯以高可靠性的产品及优质的技术支持能力成为用友集团CA认证合作伙伴，为用友NC产品保驾护航，提供全面的平安解决方案。2 应用平安需求概述目前NC的默认登录方式是用户名+口令的方式，平安性不高，容易被暴力破解，当然在业务交流的时候也会因为人为的疏忽或者黑客的攻击而导致业务信息丧失，公开或者篡改，使用户的资金系统存在着平安隐患，导致不必要的损失。2.1 用友NC实现功能1、 通过NC系统的应付系统来完成支付业务的全过程管理。2、 由系统实现专项预算对支付的自动控制，超出局部不允许支付。3、 可以通过配置不同

6、付款单的审批流程来控制各子公司的支付走款，同时不允许修改由支付业务触发生成的总账凭证中的金额等要素。4、 子公司出纳将审批通过的付款单进展支付，如果开通了银企互联的支付功能，那么可以在系统平台上直接对外支付。5、 子公司财务人员根据支付完成的付款单自动触发生成相关会计凭证。2.2 CA应用需求由于在用户部存在着许多支付和审批交易，不可防止的会遇到一些平安保障因素，对支付人、审批人的身份认证，可信电子签名，操作控制以及抗抵赖追等，都是集团考虑的平安要素。就用户的应用平安需求，结合用友NC系统，中讯提出下面几点具体的CA平安需求： 基于用户名/口令的认证方式基于用户名/口令的认证方式是最常用的一种

7、技术，也是现在用友NC普遍使用的认证方式，无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录，都是基于用户名和口令的方式认证。基于用户名/口令的认证方式存在严重的平安问题，是攻击者最容易攻击的目标：1) 它是一种单因素的认证，平安性仅依赖于口令，口令一旦泄露，用户即可被冒充。2) 为记忆方便，是用户往往选择简单、容易被猜想的口令，如：与用户名一样的口令、生日、单词等。这往往成为平安系统最薄弱的突破口。3) 口令一般是经过加密后存放在口令文件中，如果口令文件被窃取，那么就可以进展离线的字典式攻击。这也是黑客最常用的手段之一。关于平安的调查结果说明：超过80的平安入侵是由于用户选用了拙

8、劣的口令而导致的。由此可以推断，大局部的入侵可以通过选择好的口令来阻止。 应用系统对关键操作的控制关键操作即对数据交互的平安操作，比方在ERP系统中关键文档的提交和发布，报帐系统中重要信息的传输，资金系统中涉及资金的审批，供给链中的单据确认等等。主要涉及了三方面的平安风险：1) 信息的性：传输在客户端与Web效劳器之间的敏感、信息和交易数据，如客户的私隐信息等，这些数据都是的数据。而通过开放的互联网，有可能在传输过程中被截取，被非法用户加以利用，给用户和企业造成损失。2) 信息的完整性：在保证信息性的同时，还需要保证敏感数据的完整传输。通过开放的互联网，敏感数据在传输过程中很可能被恶意篡改，使

9、得接收方不能得到完整的信息。3) 信息的不可抵赖性：是指发送信息的一方不能对自己的发送的信息进展抵赖，不能否认自己发送信息的行为。由于信息的传输是通过开放的互联网，经常会由于对发送的信息进展抵赖而引起不必要的纠纷和问题，给交易的双方带来巨大的影响和损失。网上交互交易行为一旦被进展交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据无论是司法取证还是部管理追溯或者审计。 身份及资产的管理无论部员工还是外部用户，最大的风险就是信息环境中人与用户的关联性。当前信息平安的开展不仅要求虚拟身份的标识符合应用系统要求，而且强调标识方式符合真实的社会实体要求，即虚拟身份与真实身份唯一对应。对设备等实物资

10、产同样，无法将真实身份按角色的分配给用户会导致整个管理的混乱，信息孤岛会导致IT的目标与企业战略和股东利益的不一致。中讯为用友NC提供的解决方案，能够完全解决财务、资金、供给链、客户关系管理、决策支撑、人力资源等丰富系统中的用户认证、数据加密、信息不可否认性等方面存在的平安问题。2.3 VPN平安应用需求随着信息化应用需求的逐步深入，企事业单位的部应用系统往往需要向外部人员开放，方便本单位驻外地员工或者外单位人员进展业务交流，在这种需求下，越来越多的企事业单位通过VPN系统处理外部用户的业务请求，采用VPN使外部用户可以方便的登录企业部办公应用系统。在这种模式下，用户通过VPN能够直接接入企业

11、网，为了企业部网络平安和传输信息平安，采用何种用户认证模式，就显得尤为重要了。具体的需求如下：（1） 身份认证和访问控制：高强度的身份认证是保障VPN系统平安的前提，VPN系统对用户的身份认证往往采用的是“用户名密码的方式，这种口令式的用户身份认证方式降低了VPN系统的整体平安性。（2） 性：在网络上传输的信息不能被窃取；（3） 数据完整性：在网络上传输的信息不能被恶意窜改；（4） 不可抵赖性：在网上提交的请不允许抵赖的，同时对涉及信息平安的事件，提供事后追踪、审核及统计的手段。2.4 法律需求电子签名法2.4.1 相关概念电子签名：是指数据电文中以电子形式所含、所附用于识别签名人身份并说明签

12、名人认可其中容的数据。数据电文：是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。电子签名的表现形式：1、附着于电子文件的手写签名的数字化图像，包括采用生物笔迹区分法所形成的图像。2、向收件人发出证实发送人身份的密码、计算机口令。3、采用特定生物技术识别工具，如指纹或者虹膜透视区分法。4、使用非对称密码加密系统对电子记录进展加密、解密变换来实现的数字签名。电子认证效劳：是指为电子签名相关各方提供真实性、可靠性验证的公众效劳活动。电子签名人：是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。电子签名依赖方：是指基于对电子签名认证证书或者电子签名的信赖从事

13、有关活动的人。电子签名制作数据：是指在电子签名过程中使用的，将电子签名与电子签名人可靠地联系起来的字符、编码等数据。电子签名验证数据：是指用于验证电子签名的数据，包括代码、口令、算法或者公钥等。电子签名认证证书：是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。2.4.2 相关规定数字证书容：?电子签名法?第二十一条 电子认证效劳提供者签发的电子签名认证证书应当准确无误，并应当载明以下容：一电子认证效劳提供者名称；二证书持有人名称；三证书序列号；四证书有效期；五证书持有人的电子签名验证数据；六电子认证效劳提供者的电子签名；七国务院信息产业主管部门规定的其他容。电子认证效劳

14、机构的条件：?电子认证效劳管理方法?第五条 电子认证效劳机构，应当具备以下条件：一具有独立的企业法人资格；二从事电子认证效劳的专业技术人员、运营管理人员、平安管理人员 和客户效劳人员不少于三十名；三注册资金不低于人民币三千万元；四具有固定的经营场所和满足电子认证效劳要求的物理环境；五具有符合国家有关平安标准的技术和设备；六具有国家密码管理机构同意使用密码的证明文件；七法律、行政法规规定的其他条件。2.4.3 法律效益立法要解决的是规定平安可靠的电子签名应当到达的标准并赋予其法律效力；而如何到达法定标准，那么属于技术问题。 ?电子签名法?第十四条：“可靠的电子签名与手写签名或者盖章具有同等法律效

15、力。 ?电子签名法?第十三条电子签名同时符合以下条件的，视为可靠的电子签名：一电子签名制作数据用于电子签名时，属于电子签名人专有；二签署时电子签名制作数据仅由电子签名人控制；三签署后对电子签名的任何改动能够被发现；四签署后对数据电文容和形式的任何改动能够被发现。3 CA平安解决方案3.1 总体架构在用友ERP的应用平台中，中讯CA中心负责用户身份系统的权威数字证书管理，作为系统的根底支撑模块来完成整个可信平台的建立：目前，用友NC ERP已经成功集成了中讯的数字证书接口，因此，在用友软件ERP构建的企业ERP系统、资金管理系统中就可以直接通过使用中讯提供的数字证书效劳，系统不必作任何改动就可以

16、针对性的解决用友ERP所遇到的平安问题：如下图，解决方案总体框架包含如下几个根本思想：一、 采用中讯提供的证书效劳，为最终用户颁发数字证书，提供平安认证效劳。二、 基于中讯和用友NC的系统集成，通过数字证书实现身份认证和访问控制，同时通过加密技术和数字签名技术，实现信息传输的性和抗抵赖性。三、 用户证书保存在USB令牌中，USB令牌是一种平安的证书存储介质，可以保证保存在USB令牌上的证书私钥不能够被导出。同时，实现移动办公的需求。四、 技术和法律层面的双重保障抗抵赖性在2005年中华人民国?电子签名法?公布以后，法律上规定：只有得到信息产业部颁发的?电子认证效劳许可证?的数字认证机构，其所颁

17、发的数字证书在电子商务中的数字签名才能够得到法律的认可和保护。中讯率先从信息产业部获得该资质，因此，用友NC ERP系统用户使用中讯提供的数字证书实现的电子签名是符合法律要求的抗抵赖证据，从而使用友NC ERP的电子化签名和手写签名一样得到法律的认可，可以作为法律上有效的证据，完毕了电子化信息系统重要数据的“无据可依，“无法可依的现状。因此，通过此方式，用户能够实现技术和法律层面的双重保障。3.2 托管效劳模式第三方托管型模式的解决方案的适用的围是：传递的信息敏感，在技术层面上要实现敏感信息传递要防篡改、抗抵赖；信息传递双方多方的行为需要有公正的第三方的证实，在法律层面上要能够做到抗抵赖性。例

18、如，资金管理系统中的分支机构和企业总部之间、电子交易平台中企业和经销商之间等。采用“第三方托管CA模式企业可以节省，企业就可以专心做自己的业务，而不用购置和维护复杂的、昂贵的 PKI 系统。更重要的是：客户希望他们使用的数字证书得到?电子签名法?的保护，对于这样的用户我们建议采用第三方托管效劳模式：在中讯认证中心部，为客户建立一套托管CA系统，企业在申请数字证书的时候只需要直接通过互联网到中讯数字认证中心在线申请代表集团企业员工、企业供给商、客户、合作伙伴等身份的数字证书。3.2.1 网络架构如上图所示： 托管CA效劳在企业本地不建立任何CA模块，通过企业委派的CA管理员使用数字证书以USB

19、KEY为证书介质登录到中讯认证中心后台为企业提供的RA控制中心来实现证书审批和管理功能。 CA管理员通过登录到用户注册效劳器来完成用户证书申请以及其他证书生命周期管理功能。 发放数字证书后，用户可以将数字证书存放在USBKEY中，登入NC系统时采用用户名+口令+CA认证的方式。 用户登入到NC系统，在做了相应的业务操作之后，需要用数字证书对数据进展签名保存，业务数据将被加密传输。 审批人员可以对签名的数据进展签名验证，查看业务数据是否被篡改。托管效劳模式流程如以下图：客户托管CA系统托管在中讯认证中心部l 用户自己无需维护一套对技术和维护要求很高的CA系统，用户CA核心后台托管到中讯平安数据认

20、证中心。用户需要建立的容非常少，系统的建立速度也非常快。更重要的是，此种建立方式能够使用户的应用平安得到?中华人民国电子签名法?的保护。l 用户管理员可以远程管理其托管CA，平安便捷的发放数字证书。电子签名应用效劳器在用户的系统中实现数字签名、身份认证、数据加解密的电子签名集成系统和NC系统配合。3.2.2 CA系统工作流程设计1证书发放流程本方案设计的用友托管CA认证系统采用集中制证的发证模式，其工作流程如以下图所示：证书发放流程（1） 最终用户使用浏览器，访问客户RA效劳器，进入证书申请页面，填写证书申请信息，向客户RA认证系统提交证书申请请求。在本地USB令牌上产生证书的公私钥对，并将公

21、钥和用户信息一起作为证书申请请求，提交给RA效劳器；（2） RA管理员使用浏览器，访问RA效劳器管理页面，查看用户提交的证书申请请求，验证申请信息，批准用户的证书申请请求；（3） RA效劳器根据管理的批准，向托管在中讯的CA效劳器进展申请，CA效劳器根据RA的申请，签发用户证书，将用户证书返回到RA端。同时，给用户发送一封电子，指导用户下载签发的数字证书；（4） 最终用户按照的提示，访问RA效劳器，下载签发的证书，证书下载时自动保存到用户的USB令牌中，证书申请完毕。2证书撤消流程在用户证书的私钥受到威胁、或者用户私钥丧失时，需要撤消用户的证书，根据用友的应用情况，本方案设计证书撤消由管理员进

22、展，其工作流程如下：（1） 管理员在发现用户违反使用规定，或者用户自己向管理员发送，请求撤消自己的证书时，管理员访问CA认证系统管理员管理页面，进展用户证书撤消；（2） 管理员通过证书管理功能页面，查询到需要撤消的用户证书；（3） 管理员选择撤消操作，选择撤消用户证书的原因，向CA认证系统发送证书撤消请求；（4） CA认证系统根据管理员的证书撤消请求，自动的撤消用户的证书，并将撤消的用户证书发布到证书撤消列表中，同时对数据库中保存的用户证书的最新状态进展更新；（5） CA认证系统给管理员返回证书撤消成功信息，同时给用户发送电子，告诉用户证书已经被撤消，不能再使用自己的证书。3证书更新流程最终用

23、户在其证书即将过期之前，需要访问CA认证系统，更新自己的证书，其流程为：（1） 最终用户在证书即将过期前一般为一个月，访问用户CA认证系统，登录用户效劳页面，点击“证书更新选项；（2） 系统自动识别用户是否具有用户CA认证系统颁发的数字证书，并且判断是否过期，如果即将过期，便提示进展更新；（3） 用户选择需要更新的证书，点击提交，向CA认证系统提交证书更新请求。在提交证书更新请求时，在USB Key中，重新产生更新证书的公私钥对，将公钥和即将过期的证书一起，作为证书更新请求，提交给CA认证系统；（4） 管理员使用浏览器，登录CA认证系统管理员管理页面，查看用户提交的证书更新请求，验证证书更新信

24、息，批准用户的证书更新请求；（5） CA认证系统根据管理员的批准，自动更新用户的证书，将更新的用户证书发布到目录效劳器，同时给用户发送一封，指导用户下载已更新的证书；（6） 用户按照提示，访问CA认证系统，进入证书下载页面，将已更新的证书下载到本地，自动保存到USB Key中3.2.3 CA系统实施部署流程（1） 可通过VPN设备来实现对数据传输过程中的平安保护； 2为客户设计数字证书申请流程和证书上显示的个人信息；在现场实施之前，中讯实施人员需要预先定制证书模板；3为客户进展NC系统对中讯数字证书支持的集成；即，由于中讯已与NC系统进展了接口集成，故只需修改NC系统的调用配置，支持中讯的证书

25、即可；NC系统当中证书的具体应用节点是由用友工程师协助完成；4NC系统在接口和数字证书的使用上有明确的规和标准，需要在使用数字证书前通过手工绑定的方式，将“用户名和数字证书捆绑在一起，中讯提供进展绑定的工具；5完成全部实施工作。3.2.4 托管模式意义1从技术层面上讲：中讯数字证书实现的数字签名技术可以通过目前最平安的PKI技术上实现以下功能：数字签名：对关键业务数据进展签名，保证性、完整性和不可抵赖性。平安访问：替换掉原有平安级别较低的“用户名/口令方式，防止非授权用户的恶意攻击，同时不能破坏 NC 原有的权限管理机制。信息加密：通过高强度的加密算法形成平安的SSL加密通道，防窃取。2从法律

26、层面上讲：中讯率先获得了?电子认证效劳许可证?，其所颁发的数字证书得到中华人民国?电子签名法?的认可和保护。NC-ERP使用中讯数字证书效劳，其电子化签名即和手写签名一样可以作为法律上有效的证据。有效的满足了NC-ERP资金、财务等敏感信息对法律方面的平安需求。3.3 CA技术与VPN相结合对于采用标准协议实现的VPN设备，由于VPN设备对数字证书的支持，根据中讯的经历，我们采用的方案是把PKI/CA技术与VPN应用系统相结合，解决VPN应用中存在的平安问题，确保VPN技术在互联网上应用的平安。我们可以通过CA认证系统为VPN设备颁发数字证书，为客户端颁发个人证书，利用中讯的CA系统进展相应的

27、数字证书发放和管理。证书的加密和验证数据在这些设备之间进展传送，产生了一个平安的虚拟专用网络。3.3.1 VPN总体架构中讯通过为VPN系统建立一套CA认证系统，为VPN系统用户发放数字证书，用户使用数字证书登录VPN系统，实现基于数字证书的VPN身份认证。本方案将采用中讯的中讯CA系统为VPN建立CA认证系统。总体框架图如下：一、 采用中讯中讯CA系统，建立一个标准的CA认证系统，为VPN设备和用户颁发数字证书，提供平安认证效劳。二、 利用VPN体系架构，通过标准协议在VPN应用中集成数字证书。用户在登录到VPN系统时，必须提交CA认证系统颁发的用户证书，系统通过用户证书来实现对VPN用户的

28、身份认证和访问控制。用户证书保存在最终用户的USB令牌中，USB令牌是一种平安的证书存储介质，可以保证保存在USB令牌上的证书私钥不能够被导出。另外，使用USB令牌，员工可以在外地或网吧，随时随地的通过VPN客户端访问企业部的业务系统，提交保存在USB令牌上的用户证书，实现VPN的平安登录。3.3.2 VPN平安登录实现原理目前，使用VPN可以采用两种方式，即使用证书的方式和不使用证书的方式。对于不使用证书的方式建立的VPN存在以下风险：（1） 不使用证书的方式建立VPN时，是基于“用户名和口令的认证，我们知道“用户名和口令的认证强度低，存在很多平安弱点，无法满足较高的平安需求；（2） 其次，

29、不使用证书的方式存在VPN密钥分发的困难，VPN密钥是一个对称密钥，用来对VPN链路层数据的加密。而目前比拟通常的做法是在配置VPN时，就在VPN客户端和VPN效劳端VPN网关之间配置一个共享的对称密钥。但是这种方式的对称密钥的平安性不高，很容易被泄漏。为了提高这种方式的平安性，需要管理员不定期的对共享的对称密钥进展更换，但是，由于更换对称密钥的操作中的人为因素等原因，使得这种方式存在巨大的平安隐患。为此，VPN应用引入了证书，来解决不使用证书方式存在的平安隐患：（1） VPN证书包括VPN设备证书和VPN用户证书是VPN设备和用户的护照，说明设备和用户的身份，基于数字证书的身份认证是一种强身

30、份认证，完全可以满足应用的身份认证需求；（2） 使用VPN证书包括VPN设备证书和VPN用户证书可以实现协商会话密钥，在进展数据通信时，发送方产生会话密钥，对发送数据进展加密，然后使用接收者的证书公钥加密会话密钥。接收者使用自己的证书私钥解密会话密钥，再用会话密钥解密被加密的数据；3.3.3 VPN证书应用根据以往的VPN证书应用经历，证书的应用流程主要有：（1） 登录CA效劳器，下载VPN根证书，将CA根证书上传到设备系统中；（2） 为VPN设备申请设备证书，将设备证书上传到VPN设备中；配置VPN设备中使用证书的身份认证方式和加密方式等的参数；（3） 为用户申请用户证书，将证书保存在USB

31、 KEY中；并配置客户端程序，使VPN系统使用证书进展登录身份认证；（4） 用户在登录系统时，跟原来的流程一样，VPN系统自动通过证书验证用户端额身份，根据用户的权限建立相应的连接；并通过证书来交换VPN加密通道的会话密钥；（5） 整个认证过程采用证书进展用户身份认证，并使用证书交换会话密钥，增强了系统的平安性。3.4 硬件RA- 中讯RA-M中讯电子认证注册效劳器中讯RA-M锐风。3.4.1 概述中讯中讯RA-M是中讯根据市场需求自主研发的一款电子认证注册效劳器。产品集成了用户注册效劳、证书审批管理、撤消列表管理、证书发布管理、RA SDK开发包、WEB效劳、数据库效劳、日志审计效劳等技术，

32、提供了具有法律效力的证书申请、审核、核发、发布、更新、撤消等证书生命周期管理功能，能够和企业应用系统无缝集成；中讯RA-M产品是高度硬件化集成，有效的解决了用户在部署、维护上的问题，购置该硬件设备后，即可通过工程师快速安装，安装简单、方便；维护本钱低，效率高。产品可广泛应用于通信、网络、金融、电力、交通、军事、工业自动化等各领域。3.4.2 产品特点良好的兼容性：采用先进的技术框架，纯Java语言开发，具备极强的平台兼容性。简单易用：安装配置简单，WEB操作界面。扩展性好：提供基于标准的API接口，有良好的扩展性。维护方便：通过远程维护功能可以及时协助用户解决问题。性能可靠：经过严格测试，满足

33、百万级以上证书运营的支持能力。3.4.3 产品功能1、用户证书效劳功能；证书申请、证书查询、证书下载、证书撤消、证书更新。2、管理员证书管理功能查看证书、撤消证书、注册证书、证书发行量查询、批量制证、管理员审计功能。3、系统配置管理网络配置、证书配置、配置、运行状态显示、远程状态监控和维护。4、审计及日志管理按照管理员日志审计、按照证书审计、按照用户审计。3.5 证书存储介质本方案推荐使用USB KEY来保存用户的证书及私钥。USB KEY是以USB为接口的存储设备，它便于携带和使用，可以实现在所有的机器具有USB接口上的漫游，可以满足用友移动办公的需求。USB KEY可以设置用户口令保护，增

34、强了证书及私钥的平安性。4 人员平安解决方案4.1 信息部职责信息部负责审核数字证书认证效劳提供者的认证资格。负责组织公司相关部门对数字证书管理制度和规的制定，管理用户数字证书的签发、撤销、更新的技术性操作。负责证书审批平台的管理工作，组织相关部门对所要颁发证书的用户进展身份鉴证的工作。负责做好数字证书应用的技术支持工作。4.2 各部门、分公司的职责审核本部门员工申请数字证书的权限，执行公司有关的计算机网络平安管理规定及数字证书管理规定。对持有数字证书的员工在解除、终止劳动合同的24小时，催促其填写?数字证书应用撤销表?并提交信息部。经本部门申请、为非公司在册员工开通的数字证书应用负监管责任。

35、4.3 员工的权利与义务1、因工作需要，按照本规定的要求，办理数字证书应用申请。2、依照本规定，正确、平安应用数字证书，不得泄露公司部相关的信息。3、在使用过程中出现的任何故障，应及时向公司信息部进展反应。4、妥善保管好数字证书，不得以任何方式将数字证书提供给他人使用。5、数字证书遗失，需及时填写?数字证书撤销表?并提交信息部，由于丧失所造成的损失由当事人本人承当。4.4 证书申请流程和规数字证书应用主要是为用户提供平安的认证效劳。证书申请流程和规的制订，是为了便于用户理解，并按照申请流程和规完成证书申请。4.4.1 数字证书发放模式发证模式是指采用何种方式将数字证书平安的发放给申请人。采用集

36、中制证发证模式。集中制证定义为，申请人填写?数字证书应用申请表?，经申请部门经理、信息部经理同意，报公司主管领导批准，证书审批签发人员由信息部数字证书管理员和相关部门如人力资源部工作人员或证书的申请部门工作人员一同代替用户申请、下载申请人证书，并将个人证书以平安的方式分发给最终用户，数字证书的备份存储到平安的介质，授权开通相应的数字证书应用。在集中制证模式下，证书审批签发人员承当的责任和义务：u 必须按照申请人提交的?数字证书应用申请表?信息，集中生成申请人证书，制作个人USB KEY，并将用户证书平安的分发到用户手中；u 不得向其他人或机构透露申请人的信息；u 在制作证书过程中，必须保证两名

37、以上工作人员且不为同一部门的工作人员同时在场；u 必须通过平安的方式确认将保存有数字证书发放到申请人手中。采用申领报的方式实现在集中制证模式下，申请人承当的责任和义务：u 申请人必须如实填写?数字证书应用申请表?，提供给证书签发审批人员；u 申请人得到申请好数字证书之后，自己负责妥善保管好数字证书。u 申请人在离职或工作岗位变动时，须及时通知信息部，参照4.3条款。u 申请人在丧失证书时，须及时通知信息部，填写?数字证书撤销表?，并从新提交申请。4.4.2 数字证书申请流程1、申请人必须如实填写?数字证书应用申请表?, 经申请部门经理、信息部经理同意，报公司主管领导批准，提交信息部；2、证书审

38、批签发人员根据审核通过的?数字证书应用申请表?信息为申请人申请数字证书；3、证书审批签发人员将数字证书平安的发放到申请人手中；4、数字证书仅限于本人使用，需妥善保管，任何人不得以任何理由转借他人。4.5 鉴证审批管理规4.5.1 鉴证审批的根本原那么信息部在进展证书申请的鉴证审批时，必须遵循以下根本原那么：u 鉴证审批工作必须在其他相关部门的监视下进展，信息部数字证书管理员部门不能擅自行使鉴证审批的职责；u 鉴证审批工作必须由信息部数字证书管理员进展，其它人员不能擅自代替数字证书管理员行使鉴证审批的职责；u 数字证书管理员必须遵循公司有关平安管理制度，对申请人的信息和资料，不得将申请人的信息和

39、资料带出公司，并负责将申请人有关信息和资料进展归档备份；u 数字证书管理员在进展鉴证审批时，必须遵循，认真的履行鉴证审批职责； u 证书申请只有在通过鉴证审批后，才能获得批准，并签发申请人证书；u 数字证书管理员在完成用户的鉴证审批后，对鉴证审批进展记录，包括记录鉴证审批的结果，对证书申请的处理结果，包括是批准、等待还是拒绝用户证书申请，将记录进展归档。4.5.2 证书更新鉴证在证书即将过期时，用户需要进展证书更新，向信息部系统管理员提交证书更新请求，证书更新鉴证是指证书鉴证审批工作人员对证书更新请求进展鉴证。用户填写?数字证书更新申请?，提交信息部和相关部门，数字证书管理员应该马上组织相关部

40、门人员一同登录管理员站点，批准用户的证书更新请求，更新用户的证书。4.5.3 证书撤消鉴证公司持有数字证书的员工在如下情况：u 解除、终止劳动合同；u 工作需要。需撤销员工的数字证书应用时，应填写?数字证书应用撤销表?，提交给信息部。证书撤消流程：填写?数字证书应用撤销表?，提交给信息部；信息部数字证书系统管理员在得到?数字证书应用撤销表?之后，立刻登录管理员站点，查询到请求撤消的证书，认真核对证书确实是请求撤消的证书之后，选择撤消原因，撤消用户证书；信息部数字证书系统管理员将撤消的用户证书发布到证书撤消列表CRL中。4.6 网络管理员平安控制4.6.1 网络管理员职责网络管理员的根本职责是负

41、责网络线路、设备及相关子系统的运行、管理和维护工作，保证网络正常运转及其平安，并对网络建立规划及改造现有网络系统提供技术建议。1、有清醒的政治头脑和较强的信息处理能力，熟悉国家的网络管理法规，能严格遵守并正确执行相应的法规。2、负责组织落实本单位网络的扩建、改建及修建工程的实施工作，协助制订各项规章制度的建立。3、负责对网络设备、效劳器、网络资源如ip地址等以及用户等的配置管理工作，确保本单位网络的连通性。4、负责网络故障排除工作，确保故障点在最短时间得到恢复。5、负责网络流量的统计和分析即统计用哪些用户使用网络、传输多少数据、访问什么资源以及各类资源的利用情况工作。6、负责网络性能监测和控制

42、工作，使之能在网络资源一定的前提下，确保网络提供可靠、连续的通信能力，并使网络资源的使用到达最优。7、负责网络平安管理工作。防止网络资源被非法使用；防止网络资源由于入侵攻击而遭到破坏；防止病毒网络入侵等。杜绝任何单位和个人，利用校园网络从事与教学、科研和行政管理无关的活动。8、负责学校关键数据和信息的备份工作，并做好工作。9、做好相应的日志记录工作。10、坚持计算机、行政管理的业务学习，不断提高专业水平。特别是要掌握网络新技术、新应用，并能为其他部门用户提供技术支持。11、完成领导交办的其他工作4.6.2 NC系统人员平安管控1、NC管理员主要负责对NC系统用户管理，权限分配以及业务流程的设置

43、。2、CA管理员主要负责证书的制作和用户与NC系统的绑定。1登陆界面如以下图： KEY插入之后，“证书默认为管理员的证书。2绑定用户证书到NC用户：选择上图的“插入单条证书数据，进入： 维护正确的key保护密码后点击“开场，运行后如以下图所示：过程中可能会出现错误提示，如：遇到此类情况，可能把KEY拔出再插入试试，如下成功：备注：key-ID允许为空，不过最好输入对应KEY的物理编号，以方便统计。 点击“插入数据库，进展绑定：返回即完成绑定。3、网络管理员 主要负责对网络与计算机的管理，针对NC系统的平安，主要是由CA来完成。（1） 客户端身份平安管理财务人员使用数字证书的方式登入到NC资金系

44、统，系统验证客户端key信息；（2） NC系统业务操作平安管理在业务单据制作过程中，系统会要求财务人员提交客户端证书信息，对所做的业务单据做电子签名，一旦业务单据被黑客或者认为非法篡改，系统会提示验证签名失败。例：a、黑客篡改业务数据b、付款单据被篡改C、系统发现业务单据被篡改3网管平安控制 在NC系统信息传输过程中，网银适配器到银行的平安是由各家银行来提供。而网银适配器是接收到业务系统NC发送的加密签名后的指令数据后，首先调用中讯提供的版解密模块使用网银适配器证书私钥对密文进展解密详细方案参考4.2节。 网管无法对业务单据进展支付操作。5 NC系统层次平安架构介绍5.1 客户端接入客户端接入

45、：强大的访问控制与授权功能。NC采用“插件式平安模型，用户能够部署自己定制的身份验证、授权和角色关系，也可以采用OS部的平安机制、数字证书认证或者其它方法，并能很容易的与其它平安认证系统集成，比方指纹认证系统、数字证书认证系统、加密卡/机等等。平安认证网关应用：是一种架构在公用通信根底设施上的专用数据通信网络，利用网络层平安协议和建立在PKI上的加密与签名技术来获得私有性。同租用线路等方法相比，平安认证网关既节省开销又易于安装和使用，已经成为企业架构Intranet和Extranet的首选。图：使用平安认证网关建立的企业网的构造企业部资源享用者通过PSTN网连入本地ISP的POPPoint o

46、f Presence，指效劳商通常在很大的地理围放置多个网络设备效劳器，即可相互通信，而利用传统的WAN组建技术，彼此之间要有专线相连才可以到达同样的目的。由于平安认证网关需要共享公共的、存在着平安隐患的网络，如Internet，因此平安性是一个非常重要的问题。平安认证网关解决方案的平安性由3个根本要素组成：平安认证、授权和监听。平安认证效劳决定谁可以使用网络，授权效劳负责分配不同资源的访问权限，而监听那么确保资源的使用方式与网络的策略相符合。通过使用平安性效劳，平安认证网关可以保证数据在传送过程中的性和不被篡改，并将数据正确地分配给相应的用户。5.2 传输层加密传输层加密：真正平安的数据传输

47、功能。因为NC运行在基于自主知识产权的中间件上，NC的所有数据都需从中间件层过滤，可以通过在中间件层对数据进展平安处理，来做到真正意义上的数据平安，从而再也不用担忧底层操作系统、硬件本身具有的系统漏洞或所留的后门对数据平安带来的威胁。在NC中间件层中，已经对传输的数据进展了加密。算法除了一些经典的如DES之外，还可根据用户的需求采取具有自主知识产权的更高级别的加密算法。5.3 效劳器平安效劳器平安：自主研发的平安中间件。用友NC作为企业级ERP系统，除了能很容易的集成进用户自己的平安网络环境中外，自身已具有了强壮的访问控制功能与数据平安传输功能。作为应用系统本身，NC的各应用模块完全运行在用友

48、具有自主知识产权的中间件应用效劳器上，中间件本身的底层特性与强健体系，能保证NC本身应用的高度平安性。如图，NC是完全基于J2EE三层分布式构造的应用系统。基于J2EE 平安模型，NC允许配置一个Web 或enterprise bean 组件，使系统资源只能由授权的用户访问；在中间件层，可实现数据的加密、压缩功能，保证数据传输的平安性等。5.4 数据库平安数据库平安：平安的数据存储。NC对关键的数据文件可实现加密存储，因此不用担忧泄密或非法访问。对于数据库中的数据，除了用户自己的平安控制之外，NC可与数据库加密系统集成，做到只有数据库表的使用者才能读到该表的平安功能。如果客户已不仅仅满足一般的

49、数据文件加密存储，而是对数据库的平安有更高的需求，要求只有表的拥有者或合法使用者才能查阅到该表的容，其他用户、甚至是据库系统管理员也无法读到表中正确的容。在这种情况下，可以通过在DBMS外层外挂数据库加密系统来实现。数据库加密系统能够满足客户对字段加密、密钥动态管理、合理处理数据等需求，并且不影响合法用户的使用。采用这种加密方式时，加/解密运算可以放在客户端进展，其优点是不会加重数据库效劳器的负载并可实现网上传输加密，缺点是加密功能会受一些限制。上图中，“加密定义工具模块的主要功能是定义如何对每个数据库表数据进展加密，在创立了一个数据库表后，通过这一工具对该表进展定义；“数据库应用系统的功能是

50、完成数据库定义和操作。数据库加密系统将根据加密要求自动完成对数据库数据的加/ 解密。6 证书审批模式设计如下表所示，中讯托管型CA效劳支持多种审批模式，用友完全可以根据自身实际需求选择一种或组合选择其中多种来满足企业自身的发证需求：审批模式模式说明适合场景备注手动审批标准证书申请模式标准运营场合自动审批与数据库/LDAP/文件集成来完成用户身份验证，从而实现自动审批为企业部用户颁发证书，更适合大用户量场合；通行码审批管理员预生成通行码，用户使用通行码来申请并下载证书为企业部用户颁发证书，通行码容易平安分发给用户；集中模式管理员集中进展用户申请，批量制证，然后分发给用户为企业部用户颁发证书，但用

51、户量不大；往往与自动审批组合使用6.1 手动审批手动审批指用户登录证书申请界面填写注册信息，RA管理员鉴证用户身份后，登录证书管理页面，手动批准用户证书请求，用户然后登录证书注册页面下载证书。手动批准方式可以根据配置设定是多人批准或一个管理员批准；其流程如以下图所示：具体工作流程如下：(1) 用户访问证书注册RA效劳器Web页面，根据系统的要求，填写自己的、部门、电子等必需的注册信息，并在本地生成一对密钥对，私钥保存在本地，公密钥连同注册信息一起提交给RA系统；(2) RA系统在收到用户的注册信息后，有关鉴证人员会对用户的证书申请资格及真实身份作鉴证，鉴证通过后，将鉴证结果反应给RA管理员；(

52、3) RA管理员根据鉴证结果，为鉴证通过的用户批准颁发数字证书，CA系统自动为用户签发数字证书，并将签发的结果以的形式返回给用户；(4) 用户根据中提示的网址，下载并安装数字证书；6.2 自动审批自动审批模式通过部署AA模块和AA签名模块来实现用户证书审批的自动化管理。在自动审批模式下，企业可以定制自己的证书申请审批规那么，由自动管理效劳器自动完成企业个人用户证书的审批，而无需管理员的手工干预，从而大大方便了企业对证书的管理。系统提供了各种用于自动管理的API，企业可根据自己的需求建立用户验证过程。用户验证的数据可以放在人力资源数据库中，或LDAP目录中。用户验证的数据容可以是用户在数据库业务

53、系统中的名称和密码，也可以是LDAP效劳器上的访问权限。中讯提供AA开发接口，企业可以定制开发自己的验证方式。具体工作流程如下：(1) 用户访问证书注册RA效劳器Web页面，根据系统的要求，填写自己的用户名、口令等必需的注册信息，并在本地生成一对密钥对，私钥保存在本地，公密钥连同注册信息一起提交给RA系统；(2) RA系统收到用户的证书申请信息后，将信息转交给AA自动管理效劳器；(3) AA自动管理效劳器请求管理数据库，根据用户提交的用户名、口令验证用户的身份，验证通过后，将管理数据库中的用户信息读取出来；(4) AA签名效劳器对以上信息进展签名确认；(5) 信息签名确认后，将用户通过的证书申

54、请请求连同用户信息一起发送给CA效劳器；(6) CA效劳器自动为用户签发数字证书，将签发数字证书的结果以形式反应给用户；(7) 用户根据中提示的网址，下载并安装数字证书；l 自动审批的平安设计：配置AA端的签名模块时需要为本地RA某申请某证书，某证书保存在签名效劳器，当AA效劳器自动签发证书时需要用某证书签名，并用CA中心的AA证书对数据加密，保证数据的平安性。同时从CA中心返回至AA效劳器的数据，也要求使用CA中心的AA证书签名，并用本地RA的某证书加密。6.3 通行码审批通行码方式是根据用户在证书注册网页上填写的通行码来鉴别用户的身份，从而实现自动颁发数字证书的方式。通行码是一串随机数，里

55、面包含通行码序号和密码信息，它是管理员通过秘密的方式发送给用户的，用户使用通行码登陆证书注册，填写注册信息和通行码，提交请求，证书被自动批准的方式。其流程如以下图所示：具体工作流程如下：(1) CA管理员通过CA系统，产生证书申请通行码，并将通行码以平安的方式发放到用户手中；(2) 用户访问证书注册RA效劳器Web页面，输入通行码，并根据系统的要求，填写必需的注册信息，同时在本地生成一对密钥对，私钥保存在本地，公密钥连同通行码、注册信息一起提交给RA系统；(3) RA系统将用户的通行码提交给CA效劳器器，由CA效劳器验证用户的通行码的真伪，验证通过后，自动为用户签发数字证书；(4) CA效劳器

56、将签发结果返回给用户，用户根据提示的网址，下载并安装证书；适用环境：大量用户申请数字证书，管理员手工批准工作繁重。在这种方式下要求通行码必须是通过平安可靠的方式发送给用户。如果没有一个平安可靠的通行码发送方式，对于平安级别要求比拟高的数字证书，比方效劳器证书，企业证书，不推荐采用该方式。l 完全托管模式、本地RA模式、本地RA+AA自动管理模式都支持通行码方式申请数字证书 。6.4 集中制证模式集中制证是指由管理员集中为用户录入注册信息，审核用户信息的真实性，将证书写入证书存储介质通常为USB KEY，最后将制作好的证书分发给最终用户使用。为了减轻管理员的工作压力，其流程如以下图所示：具体工作

57、流程如下：(1) 管理员访问证书注册RA效劳器Web页面，插入USB KEY，填写需要申请证书的用户名等根本信息，同时在USB KEY中生成一对密钥对，私钥保存在本地，公密钥连注册信息一起提交给RA效劳器；(2) RA效劳器连接后台CA效劳器申请签发数字证书；(3) 管理员确认用户的详细信息，然后向CA效劳器提交用户申请请求；(4) CA效劳器自动为用户签发数字证书，并将签发的证书返回给CA管理员，证书自动存储到USB KEY中；(5) 管理员将USB KEY发放给用户；适用环境：证书用户为企业部用户或相关分销商、供给商等外部用户制证，通过管理员集中为用户制证，防止了最终用户证书申请过程中的误

58、操作；通过自动管理模块的集成，极大减轻了管理员的信息录入工作负担。7 CA平安认证系统工作原理7.1 系统平安原理1身份认证和访问控制实现原理利用Web效劳器对SSLSecure Socket Layer，平安套接字协议技术的支持，可以实现系统的身份认证和访问控制平安需求。目前，SSL技术已被大部份的Web Server及Browser广泛支持和使用。采用SSL技术，在用户使用浏览器访问Web效劳器时，会在客户端和效劳器之间建立平安的SSL通道。在SSL会话产生时：首先，效劳器会传送它的效劳器证书，客户端会自动的分析效劳器证书，来验证效劳器的身份。其次，效劳器会要求用户出示客户端证书即用户证书

59、，效劳器完成客户端证书的验证，来对用户进展身份认证。对客户端证书的验证包括验证客户端证书是否由效劳器信任的证书颁发机构颁发、客户端证书是否在有效期、客户端证书是否有效即是否被窜改等和客户端证书是否被撤消等。验证通过后，效劳器会解析客户端证书，获取用户信息，并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟自动完成，对用户是透明的。如以下图所示，除了系统中已有的客户端浏览器、Web效劳器外，要实现基于SSL的身份认证和访问控制平安原理，还需要增加以下模块：身份认证和访问控制原理图l Web效劳器证书要利用SSL技术，在Web效劳器上必需安装一个Web效劳器证书，用来说明效劳

60、器的身份，并对Web效劳器的平安性进展设置，使能SSL功能。效劳器证书由CA认证中心颁发，在效劳器证书表示了效劳器的域名等证明效劳器身份的信息、Web效劳器端的公钥以及CA对证书相关域容的数字签名。效劳器证书都有一个有效期，Web效劳器需要使能SSL功能的前提是必须拥有效劳器证书，利用效劳器证书来协商、建立平安SSL平安通道。这样，在用户使用浏览器访问Web效劳器，发出SSL握手时，Web效劳器将配置的效劳器证书返回给客户端，通过验证效劳器证书来验证他所访问的是否真实可靠。l 用户证书用户证书由CA认证中心颁发给企业用户，在用户证书标识了用户的身份信息、用户的公钥以及CA对证书相关域容的数字签

61、名，用户证书都有一个有效期。在建立SSL通道过程中，可以对效劳器的SSL功能配置成必须要求用户证书，效劳器验证用户证书来验证用户的真实身份。l 证书解析模块证书解析模块以动态库的方式提供给各种Web效劳器，它可以解析证书中包含的信息，用于提取证书中的用户信息，根据获得的用户信息，查询访问控制列表ACL，获取用户的访问权限，实现系统的访问控制。l 访问控制列表ACL访问控制列表是根据应用系统不同用户建立的访问授权列表，保存在数据库中，在用户使用数字证书访问应用系统时，应用系统根据从证书中解析得到的用户信息，查询访问控制列表，获取用户的访问权限，实现对用户的访问控制。2信息性实现原理信息性实现原理

62、也是利用SSL技术来实现的，在用户使用浏览器访问Web效劳器，完成双向身份认证，并完成对用户访问控制之后，在用户客户端和效劳器之间建立平安的SSL通道，会在用户浏览器和Web效劳器之间协商一个40位或128位的会话密钥。此时，在客户端和效劳器之间传输的数据都是采用给会话密钥进展加密传输，从而保证了系统性平安需求。3信息抗抵赖性实现原理数字签名技术是实现信息抗抵赖性的有效技术，本方案利用数字签名技术，实现应用系统的信息抗抵赖性需求。数字签名技术的实现是指使用数字证书的私钥，对被签名数据的摘要值进展加密，加密的结果就是数字签名。在进展签名验证时，是用数字证书即公钥来进展验证，用公钥解密数据，得到发送过来的摘要值，然后用一样的摘要算法对被签名数据做摘要运算，得到另一个摘要值，将两个摘要值进展比拟，如果相等，那么数字签名验证通过，否那么验证无效。数字签名技术的实现依赖于以下两个事实：一是每一个信息的摘要值是唯一的，找不到两个摘要值一样的不同信息；二是证书的私钥只有数字证书的拥有者才拥有，其他人得不到拥有者的私钥。这样，通过数字签名和签名验证，可以确定数据确实是数字