中石化CA项目方案建议书

1、中石化公司证书授权体系项目方案建议书微软（中国）有限公司2002年9月目录1 .概述4.1.1. 企业信息管理 4.1.2. 企业信息管理的安全性41.3. 微软公司的解决方案5.1.3.1. 证书发布中心-Certficate Authority (CA ) 51.3.2. 目录服务和活动目录 71.3.3. 证书发布中心和活动目录的关系 81.4. 已有的基础8.2 .实施策略建议1.02.1. 实施指导策略 1.02.2. 方案实施原则1.02.3. 实施阶段1.02.4. 项目实施的成功因素 1.13 .组织结构建议1.33.1. 组织原则1.33.2. 组织结构图1.33.3. 中石

2、化133.4. 石化盈科公司1.43.5. 微软(中国)公司 143.6. 捷德公司1.43.7. 金威融通公司 143.8. CA体系的设计方案 153.9. 活动目录设计方案 153.9.1. 域结构的逻辑设计1.53.10. 认证方式163.10.1. 软件登录163.10.2. 智能卡登录 164 .智能卡身份验证系统204.1. 捷德公司智能卡解决方案 204.2. 金威融通公司智能卡解决方案 205 .实施计划建议226 .附件和说明246.1. CA的安全性246.2. 中石化组织结构 251 .概述1.1. 企业信息管理在信息技术飞速发展的今天，企业信息管理架构对于不同规模，不

3、同行业的 企业来说都是至关重要的。一个具有高可用性，可扩展性，性能卓越，安全可靠 的信息管理系统是企业信息基础设施建设的重要组成部分。它可以提高企业的信 息管理水平，增强企业竞争能力，使企业真正实现现代化、信息化的管理。1.2. 企业信息管理的安全性安全性是所有信息管理系统要考虑的一个主要问题，它是系统基础结构的重 要组成部分。对于企业来说，安全性是至关重要的。安全基础薄弱的信息系统会 带来严重的后果，如数据丢失、数据失密、直至系统失去可用性等。根据信息系 统被破坏的严重程度，可能会造成企业损失收入，陷入困境，客户信心降低，生 产受到影响，等等。信息安全主要在于确保：数据机密性。只有授权用户才

4、能查看数据。数据完整性。 所有授权用户应确信提供给他们的数据准确无误，且未经不 适当地修改。数据可用性。 授权用户应该可以在需要时访问他们所需的数据。身份验证。身份验证是用户如何向系统证明他们就是自己所声称的人。身份验证可以有多种实现方式，如用户密码、智能卡、生物方式等。访问控制(也称为授权)。访问控制与用户在计算机系统中执行某些功能的 访问和权限有关。机密性。信息机密性与信息加密有关。机密性机制确保只有授权的用户才 可看到在网络中存储或传送的数据。完整性。信息完整性与校验和数字签名有关。完整性机制确保数据在网络 中传送时不被混淆、丢失或改变。不可否认性。 不可否认性与数字签名有关。它可提供数

5、据传输或接收的凭 据，以便以后不能否认事务的确发生过的事实。从应用的角度来说，与加密/解密以及数字签名有关的信息安全应用有：安全的Web应用。在企业内部网或外部网环境中，可以用证书实现更严格 的验证，这类验证使用安全套接字层 (SSL)或传输层安全(TLS)协议来提供客 户机验证、服务器验证和数据保密。每个经过验证的实体都需要有与之关联的证安全邮件。使用安全/多用途网际邮件扩充协议 (S/MIME)对电子邮件进行 签名和密封也是基于公钥加密和证书实现的。 签名使用发件人的私钥，加密使用 收件人的公钥。文件系统加密。代码签名。这有助于防止从 Web站点上下载更改过的恶意代码。通过使用 私钥，原始

6、代码开发人员可以为代码签名， 下载该代码的用户可以使用开发人员 的公钥验证代码的来源。智能卡登录。使用严密的双因子验证(基于个人识别码代码和智能卡所有权) 来提高安全性。使用PIN而非密码在安全性方面是一个进步： 与密码不同，PIN 是不在网络上传送的，因此它在很大程度上降低了受到安全攻击的可能性。虚拟专用网络。在两个通道端点之间进行严格验证的理想解决方案。远程访问验证。简单邮件传输协议站点连接的验证。1.3. 微软公司的解决方案针对企业信息管理提出的可管理性和安全性的要求，微软公司在 Windows 2003 Server操作系统中集成了证书发布中心(Certificate Authorit

7、y )和 活动目录服务(Active Directory) 0这些分布式安全服务提供如下的功能：让用户登录一次即可访问所有企业资源的能力。强大的用户身份验证及授权能力。内部和外部资源间的安全通讯。设置及管理必要安全性策略的能力。自动化的安全性审核。与其他操作系统和安全协议的互操作性。支持使用Windows 2003安全设置功能进行应用程序开发的可扩展架构。上述功能是Windows 2003安全设置架构的重要组成部分。Windows 2003 的安全性服务基于简单的身份验证和授权模型。身份验证是在用户登录时进行用 户身份的识别。通过了身份识别的用户可以按照自己的权限对特定的网络资源进 行访问。用

8、户的授权是通过 Windows 2003访问控制机制来进行的。身份验证和 授权模型是通过活动目录(Active Directory )以及访问控制列表(ACL)来实现的。除了身份验证和授权模型，Windows 2003还提供了证书发布中心。企业可 以建立自己的证书体系，实施数字签名和其他安全措施。1.3.1. 证书发布中心-Certificate Authority (CA )数字证书数字证书是一种安全机制。它是通过证书发布中心产生和发行的。证书发布 中心可以是由企业自己建立的，也可以是外部机构提供的。每个数字证书都有一 对与之相关联的公/私钥对，用数字证书签字时，公钥将被绑定到安全主体(即用

9、户和计算机）上。所包括的信息包含证书所有者的姓名、证书的用途（身份验证、数据加密、智能卡登录等等），以及证书来源等。获得证书需要经过注册，这是主体向CA自我介绍的过程，它发生在申请证书的阶段。注册可以是隐含的，也可以是通过为主体提供担保的另一个可信实 体（如智能卡登记站）来完成。当一个主体向 CA申请证书时，只要该申请符合 CA的策略标准，CA便会对该主体进行注册，并向该主体颁发证书。在获得证书后，用户便可以凭借证书来使用企业内的资源，如 Web访问、 使用安全电子邮件、IP安全性、安全套接字协议层/事务层安全性和代码签名等。 如果在一个组织内部使用 Windows 2003企业证书颁发机构，

10、那么证书也可用于 登录到Windows 2003的域。证书一般保存在智能卡中，这样当用户使用智能卡登录后，凭借智能 卡中存储的证书信息获得相应的企业资源访问权限。证书也可以放在目录、文件、或浏览器中，或者将它附加到电子邮件中。有 了数字证书，就有了在 Internet、Extranet和Intranet上进行身份验证和数据交 换的安全保证，因此，对于企业来说，数字证书是安全管理的重要手段。Windows 2003中的证书和公钥（PKI）颁发机构在 Windows 2003中，可以将证书发布到活动目录中。目录森林中的所有用 户和计算机都可访问这些证书。对于第三方的证书，只要将它们映射到活动目录

11、中的用户帐户，就可以在 Windows 2003中使用。数字证书使用最广泛的标准是 X.509。Windows 2003证书也采用这一标准。Windows 2003在许多方面为数字证书和公钥加密提供了支持。其中的主要 功能包括加密文件系统（EFS）、IPSeG身份验证、智能卡和电子邮件。除EFS之 外，如果要在 Windows 2003中使用公钥加密，需要有 Windows 2003的证书服 务以及对公钥基本结构（PKI）的支持。Windows 2003的证书服务PKI包括一个 或多个CA、证书吊销列表（CRL）、加密服务提供程序（CSP）,可选登记站和恢 复站。Windows 2003 的

12、CA 体系建立在 Windows 2003上的CA体系有两种类型：企业 CA体系和独立CA 体系。 企业CA体系 需要有Active Directory的支持。独立CA体系并不要求 Active Directory。一个企业CA体系往往由多个CA组成一个多层等级的树状结构体系。 在这 个体系中有一个根CA和多个从属CA。下图展示了一个单枝结构和一个多枝结 构的CA体系。._/ 级 CA单枝，多层的CA体系图1.不同结构的CA体系在一个CA体系中，根CA是体系中具有最高等级和权限的 CA。在建立根 CA时，需要创建根CA自己的证书和私钥组合。根 CA的证书是自签名的，因 为它是该CA体系中的最高

13、等级，没有其它证书颁发机构可对其进行签名。有了根CAB,可以创建与根CA直接相连的从属CA,由根CA给这些从 属CA颁发证书和授权。在CA体系中除根CA外，每一个CA都是从他的上一级CA处获得证书和 授权的。他同时可以向自己的下属 CA发布证书并授权。CA体系的这种层次结构可用来开发分布式 PKI,提高可扩展性、安全性或 易管理性。层次结构中的CA排列以及网络中的CA布置可以有多种设计方案。1.3.2. 目录服务和活动目录目录服务目录是一种用于储存信息的信息源。如一个电话号码目录储存了有关电话用 户的信息，一个文件目录系统中储存了有关文件的信息。目录服务与目录的不同。 它既是目录的信息源，又可

14、以使用户得到和利用信息。在一个企业信息系统中有 许多用户和资源对象，如打印机、传真服务器、应用程序、数据库，等。企业可 以使用目录服务来管理信息系统中的这些对象。活动目 录(Active Directory)活动目录是 Windows 2003 Server的目录服务。它扩展了以前的基于 Windows 的目录服务，还加入了许多全新的功能。活动目录具有易用性，安全性、伸缩性, 分布式、可分区及可复制的特性。活动目录具有优良的可伸缩性。从有几百个对象的小公司，到拥有成千个服 务器和上百万个对象得到型企业，均可应用Windows的活动目录技术。Windows 2003活动目录服务可在企业的网络安全

15、中扮演重要角色。对于单个PC, Windows 2003和XP已有很强的安全保护功能。但对于网络资源的安全 管理，以及各种基于策略的安全措施，则需要使用 Windows 2003的活动目录服 务来实现企业网络资源和管理的安全性。通过与活动目录的集成，企业可以充分发挥Windows 2003的现有安全性架构，可以实现用户单点登录，信息系统的统一安全管理，权限管理等诸多的应用。，1.3.3. 证书发布中心和活动目录的关系证书发布中心（CA）只解决认证书的问题，并不解决用户的权限控制和管 理问题。活动目录是企业人员和企业资源的 档案”中心，是企业网络的域管理中 心。企业级的CA需要与目录体系集成，才

16、能实现以下功能：得到用户的定位和权限信息实施用户管理的策略公布，撤销认证书对于使用智能卡的企业而言，智能卡的认证依赖于域认证方式。 这也需要通 过部署活动目录来建立企业的域体系，然后才能实施智能卡的认证方式。因此，将CA体系同活动目录集成后企业才可以获得最大的收益。1.4. 已有的基础中国石油化工集团公司现有的网络状况比较复杂，但是网络条件相对较好， 而且技术力量雄厚，技术人员的熟练程度也比较高。因此，在中国石油化工集团 公司建立，实施，推广基于 Windows 2003的CA体系已经具有良好的基础。2 .实施策略建议2.1. 实施指导策略在建立实施基于 Windows 2003的CA体系的过

17、程中，建议采用统一规划， 分步实施，逐步推广的实施策略在实施的过程中，微软公司的资深顾问将与参项人员一起对现有环境和企业 的需求进行详细的分析，制定实施部署的具体策略，设计CA体系和活动目录的 结构，高效和安全地进行项目实施。2.2. 方案实施原则根据微软在具有类似规模的企业中部署 CA体系的经验，建议中国石油化工 集团公司在项目的实施中参考下列原则：建立CA体系要根据中国石油化工集团公司的现在管理体制和需求的优先级，设计相应的CA结构，分步分批实施和推广，以保证项目的成功。考虑当前IT环境的互操作性或共存需求。根据现在的信息网络系统应用的实际情况， 确定CA体系和活动目录的拓扑 结构、站点分

18、布和网段划分，以获得最佳性能。充分利用现有资源，充分考虑到对现有计算机资源、数据资源和传输资源的 利用，避免资源浪费。2.3. 实施阶段考虑到项目中可能存在的风险，同时也考虑最大程度上保护企业的已有资源 投资和现有环境的正常运作，建议项目的实施分为三个阶段 ：第一阶段：选择若干点进行试点，建立小规模的 CA体系以及活动目录。试 点可选那些正在开发，快要上线的项目，如质量系统，人事系统等。在试运行阶段中，发现并解决可能存在的设计问题，同时根据今后大规模发 展的需要，增加所需的功能。如对于财务系统，可以增加智能卡登录，电子印章 和时间戳等功能。第二阶段：总结试点的经验，制定将 CA体系扩展到全公司

19、的技术方案。第三阶段：在全公司范围逐步推广实施 CA体系。2.4. 项目实施的成功因素以下几方面对于项目的成功有着重要的作用：领导的支持及各级部门在项目推广过程中的积极参与和配合最终用户的参与和支持。有足够的人力，财力支持。有切合企业实际情况的，基于成功经验的实施策略。参与项目的各方的密切配合，统一协调的项目管理。3,组织结构建议3.1. 组织原则建议本项目由中国石油化工集团公司（以下简称中石化）负责项目的组织， 审批，协调；由石化盈科公司和微软（中国）公司负责整个项目的整体方案设计, 技术支持和实施；G&D （捷德）公司提供智能卡技术和产品；金威融通公司提 供智能卡和移动安全存储技术

20、和产品。3.2. 组织结构图建议项目组由中石化，石化盈科，微软，捷德，金威融通的有关人员组 成，中石化提供项目总负责人。下面是一个项目组结构示意图。图2.项目组织结构。3.3. 中石化在最高层次上协调项目资源确定项目实施策略，确定试点单位审查项目需求分析报告，项目目标定义书等立项文档，确定项目的立项事宜 审查项目各阶段的完成情况，负责项目验收3.4. 石化盈科公司（由石化盈科公司提供）3.5. 微软（中国）公司在项目实施过程中提供技术咨询和技术支持协助制定项目的实施计划和方案参与项目的用户需求分析和部署方案设计协助项目的实施3.6. 捷德公司（由捷德公司提供）3.7. 金威融通公司（由金威融通

21、公司提供）系统方案概述3.8. CA体系的设计方案建立在Windows 2003之上的CA体系具有很强的可伸缩性。企业可根据需 要方便的增加CA体系的分支，层次和复杂程度。建议中石化在起步阶段先创建一个单分支，三层结构的CA体系，以满足试 点阶段的需要，以及日后系统扩展的需要。体系白根CA建在集团总部，根CA之下设置一个一级CA,负责为总部各 职能部门联机颁发CA。在一级CA下面设施一个二级 CA,负责为总部下属单 位和部门联机颁发CA。随着项目的深入和发展，企业可以在二级CA下面增加新的CA,以扩大CA 体系的容量和能力。3.9. 活动目录设计方案3.9.1. 域结构的逻辑设计根据中石化总部

22、和各个部门的情况，建议采用由多域组成的活动目录系统。 该活动目录系统具有单树（Tree）和单森林（Forest）结构。系统中包括一个根 域和多个子域。域名的选择将在同中石化商讨以后确定。采用上述活动目录系统结构，可以方便地同中石化的组织结构相结合，。同时，这样的结构具有很高的可伸缩性，以满足用户增加，系统变更的的需求。当 然，在具体实施时，可以根据各部门的大小，合理设计域结构和设置域控制器。 比如对于规模较小的部门，可以不必设立单独的子域，而只需在其上一级域里建 立若干个组织单元（OU）,以节省资源，简化管理。在每一个域内，可以按照现有的行政结构建立组织单元， 在组织单元中添加 用户组，用户，

23、联系人，计算机，打印机等资源。针对不同的组织单元，设置不 同的组策略，以实现对用户的统一管理。同时，针对不同用户所属的用户组设置 权限，实现用户组使用域中资源是的权限管理。与活动目录集成的各应用服务器也应作为相应域中的机器加入域。这样便可以实现单点登录操作，用户只需登录一次域控制器就可以访问网络中的各种资 源，。Rjcpt Dornum图3.活动目录结构示意图3.10. 认证方式企业部署了与活动目录集成的 CA体系后，用户可以有几种登录域的方式。3.10.1. 软件登录用户打开计算机，同时输入 Ctrl-Alt-Delete键，然后输入企业颁发给用户的 用户名/口令。这对用户名/口令的组合会在

24、域控制器上进行验证。验证成功后用 户便登录到企业的相应的域中。如果企业在部署CA体系和活动目录过程中，也开发实施了与已有应用系统 的单点登录(Single Sign On)连接，那末已经登陆到域内的用户便可以直接使 用这些应用系统，而不需每次输入不同应用系统所需的口令。3.10.2. 智能卡登录智能卡是一种具有存储和处理数据的硬件。 可以存储用户名、私钥以及其它 重要信息。用户可以使用智能卡登录到企业的域。智能卡采取双因素身份验证形式，并使用一个PIN号码进行域登陆。专家 们认为，使用智能卡可提高系统的安全等级。在Windows 2003中使用智能卡智能卡可在Windows 2003中用于身份

25、验证，电子邮件加密以及数字签名。 智能卡的功能范围是在初始化该卡时由系统管理员设置的。基于智能卡的身份验证系统可使用以下三种类型的证书：智能卡登录证书-这种智能卡被设置为仅用于域的登录。智能卡用户证书-这种智能卡可用于域的登录、电子邮件加密和数字签名。注册代理证书-只有拥有注册证书的用户才可以代表其他用户请求智能卡 证书。启用智能卡身份验证若要在 Windows 2003中实施智能卡的使用，必须实施公钥基础结构 (PKI)。Windows 2003证书服务可用于实施 PKI。Windows 2003的证书服务是 同创建CA体系一同实施的。在用智能卡进行用户身份验证时，会发生以下的过程。用户将智

26、能卡插到连接到计算机上的智能卡读取器中。智能卡服务检测到智能卡并要求用户输入他们的PIN号。用户输入指派给智能卡的、包含用户凭据的PIN号。智能卡验证PIN。如果输入的PIN正确无误，智能卡则使用LSA将身份验证信息传递给Kerberos客户端，该客户端使用身份验证信息向域控制器进行身份验证。如果用户通过了身份验证，便登录到所属的域中。如果域控制器不可用，或者如果域控制器没有该智能卡的证书颁发机构的有 效证书吊销列表，则登录尝试将被拒绝。智能卡的漫游登陆智能卡身份验证凭据可缓存到本地计算机上，以便用户在以下情况下登录：计算机已从网络上移开(如笔记本计算机)，在没有域控制器的情况下登录。因此，用

27、户在漫游时仍可使用智能卡进行身份验证。图4展示了上述几种认证方式的应用场景：域管理员图4. CA认证方式场景4.智能卡身份验证系统4.1. 捷德公司智能卡解决方案4.2. 金威融通公司智能卡解决方案5.实施计划建议项目任务任务内容执行人目标定义书制定项目的目标定义项目经理需求分析确定系统的总体需求，确定实施 范围，实施内容及实施进度，包括需 要纳入本系统的应用等需求分析组现状分析调查中石化已有的网络环境和信 息管理模式需求分析组设计项目的前期设计，提供运行环境 和集成环境的说明文件设计组实施在项目的试点按照实施方案和部 署手册进行系统实施，提交验收报告实施组测试建立专门的运行测试人员，设立 专

28、门的企业目录管理员，进行一般性 运行测试，负责编写常见问题指南实施组总结总结在项目进行的各个阶段出现 的问题和解决方案，为项目的推广做 充分的准备项目经理6.附件和说明6.1, CA的安全性脱机根CA。根CA的安全级别应设为最高。根CA应以脱机状态保存在 安全的位置，并且用它只签署少量证书。可能的话，应该将 CA和密钥保存在 专门的保管库中，并且至少同时有两位操作员进入该保管库， 一位执行规定的操 作，另一位审核其操作。在 Windows 2003网络中，设计了独立的 CA,以便它 们脱机运行。脱机中级CA。在一个根CA下面可以设立一个或多个从属 CA管辖各部 门。将中级从属 CA设为脱机的机器，可以提高该 CA的安全性。联机颁发CA。CA链中最后一级的 CA处于联机状态，因此可用于受理 来自众多客户机的证书中请。根 CA下面的联机CA也可以经常发布最新的吊 销状态信息。管理员可以频繁地更改这种CA的