建筑企業PKI/CA認證體系建設的研究

◎ 中國水電建設集團國際工程有限公司 郭 萌

關鍵字：建筑企業 身份認證 PKI CA

信息時代的到來，標志著一種新的生產力的出現，建筑市場激烈的競爭要求企業引入信息技術來提升自身的綜合競爭力，一方面通過企業流程再造規范管理、堵塞漏洞、降低勞動成本，另一方轉變職能管理為面向業務流程管理，改變傳統的工作模式，提高企業效率。由此可見，信息化己成為建筑企業在未來市場中生存的必要條件。

為規范建筑企業信息化建設，住房城鄉建設部在2007年3月，頒發了新的《建筑業企業資質等級標準》。在該要求的指導下，建筑企業對信息化技術的重視程度不斷增加，開始大力推進主營業務信息化建設，在幾年的建設過程中，建設了大量的主營業務信息系統，越來越多的企業業務運營轉移到信息化平臺之上運行。隨著建筑企業信息化平臺在企業運營中的地位越來越重要，對信息化安全的要求也越來越高。如何建立起網絡信任體系，以解決建筑企業信息化系統中有效的身份信任與安全鑒別，以及信息的機密性、完整性等諸多安全需求，成了當下建筑企業信息化建設的主要課題。

鑒于建筑企業以上的信息化發展階段現狀及存在問題，建立基于PKI（公鑰基礎設施）技術的CA身份認證體系是當前技術成熟度最高，應用范圍最廣泛的解決方案。CA身份認證體系為網絡通訊的參與者提供證實其在網絡上真實身份的證明機制，并在此基礎上解決網絡傳輸過程的機密性、完整性以及抗抵賴性。

1 現狀及主要需求分析

2007年3月，為規范對施工總承包特級企業的資質管理，引導企業成為技術含量高，融資能力強，管理水平高的龍頭企業，促進建筑業企業向工程總承包方向發展，住房城鄉建設部頒發了新的《建筑業企業資質等級標準》，其中關于建筑企業信息化方面的相關要求如下：企業須建立內部局域網或管理信息平臺，實現內部辦公、信息發布、數據交換的網絡化；建立并開通企業外部網站；使用綜合項目管理信息系統和人事管理系統、工程設計相關軟件，實現檔案管理和設計文檔管理等。

在該《等級標準》的指導下，建筑企業信息化建設雖然相對于能源、金融等行業起步較晚，投入也相對有限，但是目前都已基本建成以財務資金管理系統、人力資源管理系統、OA系統、工程項目管理系統為代表的多類辦公、業務類應用系統，通過大集中或分布式部署，多采用B/S架構，基本實現了各專業管理信息和生產實時數據的集中收集展現和綜合查詢統計。通過專線或者VPN實現網絡互連，網絡一般覆蓋至二級或者三級單位，并部署部分網絡訪問控制、入侵檢測與防御、用戶行為管理等網絡邊界防御系統。

隨著建筑企業信息化平臺在企業運營中的地位越來越重要，網絡及信息系統的建設規模也越來越大，對信息化安全的要求也越來越高。信息化平臺面臨一些安全方面的問題，綜合來看，有以下幾點：

1.1 對強身份認證的要求

現普遍使用的“用戶名/口令”的身份認證方式，用戶名和登錄密碼存在記憶困難、容易被猜測、容易被竊用和被用于重放攻擊等缺點。如果有非法用戶闖入，并進行了非法的操作，對系統的破壞和造成的后果將難以估量。因此，需要對用戶進行有效的身份認證，保證進入系統的用戶必須是真實的、合法的、身份可確認的。

1.2 對數據完整性的要求

企業之間電子協議和保密文件等在通過網絡進行交互過程中，為了確保文件與信息的完整性，需要通過相應的技術手段對文件和傳輸信息進行簽名或者蓋章操作，以確保信息在傳遞過程中的完整性。

1.3 對行為抗抵賴性的要求

系統用戶在處理機密數據過程中，在保證用戶操作過程的有效性和合法性的同時，還必須保證重要數據訪問控制、關鍵操作行為的不可抵賴性，需要能夠在事后把責任準確定位到個人或某個部門。一旦發生安全事件，可以通過查詢系統的日志，識別系統被破壞的手段，并且能夠認定造成破壞的用戶。

為了保證對業務操作的可追溯，需要對用戶的處理信息和處理過程進行數字簽名，同時為了可審計的需要，還必須能追溯業務操作發生的時間，因此，在使用數字簽名的同時，還需要以統一的時間源，在統一時間服務和可信時間服務的基礎上，提供時間戳，對用戶行為的可追溯性及不可抵賴性提供有效補充。

1.4 對信息機密性的要求

企業信息化系統大多采用B/S架構提供服務。對于B/S模式的應用系統而言，所有的界面和數據都是通過頁面表單的方式表現，數據在網絡上以明文方式傳遞，自身存在被竊聽、截取的風險，因此需要通過信道加密等手段對數據的機密性進行防護。

2 基于PKI/CA信任體系建設主要思路

2.1 一般設計原則

PKI （ Public Key Infrastructure ）指的是公鑰基礎設施。CA （ Certificate Authority ）指的是認證中心。PKI 從技術上解決了網絡通信安全的種種障礙。CA 從運營、管理、規范、法律、人員等多個角度來解決了網絡信任問題。由此，人們統稱為“ PKI/CA ”。

基于PKI/CA的身份認證系統的建設是一項系統工程，不可能一蹴而就，而這一體系是否能在企業未來信息化發展過程中持續發揮作用、取得效果，前期能否站在全局上進行總體規劃至關重要。因此必須堅持總體規劃、分步實施的原則。

同時，由于本系統是覆蓋企業內部整體，服務于企業整個信息化建設，因此必須建立相應的配套標準與規范，即在設計系統時必須同步考慮相關標準、規范的建設，以為后續的工作提供指導和規范。

2.2 信任體系架構設計

2.2.1 體系架構設計

面對著復雜的網絡接入環境、多元化的接入主體、多樣化的應用場景、多種類的業務軟件，如何進行基于PKI/CA認證系統的設計成為了一個復雜的問題。因此，在具體設計中必須以國家相關的法律法規以及等級保護相關要求為指導，結合建筑企業的網絡現狀、應用系統建設現狀及安全建設需求現狀，在保證企業業務信息安全和系統高效運行的前提下，根據目前企業內部的組織架構、業務模式、網絡建設情況，進行系統體系架構設計，下圖為一個較為典型的總體架構圖。

2.2.2 密碼支撐體系

圖1 總體架構示意圖

密碼支撐體系是PKI/CA系統建設的基礎，為PKI/CA系統提供密鑰的安全存儲和高速的密碼運算服務。主要體現為部署在各個模塊中的密碼服務器。

2.2.3 身份認證體系

身份認證體系為基于PKI/CA的身份認證系統建設項目的核心內容，采用數字證書的手段來實現應用系統業務領域涉及到的實體身份的描述，通過建設身份認證體系，實現用戶、設備的權威、統一描述，為企業提供權威的實體身份管理。

身份認證體系主要包括根CA、運行CA系統、證書注冊系統(RA)。各個模塊主要功能有：

1）根CA主要功能如下：

制訂整個行業的信任策略，并對策略的執行情況進行規范和監管；

審批、管理下級CA中心，通過為下級CA中心頒發、撤銷數字證書來實現CA中心的管理，將其信用權威縱向傳遞；

將所有下級CA中心之間的相互認證進行橋接（Bridge or hub）使彼此信任域達到交互；

與其他的機構的CA系統實施交叉認證（交叉互簽或者接入國家橋CA）；

系統自身的管理功能包括：數據庫管理、人員權限管理、審計管理、模版管理等相關功能。

2）運行CA系統主要功能如下：

為企業內部的人員、機構、設備提供證書管理，主要包括證書申請、簽發、下載、注銷、更新等；

管理下級RA系統，通過管理RA系統的數字證書，實現對下級RA系統的管理；

系統自身的管理功能包括：數據庫管理、人員權限管理、審計管理、模版管理等相關功能；

3）證書注冊系統(RA)主要功能如下：

證書注冊系統(RA)屬于運行CA系統向用戶提供證書服務的窗口，直接為用戶提供證書申請、下載、注銷、更新等各項業務的服務。

進行用戶身份信息的審核，確保信息的真實性；

維護使用該RA開展證書業務的用戶身份信息；

管理證書業務操作日志，并提供多種業務報表；

接收用戶申請請求并將申請請求錄入系統，申請請求包括證書申請、證書作廢、證書更新、證書掛起、證書恢復等；

審核用戶提交的申請請求的合法性并提交系統；

直接下載用戶申請成功的證書，并制作到用戶證書載體中，證書載體包括：軟盤、USB Key和IC卡等。

2.2.4 應用安全支撐體系

應用安全支撐體系通過對于應用安全進行高度的抽象和歸納，以組件化的方式統一為應用系統提供多樣化的安全服務支撐。業務系統可以根據自己的業務安全需求，選擇相應的安全組件，經過簡單的配置或少量的代碼更改就可以實現和應用安全平臺之間的整合，完成應用安全的整合，享受到應用安全支撐平臺提供的安全服務。對于管理員而言，通過對應用安全支撐平臺的管理和維護，實現整個應用安全的統一管理，極大的減輕了管理的負擔。

應用安全支撐體系屬于框架性結構，包括各種安全服務組件，可以為用戶提供統一的認證服務、統一的用戶管理服務、統一的授權服務、統一的密碼服務、單點登錄服務等，用戶可以根據實際業務需求，采用“搭積木”的方式，選擇相應的組件。各個組件之間經過簡單的配置就可以協同工作，為應用系統提供更為強大的、全面的安全服務，滿足應用系統動態發展的安全需求。

各組件主要功能如下：

安全認證網關：為業務系統提供統一的身份認證、安全傳輸功能；

數字簽名服務器：為業務系統提供數字簽名服務，滿足業務系統關鍵操作抗抵賴的需求；

統一用戶管理系統：為多個業務系統提供統一的用戶屬性管理、用戶生命流程管理的管理功能，滿足系統整合對于用戶權威數據的需求；

統一權限管理系統：該系統主要為多個業務系統提供統一的權限管理服務，既可以通過統一實現權限管理，增加權限管理的安全性，減輕用戶的管理復雜度，又可以減輕系統開發的工作量；

2.2.5 目錄服務體系

該體系主要負責用戶數字證書、證書注銷黑名單的統一發布，是PKI/CA系統和應用之間的橋梁。按照不同企業的組織架構，目錄服務器可以采取分級設置的方式，比如在企業總部建設主/從目錄系統，在各二級單位部署從目錄系統，通過主/從目錄之間的數據同步，保證企業內部證書信息、黑名單信息的定時同步。

2.2.6 故障恢復與災難備份體系

該層次主要是通過綜合應用備份與恢復技術，提升PKI/CA系統的可靠性。針對關鍵的數據可考慮采用磁帶機、盤陣等方式進行相應的備份，同時設計相應的故障恢復設計方案，保證整個系統出現問題可以盡快的恢復。

2.2.7 安全防御體系

網絡安全防護體系主要是通過部署防火墻、入侵檢測設備、漏洞掃描等產品，保障PKI/CA系統網絡層面的安全性。

2.2.8 標準規范體系

通過制定相關的標準規范，以保證整個PKI/CA體系建設的順利進行。通過標準和規范的統一牽引，統一管理認證系統的設計、建設、管理和應用。根據經驗，可以考慮建設如下標準規范。

標準類：

系統建設標準：主要制定系統如何建設；

目錄服務技術標準：主要描述目錄服務系統的建設、管理和應用相關標準；

證書格式標準：主要制定數字證書的格式，規范證書中簽發的內容；

PKI應用接口標準：主要描述證書如何和應用系統進行整合；

系統命名標準：主要描述下級系統的命名規則，方便統一管理；

規范類：

運行管理規范；主要描述與運行管理相關的要求，包括業務管理、系統管理、人員管理、安全管理等，以及系統備份和應急處理方面的要求；

證書管理規范：主要描述證書業務的相關管理流程；

證書介質管理規范：主要描述證書介質采用的類型及各種類型的技術指標；

管理制度規范：主要描述與運行管理相關的要求，包括身份證書管理制度和運行管理制度要求。

2.3 一般邏輯架構設計

建筑企業其組織架構極具特點，除企業總部外，還會在各地建有大量的異地分支機構、項目部、集團內外組織等。因此企業自身的PKI/CA系統建設，必然要考慮到這樣的組織架構現狀，從邏輯架構上進行有針對性的、分級的方案設計。

針對PKI/CA系統的整體分級規劃示意圖如下：

從圖中可以看出，根CA系統作為整個企業的信任源頭，主要管轄企業總部運行CA系統。在公司總部、各分支機構建設RA系統，各自為本級用戶提供服務，在各二級單位建設從目錄服務系統，實現和公司總部目錄服務系統之中證書信息、黑名單信息的同步。

圖2 PKI/CA系統邏輯結構示意圖

針對某些規模比較小、人數比較少的下屬單位，可以由總部RA來承擔此類下屬單位用戶的證書服務，在下屬單位規模發展壯大后，再單獨建設RA系統。該種部署模式，既避免了投資浪費，又使得證書業務能夠迅速擴展到企業整個范圍。

2.4 信任體系的擴展性設計

信任關系的擴展主要包括縱向擴展和橫向擴展兩個方面，縱向擴展指的是信任體系通過建設下級節點或是納入到更高一級節點管理的方式來實現信任的縱向延伸，主要體現在向上擴展和向下擴展兩個層面；橫向擴展指的是通過交叉認證的方式實現和其他信任體系之間的互認互通，主要體現在通過橋CA的方式實現和其他PKI/CA系統之間的互聯互通。

2.4.1 縱向擴展

圖4 安全認證體系縱向擴展示意圖

對于兩個不同的PKI/CA系統進行互聯互通，實現互相信任，主要有兩種方案，即“入根”和“信任列表”方式。“入根”模式指的是廢除現有的根證書，作為其他根CA的下級CA存在，因為屬于統一個根，所以該根CA所轄的所有二級CA頒發的證書均可以互相信任；信任列表方式主要指的是兩個不同的信任體系在一定的授權處理后互相信任對方，互相把對方的信任鏈納入到本系統受信任的范圍，允許對方頒發數字證書登錄到本區域內的業務系統中。

2.4.2 橫向擴展

橫向擴展主要指的是信任體系可以方便的實現和其他信任體系的互認互通，打破信任孤島，為信息的共享奠定堅實的基礎。

目前不同信任域之間的互認互通主要采用的是交叉認證技術和橋接的方式。

從技術角度來看，兩個信任體系之間的交叉認證就是兩個信任體系互相為對方的根CA系統簽發一張證書，從而使兩個信任體系內的證書可以互相驗證；而橋接的方式是借助一個中立的橋CA機構將各個信任體系進行互聯。從業務角度來看，信任體系之間通過進行交叉認證和橋接可以擴展信用范圍。其關系如下圖所示：

2.5 應用安全支撐邏輯結構示意圖

由于信息化建設發展的不斷深入，建筑企業不但會繼續出現新增的業務系統，而且現有的應用業務系統運行模式必然會隨著未來信息化發展的新形勢而產生新的調整變化。因此PKI/CA體系建設就要充分考慮到這種必然的發展和變化趨勢，通過針對性的應用安全支撐平臺建設，使得整個體系能夠為上層業務應用提供持續、穩定的安全服務。

圖5 信任體系橫向擴展示意圖

安全支撐平臺作為依托PKI/CA安全基礎架構，為上層應用提供安全服務中間支撐組件，能夠對于新增應用安全進行高度的抽象和歸納，理解并適應這種在可預期的未來必然出現的業務運行模式變化的新局面，能夠繼續實現數字證書和應用之間的整合，最大限度的體現數字證書的價值，為應用系統提供更為強大的、全面的安全服務。安全支撐平臺可以通過模塊化的組件選擇為業務系統提供如統一的認證服務、統一的用戶管理服務、統一的授權服務、統一的密碼服務、單點登錄等服務，滿足應用系統動態發展的安全需求。

安全支撐平臺的邏輯結構圖如下：

圖3 應用安全支撐平臺邏輯示意圖

3 建設PKI/CA的認證體系存在的主要問題分析

基于PKI／CA的信任體系在建設之初，需要投入大量的資金和進行相當標準的硬件環境建設，此外，由于PKI/CA認證體系屬于基礎信息架構，后期維護成本也要考慮，而建筑企業在信息化建設上的投入相對有限，如何平衡安全與成本的關系尤為重要，因此，在設計系統的時候，要充分結合本企業的特點與信息化進程，綜合考量，統籌規劃，方案設計要具有前瞻性和擴展性，采取逐步實施，不斷完善的策略來保證投入產出的最優比率。

其次，由于PKI/CA認證體系是信息化安全建設的基礎設施，需要為眾多的企業上層應用提供安全服務。因此企業是否能在該體系建設過程中即形成完整、有效的行業標準規范，來指導整個CA認證體系的建設乃至日后的運營，也成為整個PKI/CA體系是否能夠真正發揮安全基礎設施作用的主要因素。

再次，隨著建筑企業信息化發展進入新的階段，自身PKI/CA認證體系基礎設施及安全支撐平臺的建立，信息化建設模式已經從“建一個應用，考慮一個應用的安全”轉變為“集中建設安全支撐平臺，統一為眾多應用提供安全服務”。如何適應這種轉變，集中將企業整體信息化安全策略體現在安全支撐平臺，以指導、規范未來應用系統建設，確保PKI/CA認證體系長期發揮作用，也變得非常關鍵。

4 結語

網絡與信息系統的安全問題，已越來越被所重視，建筑企業也不能例外，雖然目前建筑企業都部署了大量網絡安全設備，但是現有的安全技術手段對于用戶身份的可信性鑒定、信息的保密防篡改、關鍵操作的防抵賴、責任認定等環節均存在一定的局限性，因此，有必要開展身份認證體系建設，以解決網絡通信中應用數據安全，通過一套完整和標準的安全流程來保證網絡通信及應用中的各類安全認證和重要應用數據的安全與保密，以防止非法攻擊者對網絡通信中重要應用數據的攻擊和竊取，確保通信雙方身份的真實性和重要數據的完整性、不可否認性以及安全保密性。實現對服務對象的身份鑒別、對服務對象訪問網絡資源時的權限控制。基于數字證書技術，確保應用的安全及其服務對象重要操作事件、行為事件的安全審計。以滿足企業信息安全集中管控的需要。