用友NC-天威诚信CA技术方案

用友NC-天威诚信CA技术方案应用集成目录1前言.......................................................................................................................11.1天威诚信携手用友NC，开辟安全可靠的ERP之路...................................11.2天威诚信公司................................................................................................12数字身份认证体系...............................................................................................32.1第一道防线....................................................................................................32.2身份认证方式................................................................................................32.2.1认证方式选择.........................................................................................42.2.2数字证书.................................................................................................52.2.3PKI/CA....................................................................................................63ERP安全概述...............................................................................................................74ERP安全整合解决方案...............................................................................................94.1可信体系框架................................................................................................94.2整合身份认证技术........................................................................................94.2.1集成安全架构.........................................................................................94.2.2登录认证...............................................................................................114.2.3电子签名...............................................................................................134.2.4身份认证中间件...................................................................................144.3整合ERP应用...............................................................................................164.3.1NC集团资金管理安全解决方案.........................................................164.3.2NC资金登录以及签名演示.................................................................185CA建设......................................................................................................................205.1建设模式......................................................................................................205.2认证体系设计..............................................................................................225.3iTrusCA系统................................................................................................245.3.1自建电子认证服务CA特点.................................................................245.3.2托管电子认证服务CA特点.................................................................255.3.3一体化扩展方案...................................................................................265.4证书存储介质..............................................................................................275.5证书工作流程设计......................................................................................275.6策略要求......................................................................................................281前言1.1天威诚信携手用友NC，开辟安全可靠的ERP之路用友软件是是中国最大的管理软件、ERP软件、财务软件、集团管理软件供应商。用友NC是用友公司面向集团型企业和高成长型企业推出的高端ERP产品，涵盖从集中财务管理、供应链管理、等全面应用，全面支持企业各项经营，是集团企业协同电子商务的有效手段。用友NC与天威数字PKI/CA产品和服务的整合方案，是一次强强联合。用友NC核心管理理念是“协同商务、集中管理”，其中“协同商务”是致力于集团企业各组织间以及企业员工之间、上下游供应商、伙伴、客户等在信息共享的基础上的协同工作。而天威诚信作为专业的电子认证服务运营商和CA产品提供商，实现了用友NC用户多方安全协同工作，保障信息传递的机密性、保障电子化信息交互的层面上双方（多方）行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力，得到《中华人民共和国电子签名法》法律的保障。目前，用友NC系统已经成功支持天威诚信CA产品和服务，NC系统只需简单的部署和配置，就可以实现基于数字证书的各种安全功能，保障系统高效、成功地实施。迄今为止，天威诚信PKI/CA安全解决方案已在众多大型集团企业的资金管理系统中成功应用。天威诚信不但以高可靠性的产品及优质的技术支持能力成为用友集团CA认证合作伙伴，近期，用友集团在众多产品提供商内选择了天威诚信CA产品构建了用友集团内部CA认证系统，为用友50多家分子公司，上千名员工提供身份认证、财务数据申报、审批等安全应用，为亚洲本土最大的软件提供商-用友集团内网系统的安全保驾护航。1.2天威诚信公司天威诚信数字认证中心是由北京天威诚信电子商务服务有限公司运营管理的全国性CA认证中心，是信息产业部批准的商业PKI/CA试点企业，也是《中华人民共和国电子签名法》颁布后，首批获得国家信产部颁发的电子认证服务许可证（ECP11010805003）机构。应用集成位于北京的天威诚信数据处理中心作为数字证书的签发管理总中心、客户服务和响应中心，严格遵循ISO/IEC17799-2000信息安全管理体系的规定，配备了专业可靠的运营管理团队，对外提供中国信任体系（CTN，ChinaTrustNetwork）、客户私有信任体系等多种信任服务，同时还为跨国机构或大型公司提供国际认可的全球信任体系服务，使用户轻松拥有全球认可的数字虚拟身份。天威诚信拥有多年的行业实践经验、完整的产品解决方案、专业可靠的运营管理团队，能够为客户提供完善的规划咨询，帮助客户构建完整的电子认证体系，通过电子签名、加密技术实现客户信息系统间的协作和集成，有效提升了系统的安全等级，保障了数据的不可抵赖。应用集成2数字身份认证体系2.1第一道防线当前信息安全技术的应用就是满足合法用户的需求以及需求保护信息资产之间取得平衡。为此，应用系统必须区分用户和非用户，并向不同的用户提供合适的服务。身份和访问管理就是用来满足这些需要的。身份和访问管理是在组织机构内保护信息访问的第一道防线。而诸如防火墙和其他营造安全周边机制是防范组织机构以外的威胁的第一道防线。身份和访问管理由两部分组成。身份管理保证人员或系统进程是拥有权力的人员在使用，访问控制机制确认人员或者系统进程已经可靠识别如何利用资源。随着萨班斯法案的推广和实施，目前海内外公司都在进行一场IT内控的变革，而无论是COSO还是Cobit，以及安全指南的ISO17799都无一例外地将身份识别定位为首要解决的关键问题。有效的身份识别方式才能够为追溯行为和责任体系，审计证据链提供最有效和最有力的支撑。这种过程的价值在于它能够：1)允许有正当理由需要访问的人员访问；2)通过限制信息资产外露来降低风险；3)建立监控机制，针对事件追溯具体用户；4)高效地管理类似的用户群；5)实现内控符合风险管理的要求。因而建立更符合法律要求和审计的身份标识方法是每一个优秀企业完善内控，提高企业核心竞争力的必要前提。2.2身份认证方式身份认证是实现网络安全的重要机制之一，是安全系统中的第一道关卡，是赋予用户访问权限的依据。用户在访问受保护的系统之前，首先经过身份认证系统识别身份，然后访问控制器根据用户的身份和授权，决定用户是否能够访问某个资源。在开始访问后，审计系应用集成统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统的提供的信息――用户的身份。可见身份认证在安全系统中的地位极其重要，是最基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系