◎ 中国水电建设集团国际工程有限公司 郭 萌

关键字：建筑企业 身份认证 PKI CA

信息时代的到来，标志着一种新的生产力的出现，建筑市场激烈的竞争要求企业引入信息技术来提升自身的综合竞争力，一方面通过企业流程再造规范管理、堵塞漏洞、降低劳动成本，另一方转变职能管理为面向业务流程管理，改变传统的工作模式，提高企业效率。由此可见，信息化己成为建筑企业在未来市场中生存的必要条件。

为规范建筑企业信息化建设，住房城乡建设部在2007年3月，颁发了新的《建筑业企业资质等级标准》。在该要求的指导下，建筑企业对信息化技术的重视程度不断增加，开始大力推进主营业务信息化建设，在几年的建设过程中，建设了大量的主营业务信息系统，越来越多的企业业务运营转移到信息化平台之上运行。随着建筑企业信息化平台在企业运营中的地位越来越重要，对信息化安全的要求也越来越高。如何建立起网络信任体系，以解决建筑企业信息化系统中有效的身份信任与安全鉴别，以及信息的机密性、完整性等诸多安全需求，成了当下建筑企业信息化建设的主要课题。

鉴于建筑企业以上的信息化发展阶段现状及存在问题，建立基于PKI（公钥基础设施）技术的CA身份认证体系是当前技术成熟度最高，应用范围最广泛的解决方案。CA身份认证体系为网络通讯的参与者提供证实其在网络上真实身份的证明机制，并在此基础上解决网络传输过程的机密性、完整性以及抗抵赖性。

1 现状及主要需求分析

2007年3月，为规范对施工总承包特级企业的资质管理，引导企业成为技术含量高，融资能力强，管理水平高的龙头企业，促进建筑业企业向工程总承包方向发展，住房城乡建设部颁发了新的《建筑业企业资质等级标准》，其中关于建筑企业信息化方面的相关要求如下：企业须建立内部局域网或管理信息平台，实现内部办公、信息发布、数据交换的网络化；建立并开通企业外部网站；使用综合项目管理信息系统和人事管理系统、工程设计相关软件，实现档案管理和设计文档管理等。

在该《等级标准》的指导下，建筑企业信息化建设虽然相对于能源、金融等行业起步较晚，投入也相对有限，但是目前都已基本建成以财务资金管理系统、人力资源管理系统、OA系统、工程项目管理系统为代表的多类办公、业务类应用系统，通过大集中或分布式部署，多采用B/S架构，基本实现了各专业管理信息和生产实时数据的集中收集展现和综合查询统计。通过专线或者VPN实现网络互连，网络一般覆盖至二级或者三级单位，并部署部分网络访问控制、入侵检测与防御、用户行为管理等网络边界防御系统。

随着建筑企业信息化平台在企业运营中的地位越来越重要，网络及信息系统的建设规模也越来越大，对信息化安全的要求也越来越高。信息化平台面临一些安全方面的问题，综合来看，有以下几点：

1.1 对强身份认证的要求

现普遍使用的“用户名/口令”的身份认证方式，用户名和登录密码存在记忆困难、容易被猜测、容易被窃用和被用于重放攻击等缺点。如果有非法用户闯入，并进行了非法的操作，对系统的破坏和造成的后果将难以估量。因此，需要对用户进行有效的身份认证，保证进入系统的用户必须是真实的、合法的、身份可确认的。

1.2 对数据完整性的要求

企业之间电子协议和保密文件等在通过网络进行交互过程中，为了确保文件与信息的完整性，需要通过相应的技术手段对文件和传输信息进行签名或者盖章操作，以确保信息在传递过程中的完整性。

1.3 对行为抗抵赖性的要求

系统用户在处理机密数据过程中，在保证用户操作过程的有效性和合法性的同时，还必须保证重要数据访问控制、关键操作行为的不可抵赖性，需要能够在事后把责任准确定位到个人或某个部门。一旦发生安全事件，可以通过查询系统的日志，识别系统被破坏的手段，并且能够认定造成破坏的用户。

为了保证对业务操作的可追溯，需要对用户的处理信息和处理过程进行数字签名，同时为了可审计的需要，还必须能追溯业务操作发生的时间，因此，在使用数字签名的同时，还需要以统一的时间源，在统一时间服务和可信时间服务的基础上，提供时间戳，对用户行为的可追溯性及不可抵赖性提供有效补充。

1.4 对信息机密性的要求

企业信息化系统大多采用B/S架构提供服务。对于B/S模式的应用系统而言，所有的界面和数据都是通过页面表单的方式表现，数据在网络上以明文方式传递，自身存在被窃听、截取的风险，因此需要通过信道加密等手段对数据的机密性进行防护。

2 基于PKI/CA信任体系建设主要思路

2.1 一般设计原则

PKI （ Public Key Infrastructure ）指的是公钥基础设施。CA （ Certificate Authority ）指的是认证中心。PKI 从技术上解决了网络通信安全的种种障碍。CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此，人们统称为“ PKI/CA ”。

基于PKI/CA的身份认证系统的建设是一项系统工程，不可能一蹴而就，而这一体系是否能在企业未来信息化发展过程中持续发挥作用、取得效果，前期能否站在全局上进行总体规划至关重要。因此必须坚持总体规划、分步实施的原则。

同时，由于本系统是覆盖企业内部整体，服务于企业整个信息化建设，因此必须建立相应的配套标准与规范，即在设计系统时必须同步考虑相关标准、规范的建设，以为后续的工作提供指导和规范。

2.2 信任体系架构设计

2.2.1 体系架构设计

面对着复杂的网络接入环境、多元化的接入主体、多样化的应用场景、多种类的业务软件，如何进行基于PKI/CA认证系统的设计成为了一个复杂的问题。因此，在具体设计中必须以国家相关的法律法规以及等级保护相关要求为指导，结合建筑企业的网络现状、应用系统建设现状及安全建设需求现状，在保证企业业务信息安全和系统高效运行的前提下，根据目前企业内部的组织架构、业务模式、网络建设情况，进行系统体系架构设计，下图为一个较为典型的总体架构图。

2.2.2 密码支撑体系

图1 总体架构示意图

密码支撑体系是PKI/CA系统建设的基础，为PKI/CA系统提供密钥的安全存储和高速的密码运算服务。主要体现为部署在各个模块中的密码服务器。

2.2.3 身份认证体系

身份认证体系为基于PKI/CA的身份认证系统建设项目的核心内容，采用数字证书的手段来实现应用系统业务领域涉及到的实体身份的描述，通过建设身份认证体系，实现用户、设备的权威、统一描述，为企业提供权威的实体身份管理。

身份认证体系主要包括根CA、运行CA系统、证书注册系统(RA)。各个模块主要功能有：

1）根CA主要功能如下：

制订整个行业的信任策略，并对策略的执行情况进行规范和监管；

审批、管理下级CA中心，通过为下级CA中心颁发、撤销数字证书来实现CA中心的管理，将其信用权威纵向传递；

将所有下级CA中心之间的相互认证进行桥接（Bridge or hub）使彼此信任域达到交互；

与其他的机构的CA系统实施交叉认证（交叉互签或者接入国家桥CA）；

系统自身的管理功能包括：数据库管理、人员权限管理、审计管理、模版管理等相关功能。

2）运行CA系统主要功能如下：

为企业内部的人员、机构、设备提供证书管理，主要包括证书申请、签发、下载、注销、更新等；

管理下级RA系统，通过管理RA系统的数字证书，实现对下级RA系统的管理；

系统自身的管理功能包括：数据库管理、人员权限管理、审计管理、模版管理等相关功能；

3）证书注册系统(RA)主要功能如下：

证书注册系统(RA)属于运行CA系统向用户提供证书服务的窗口，直接为用户提供证书申请、下载、注销、更新等各项业务的服务。

进行用户身份信息的审核，确保信息的真实性；

维护使用该RA开展证书业务的用户身份信息；

管理证书业务操作日志，并提供多种业务报表；

接收用户申请请求并将申请请求录入系统，申请请求包括证书申请、证书作废、证书更新、证书挂起、证书恢复等；

审核用户提交的申请请求的合法性并提交系统；

直接下载用户申请成功的证书，并制作到用户证书载体中，证书载体包括：软盘、USB Key和IC卡等。

2.2.4 应用安全支撑体系

应用安全支撑体系通过对于应用安全进行高度的抽象和归纳，以组件化的方式统一为应用系统提供多样化的安全服务支撑。业务系统可以根据自己的业务安全需求，选择相应的安全组件，经过简单的配置或少量的代码更改就可以实现和应用安全平台之间的整合，完成应用安全的整合，享受到应用安全支撑平台提供的安全服务。对于管理员而言，通过对应用安全支撑平台的管理和维护，实现整个应用安全的统一管理，极大的减轻了管理的负担。

应用安全支撑体系属于框架性结构，包括各种安全服务组件，可以为用户提供统一的认证服务、统一的用户管理服务、统一的授权服务、统一的密码服务、单点登录服务等，用户可以根据实际业务需求，采用“搭积木”的方式，选择相应的组件。各个组件之间经过简单的配置就可以协同工作，为应用系统提供更为强大的、全面的安全服务，满足应用系统动态发展的安全需求。

各组件主要功能如下：

安全认证网关：为业务系统提供统一的身份认证、安全传输功能；

数字签名服务器：为业务系统提供数字签名服务，满足业务系统关键操作抗抵赖的需求；

统一用户管理系统：为多个业务系统提供统一的用户属性管理、用户生命流程管理的管理功能，满足系统整合对于用户权威数据的需求；

统一权限管理系统：该系统主要为多个业务系统提供统一的权限管理服务，既可以通过统一实现权限管理，增加权限管理的安全性，减轻用户的管理复杂度，又可以减轻系统开发的工作量；

2.2.5 目录服务体系

该体系主要负责用户数字证书、证书注销黑名单的统一发布，是PKI/CA系统和应用之间的桥梁。按照不同企业的组织架构，目录服务器可以采取分级设置的方式，比如在企业总部建设主/从目录系统，在各二级单位部署从目录系统，通过主/从目录之间的数据同步，保证企业内部证书信息、黑名单信息的定时同步。

2.2.6 故障恢复与灾难备份体系

该层次主要是通过综合应用备份与恢复技术，提升PKI/CA系统的可靠性。针对关键的数据可考虑采用磁带机、盘阵等方式进行相应的备份，同时设计相应的故障恢复设计方案，保证整个系统出现问题可以尽快的恢复。

2.2.7 安全防御体系

网络安全防护体系主要是通过部署防火墙、入侵检测设备、漏洞扫描等产品，保障PKI/CA系统网络层面的安全性。

2.2.8 标准规范体系

通过制定相关的标准规范，以保证整个PKI/CA体系建设的顺利进行。通过标准和规范的统一牵引，统一管理认证系统的设计、建设、管理和应用。根据经验，可以考虑建设如下标准规范。

标准类：

系统建设标准：主要制定系统如何建设；

目录服务技术标准：主要描述目录服务系统的建设、管理和应用相关标准；

证书格式标准：主要制定数字证书的格式，规范证书中签发的内容；

PKI应用接口标准：主要描述证书如何和应用系统进行整合；

系统命名标准：主要描述下级系统的命名规则，方便统一管理；

规范类：

运行管理规范；主要描述与运行管理相关的要求，包括业务管理、系统管理、人员管理、安全管理等，以及系统备份和应急处理方面的要求；

证书管理规范：主要描述证书业务的相关管理流程；

证书介质管理规范：主要描述证书介质采用的类型及各种类型的技术指标；

管理制度规范：主要描述与运行管理相关的要求，包括身份证书管理制度和运行管理制度要求。

2.3 一般逻辑架构设计

建筑企业其组织架构极具特点，除企业总部外，还会在各地建有大量的异地分支机构、项目部、集团内外组织等。因此企业自身的PKI/CA系统建设，必然要考虑到这样的组织架构现状，从逻辑架构上进行有针对性的、分级的方案设计。

针对PKI/CA系统的整体分级规划示意图如下：

从图中可以看出，根CA系统作为整个企业的信任源头，主要管辖企业总部运行CA系统。在公司总部、各分支机构建设RA系统，各自为本级用户提供服务，在各二级单位建设从目录服务系统，实现和公司总部目录服务系统之中证书信息、黑名单信息的同步。

图2 PKI/CA系统逻辑结构示意图

针对某些规模比较小、人数比较少的下属单位，可以由总部RA来承担此类下属单位用户的证书服务，在下属单位规模发展壮大后，再单独建设RA系统。该种部署模式，既避免了投资浪费，又使得证书业务能够迅速扩展到企业整个范围。

2.4 信任体系的扩展性设计

信任关系的扩展主要包括纵向扩展和横向扩展两个方面，纵向扩展指的是信任体系通过建设下级节点或是纳入到更高一级节点管理的方式来实现信任的纵向延伸，主要体现在向上扩展和向下扩展两个层面；横向扩展指的是通过交叉认证的方式实现和其他信任体系之间的互认互通，主要体现在通过桥CA的方式实现和其他PKI/CA系统之间的互联互通。

2.4.1 纵向扩展

图4 安全认证体系纵向扩展示意图

对于两个不同的PKI/CA系统进行互联互通，实现互相信任，主要有两种方案，即“入根”和“信任列表”方式。“入根”模式指的是废除现有的根证书，作为其他根CA的下级CA存在，因为属于统一个根，所以该根CA所辖的所有二级CA颁发的证书均可以互相信任；信任列表方式主要指的是两个不同的信任体系在一定的授权处理后互相信任对方，互相把对方的信任链纳入到本系统受信任的范围，允许对方颁发数字证书登录到本区域内的业务系统中。

2.4.2 横向扩展

横向扩展主要指的是信任体系可以方便的实现和其他信任体系的互认互通，打破信任孤岛，为信息的共享奠定坚实的基础。

目前不同信任域之间的互认互通主要采用的是交叉认证技术和桥接的方式。

从技术角度来看，两个信任体系之间的交叉认证就是两个信任体系互相为对方的根CA系统签发一张证书，从而使两个信任体系内的证书可以互相验证；而桥接的方式是借助一个中立的桥CA机构将各个信任体系进行互联。从业务角度来看，信任体系之间通过进行交叉认证和桥接可以扩展信用范围。其关系如下图所示：

2.5 应用安全支撑逻辑结构示意图

由于信息化建设发展的不断深入，建筑企业不但会继续出现新增的业务系统，而且现有的应用业务系统运行模式必然会随着未来信息化发展的新形势而产生新的调整变化。因此PKI/CA体系建设就要充分考虑到这种必然的发展和变化趋势，通过针对性的应用安全支撑平台建设，使得整个体系能够为上层业务应用提供持续、稳定的安全服务。

图5 信任体系横向扩展示意图

安全支撑平台作为依托PKI/CA安全基础架构，为上层应用提供安全服务中间支撑组件，能够对于新增应用安全进行高度的抽象和归纳，理解并适应这种在可预期的未来必然出现的业务运行模式变化的新局面，能够继续实现数字证书和应用之间的整合，最大限度的体现数字证书的价值，为应用系统提供更为强大的、全面的安全服务。安全支撑平台可以通过模块化的组件选择为业务系统提供如统一的认证服务、统一的用户管理服务、统一的授权服务、统一的密码服务、单点登录等服务，满足应用系统动态发展的安全需求。

安全支撑平台的逻辑结构图如下：

图3 应用安全支撑平台逻辑示意图

3 建设PKI/CA的认证体系存在的主要问题分析

基于PKI／CA的信任体系在建设之初，需要投入大量的资金和进行相当标准的硬件环境建设，此外，由于PKI/CA认证体系属于基础信息架构，后期维护成本也要考虑，而建筑企业在信息化建设上的投入相对有限，如何平衡安全与成本的关系尤为重要，因此，在设计系统的时候，要充分结合本企业的特点与信息化进程，综合考量，统筹规划，方案设计要具有前瞻性和扩展性，采取逐步实施，不断完善的策略来保证投入产出的最优比率。

其次，由于PKI/CA认证体系是信息化安全建设的基础设施，需要为众多的企业上层应用提供安全服务。因此企业是否能在该体系建设过程中即形成完整、有效的行业标准规范，来指导整个CA认证体系的建设乃至日后的运营，也成为整个PKI/CA体系是否能够真正发挥安全基础设施作用的主要因素。

再次，随着建筑企业信息化发展进入新的阶段，自身PKI/CA认证体系基础设施及安全支撑平台的建立，信息化建设模式已经从“建一个应用，考虑一个应用的安全”转变为“集中建设安全支撑平台，统一为众多应用提供安全服务”。如何适应这种转变，集中将企业整体信息化安全策略体现在安全支撑平台，以指导、规范未来应用系统建设，确保PKI/CA认证体系长期发挥作用，也变得非常关键。

4 结语

网络与信息系统的安全问题，已越来越被所重视，建筑企业也不能例外，虽然目前建筑企业都部署了大量网络安全设备，但是现有的安全技术手段对于用户身份的可信性鉴定、信息的保密防篡改、关键操作的防抵赖、责任认定等环节均存在一定的局限性，因此，有必要开展身份认证体系建设，以解决网络通信中应用数据安全，通过一套完整和标准的安全流程来保证网络通信及应用中的各类安全认证和重要应用数据的安全与保密，以防止非法攻击者对网络通信中重要应用数据的攻击和窃取，确保通信双方身份的真实性和重要数据的完整性、不可否认性以及安全保密性。实现对服务对象的身份鉴别、对服务对象访问网络资源时的权限控制。基于数字证书技术，确保应用的安全及其服务对象重要操作事件、行为事件的安全审计。以满足企业信息安全集中管控的需要。