天威诚信CA天威诚信CA成功案例

时间：2022-02-14 05:30:01 | 来源：信息时代

时间：2022-02-14 05:30:01 来源：信息时代

海南CA建设

背景

海南CA是经海南省政府批准，专门从事电子政务和电子商务数字证书制作、颁发、管理和相关网络加密的权威机构，是保证海南省电子政务（外网）和海南省电子商务安全的基础平台。海南CA是海南省唯一一家经政府认可的数字证书认证中心；同时，具有应用上的唯一性，即在相当时间内，海南省所有参加电子政务和电子商务的应用主体，必须获得由海南CA颁发的数字证书。

海南CA原来是采用基于产品的模式自己建设了一个完整的认证中心。但是，随着海南CA应用的不断扩展，该认证中心及CA系统已经无法满足应用的需要，在CA系统运营、维护、技术升级和对应用的支持等方面出现了很多问题。为此，海南CA希望采用基于服务的模式，对海南CA进行重新规划和设计，建设满足海南CA需求、功能完备、投入小、建设周期短、系统运营维护工作量少，以及对应用广泛支持的CA认证系统，解决所面临的问题。

方案

根据海南CA的需求，天威诚信利用基于服务的模式，采用天威诚信的产品——安证通（OnSite）和服务，对海南CA进行了重新规划、设计和建设，替换了海南CA原有的平台。天威诚信设计和建设的海南CA的核心——CA中心托管建设在天威诚信安全数据中心，在海南本地建设CA系统的前台——RA中心，并在海南本地建设对整个海南CA进行全权管理的CA管理前台——CA管理（模块），由它们共同为海南省电子政务和电子商务用户提供证书服务。

建设的海南CA包含两种不同的证书信任体系，包括采用完全第三方——天威诚信国内信任体系（CTN）和海南自有的证书信任体系，分别颁发天威诚信国内信任体系（CTN）下的用户证书和海南省自有体系的用户证书。整个CA系统包含多套安证通（OnSite），分别签发不同种类的用户证书，包括颁发电子邮件证书、个人证书、企业证书和服务器证书等，其中个人证书和服务器证书都具有颁发试用证书的功能。新建设的海南CA系统具有和原CA系统提供的服务功能，并且提供更完善、强大的服务功能。

在建设海南CA的过程中，海南CA只进行了极小的投入，只提供了两台PC服务器，就将整个CA系统搭建完成。系统的建设周期也非常短，从项目立项、系统实施、测试、培训到验收完成，整个流程只用了20天左右的时间。

目前，海南CA已经成功对外提供服务，相关网址为：http://www.hneca.net/，可以为用户提供个人证书、企业证书和服务器证书服务，并通过天威诚信的支持对外提供VPN证书和代码签名证书服务。天威诚信在设计和建设海南CA的同时，还在市场开拓和具体的应用上，为海南CA提供强有力的技术支持，为海南CA提供了完整的、支持应用集成的证书应用开发接口，并提供了很多成功的应用安全解决方案，如安全电子邮件应用、安全Web应用和安全VPN应用等，这些应用模板已经成功的为海南CA客户提供了完整的应用安全解决方案。

华北CA建设

背景

目前，在华北地区的也已经建立了数家CA认证中心，但是它们都是面向省或市县区域内应用的地方性CA，还没有一个面向整个华北地区的CA。其次，这些地方性CA在建设之初，面向的服务对象也只限于自己所属的区域，因此CA认证系统的设计容量上无法实现无限的扩展。另外，这些地方性CA都是采用完全自建方式建立起来的，各种采用的产品和技术都不尽相同，并且都具有自己的CA认证体系，因此很难实现相互之间的互连互通。因此，为了满足华北地区电子政务和电子商务的安全应用需求，解决上述地方性CA所面临的问题，相关单位和部门准备建设全华北地区的CA认证中心，作为华北地区权威的、可信赖的、公正的第三方数字证书认证机构，为华北地区电子政务和电子商务提供安全认证服务。

方案

根据华北CA认证中心的建设需求，天威诚信采用基于服务的模式，利用天威诚信的技术、产品和服务，设计和建设了华北CA认证中心。通过CA托管服务，将华北CA的CA中心托管在天威诚信安全数据中心，在华北地区（保定）建设华北CA的RA中心，并在华北地区建设对华北CA进行全权管理的CA管理（模块），由华北CA自己管理整个CA认证中心。整个华北CA建设只使用了两台PC服务器，就将整个系统搭建完成。系统的建设周期也非常短，从项目启动、系统实施、测试、培训到验收完成，整个流程只用了15天左右的时间。

目前，华北CA已经成功对外提供服务，相关网址为：http://www.hbca.com.cn/，能够提供多种信任域的证书服务，包括国际信任体系（VTN）的证书服务、国内信任体系（CTN）的证书服务和华北自有信任体系的证书服务，其中前两种是基于天威诚信提供的国际和国内体系而建立。而华北地区的证书服务是华北CA认证中心自有的证书体系，在自有的证书体系下，具有华北自己的根，并且在根下面，建设了华北电子政务子CA和华北电子商务子CA。华北CA能够签发多种类型的证书，包括国际、国内和华北自有体系安全邮件证书、国内和华北自有体系个人证书、华北自有体系电子商务证书、华北自有体系电子政务证书、国际体系的服务器证书和国际体系的代码签名证书等。

天威诚信在为华北CA的建设提供技术、产品和服务的同时，还在市场开拓方面给予华北CA提供强有力的支持，专门针对华北地区的应用，为华北CA进行了市场销售培训，让华北CA能够很好的把握市场商机，为目前华北地区电子政务和电子商务提供完善的安全认证服务。

大连CA建设

背景

电子政务和电子商务的开展是基于互联网进行，由于互联网的广泛性和开放性，给电子政务和电子商务的提出了很多挑战，其中最为重要的是如何解决电子政务和电子商务的安全问题，包括如何解决电子政务和电子商务信息传输的机密性、完整性和不抵赖性，以及身份认证和访问控制等问题。为了保证大连市电子政务和电子商务的安全，促进电子政务和电子商务的发展，大连市电子政务管理处拟建设大连市电子政务CA认证中心（以下简称大连CA），作为大连市唯一的从事数字证书制作、颁发、管理和相关网络加密的权威机构，为大连市的电子政务（包括政务内网与政务外网）和电子商务应用提供数字证书认证服务，为大连市电子政务和电子商务的提供安全保障。

方案

天威诚信在对大连CA建设需求进行全面分析的基础上，利用天威诚信的产品和技术，采用基于服务的建设模式，为大连CA设计和建设了一个完整的CA认证中心。建设的大连CA的CA系统核心——CA中心托管建设在天威诚信安全数据中心，在大连本地建设了面向最终用户的前台——RA中心，并在大连本地建设了对整个CA系统进行全权管理的CA管理前台——CA管理（模块）。整个大连CA包括两套CA系统：个人邮件CA系统和企业身份CA系统，系统建设只用了两台PC服务器，就完成了本地部分的系统建设，整个建设周期不到两周。

在提供系统建设的同时，天威诚信还为大连CA提供了一套完整的系统运营及服务体系，包括人员管理机制、运营管理规范和制度、安全应急处理、CPCPS、安全与审计、客户服务体系建设和门户网站建设等，为大连CA的规范运营提供了可供参考的规范。

大连CA系统建设和运营管理规范建设已经基本完成，提供的证书包括个人证书和企业证书，都是采用大连CA自己的认证体系，签发的证书能够用于大连市电子政务，包括政务外网和内网，以及用于大连市电子商务。预计，整个系统将在今年11月正式对外提供服务，前期将面向政务外网，为包括网上工商、网上社保和网上报税等应用提供数字证书服务。

北京市政府应用

背景

中共北京市委、北京市政府信息中心正在进行所主持的北京市电子政务示范工程的建设，建设政府外网系统，通过互联网为北京各大型企业提供服务。北京各大型企业的主管通过Internet，登录到政府外网系统，完成相关信息的查询、相关申报和网上政务等工作。由于整个政府外网系统是基于公开的Internet，因此，需要实现对访问用户进行身份认证和访问控制，同时需要保证用户访问的网站的确是政府外网系统的网站，确保政府外网信息和网站的安全性。

方案

天威诚信为了支持中共北京市委、北京市政府信息中心所主持的北京市电子政务示范工程的建设，为本工程提供基于数字证书的网上认证系统及服务。主要是采用天威诚信国内信任体系（CTN）的安证通（OnSite）产品和服务，为北京市政府建设基于服务型的CA系统，为北京市电子政务示范工程——政府外网系统提供证书认证服务。

需要登录政府外网系统的北京各大型企业的主管需要通过CA系统申请数字证书，代表其身份，在登录北京市电子政务示范工程网站时出示数字证书，作为其真实身份，网站通过验证提交的证书，来实现对访问用户的身份认证和访问控制，确保政府外网信息和网站的安全性。

整个项目仅用了5天的时间就全部完成，目前已经为100多个大型企业发放了数字证书，他们必须使用数字证书才能登录北京市电子政务示范工程——政府外网系统网站。

扬州地税应用

背景

扬州市地税局准备采用网上报税的方式，由纳税人在互联网上完成申报和缴税。纳税人通过IE浏览器登录到税务局电子申报的WEB服务器上，输入网上报税系统为纳税人创建的用户名和密码（密码登录后可修改）进入系统进行报表填写。纳税人再将报表填写完后进行申报（系统将纳税人提交的数据写到税务局的数据库中）和网上银行缴税，完成整个申报过成。

网上报税系统基于互联网进行通信，由于互联网的广泛性和开放性，给网上报税应用带来了很多安全隐患，如何对纳税人的身份认证和访问控制，如何保证网上申报数据的机密性成为网上报税系统需要解决的安全问题。为了加强网上报税系统的安全性，解决网上报税系统的安全问题，扬州市地税局准备利用PKI（PublicKeyInfrastructure，公钥基础设施）技术为扬州地税建设一套CA认证系统，为纳税人颁发数字证书。在网上报税时纳税人必须使用数字证书来解决网上报税的安全问题。

方案

天威诚信根据扬州地税网上报税系统的应用需求，采用天威诚信的安证通（OnSite）产品和服务，采用基于服务的建设模式，为扬州地税建设一套CA认证系统，CA系统的核心——CA中心托管建设在天威诚信安全数据中心，在扬州市本地建设CA系统提供给纳税人申请和管理证书的前台——RA中心，并在扬州市本地建设对整个CA系统进行全权管理的前台——CA管理（模块），由它们共同为扬州地税纳税人提供证书认证服务。建设的扬州地税CA认证系统采用扬州地税自有的证书信任体系，颁发企业证书。天威诚信为扬州地税网上报税系统提供了解决方案，并协助开发商对应用系统进行了集成，增加数字证书应用的安全功能。

通过建设的CA认证系统，纳税人将采用如下流程进行网上申报：

（1）纳税人首先到税务局进行网上申报的申请；

（2）税务局审核通过后由我们公司通知纳税人进行网上申报的培训；

（3）培训同时我们将发给纳税人一个信封，里边写有纳税人的用户名和密码及要登录的网站地址和纳税人的证书；

（4）纳税人回去后，在自己的计算机上安装自己的证书；

（5）纳税人登录税务局WEB申报网站，提交纳税人的证书和Web申报网站建立SSL链接，Web申报网站验证纳税人提交的数字证书来认证纳税人的身份，通过SSL链接来保证数据传输的机密性；

（6）然后，纳税人输入用户名和密码完成网上申报流程。

扬州地税CA系统及网上报税系统安全集成已经完成，目前已经正式使用，到现在为止扬州地税CA系统已经发放了大约1,000张证书，整个系统运行稳定，没有任何问题，并且发放的数字证书已经被纳税人在网上报税系统中应用，进行安全的网上报税。

华为应用

背景

华为技术有限公司（下称华为）是通讯业全球着名公司，随着公司业务的高速增长，为了保护公司信息资产，防止信息的泄漏和被非法窃取与篡改；防止身份假冒和交易抵赖，降低安全风险；扩展华为在Internet上被其他公司信任的能力；提高公司内部网络系统的安全性，以及提高公司与外部相关系统的整体安全性；提高公司各业务应用系统的价值，华为准备进行PKI/CA平台建设，制定PKI/CA的相关流程和制度，为华为构建一个国际可信的、安全互联互信的基础平台，为相关应用及安全需求提供IT支撑。

方案

天威诚信为华为PKI/CA平台建设提供了一套完整的方案，利用天威诚信的安证通（OnSite）产品和服务，采用基于服务的建设模式，为华为设计和建设了一套功能完善的PKI/CA平台。整个平台的核心——CA中心托管建设在天威诚信安全数据中心，将平台为用户提供证书申请和管理服务的前台——RA中心建设在华为本地，并且在华为本地建设对整个平台进行全权管理的CA管理前台——CA管理（模块），由它们共同为华为提供用户证书认证服务。建设的华为PKI/CA平台能够签发天威诚信国际信任体系（VTN）和国内信任体系（CTN）的证书。

整个PKI/CA平台采用两台PC服务器进行搭建，系统建设周期预计为15天（系统实施目前正在进行中）。

新浪企业邮箱应用

背景

新浪网拥有1000多万的个人邮箱用户、10万的企业邮箱用户(目前这个数量还在不断增长)是国内目前最大的邮件服务商之一。新浪的企业邮箱是Sina企业服务的重点产品，随着互联网的广泛应用、发展，企业的电子邮箱在企业经营业务中发挥的作用越来越重要，企业邮箱用户除了关心邮箱服务的易用性、稳定性，邮件传输的安全性也逐渐被大家所重视；在新浪（Sina）向企业用户提供收费邮箱服务的过程中，许多客户就曾急迫地要求提供更高级的安全邮箱服务的需求，特别是在移动办公环境下工作的邮箱用户，对这方面更是提出了比较高的标准。为了向企业邮箱用户提供更好的服务，树立Sina企业邮箱在国内企业邮件服务中的地位，Sina决定提高Sina企业邮箱的安全水平，经过广泛而深入地考察，决定同天威诚信合作，经过了半年左右的开发，推出了基于证书的国际漫游的安全认证邮箱，实现电子邮件最大的安全性。

方案

此次新浪与天威诚信合作推出的国际、国内漫游的安全企业邮箱解决方案，是基于浏览器的安全邮箱解决方案，该方案使用了天威诚信提供的国际体系（VTN）的证书和国内体系（CTN）的证书。天威诚信根据Sina邮箱系统特点，开发了有针对性的安全电子邮件系统，同时，还特别开发了针对移动办公环境的'漫游'技术，使用户能够不必随身携带数字证书，而是在需要使用时可以从服务器上完成下载，并方便的通过Outlook等专用邮件软件，或者是通过Web页面，直接完成邮件加密/签名发送。在采用了天威诚信的安全邮件解决方案后，Sina可以保证其安全邮件用户的邮件在传递过程中可以进行发件方和接受方的身份确认，并且可以对邮件进行电子签名，保证信息的不可抵赖性，而且还支持国际漫游业务，在漫游状态进行邮件的安全传送和确认。此外，此认证体系下的证书已广泛地被被其它国家、地区的上千万用户所信任，其公信力具有无可匹敌的广泛性。

国际、国内漫游的安全企业邮箱实现了两个第一：第一个基于浏览器的邮件加密，传统的邮件加密只限于客户端的加密，而对于邮件的传递无法监控，使邮件存在一定的安全隐患；另外一个第一是支持漫游业务，当用户离开出差外地，使用别人的PC，打开自己的企业邮箱，输入电子认证证书密码，即可从服务器上获得128位的加密密钥，打开电子邮件，当用户阅读完邮件，关闭浏览器，其加密密钥自动销毁，在机器上不留任何备份，保证了邮件的安全。

新浪的国际漫游的安全认证邮箱的推出，在国内邮件服务提供商和PKI业界产生了广泛的影响，受到了行业领导的广泛好评。中国安全产品测评认证中心，测评试验室主任李守鹏博士表示，关于网络安全产品，一直存在着一对安全性和易用性的矛盾，安全性能高的产品，使用却十分复杂，而简易操作的产品，却又缺乏一定的安全性。而这次新浪推出的国际漫游的安全认证企业邮箱使得安全性与易用性得到了完美的结合，具有很强的实用性和可靠性。中国信息产业部信息化推进司CA管理中心王宏处长也谈到，企业邮箱的安全管理一直就是网络安全管理的一个主要内容，本次新浪与天威诚信公司合作推出的国际漫游安全认证企业邮箱，对企业邮箱的安全管理将起到一个良好的示范作用。目前国内主要的几家邮件服务提供商都已经在与天威诚信合作或纷纷表示要采用天威诚信的安全邮件解决方案；可以预期在不久的将来，一旦各家邮件服务提供商都采用了天威诚信CA签发的数字证书及其基于数字证书的安全邮件解决方案，各邮件服务提供商的众多邮件用户都可以确保其相互间邮件通信的安全。

Sina与天威诚信公司在企业邮箱项目上的成功合作，使得双方公司非常满意；Sina公司的技术总监严援朝先生表示，先期将扩大双方的合作至整个Sina.net，未来将推动在更广泛的领域开展进一步的合作。