关于对外经济贸易大学基于CA认证体系的信息化校园建设

"

论文摘要：随着信息化建设步伐的不断加快，计算机网络技术的应用日趋广泛。但从整体情况看，网络信息安全还存在很多问题。针对现阶段网络安全存在的问题，本文阐述了CA认证体系，从实际出发，介绍了对外经贸大学基于CA认证体系的建设内容，对当前网络安全的建设和高校信息化校园的发展具有十分重要的意义。

论文关键词：CA认证体系；信息安全；数字证书；公钥

一、CA概述

CA是CeritficateAuthoirty的缩写，通常翻译成认证权威或者认证中心，是负责发放和管理数字证书的权威机构，并承担电子商务公钥体系中公钥的合法性检验的责任。

CA认证系统是一个大的网络环境，从功能上基本可以划分为CA、RA和WP。核心系统和CA放在一个单独的封闭空间中，为了保证运行的绝对安全，其人员及制度都应有严格的规定，并且系统设计为离线网络。CA的功能是在收到来自RA的证书请求时颁发证书。一般的个人证书发放过程都是自动进行，无须人工干预。

二、对外经济贸易大学CA认证体系的规划和建设

(一)背景

对外经济贸易大学是教育部直属的全国重点大学，国家“211工程”首批重点建设高校，大学校园网始建于1997年，经历了建设、调整和完善的阶段。截止目前为止校内所有建筑物全部光纤接入到网络与教育技术中心，网络设备400余台，信息点数近17000个，实现了所有办公楼及宿舍楼的上网需求。各部门相关业务系统也在逐渐完善，信息系统在日常工作中的使用频率在迅速提升，与此同时，学校全面实施信息化校园(一期)建设，搭建了统一数据库平台、建立统一身份认证系统并建立了统一信息平台门户，基本实现各系统的信息共享。对外经济贸易大学的校园网建设成已基本形成了运行比较稳定、速度比较快捷、应用比较广泛、相对安全可靠的网络，为全校的教学和科研活动提供了坚实的保障。

然而，单纯的用户名／口令身份认证方式已经不足以保证用户登陆系统的身份安全性，在学校信息化建设相对稳定成熟的基础上，我们考虑在校园网中建立一套完整的CA数字证书认证系统，通CA认证，把用户的公钥和用户的其他标识信息捆绑在一起，其中包括用户名个人信息以及电子邮件地址等，以实现在网络上验证用户的真实身份。在开放网络上实现密钥的自动管理，保证网上数据的安全传输。并制定有针对性的相关运维策略，按照学校实际情况，颁发给校园内用户标识个人身份的数字证书，使用户利用数字证书登录业务系统，替代原有的用户名／口令登录方式。真正做到既简便了用户的登陆操作，又进一步提升了业务系统的安全性。"

(二)建设原则

结合学校各业务系统自身应用的现实情况，在相关国际标准的指导下，对外经贸大学CA认证系统建设项目的总体设计和实施都将依据国家有关信息安全政策法规，根据项目的实际需要和高校信息化建设的实际情况，依靠科学技术，依靠科学管理的思想进行设计；将长远规划和当前建设相结合，安全可行和方便适用相结合。因此，项目的研究和实施遵循以下原则：符合国家有关规定的原则、坚持继承、发展、创新的原则、坚持以人为本、方便适用的原则、需求、风险、成本折衷原则、坚持统一标准、规范建设的原则、技术与管理相结合原则和保护已有投资、易于扩展的原则。

(三)建设内容

考虑CA身份认证系统在国内建设的相关情况以及结合对外经贸大学各业务系统的应用现实情况，对外经贸大学CA认证系统建设项目的建设内容如下：

1．制订标准规范

制定符合对外经贸大学自身特色的标准规范，指导对外经贸CA安全认证体系的建设、推广、使用，保证系统的高效管理和使用，保证系统之问的互联互通。

2．建设对外经贸大学的CA安全认证体系

所建立的CA认证系统面向全校8000余名在校学生及1500名教职员工提供全面证书安全认证服务，认证系统将具备万张级别的数字证书签发管理能力，使整个校园信息化体系得到进一步完善，从安全性方面保证数字化校园网络的高效、可靠运行，为对外经贸大学涉及的多套教学及办公业务系统提供完善的数字证书服务。

3．数字证书与业务系统的结合

①与公文系统的结合

建设一套电子签章平台，来管理发放相关人员的电子印章，可以实现在OA审批流转系统中对审批电子文档的盖章确认，包括对签章人的身份确认，对审批文档的防篡改，以及盖章行为的不可抵赖。由于具备了真实性、完整性及可追溯性的安全机制，极大的推动了信息化系统中无纸化办公的可靠性。

②与其他业务系统的结合

另外一种情况是业务系统不是流转公文，而是流转各种业务数据，比如合同、申报数据、审批表格等应用系统。由于业务系统情况千差万别，不能用一个盖章、签字软件与其结合，因此需要具体业务具体分析，学校将对于签章、签名系统提供二次开发接口，系统调用这些接口，实现电子签章、电子签名的应用。

4．其他拓展功能建设

作为安全基础设施的CA认证系统，在建成后其颁发的数字证书不仅使用于对系统的安全登录，同时还包括一系列拓展功能。包括身份认证、数字签名／验签、数据加／解密、安全传输、应用支撑、安全审计等等。随着校园网整个信息化系统的功能完善，信息安全体系建设的跟进就显得尤为必要。

三、结论

网络安全存在的一些问题，客观上引导CA向一个更加理性、更加实际的方向发展，并将促使CA与各业务系统更加紧密的结合。

利用数字证书本身具备的安全特性，可以大幅度提升校园网系统的整体安全性将数字证书应用推广到更多的业务系统中，特别是财务、教务、电子公文等系统，实现包括数字签名、网上报销在内的一系列证书拓展功能，可以保证安全性的同时简化业务流程，大幅提升信息化系统的工作效率。随着时间的推移，高校中运用CA认证体系将从根本上改变几千年来形成的传统模式，充分体现出现代科学技术给师生员工工作、生活所带来的便利。