【身(shen)份(fen)認(ren)證(zheng)(zheng)系(xi)統(tong)(tong)】身(shen)份(fen)認(ren)證(zheng)(zheng)系(xi)統(tong)(tong)的必(bi)要性(xing) 身(shen)份(fen)認(ren)證(zheng)(zheng)系(xi)統(tong)(tong)結(jie)構(gou)設計
身份認證系統的必要性
1、嚴格的標準化設計
系統設計符合(he)相關國際通用標準(zhun),證(zheng)書格(ge)式(shi)采(cai)用X509 V3標準(zhun),證書(shu)注銷列表采(cai)用X509 V2標(biao)準(zhun)。系統(tong)內部使用的(de)密碼設備接(jie)口為PKCS#11接(jie)口和(he)MS CSP接口,支持多種型號的硬件密碼(ma)設備。
2、靈活的模塊化設計
以結(jie)構化、模塊(kuai)化為(wei)設計原則,組成系統的不(bu)(bu)同模塊(kuai)之間相對獨立,可(ke)以根據(ju)不(bu)(bu)同用戶的需求實現靈活搭(da)配,具有良好的可(ke)擴展(zhan)性。
3、完善的安全措施
采取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密,使得通信數據以密文的方式在網絡上進行傳輸,同時采取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護,系統用戶使用數字證書進行身份認證,確(que)保系統自身安全(quan)。
系統內(nei)采(cai)用的安(an)全(quan)硬(ying)件產品均(jun)通(tong)過國家密碼局的安(an)全(quan)鑒(jian)定,證書和密鑰存儲在USBKEY中,安全可靠。
4、有效的防護機制
在設計上包括(kuo)安全(quan)防護機制、安全(quan)檢測機制和安全(quan)恢復機制。對于(yu)重要(yao)的系統(tong)數據和物理設備進行安全(quan)備份和安全(quan)管理,確保(bao)系統(tong)運行可靠。
5、簡單的部署使用
管理系統采用B/S結構(gou),管理員(yuan)通(tong)過瀏(liu)覽器對系統進行操作,無(wu)需安裝(zhuang)客戶端軟件,操作簡單方便。
6、與第三方CA相比其優勢
1)可實現(xian)對內部(bu)信息系統在應用層面(mian)的安全要求,實現(xian)內部(bu)數字(zi)證(zheng)書的發放及管理(li)。
2)一次(ci)投資即可實現(xian)長期使用,無證書年檢等費(fei)用支出。
3)所(suo)發(fa)放(fang)的數字證書可應(ying)用于企業內部的多個系統中,實現真正的"一證多應(ying)用"。
4)系統部署可(ke)配置(zhi),可(ke)選擇使用軟加(jia)密庫作(zuo)為企業級CA系統的根密鑰(yao)存儲(chu)設備,從而降低成(cheng)本。
身份認證系統結構設計
企業級CA系統是對生存周(zhou)期內的(de)數字證書進行全過程(cheng)管理(li)的(de)安(an)全系統。
1、簽發服務器(CA)
簽發服務器(qi)對生(sheng)存周期內的數字(zi)證書進行全(quan)過程管(guan)(guan)理(li)的控制模(mo)塊,負(fu)責系統的初始化、用(yong)戶(hu)資料管(guan)(guan)理(li)、用(yong)戶(hu)證書管(guan)(guan)理(li)、CA配置管理、CA策略(lve)信息管理(li)等。
2、注冊服務器(RA)
注冊服務器作為身份認證系統的注冊(ce)模塊(kuai),負責用(yong)戶(hu)信(xin)息(xi)的錄入、用(yong)戶(hu)信(xin)息(xi)的審(shen)核、證書申請、證書注銷、證書更新等。
3、密鑰管理服務器(KM)
密鑰(yao)管(guan)理服(fu)務(wu)器(qi)主要是實現對密鑰(yao)信息的管(guan)理,包括(kuo)密鑰(yao)管(guan)理服(fu)務(wu)器(qi)的初始化(hua)、密鑰(yao)監控服(fu)務(wu)。
4、管理終端
證書管理終端主要是對系統進行管理,包括系統的初始化、用戶申請的審核上傳等。