【身(shen)份(fen)認(ren)證(zheng)(zheng)系(xi)統(tong)(tong)】身(shen)份(fen)認(ren)證(zheng)(zheng)系(xi)統(tong)(tong)的必(bi)要性(xing) 身(shen)份(fen)認(ren)證(zheng)(zheng)系(xi)統(tong)(tong)結(jie)構(gou)設計

身份認證系統的必要性

1、嚴格的標準化設計

系統設計符合(he)相關國際通用標準(zhun)，證(zheng)書格(ge)式(shi)采(cai)用X509 V3標準(zhun)，證書(shu)注銷列表采(cai)用X509 V2標(biao)準(zhun)。系統(tong)內部使用的(de)密碼設備接(jie)口為PKCS#11接(jie)口和(he)MS CSP接口，支持多種型號的硬件密碼(ma)設備。

該圖片由注冊用戶"溫暖·生活家"提供，版權聲明反饋

2、靈活的模塊化設計

以結(jie)構化、模塊(kuai)化為(wei)設計原則，組成系統的不(bu)(bu)同模塊(kuai)之間相對獨立，可(ke)以根據(ju)不(bu)(bu)同用戶的需求實現靈活搭(da)配，具有良好的可(ke)擴展(zhan)性。

3、完善的安全措施

采取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密，使得通信數據以密文的方式在網絡上進行傳輸，同時采取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護，系統用戶使用數字證書進行身份認證，確(que)保系統自身安全(quan)。

系統內(nei)采(cai)用的安(an)全(quan)硬(ying)件產品均(jun)通(tong)過國家密碼局的安(an)全(quan)鑒(jian)定，證書和密鑰存儲在USBKEY中，安全可靠。

4、有效的防護機制

在設計上包括(kuo)安全(quan)防護機制、安全(quan)檢測機制和安全(quan)恢復機制。對于(yu)重要(yao)的系統(tong)數據和物理設備進行安全(quan)備份和安全(quan)管理，確保(bao)系統(tong)運行可靠。

5、簡單的部署使用

管理系統采用B/S結構(gou)，管理員(yuan)通(tong)過瀏(liu)覽器對系統進行操作，無(wu)需安裝(zhuang)客戶端軟件，操作簡單方便。

6、與第三方CA相比其優勢

1）可實現(xian)對內部(bu)信息系統在應用層面(mian)的安全要求，實現(xian)內部(bu)數字(zi)證(zheng)書的發放及管理(li)。

2）一次(ci)投資即可實現(xian)長期使用，無證書年檢等費(fei)用支出。

3）所(suo)發(fa)放(fang)的數字證書可應(ying)用于企業內部的多個系統中，實現真正的"一證多應(ying)用"。

4）系統部署可(ke)配置(zhi)，可(ke)選擇使用軟加(jia)密庫作(zuo)為企業級CA系統的根密鑰(yao)存儲(chu)設備，從而降低成(cheng)本。

身份認證系統結構設計

企業級CA系統是對生存周(zhou)期內的(de)數字證書進行全過程(cheng)管理(li)的(de)安(an)全系統。

1、簽發服務器（CA）

簽發服務器(qi)對生(sheng)存周期內的數字(zi)證書進行全(quan)過程管(guan)(guan)理(li)的控制模(mo)塊，負(fu)責系統的初始化、用(yong)戶(hu)資料管(guan)(guan)理(li)、用(yong)戶(hu)證書管(guan)(guan)理(li)、CA配置管理、CA策略(lve)信息管理(li)等。

2、注冊服務器（RA）

注冊服務器作為身份認證系統的注冊(ce)模塊(kuai)，負責用(yong)戶(hu)信(xin)息(xi)的錄入、用(yong)戶(hu)信(xin)息(xi)的審(shen)核、證書申請、證書注銷、證書更新等。

3、密鑰管理服務器（KM）

密鑰(yao)管(guan)理服(fu)務(wu)器(qi)主要是實現對密鑰(yao)信息的管(guan)理，包括(kuo)密鑰(yao)管(guan)理服(fu)務(wu)器(qi)的初始化(hua)、密鑰(yao)監控服(fu)務(wu)。

4、管理終端

證書管理終端主要是對系統進行管理，包括系統的初始化、用戶申請的審核上傳等。