【身(shen)份認(ren)證系(xi)統】身(shen)份認(ren)證系(xi)統的必要性 身(shen)份認(ren)證系(xi)統結(jie)構設計

身份認證系統的必要性

1、嚴格的標準化設計

系統設計符(fu)合(he)相(xiang)關國際通用(yong)標準，證書格式采用(yong)X509 V3標準(zhun)，證書注銷列表采用X509 V2標準。系(xi)統內(nei)部使(shi)用的密碼設備接口(kou)為PKCS#11接口和(he)MS CSP接口，支持多種型號的硬件密碼設備。

該圖片由注冊用戶"溫暖·生活家"提供，版權聲明反饋

2、靈活的模塊化設計

以(yi)結構化(hua)、模塊化(hua)為設計原則，組成系(xi)統的(de)(de)不同模塊之間相對獨(du)立(li)，可以(yi)根據(ju)不同用戶(hu)的(de)(de)需求實現靈活搭配(pei)，具有良好(hao)的(de)(de)可擴展性。

3、完善的安全措施

采取通信加密、安全通信協議等安全措施進行安全防護。利用硬件加密設備對網絡傳輸數據進行加密，使得通信數據以密文的方式在網絡上進行傳輸，同時采取硬件密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護，系統用戶使用數字證書進行身份認證，確保系統自身安全。

系統內采用的安全硬件產品均通過國家密(mi)碼局的安全鑒定，證書(shu)和(he)密(mi)鑰(yao)存(cun)儲在USBKEY中(zhong)，安全(quan)可靠(kao)。

4、有效的防護機制

在設計上包括安全(quan)(quan)防(fang)護(hu)機制(zhi)、安全(quan)(quan)檢測(ce)機制(zhi)和安全(quan)(quan)恢(hui)復機制(zhi)。對于重要的(de)系(xi)統數據和物理設備進行安全(quan)(quan)備份和安全(quan)(quan)管理，確保系(xi)統運行可靠。

5、簡單的部署使用

管理系(xi)統(tong)采(cai)用(yong)B/S結構(gou)，管理員通過瀏覽器(qi)對系統進行操(cao)(cao)作，無需安(an)裝客(ke)戶端軟件(jian)，操(cao)(cao)作簡單方便。

6、與第三方CA相比其優勢

1）可實現對(dui)內部信息系統(tong)在應用層面的安全要求，實現內部數字(zi)證書的發放及管理(li)。

2）一次(ci)投(tou)資即可實現長期使用，無證書年檢等費用支出。

3）所發放的數字證書可應用(yong)于企(qi)業內部的多個系統中(zhong)，實現(xian)真正的"一證多應用"。

4）系統(tong)部署(shu)可配置，可選(xuan)擇使用(yong)軟加密庫作(zuo)為企業級(ji)CA系統(tong)的根密鑰存儲設備，從而(er)降低成本。

身份認證系統結構設計

企業級CA系統是(shi)對生存周期內的數字證書進行全(quan)過程管(guan)理的安全(quan)系統。

1、簽發服務器（CA）

簽發服務器(qi)對生存周(zhou)期內的數字證書進行全過程(cheng)管理的控制模塊，負責系統的初始化(hua)、用戶(hu)資料管理、用戶(hu)證書管理、CA配置(zhi)管理、CA策(ce)略信息管理等。

2、注冊服務器（RA）

注冊服務器作為身份認證系(xi)統的注(zhu)冊模塊(kuai)，負責用(yong)戶信(xin)息的錄入、用(yong)戶信(xin)息的審核、證(zheng)書(shu)申請、證(zheng)書(shu)注(zhu)銷、證(zheng)書(shu)更新等。

3、密鑰管理服務器（KM）

密(mi)鑰(yao)管理(li)(li)服(fu)(fu)務器主要是實現對密(mi)鑰(yao)信息的(de)管理(li)(li)，包(bao)括密(mi)鑰(yao)管理(li)(li)服(fu)(fu)務器的(de)初(chu)始(shi)化、密(mi)鑰(yao)監控(kong)服(fu)(fu)務。

4、管理終端

證書管理終端主要是對系統進行管理，包括系統的初始化、用戶申請的審核上傳等。